ProHoster > Blog > uprava > Kako se sprijateljiti s GOST R 57580 i virtualizacijom spremnika. Odgovor Centralne banke (i naše mišljenje o ovom pitanju)

Kako se sprijateljiti s GOST R 57580 i virtualizacijom spremnika. Odgovor Centralne banke (i naše mišljenje o ovom pitanju)

Nedavno smo proveli još jednu procjenu usklađenosti sa zahtjevima GOST R 57580 (u daljnjem tekstu jednostavno GOST). Naručitelj je tvrtka koja razvija sustav elektroničkog plaćanja. Sustav je ozbiljan: više od 3 milijuna korisnika, više od 200 tisuća transakcija dnevno. Ondje informacijsku sigurnost shvaćaju vrlo ozbiljno.

Tijekom procesa evaluacije klijent je ležerno najavio da razvojni odjel, osim virtualnih strojeva, planira koristiti i kontejnere. Ali s tim, dodao je klijent, postoji jedan problem: u GOST-u nema ni riječi o istom Dockeru. Što da napravim? Kako procijeniti sigurnost kontejnera?

Kako se sprijateljiti s GOST R 57580 i virtualizacijom spremnika. Odgovor Centralne banke (i naše mišljenje o ovom pitanju)

Istina je, GOST piše samo o virtualizaciji hardvera - o tome kako zaštititi virtualne strojeve, hipervizor i poslužitelj. Zamolili smo Centralnu banku za pojašnjenje. Odgovor nas je zbunio.

GOST i virtualizacija

Za početak, prisjetimo se da je GOST R 57580 nova norma koja specificira "zahtjeve za osiguranje informacijske sigurnosti financijskih organizacija" (FI). Ti FI-ji uključuju operatere i sudionike platnih sustava, kreditne i nekreditne organizacije, operativne i klirinške centre.

Od 1. siječnja 2021. FI su dužni provoditi procjena usklađenosti sa zahtjevima novog GOST-a. Mi, ITGLOBAL.COM, smo revizorska tvrtka koja provodi takve procjene.

GOST ima pododjeljak posvećen zaštiti virtualiziranih okruženja - br. 7.8. Pojam “virtualizacija” tu nije specificiran, nema podjele na hardversku i kontejnersku virtualizaciju. Svaki IT stručnjak će reći da je s tehničke točke gledišta to netočno: virtualni stroj (VM) i spremnik su različita okruženja, s različitim principima izolacije. Sa stajališta ranjivosti hosta na kojem su postavljeni VM i Docker spremnici, ovo je također velika razlika.

Ispada da bi procjena informacijske sigurnosti VM-ova i spremnika također trebala biti drugačija.

Naša pitanja Centralnoj banci

Poslali smo ih Odjelu za informacijsku sigurnost Centralne banke (pitanja donosimo u skraćenom obliku).

  1. Kako uzeti u obzir virtualne spremnike tipa Docker pri procjeni sukladnosti s GOST-om? Je li ispravno procijeniti tehnologiju u skladu s pododjeljkom 7.8 GOST-a?
  2. Kako ocijeniti alate za upravljanje virtualnim kontejnerima? Je li ih moguće izjednačiti s komponentama virtualizacije poslužitelja i ocijeniti ih prema istom pododjeljku GOST-a?
  3. Trebam li zasebno procijeniti sigurnost informacija unutar Docker spremnika? Ako je tako, koje mjere zaštite treba uzeti u obzir za to tijekom procesa procjene?
  4. Ako se kontejnerizacija izjednačava s virtualnom infrastrukturom i procjenjuje se prema pododjeljku 7.8, kako se provode zahtjevi GOST-a za implementaciju posebnih alata za informacijsku sigurnost?

Odgovor Centralne banke

Ispod su glavni odlomci.

„GOST R 57580.1-2017 utvrđuje zahtjeve za provedbu primjenom tehničkih mjera u odnosu na sljedeće mjere ZI pododjeljak 7.8 GOST R 57580.1-2017, koje se, prema mišljenju Odjela, mogu proširiti na slučajeve korištenja virtualizacije spremnika tehnologije, uzimajući u obzir sljedeće:

  • provedba mjera ZSV.1 - ZSV.11 za organiziranje identifikacije, autentifikacije, autorizacije (kontrole pristupa) pri implementaciji logičkog pristupa virtualnim strojevima i komponentama virtualizacijskog poslužitelja može se razlikovati od slučajeva korištenja tehnologije virtualizacije spremnika. Uzimajući to u obzir, za provedbu niza mjera (primjerice ZVS.6 i ZVS.7), smatramo da je moguće preporučiti financijskim institucijama da razviju kompenzacijske mjere koje će slijediti iste ciljeve;
  • implementacija mjera ZSV.13 - ZSV.22 za organizaciju i kontrolu informacijske interakcije virtualnih strojeva predviđa segmentaciju računalne mreže financijske organizacije kako bi se razlikovali objekti informatizacije koji implementiraju tehnologiju virtualizacije i pripadaju različitim sigurnosnim krugovima. Uzimajući to u obzir, smatramo da je preporučljivo osigurati odgovarajuću segmentaciju pri korištenju tehnologije virtualizacije spremnika (i u odnosu na izvršne virtualne spremnike i u odnosu na sustave virtualizacije koji se koriste na razini operacijskog sustava);
  • provedba mjera ZSV.26, ZSV.29 - ZSV.31 za organiziranje zaštite slika virtualnih strojeva trebala bi se provoditi analogno i radi zaštite osnovnih i trenutnih slika virtualnih spremnika;
  • implementacija mjera ZVS.32 - ZVS.43 za bilježenje informacijsko-sigurnosnih događaja vezanih uz pristup virtualnim strojevima i komponentama virtualizacije poslužitelja trebala bi se analogno provoditi i u odnosu na elemente virtualizacijske okoline koji implementiraju tehnologiju virtualizacije spremnika.”

Što to znači?

Dva glavna zaključka iz odgovora Odjela za informacijsku sigurnost središnje banke:

  • mjere zaštite spremnika ne razlikuju se od mjera zaštite virtualnih strojeva;
  • Iz toga proizlazi da Centralna banka u kontekstu informacijske sigurnosti izjednačava dvije vrste virtualizacije - Docker kontejnere i VM.

U odgovoru se također spominju “kompenzacijske mjere” koje je potrebno primijeniti kako bi se neutralizirale prijetnje. Samo je nejasno koje su te "kompenzacijske mjere" i kako mjeriti njihovu primjerenost, potpunost i učinkovitost.

Što nije u redu sa stavom Centralne banke?

Ukoliko se prilikom ocjenjivanja (i samoocjenjivanja) koristite preporukama Centralne banke, morate riješiti niz tehničkih i logičkih poteškoća.

  • Svaki izvršni spremnik zahtijeva instalaciju softvera za zaštitu informacija (IP): antivirusni program, nadzor integriteta, rad s zapisima, DLP sustavi (Data Leak Prevention) i tako dalje. Sve se to bez problema može instalirati na VM, no u slučaju kontejnera ugradnja informacijske sigurnosti je apsurdan potez. Spremnik sadrži minimalnu količinu “body kit” koja je potrebna za funkcioniranje usluge. Ugradnja SZI-ja u njega proturječi njegovom značenju.
  • Slike spremnika trebale bi biti zaštićene prema istom principu; također nije jasno kako to implementirati.
  • GOST zahtijeva ograničavanje pristupa komponentama virtualizacije poslužitelja, tj. hipervizoru. Što se smatra poslužiteljskom komponentom u slučaju Dockera? Ne znači li to da svaki spremnik mora biti pokrenut na zasebnom hostu?
  • Ako je za konvencionalnu virtualizaciju moguće razgraničiti VM-ove sigurnosnim konturama i mrežnim segmentima, onda u slučaju Docker spremnika unutar istog hosta to nije slučaj.

U praksi je vjerojatno da će svaki revizor procijeniti sigurnost kontejnera na svoj način, na temelju vlastitog znanja i iskustva. Pa, ili ga uopće nemojte procjenjivati, ako nema ni jednog ni drugog.

Za svaki slučaj dodajemo da od 1. siječnja 2021. minimalna ocjena ne smije biti niža od 0,7.

Usput, redovito objavljujemo odgovore i komentare regulatora koji se odnose na zahtjeve GOST 57580 i Uredbe središnje banke u našem Telegram kanal.

Što učiniti

Po našem mišljenju, financijske organizacije imaju samo dvije mogućnosti za rješavanje problema.

1. Izbjegavajte implementaciju kontejnera

Rješenje za one koji su spremni priuštiti korištenje samo hardverske virtualizacije, a istovremeno se boje niskih ocjena prema GOST-u i kazni Središnje banke.

plus: lakše je ispuniti zahtjeve pododjeljka 7.8 GOST-a.

Minus: Morat ćemo napustiti nove razvojne alate temeljene na virtualizaciji spremnika, posebice Docker i Kubernetes.

2. Odbijte ispuniti zahtjeve pododjeljka 7.8 GOST-a

Ali u isto vrijeme primijenite najbolju praksu u osiguravanju informacijske sigurnosti pri radu sa spremnicima. Ovo je rješenje za one koji cijene nove tehnologije i mogućnosti koje one pružaju. Pod "najboljom praksom" mislimo na norme i standarde prihvaćene u industriji za osiguravanje sigurnosti Docker spremnika:

  • sigurnost glavnog OS-a, ispravno konfigurirano bilježenje, zabrana razmjene podataka između spremnika i tako dalje;
  • korištenje funkcije Docker Trust za provjeru integriteta slika i korištenje ugrađenog skenera ranjivosti;
  • Ne smijemo zaboraviti na sigurnost daljinskog pristupa i mrežnog modela u cjelini: napadi kao što su ARP-spoofing i MAC-flooding nisu otkazani.

plus: nema tehničkih ograničenja za korištenje virtualizacije spremnika.

Minus: postoji velika vjerojatnost da će regulator kazniti za nepoštivanje zahtjeva GOST-a.

Zaključak

Naš klijent je odlučio ne odustati od kontejnera. Istovremeno je morao značajno preispitati opseg posla i vrijeme prelaska na Docker (trajali su šest mjeseci). Klijent vrlo dobro razumije rizike. Također razumije da će tijekom sljedeće procjene usklađenosti s GOST R 57580 mnogo ovisiti o revizoru.

Što biste učinili u ovoj situaciji?

Izvor: www.habr.com

Dodajte komentar