Wata rana mun sami buƙatun sabis na girgije. Mun zayyana gabaɗaya abin da ake buƙata a gare mu kuma mun mayar da jerin tambayoyi don fayyace cikakkun bayanai. Sa'an nan kuma mun bincika amsoshin kuma mun gane: abokin ciniki yana so ya sanya bayanan sirri na matakin tsaro na biyu a cikin girgije. Mun amsa masa: "Kuna da matakin na biyu na bayanan sirri, yi hakuri, za mu iya ƙirƙirar girgije mai zaman kansa kawai." Kuma ya ce: "Ka sani, amma a cikin kamfanin X za su iya aikawa da komai a gare ni a fili."
Hoto daga Steve Crisp, Reuters
Abubuwan ban mamaki! Mun je gidan yanar gizon kamfanin X, mun yi nazarin takaddun takaddun su, girgiza kawunanmu kuma muka gane: akwai tambayoyi da yawa a cikin sanya bayanan sirri kuma ya kamata a magance su sosai. Abin da za mu yi ke nan a wannan post ɗin.
Yadda komai ya kamata yayi aiki
Da farko, bari mu gano menene ma'auni da ake amfani da su don rarraba bayanan sirri a matsayin ɗaya ko wani matakin tsaro. Wannan ya dogara da nau'in bayanai, adadin batutuwan wannan bayanan da mai aiki ke adanawa da aiwatarwa, da kuma nau'in barazanar da ake ciki yanzu.
An bayyana nau'ikan barazanar na yanzu a ciki kwanan watan Nuwamba 1, 2012 "A kan amincewa da buƙatun don kare bayanan sirri yayin sarrafa su a cikin tsarin bayanan sirri":
"Nau'in barazanar 1 sun dace da tsarin bayanai idan ya haɗa da barazanar halin yanzu da suka shafi tare da kasancewar ikon da ba a rubuta ba (wanda ba a bayyana ba). a cikin tsarin softwareamfani a tsarin bayanai.
Barazana na nau'in 2nd sun dace da tsarin bayanai idan don shi, gami da barazanar halin yanzu da suka shafi tare da kasancewar ikon da ba a rubuta ba (wanda ba a bayyana ba). a cikin aikace-aikacen softwareamfani a tsarin bayanai.
Barazana na nau'in 3rd sun dace da tsarin bayanai idan don shi barazanar da ba ta da alaka tare da kasancewar ikon da ba a rubuta ba (wanda ba a bayyana ba). a cikin tsarin da aikace-aikacen softwareana amfani da shi a cikin tsarin bayanai."
Babban abu a cikin waɗannan ma'anoni shine kasancewar damar da ba a rubuta ba (wanda ba a bayyana ba). Don tabbatar da rashin iyawar software mara izini (a cikin yanayin girgije, wannan shine hypervisor), FSTEC na Rasha yana aiwatar da takaddun shaida. Idan mai aiki na PD ya yarda cewa babu irin wannan damar a cikin software, to, barazanar da ta dace ba ta da mahimmanci. Barazana na nau'ikan 1 da 2 ba safai ake la'akari da su suna dacewa da ma'aikatan PD.
Baya ga ƙayyade matakin tsaro na PD, mai aiki dole ne ya ƙayyade ƙayyadaddun barazanar da ke faruwa a yanzu ga girgijen jama'a kuma, bisa ga matakin da aka gano na tsaro na PD da barazanar yanzu, ƙayyade matakan da suka dace da hanyoyin kariya daga gare su.
FSTEC ta lissafa duk manyan barazanar da ke ciki (barazana database). Masu samar da ababen more rayuwa na Cloud da masu tantancewa suna amfani da wannan bayanan a cikin aikinsu. Ga misalan barazanar:
: "Barazanar ita ce yuwuwar keta amincin bayanan mai amfani na shirye-shiryen da ke aiki a cikin na'ura mai mahimmanci ta hanyar muggan software da ke aiki a wajen na'ura." Wannan barazanar ta samo asali ne saboda kasancewar rashin ƙarfi a cikin software na hypervisor, wanda ke tabbatar da cewa sararin adireshi da ake amfani da shi don adana bayanan mai amfani don shirye-shiryen da ke aiki a cikin na'ura mai mahimmanci ya keɓe daga shiga mara izini ta hanyar muggan software da ke aiki a wajen na'ura mai mahimmanci.
Aiwatar da wannan barazanar yana yiwuwa muddin lambar shirin ɓoyayyiyar ta sami nasarar shawo kan iyakokin na'ura mai mahimmanci, ba kawai ta hanyar amfani da raunin hypervisor ba, har ma ta hanyar aiwatar da irin wannan tasiri daga ƙananan (dangi ga hypervisor) matakan. tsarin aiki."
: “Barazanar ta ta’allaka ne ga yuwuwar samun damar shiga mara izini ga kariyar bayanan mai amfani da sabis na girgije daga wani. Wannan barazanar ta faru ne saboda gaskiyar cewa, saboda yanayin fasahar girgije, masu amfani da sabis na girgije dole ne su raba kayan aikin girgije iri ɗaya. Ana iya samun wannan barazanar idan an yi kurakurai yayin raba abubuwan samar da ababen more rayuwa tsakanin masu amfani da sabis na girgije, da kuma lokacin ware albarkatun su da kuma raba bayanai da juna."
Kuna iya kare kariya daga waɗannan barazanar kawai tare da taimakon hypervisor, tunda ita ce ke sarrafa albarkatun kama-da-wane. Don haka, dole ne a dauki hypervisor azaman hanyar kariya.
Kuma daidai da wanda aka kwanan watan Fabrairu 18, 2013, dole ne a tabbatar da hypervisor a matsayin wanda ba NDV ba a matakin 4, in ba haka ba amfani da matakin 1 da bayanan sirri na 2 tare da shi zai zama ba bisa doka ba ("Shafi na 12. ... Don tabbatar da matakan 1 da 2 na tsaro na bayanan sirri, da kuma tabbatar da matakin 3 na tsaro na bayanan sirri a cikin tsarin bayanai wanda aka rarraba nau'in barazanar 2 a matsayin halin yanzu, ana amfani da kayan aikin tsaro na bayanai, wanda software ya kasance. an gwada aƙalla bisa ga matakin iko na 4 akan rashin iyawar da ba a bayyana ba").
Daya kawai hypervisor, wanda aka haɓaka a Rasha, yana da matakin da ake buƙata na takaddun shaida, NDV-4. . Don sanya shi a hankali, ba mafita mafi mashahuri ba. Gizagizai na kasuwanci galibi ana gina su akan VMware vSphere, KVM, Microsoft Hyper-V. Babu ɗayan waɗannan samfuran da aka tabbatar da NDV-4. Me yasa? Wataƙila samun irin wannan takaddun shaida ga masana'antun bai riga ya cancanta ta hanyar tattalin arziki ba.
Kuma duk abin da ya rage mana don matakin 1 da bayanan sirri na 2 a cikin gajimare na jama'a shine Horizon BC. Bakin ciki amma gaskiya.
Yadda komai (a ra'ayinmu) yake aiki da gaske
A kallo na farko, komai yana da tsauri: dole ne a kawar da waɗannan barazanar ta hanyar daidaita daidaitattun hanyoyin kariya na hypervisor wanda aka tabbatar bisa ga NDV-4. Amma akwai madogara guda ɗaya. Daidai da FSTEC Order No. 21 (“Sashe na 2 Tsaron bayanan sirri lokacin da aka sarrafa su a cikin tsarin bayanan sirri (wanda ake kira tsarin bayanai) ana tabbatar da shi ta hanyar ma’aikaci ko wanda ke sarrafa bayanan sirri a madadin ma’aikacin daidai da Tarayyar Rasha"), masu samar da kansu suna tantance mahimmancin yiwuwar barazanar da zabar matakan kariya daidai da haka. Saboda haka, idan ba ku yarda da barazanar UBI.44 da UBI.101 a matsayin halin yanzu ba, to ba za a buƙaci yin amfani da hypervisor bokan bisa ga NDV-4, wanda shine ainihin abin da ya kamata ya ba da kariya daga gare su. Kuma wannan zai isa ya sami takardar shaidar yarda da girgije na jama'a tare da matakan 1 da 2 na tsaro na bayanan sirri, wanda Roskomnadzor zai gamsu da shi gaba daya.
Tabbas, ban da Roskomnadzor, FSTEC na iya zuwa tare da dubawa - kuma wannan ƙungiyar ta fi dacewa da al'amuran fasaha. Wataƙila za ta yi sha'awar dalilin da yasa aka ɗauki ainihin barazanar UBI.44 da UBI.101 ba su da mahimmanci? Amma yawanci FSTEC tana gudanar da bincike ne kawai lokacin da ta sami bayanai game da wasu muhimman abubuwan da suka faru. A wannan yanayin, sabis na tarayya ya fara zuwa ga ma'aikacin bayanan sirri - wato, abokin ciniki na sabis na girgije. A cikin mafi munin yanayi, mai aiki yana karɓar ƙaramin kuɗi - alal misali, don Twitter a farkon shekara a cikin irin wannan yanayin ya kai 5000 rubles. Sa'an nan FSTEC ta wuce zuwa ga mai ba da sabis na girgije. Wanne za a iya hana shi lasisi saboda gazawar bin ka'idodin tsari - kuma waɗannan haɗari ne mabanbanta, duka ga mai samar da gajimare da abokan cinikinsa. Amma, na sake maimaitawa, Don duba FSTEC, yawanci kuna buƙatar takamaiman dalili. Don haka masu samar da girgije suna shirye su ɗauki kasada. Har zuwa farkon lamari mai tsanani.
Hakanan akwai gungun masu samar da “mafi alhaki” waɗanda suka yi imanin cewa yana yiwuwa a rufe duk barazanar ta ƙara ƙara kamar vGate zuwa hypervisor. Amma a cikin yanayin kama-da-wane da aka rarraba tsakanin abokan ciniki don wasu barazanar (misali, UBI.101 na sama), ana iya aiwatar da ingantacciyar hanyar kariya kawai a matakin hypervisor wanda aka tabbatar bisa ga NDV-4, tunda kowane tsarin ƙarawa zuwa daidaitattun ayyuka na hypervisor don sarrafa albarkatu (musamman , RAM) ba sa tasiri.
Yadda muke aiki
Muna da ɓangaren girgije da aka aiwatar akan hypervisor bokan ta FSTEC (amma ba tare da takaddun shaida don NDV-4 ba). Wannan ɓangaren yana da bokan, don haka ana iya adana bayanan sirri a cikin gajimare bisa shi 3 da 4 matakan tsaro - buƙatun don kariya daga iyawar da ba a bayyana ba baya buƙatar kiyaye su anan. Anan, ta hanya, shine tsarin gine-ginen amintaccen ɓangaren girgijenmu:
Системы для персональных данных 1 da 2 matakan tsaro Muna aiwatarwa kawai akan kayan aikin sadaukarwa. Sai kawai a cikin wannan yanayin, alal misali, barazanar UBI.101 ba ta dace ba, tun da raƙuman uwar garken da ba su da haɗin kai ta hanyar mahalli guda ɗaya ba zai iya rinjayar juna ba ko da a cikin cibiyar bayanai guda ɗaya. Don irin waɗannan lokuta, muna ba da sabis na hayar kayan aiki na musamman (ana kiranta Hardware azaman sabis).
Idan ba ku da tabbacin matakin tsaro da ake buƙata don tsarin bayanan ku na sirri, muna kuma taimakawa wajen rarraba shi.
ƙarshe
Binciken ƙananan kasuwancin mu ya nuna cewa wasu masu aikin girgije suna shirye su yi haɗari duka amincin bayanan abokin ciniki da kuma makomar su don karɓar oda. Amma a cikin wadannan batutuwa muna bin wata manufa ta daban, wacce muka yi bayanin ta a baya. Za mu yi farin cikin amsa tambayoyinku a cikin sharhi.
source: www.habr.com