Jednog dana dobili smo zahtjev za usluge u oblaku. Općenito smo naveli što bi se od nas tražilo i poslali natrag popis pitanja kako bismo razjasnili detalje. Zatim smo analizirali odgovore i shvatili: kupac želi osobne podatke druge razine sigurnosti smjestiti u oblak. Odgovaramo mu: “Imate drugu razinu osobnih podataka, ispričavamo se, možemo napraviti samo privatni oblak.” A on: “Znaš, ali u firmi X mi mogu sve objaviti javno.”
Foto: Steve Crisp, Reuters
Čudne stvari! Otišli smo na web stranicu tvrtke X, proučili njihove certifikacijske dokumente, odmahnuli glavom i shvatili: puno je otvorenih pitanja u postavljanju osobnih podataka i njima se treba temeljito pozabaviti. To je ono što ćemo učiniti u ovom postu.
Kako bi sve trebalo funkcionirati
Prvo, shvatimo koji se kriteriji koriste za klasificiranje osobnih podataka kao jednu ili drugu razinu sigurnosti. To ovisi o kategoriji podataka, broju subjekata tih podataka koje operater pohranjuje i obrađuje, kao i vrsti trenutnih prijetnji.
Vrste trenutnih prijetnji definirane su u od 1. studenog 2012. „O odobrenju zahtjeva za zaštitu osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka”:
“Prijetnje tipa 1 relevantne su za informacijski sustav ako uključuje trenutne prijetnje povezane s uz prisutnost nedokumentiranih (nedeklariranih) sposobnosti u softveru sustavakoristi u informacijskom sustavu.
Prijetnje 2. tipa relevantne su za informacijski sustav, uključujući i za njega trenutne prijetnje povezane s uz prisutnost nedokumentiranih (nedeklariranih) sposobnosti u aplikacijskom softverukoristi u informacijskom sustavu.
Prijetnje 3. tipa relevantne su za informacijski sustav ako za njega prijetnje koje nisu povezane uz prisutnost nedokumentiranih (nedeklariranih) sposobnosti u sustavnom i aplikativnom softverukoristi u informacijskom sustavu."
Glavna stvar u ovim definicijama je prisutnost nedokumentiranih (nedeklariranih) sposobnosti. Kako bi se potvrdilo nepostojanje nedokumentiranih softverskih mogućnosti (u slučaju oblaka, to je hipervizor), certificiranje provodi FSTEC Rusije. Ako PD operater prihvaća da u softveru nema takvih mogućnosti, tada su odgovarajuće prijetnje irelevantne. Prijetnje tipa 1 i 2 PD operateri iznimno rijetko smatraju relevantnima.
Osim utvrđivanja razine PD sigurnosti, operater mora utvrditi i konkretne aktualne prijetnje javnom oblaku te na temelju identificirane razine PD sigurnosti i aktualnih prijetnji odrediti potrebne mjere i načine zaštite od istih.
FSTEC jasno navodi sve glavne prijetnje u (baza podataka o prijetnjama). Pružatelji infrastrukture oblaka i procjenitelji koriste ovu bazu podataka u svom radu. Evo primjera prijetnji:
: “Prijetnja je mogućnost narušavanja sigurnosti korisničkih podataka programa koji rade unutar virtualnog stroja od strane zlonamjernog softvera koji radi izvan virtualnog stroja.” Ova je prijetnja posljedica prisutnosti ranjivosti u softveru hipervizora, koji osigurava da je adresni prostor koji se koristi za pohranu korisničkih podataka za programe koji rade unutar virtualnog stroja izoliran od neovlaštenog pristupa zlonamjernog softvera koji radi izvan virtualnog stroja.
Implementacija ove prijetnje moguća je pod uvjetom da zlonamjerni programski kod uspješno prevlada granice virtualnog stroja, ne samo iskorištavanjem ranjivosti hipervizora, već i izvođenjem takvog utjecaja s nižih (u odnosu na hipervizor) razina funkcioniranje sustava."
: “Prijetnja leži u mogućnosti neovlaštenog pristupa zaštićenim informacijama jednog potrošača cloud usluge od drugog. Ova prijetnja proizlazi iz činjenice da, zbog prirode tehnologija u oblaku, korisnici usluga u oblaku moraju dijeliti istu infrastrukturu u oblaku. Ova se prijetnja može realizirati ako dođe do pogrešaka prilikom odvajanja elemenata infrastrukture oblaka između korisnika usluga oblaka, kao i kod izoliranja njihovih resursa i međusobnog odvajanja podataka.”
Od ovih prijetnji možete se zaštititi samo uz pomoć hipervizora, budući da on upravlja virtualnim resursima. Stoga se hipervizor mora smatrati sredstvom zaštite.
I u skladu sa od 18. veljače 2013., hipervizor mora biti certificiran kao ne-NDV na razini 4, inače će korištenje osobnih podataka razine 1 i 2 s njim biti protuzakonito (“Klauzula 12. ... Za osiguranje razine 1 i 2 sigurnosti osobnih podataka, kao i za osiguranje razine 3 sigurnosti osobnih podataka u informacijskim sustavima za koje su prijetnje tipa 2 klasificirane kao aktualne, koriste se informacijski sigurnosni alati čiji je softver testiran najmanje prema 4. razini kontrole odsutnosti nedeklariranih sposobnosti").
Samo jedan hipervizor, razvijen u Rusiji, ima potrebnu razinu certifikacije, NDV-4. . Blago rečeno, nije najpopularnije rješenje. Komercijalni oblaci, u pravilu, izgrađeni su na temelju VMware vSphere, KVM, Microsoft Hyper-V. Nijedan od ovih proizvoda nema NDV-4 certifikat. Zašto? Vjerojatno dobivanje takvog certifikata za proizvođače još nije ekonomski opravdano.
A sve što nam preostaje za osobne podatke razine 1 i 2 u javnom oblaku je Horizon BC. Tužno ali istinito.
Kako sve (po našem mišljenju) stvarno funkcionira
Na prvi pogled, sve je prilično strogo: te se prijetnje moraju eliminirati ispravnom konfiguracijom standardnih zaštitnih mehanizama hipervizora certificiranog prema NDV-4. Ali postoji jedna rupa. U skladu s FSTEC Naredbom br. 21 („točka 2. Sigurnost osobnih podataka prilikom obrade u informacijskom sustavu osobnih podataka (u daljnjem tekstu informacijski sustav) osigurava operater ili osoba koja u ime operatera obrađuje osobne podatke u skladu s Ruska Federacija"), pružatelji samostalno procjenjuju relevantnost mogućih prijetnji i u skladu s tim odabiru mjere zaštite. Dakle, ako ne prihvatite prijetnje UBI.44 i UBI.101 kao aktualne, tada neće biti potrebe za korištenjem hipervizora certificiranog prema NDV-4, koji bi upravo trebao pružiti zaštitu od njih. A to će biti dovoljno za dobivanje potvrde o usklađenosti javnog oblaka s razinama 1 i 2 sigurnosti osobnih podataka, čime će Roskomnadzor biti potpuno zadovoljan.
Naravno, osim Roskomnadzora, FSTEC može doći s inspekcijom - a ova je organizacija puno pedantnija u tehničkim pitanjima. Vjerojatno će je zanimati zašto su baš prijetnje UBI.44 i UBI.101 smatrane nevažnima? Ali obično FSTEC poduzima inspekciju samo kada dobije informaciju o nekom značajnom incidentu. U ovom slučaju savezna služba prvo dolazi do operatera osobnih podataka - odnosno kupca usluga u oblaku. U najgorem slučaju operater dobiva malu kaznu – primjerice za Twitter početkom godine u sličnom slučaju iznosio je 5000 rubalja. Zatim FSTEC ide dalje do pružatelja usluga u oblaku. Koji bi mogli biti lišeni licence zbog nepoštivanja regulatornih zahtjeva - a to su potpuno različiti rizici, kako za pružatelja usluga oblaka tako i za njegove klijente. Ali, ponavljam, Da biste provjerili FSTEC, obično vam je potreban jasan razlog. Stoga su pružatelji usluga u oblaku spremni riskirati. Sve do prvog ozbiljnog incidenta.
Postoji i skupina "odgovornijih" pružatelja usluga koji vjeruju da je moguće eliminirati sve prijetnje dodavanjem dodatka poput vGatea u hipervizor. Ali u virtualnom okruženju raspodijeljenom među korisnicima za neke prijetnje (na primjer, gore navedeni UBI.101), učinkoviti zaštitni mehanizam može se implementirati samo na razini hipervizora certificiranog prema NDV-4, budući da svi dodatni sustavi za standardne funkcije hipervizora za upravljanje resursima (osobito , RAM) ne utječu.
Kako radimo
Imamo segment oblaka implementiran na hipervizoru certificiranom od strane FSTEC-a (ali bez certifikacije za NDV-4). Ovaj segment je certificiran pa se na temelju njega mogu pohranjivati osobni podaci u oblaku 3 i 4 stupnja sigurnosti — ovdje se ne moraju poštivati zahtjevi za zaštitu od nedeklariranih sposobnosti. Usput, ovo je arhitektura našeg segmenta sigurnog oblaka:
Sustavi za osobne podatke 1 i 2 stupnja sigurnosti Izvodimo samo na namjenskoj opremi. Samo u ovom slučaju, na primjer, prijetnja UBI.101 stvarno nije relevantna, budući da poslužiteljski regali koji nisu ujedinjeni jednim virtualnim okruženjem ne mogu utjecati jedni na druge čak ni kada se nalaze u istom podatkovnom centru. Za takve slučajeve nudimo namjensku uslugu najma opreme (također se naziva Hardver kao usluga).
Ako niste sigurni koja je razina sigurnosti potrebna za vaš sustav osobnih podataka, također vam pomažemo u njihovoj klasifikaciji.
Izlaz
Naše malo istraživanje tržišta pokazalo je da su neki operateri u oblaku prilično spremni riskirati i sigurnost korisničkih podataka i vlastitu budućnost kako bi primili narudžbu. Ali u ovim stvarima pridržavamo se drugačije politike, koju smo ukratko opisali gore. Rado ćemo odgovoriti na vaša pitanja u komentarima.
Izvor: www.habr.com