ProHoster > Blog > Administración > Como facer amigos con GOST R 57580 e virtualización de contedores. A resposta do Banco Central (e os nosos pensamentos sobre este asunto)

Como facer amigos con GOST R 57580 e virtualización de contedores. A resposta do Banco Central (e os nosos pensamentos sobre este asunto)

Non hai moito que realizamos outra avaliación do cumprimento dos requisitos de GOST R 57580 (en diante, simplemente GOST). O cliente é unha empresa que desenvolve un sistema de pago electrónico. O sistema é serio: máis de 3 millóns de usuarios, máis de 200 mil transaccións diarias. Alí tómanse moi en serio a seguridade da información.

Durante o proceso de avaliación, o cliente anunciou casualmente que o departamento de desenvolvemento, ademais das máquinas virtuais, planea utilizar contedores. Pero con isto, engadiu o cliente, hai un problema: en GOST non hai unha palabra sobre o mesmo Docker. Qué debería facer? Como avaliar a seguridade dos contedores?

Como facer amigos con GOST R 57580 e virtualización de contedores. A resposta do Banco Central (e os nosos pensamentos sobre este asunto)

É certo, GOST só escribe sobre a virtualización de hardware: sobre como protexer as máquinas virtuais, un hipervisor e un servidor. Pedimos aclaracións ao Banco Central. A resposta desconcertounos.

GOST e virtualización

Para comezar, lembremos que GOST R 57580 é un novo estándar que especifica "requisitos para garantir a seguridade da información das organizacións financeiras" (FI). Estes IF inclúen operadores e participantes de sistemas de pago, entidades de crédito e non crediticias, centros operativos e de compensación.

A partir do 1 de xaneiro de 2021, os IF están obrigados a realizar avaliación do cumprimento dos requisitos do novo GOST. Nós, ITGLOBAL.COM, somos unha empresa de auditoría que realiza este tipo de avaliacións.

GOST ten unha subsección dedicada á protección de ambientes virtualizados - No 7.8. O termo "virtualización" non se especifica alí; non hai división en hardware e virtualización de contedores. Calquera informático dirá que dende o punto de vista técnico isto é incorrecto: unha máquina virtual (VM) e un contedor son ambientes diferentes, con principios de illamento diferentes. Desde o punto de vista da vulnerabilidade do host no que se despregan os contedores de VM e Docker, esta tamén é unha gran diferenza.

Resulta que a avaliación da seguridade da información das máquinas virtuales e dos contedores tamén debería ser diferente.

As nosas preguntas ao Banco Central

Enviámolas ao Departamento de Seguridade da Información do Banco Central (presentamos as preguntas de forma abreviada).

  1. Como considerar os contedores virtuais de tipo Docker ao avaliar o cumprimento de GOST? É correcto avaliar a tecnoloxía de acordo coa subsección 7.8 de GOST?
  2. Como avaliar as ferramentas de xestión de contedores virtuais? É posible equiparalos aos compoñentes de virtualización do servidor e avalialos segundo a mesma subsección de GOST?
  3. Debo avaliar por separado a seguridade da información dentro dos contedores Docker? En caso afirmativo, que garantías deberían considerarse durante o proceso de avaliación?
  4. Se a contenerización se equipara á infraestrutura virtual e se avalía segundo a subsección 7.8, como se implementan os requisitos GOST para a implementación de ferramentas especiais de seguridade da información?

Resposta do Banco Central

Abaixo amósanse os principais extractos.

“GOST R 57580.1-2017 establece requisitos para a súa implantación mediante a aplicación de medidas técnicas en relación coas seguintes medidas ZI subsección 7.8 do GOST R 57580.1-2017, que, a xuízo da Consellería, poden estenderse aos casos de utilización da virtualización de contedores. tecnoloxías, tendo en conta o seguinte:

  • a implementación das medidas ZSV.1 - ZSV.11 para organizar a identificación, autenticación, autorización (control de acceso) ao implementar o acceso lóxico ás máquinas virtuais e aos compoñentes do servidor de virtualización pode diferir dos casos de uso da tecnoloxía de virtualización de contedores. Tendo isto en conta, para poñer en marcha unha serie de medidas (por exemplo, ZVS.6 e ZVS.7), cremos que é posible recomendar que as entidades financeiras desenvolvan medidas compensatorias que persigan os mesmos obxectivos;
  • a implantación das medidas ZSV.13 - ZSV.22 para a organización e control da interacción da información das máquinas virtuais prevé a segmentación da rede informática dunha organización financeira para distinguir entre obxectos de informatización que implementan tecnoloxía de virtualización e pertencen a diferentes circuítos de seguridade. Tendo isto en conta, consideramos recomendable prever unha segmentación adecuada cando se utiliza a tecnoloxía de virtualización de contedores (tanto en relación aos contedores virtuais executables como en relación aos sistemas de virtualización utilizados a nivel de sistema operativo);
  • a implantación das medidas ZSV.26, ZSV.29 - ZSV.31 para organizar a protección de imaxes de máquinas virtuais debería levarse a cabo por analoxía tamén co fin de protexer as imaxes básicas e actuais dos contedores virtuais;
  • a implantación das medidas ZVS.32 - ZVS.43 para o rexistro de eventos de seguridade da información relacionados co acceso a máquinas virtuais e compoñentes de virtualización de servidores debería levarse a cabo por analoxía tamén en relación con elementos do contorno de virtualización que implementen tecnoloxía de virtualización de contedores.

Qué significa

Dúas conclusións principais da resposta do Departamento de Seguridade da Información do Banco Central:

  • as medidas para protexer os contedores non son diferentes das medidas para protexer as máquinas virtuais;
  • Diso dedúcese que, no contexto da seguridade da información, o Banco Central equipara dous tipos de virtualización: contedores Docker e máquinas virtuales.

A resposta tamén menciona "medidas compensatorias" que deben aplicarse para neutralizar as ameazas. Non está claro cales son estas "medidas compensatorias" e como medir a súa adecuación, integridade e eficacia.

Que hai de malo na posición do Banco Central?

Se utilizas as recomendacións do Banco Central durante a avaliación (e a autoavaliación), debes resolver unha serie de dificultades técnicas e lóxicas.

  • Cada contedor executable require a instalación dun software de protección da información (IP) nel: antivirus, seguimento da integridade, traballo con rexistros, sistemas DLP (Data Leak Prevention), etc. Todo isto pódese instalar nunha máquina virtual sen ningún problema, pero no caso dun contedor, instalar seguridade da información é un movemento absurdo. O contedor contén a cantidade mínima de "equipo corporal" necesario para que o servizo funcione. Instalar un SZI nel contradí o seu significado.
  • As imaxes dos contedores deben protexerse segundo o mesmo principio; tampouco está claro como implementar isto.
  • GOST require restrinxir o acceso aos compoñentes de virtualización do servidor, é dicir, ao hipervisor. Que se considera un compoñente de servidor no caso de Docker? Non significa isto que cada contedor debe executarse nun host separado?
  • Se para a virtualización convencional é posible delimitar máquinas virtuales por contornos de seguridade e segmentos de rede, entón no caso dos contedores Docker dentro do mesmo host, non é o caso.

Na práctica, é probable que cada auditor avalíe a seguridade dos contedores ao seu xeito, baseándose no seu propio coñecemento e experiencia. Ben, ou non o avalías en absoluto, se non hai nin un nin outro.

Por se acaso, engadiremos que a partir do 1 de xaneiro de 2021 a puntuación mínima non debe ser inferior a 0,7.

Por certo, publicamos regularmente respostas e comentarios dos reguladores relacionados cos requisitos de GOST 57580 e as regulacións do banco central no noso Canle de telegrama.

¿Que facer

Na nosa opinión, as organizacións financeiras só teñen dúas opcións para resolver o problema.

1. Evitar a implantación de contedores

Unha solución para aqueles que están preparados para usar só a virtualización de hardware e, ao mesmo tempo, teñen medo ás baixas clasificacións segundo GOST e as multas do Banco Central.

Un plus: é máis fácil cumprir cos requisitos da subsección 7.8 de GOST.

Menos: Teremos que abandonar as novas ferramentas de desenvolvemento baseadas na virtualización de contedores, en particular Docker e Kubernetes.

2. Negarse a cumprir os requisitos da subsección 7.8 do GOST

Pero ao mesmo tempo, aplique as mellores prácticas para garantir a seguridade da información ao traballar con contedores. Esta é unha solución para aqueles que valoran as novas tecnoloxías e as oportunidades que ofrecen. Por "mellores prácticas" entendemos as normas e estándares aceptados pola industria para garantir a seguridade dos contedores Docker:

  • seguridade do sistema operativo anfitrión, rexistro correctamente configurado, prohibición do intercambio de datos entre contedores, etc.
  • usando a función Docker Trust para comprobar a integridade das imaxes e usar o escáner de vulnerabilidades incorporado;
  • Non debemos esquecernos da seguridade do acceso remoto e do modelo de rede no seu conxunto: ataques como ARP-spoofing e MAC-flooding non foron cancelados.

Un plus: sen restricións técnicas sobre o uso da virtualización de contedores.

Menos: existe unha alta probabilidade de que o regulador sancione o incumprimento dos requisitos GOST.

Conclusión

O noso cliente decidiu non renunciar aos contedores. Ao mesmo tempo, tivo que reconsiderar significativamente o alcance do traballo e o momento da transición a Docker (duraron seis meses). O cliente entende moi ben os riscos. Tamén entende que durante a próxima avaliación do cumprimento do GOST R 57580, moito dependerá do auditor.

Que farías nesta situación?

Fonte: www.habr.com

Engadir un comentario