ProHoster > Blag > Riarachán > Conas cairde a dhéanamh le GOST R 57580 agus fíorúlú coimeádán. Freagra an Bhainc Ceannais (agus ár dtuairimí ar an ábhar seo)

Conas cairde a dhéanamh le GOST R 57580 agus fíorúlú coimeádán. Freagra an Bhainc Ceannais (agus ár dtuairimí ar an ábhar seo)

Ní fada ó shin rinneamar measúnú eile ar chomhlíonadh cheanglais GOST R 57580 (dá ngairfear go simplí GOST anseo feasta). Is cuideachta é an cliant a fhorbraíonn córas íocaíochta leictreonach. Tá an córas tromchúiseach: níos mó ná 3 mhilliún úsáideoir, níos mó ná 200 míle idirbheart laethúil. Glacann siad go mór le slándáil faisnéise ansin.

Le linn an phróisis mheastóireachta, d'fhógair an cliant go ócáideach go bhfuil sé beartaithe ag an roinn forbartha, chomh maith le meaisíní fíorúla, coimeádáin a úsáid. Ach leis seo, chuir an cliant leis, tá fadhb amháin ann: i GOST níl focal faoin Docker céanna. Cad a dheánfainn? Conas slándáil na gcoimeádán a mheas?

Conas cairde a dhéanamh le GOST R 57580 agus fíorúlú coimeádán. Freagra an Bhainc Ceannais (agus ár dtuairimí ar an ábhar seo)

Is fíor, ní scríobhann GOST ach faoi fhíorúlú crua-earraí - faoi conas meaisíní fíorúla, hypervisor, agus freastalaí a chosaint. D’iarramar soiléiriú ar an mBanc Ceannais. Chuir an freagra mearbhall orainn.

GOST agus fíorúiliú

Ar dtús, meabhraímid gur caighdeán nua é GOST R 57580 a shonraíonn “riachtanais chun slándáil faisnéise eagraíochtaí airgeadais a áirithiú” (FI). Áirítear leis na hInstitiúidí sin oibreoirí agus rannpháirtithe na gcóras íocaíochta, eagraíochtaí creidmheasa agus neamhchreidmheasa, ionaid oibríochtúla agus imréitigh.

Ón 1 Eanáir, 2021, ceanglaítear ar FIanna a sheoladh Measúnú ar chomhlíonadh riachtanais an GOST nua saor in aisce. Is cuideachta iniúchóireachta sinne, ITGLOBAL.COM, a dhéanann measúnuithe den sórt sin.

Tá fo-alt ag GOST atá tiomnaithe do chosaint timpeallachtaí fíorúla - Uimh. 7.8. Níl an téarma “fíorúsú” sonraithe ann; níl aon deighilt idir crua-earraí agus fíorúlú coimeádán. Déarfaidh aon speisialtóir TF go bhfuil sé seo mícheart ó thaobh teicniúil de: is timpeallachtaí éagsúla iad meaisín fíorúil (VM) agus coimeádán, le prionsabail leithlisithe éagsúla. Ó thaobh leochaileacht an óstaigh ar a bhfuil na coimeádáin VM agus Docker á n-imscaradh, is difríocht mhór é seo freisin.

Tharlaíonn sé gur cheart go mbeadh an measúnú ar shlándáil faisnéise VManna agus coimeádán difriúil freisin.

Ár gceisteanna don Bhanc Ceannais

Chuireamar chuig Roinn Slándála Faisnéise an Bhainc Ceannais iad (cuirimid na ceisteanna i láthair i bhfoirm ghiorraithe).

  1. Conas coimeádáin fhíorúla de chineál Docker a mheas agus comhlíonadh GOST á measúnú? An bhfuil sé ceart an teicneolaíocht a mheas de réir fho-alt 7.8 de GOST?
  2. Conas uirlisí bainistíochta coimeádán fíorúla a mheas? An féidir iad a chomhionannú le comhpháirteanna fíorúlaithe freastalaí agus iad a mheas de réir an fho-ailt chéanna de GOST?
  3. An gá dom slándáil na faisnéise laistigh de choimeádáin Docker a mheas ar leithligh? Más amhlaidh atá, cad iad na cosaintí ba chóir a chur san áireamh chuige seo le linn an phróisis mheasúnaithe?
  4. Má tá coimeádán comhionann le bonneagar fíorúil agus go ndéantar é a mheasúnú de réir fho-alt 7.8, conas a chuirtear ceanglais GOST chun uirlisí speisialta slándála faisnéise a chur i bhfeidhm?

Freagra an Bhainc Ceannais

Seo thíos na príomhsleachta.

“Bunaíonn GOST R 57580.1-2017 ceanglais maidir le cur chun feidhme trí bhearta teicniúla a chur i bhfeidhm maidir leis na bearta seo a leanas ZI fo-alt 7.8 de GOST R 57580.1-2017, ar féidir, i dtuairim na Roinne, a leathnú chuig cásanna ina n-úsáidtear fíorúlú coimeádáin. teicneolaíochtaí, ag cur na nithe seo a leanas san áireamh:

  • féadfaidh cur i bhfeidhm bearta ZSV.1 - ZSV.11 chun sainaithint, fíordheimhniú, údarú (rialú rochtana) a eagrú agus rochtain loighciúil ar mheaisíní fíorúla agus comhpháirteanna freastalaí fíorúlaithe a chur i bhfeidhm difriúil ó chásanna ina n-úsáidtear teicneolaíocht fíorúlaithe coimeádáin. Agus é seo á chur san áireamh, chun roinnt beart a chur i bhfeidhm (mar shampla, ZVS.6 agus ZVS.7), creidimid gur féidir a mholadh go bhforbróidh institiúidí airgeadais bearta cúitimh a shaothraíonn na spriocanna céanna;
  • cur i bhfeidhm bearta ZSV.13 - ZSV.22 maidir le heagrú agus rialú idirghníomhaíocht faisnéise de mheaisíní fíorúla foráil do dheighilt líonra ríomhaire eagraíocht airgeadais chun idirdhealú a dhéanamh idir rudaí informatization a chuireann teicneolaíocht fíorúlaithe i bhfeidhm agus a bhaineann le ciorcaid slándála éagsúla. Agus é seo á chur san áireamh, creidimid go bhfuil sé inmholta foráil a dhéanamh maidir le deighilt chuí nuair a bhíonn teicneolaíocht fíorúlaithe coimeádán á úsáid (maidir le coimeádáin fhíorúla inrite agus maidir le córais fhíorúlaithe a úsáidtear ar leibhéal an chórais oibriúcháin);
  • ba cheart bearta a chur i bhfeidhm ZSV.26, ZSV.29 - ZSV.31 chun cosaint íomhánna de mheaisíní fíorúla a eagrú de réir analaí freisin chun íomhánna bunúsacha agus reatha coimeádáin fhíorúla a chosaint;
  • ba cheart bearta a chur chun feidhme ZVS.32 - ZVS.43 chun teagmhais slándála faisnéise a thaifeadadh a bhaineann le rochtain ar mheaisíní fíorúla agus comhpháirteanna fíorúlaithe freastalaí a dhéanamh de réir analaí freisin i ndáil le heilimintí den timpeallacht fhíorúil a chuireann teicneolaíocht fíorúlaithe coimeádán i bhfeidhm.”

Céard is brí leis

Dhá phríomhchonclúid ón bhfreagra a thug Roinn Slándála Faisnéise an Bhainc Ceannais:

  • níl aon difríocht idir bearta chun coimeádáin a chosaint agus bearta chun meaisíní fíorúla a chosaint;
  • Leanann sé as sin, i gcomhthéacs na slándála faisnéise, go bhfuil dhá chineál fíorúlaithe cothromaithe ag an mBanc Ceannais - coimeádáin dhuganna agus VManna.

Luann an freagra freisin “bearta cúitimh” nach mór a chur i bhfeidhm chun na bagairtí a neodrú. Níl sé soiléir cad iad na “bearta cúitimh” seo agus conas a leordhóthanacht, a n-iomláine agus a n-éifeachtacht a thomhas.

Cad atá cearr le seasamh an Bhainc Ceannais?

Má úsáideann tú moltaí an Bhainc Ceannais le linn measúnaithe (agus féinmheasúnaithe), ní mór duit roinnt deacrachtaí teicniúla agus loighciúla a réiteach.

  • Éilíonn gach coimeádán inrite bogearraí cosanta faisnéise (IP) a shuiteáil air: antivirus, monatóireacht sláine, oibriú le logs, córais DLP (Cosc ar Sceitheadh ​​Sonraí), agus mar sin de. Is féidir é seo go léir a shuiteáil ar VM gan aon fhadhbanna, ach i gcás coimeádán, is bogadh áiféiseach é slándáil faisnéise a shuiteáil. Tá an t-íosmhéid “trealamh coirp” sa choimeádán is gá chun go bhfeidhmeoidh an tseirbhís. Tagann sé salach ar a chiall má shuiteáiltear SZI ann.
  • Ba cheart íomhánna coimeádáin a chosaint de réir an phrionsabail chéanna; níl sé soiléir freisin conas é seo a chur i bhfeidhm.
  • Éilíonn GOST rochtain ar chomhpháirteanna fíorúlaithe an fhreastalaí a shrianadh, i.e., chuig an hypervisor. Cad a mheastar a bheith ina chomhpháirt freastalaí i gcás Docker? Ní chiallaíonn sé seo gur gá gach coimeádán a rith ar óstaigh ar leith?
  • Más féidir le haghaidh fíorúlaithe traidisiúnta VManna a theorannú de réir comhrianta slándála agus deighleoga líonra, ansin i gcás coimeádáin Docker laistigh den ósta céanna, ní hé seo an cás.

Go praiticiúil, is dócha go ndéanfaidh gach iniúchóir measúnú ar shlándáil na gcoimeádán ar a bhealach féin, bunaithe ar a chuid eolais agus a thaithí féin. Bhuel, nó ná déan é a mheas ar chor ar bith, mura bhfuil ceann amháin nó an ceann eile ann.

Ar eagla na heagla, cuirfimid leis sin ón 1 Eanáir, 2021, nach gcaithfidh an scór íosta a bheith níos ísle ná 0,7.

Dála an scéil, postálaimid freagraí agus tuairimí ó rialtóirí a bhaineann le ceanglais GOST 57580 agus Rialacháin an Bhainc Ceannais go rialta inár gcuid Cainéal teileagram.

Cad atá le déanamh

Is é ár dtuairim nach bhfuil ach dhá rogha ag eagraíochtaí airgeadais chun an fhadhb a réiteach.

1. Seachain coimeádáin a chur i bhfeidhm

Réiteach dóibh siúd atá réidh chun acmhainn a úsáid ach amháin virtualization crua-earraí agus ag an am céanna go bhfuil eagla ar rátálacha íseal de réir GOST agus fíneálacha ón mBanc Ceannais.

Rud breise: tá sé níos éasca cloí le ceanglais fho-alt 7.8 de GOST.

Lúide: Beidh orainn uirlisí forbartha nua a thréigean bunaithe ar fhíorúiliú coimeádán, go háirithe Docker agus Kubernetes.

2. Diúltú cloí le ceanglais fho-alt 7.8 de GOST

Ach ag an am céanna, na cleachtais is fearr a chur i bhfeidhm chun slándáil faisnéise a áirithiú agus tú ag obair le coimeádáin. Is réiteach é seo dóibh siúd a bhfuil luach acu ar theicneolaíochtaí nua agus ar na deiseanna a chuireann siad ar fáil. Ciallaíonn “dea-chleachtais” noirm agus caighdeáin a nglacann an tionscal leo chun slándáil coimeádán Docker a chinntiú:

  • slándáil an OS óstach, logáil atá cumraithe i gceart, toirmeasc ar mhalartú sonraí idir coimeádáin, agus mar sin de;
  • úsáid a bhaint as feidhm Docker Trust chun sláine na n-íomhánna a sheiceáil agus an scanóir leochaileachta ionsuite a úsáid;
  • Ní mór dúinn gan dearmad a dhéanamh ar shlándáil an chianrochtana agus ar an tsamhail líonra ina iomláine: níor cuireadh ionsaithe ar nós ARP-spoofing agus MAC-flooding ar ceal.

Rud breise: gan aon srianta teicniúla ar úsáid fíorúlú coimeádáin.

Lúide: tá dóchúlacht ard ann go ngearrfaidh an rialtóir pionós ar neamhchomhlíonadh na gceanglas GOST.

Conclúid

Chinn ár gcliant gan coimeádáin a thabhairt suas. Ag an am céanna, bhí air athbhreithniú suntasach a dhéanamh ar raon feidhme na hoibre agus ar uainiú an aistrithe chuig Docker (mhair siad ar feadh sé mhí). Tuigeann an cliant na rioscaí go han-mhaith. Tuigeann sé freisin go mbeidh go leor ag brath ar an iniúchóir le linn an chéad mheasúnú eile ar chomhlíonadh GOST R 57580.

Cad a dhéanfá sa chás seo?

Foinse: will.com

Add a comment