Sa pa gen lontan, nou te fè yon lòt evalyasyon konfòmite ak egzijans GOST R 57580 (ki rele tou senpleman GOST). Kliyan an se yon konpayi ki devlope yon sistèm peman elektwonik. Sistèm nan grav: plis pase 3 milyon itilizatè yo, plis pase 200 mil tranzaksyon chak jou. Yo pran sekirite enfòmasyon trè seryezman la.
Pandan pwosesis evalyasyon an, kliyan an dekontrakte te anonse ke depatman devlopman an, anplis machin vityèl, planifye pou itilize resipyan yo. Men, ak sa a, kliyan an te ajoute, gen yon pwoblèm: nan GOST pa gen yon mo sou menm Docker la. Kisa mwen ta dwe fè? Ki jan yo evalye sekirite nan resipyan yo?
Se vre, GOST sèlman ekri sou Virtualization pyès ki nan konpitè - sou fason pou pwoteje machin vityèl, yon hypervisor, ak yon sèvè. Nou demann Labank Santral pou klarifikasyon. Repons lan te sezi nou.
GOST ak Virtualization
Pou kòmanse, se pou nou sonje ke GOST R 57580 se yon nouvo estanda ki espesifye "kondisyon pou asire sekirite enfòmasyon nan òganizasyon finansye" (FI). FI sa yo gen ladan operatè ak patisipan sistèm peman, òganizasyon kredi ak òganizasyon ki pa kredi, sant operasyon ak clearing.
Apati 1ye janvye 2021, FI yo oblije kondui . Nou, ITGLOBAL.COM, se yon konpayi odit ki fè evalyasyon sa yo.
GOST gen yon seksyon dedye a pwoteksyon anviwònman virtualize - No 7.8. Tèm "virtualizasyon" pa espesifye la; pa gen okenn divizyon nan pyès ki nan konpitè ak virtualizasyon veso. Nenpòt espesyalis IT ap di ke nan yon pwen de vi teknik sa a pa kòrèk: yon machin vityèl (VM) ak yon veso se anviwònman diferan, ak prensip izolasyon diferan. Soti nan pwen de vi nan vilnerabilite nan lame a sou ki veso VM ak Docker yo deplwaye, sa a se tou yon gwo diferans.
Li sanble ke evalyasyon sekirite enfòmasyon VM ak resipyan yo ta dwe diferan tou.
Nou kestyon pou Labank Santral
Nou voye yo bay Depatman Sekirite Enfòmasyon nan Bank Santral (nou prezante kesyon yo sou fòm abreje).
- Ki jan yo konsidere resipyan vityèl kalite Docker lè w ap evalye konfòmite GOST? Èske li kòrèk pou evalye teknoloji an akò ak sou-seksyon 7.8 nan GOST?
- Ki jan yo evalye zouti vityèl jesyon veso yo? Èske li posib pou egalize yo ak konpozan Virtualization sèvè epi evalye yo dapre menm seksyon GOST la?
- Èske mwen bezwen separeman evalye sekirite enfòmasyon ki andedan resipyan Docker? Si wi, ki garanti yo ta dwe konsidere pou sa pandan pwosesis evalyasyon an?
- Si kontenèrizasyon egalize ak enfrastrikti vityèl epi yo evalye selon sou-seksyon 7.8, ki jan kondisyon GOST pou aplikasyon zouti espesyal sekirite enfòmasyon yo aplike?
Repons Labank Santral
Anba a se ekstrè prensipal yo.
"GOST R 57580.1-2017 etabli egzijans pou aplikasyon atravè aplikasyon mezi teknik an relasyon ak mezi sa yo ZI seksyon 7.8 nan GOST R 57580.1-2017, ki, nan opinyon Depatman an, ka pwolonje nan ka itilize Virtualization veso. teknoloji, pran an kont bagay sa yo:
- aplikasyon an nan mezi ZSV.1 - ZSV.11 pou òganize idantifikasyon, otantifikasyon, otorizasyon (kontwòl aksè) lè mete ann aplikasyon aksè lojik nan machin vityèl ak konpozan sèvè Virtualization ka diferan de ka lè l sèvi avèk teknoloji Virtualization veso. Lè nou pran sa a an konsiderasyon, pou nou aplike yon seri mezi (pa egzanp, ZVS.6 ak ZVS.7), nou kwè li posib pou rekòmande pou enstitisyon finansye yo devlope mezi konpansatwa ki pral pouswiv menm objektif yo;
- aplikasyon an nan mezi ZSV.13 - ZSV.22 pou òganizasyon an ak kontwòl nan entèraksyon enfòmasyon nan machin vityèl bay pou segmantasyon an nan rezo a òdinatè nan yon òganizasyon finansye yo fè distenksyon ant objè informatizasyon ki aplike teknoloji Virtualization ak fè pati sikui sekirite diferan. Lè w pran sa a an kont, nou kwè li ta bon pou bay yon segmantasyon apwopriye lè w ap itilize teknoloji Virtualization veso (tou de an relasyon a kontenè vityèl ègzèkutabl ak an relasyon ak sistèm Virtualization yo itilize nan nivo sistèm opere);
- aplikasyon mezi ZSV.26, ZSV.29 - ZSV.31 pou òganize pwoteksyon imaj machin vityèl yo ta dwe fèt pa analoji tou yo nan lòd pwoteje imaj debaz ak aktyèl nan resipyan vityèl;
- aplikasyon an nan mezi ZVS.32 - ZVS.43 pou anrejistreman evènman sekirite enfòmasyon ki gen rapò ak aksè nan machin vityèl ak konpozan Virtualization sèvè yo ta dwe fèt pa analoji tou an relasyon ak eleman nan anviwònman an Virtualization ki aplike teknoloji Virtualization veso."
Ki sa sa vle di
De konklizyon prensipal ki soti nan repons Depatman Sekirite Enfòmasyon Bank Santral la:
- mezi pou pwoteje resipyan yo pa diferan de mezi pou pwoteje machin vityèl;
- Nan kontèks sekirite enfòmasyon, Bank Santral la egalize de kalite virtualizasyon - kontenè Docker ak VM.
Repons lan mansyone tou "mezi konpansatwa" ki bezwen aplike pou netralize menas yo. Li jis klè ki sa "mezi konpansatwa" sa yo ye ak ki jan yo mezire konpetans, konplè ak efikasite yo.
Ki sa ki mal ak pozisyon Labank Santral?
Si ou itilize rekòmandasyon Bank Santral la pandan evalyasyon (ak evalyasyon pwòp tèt ou), ou bezwen rezoud yon kantite difikilte teknik ak lojik.
- Chak veso ègzèkutabl mande pou enstalasyon lojisyèl pwoteksyon enfòmasyon (IP) sou li: antivirus, siveyans entegrite, travay ak mòso bwa, sistèm DLP (Prevansyon Fuit Done), ak sou sa. Tout bagay sa a ka enstale sou yon VM san okenn pwoblèm, men nan ka a nan yon veso, enstale sekirite enfòmasyon se yon mouvman absid. Kontenè a gen kantite minimòm "twous kò" ki nesesè pou sèvis la fonksyone. Enstale yon SZI nan li kontredi siyifikasyon li.
- Imaj veso yo ta dwe pwoteje dapre menm prensip la; kijan pou aplike sa a pa klè tou.
- GOST mande pou mete restriksyon sou aksè a konpozan Virtualization sèvè, sa vle di, nan hypervisor la. Ki sa ki konsidere kòm yon eleman sèvè nan ka Docker? Èske sa pa vle di ke chak veso bezwen kouri sou yon lame separe?
- Si pou Virtualization konvansyonèl li posib delimite VM pa kontou sekirite ak segman rezo, Lè sa a, nan ka a nan resipyan Docker nan menm lame a, sa a se pa ka a.
Nan pratik, li posib ke chak oditè pral evalye sekirite a nan resipyan nan pwòp fason pa l, ki baze sou pwòp konesans ak eksperyans pa l. Oke, oswa pa evalye li ditou, si pa gen ni youn ni lòt la.
Jis nan ka, nou pral ajoute ke apati 1 janvye 2021, nòt minimòm lan pa dwe pi ba pase 0,7.
By wout la, nou regilyèman afiche repons ak kòmantè nan men regilatè ki gen rapò ak kondisyon ki nan GOST 57580 ak Règleman Bank Santral nan nou an. .
Ki sa ki fè
Dapre nou, òganizasyon finansye yo gen sèlman de opsyon pou rezoud pwoblèm nan.
1. Evite mete an aplikasyon kontenè
Yon solisyon pou moun ki pare yo peye yo sèvi ak sèlman Virtualization kenkayri ak an menm tan an yo pè nan evalyasyon ki ba dapre GOST ak amann nan Bank Santral la.
Yon plis: li pi fasil pou konfòme yo ak egzijans souseksyon 7.8 GOST.
Mwens: Nou pral oblije abandone nouvo zouti devlopman ki baze sou Virtualization veso, an patikilye Docker ak Kubernetes.
2. Refize konfòme yo ak egzijans souseksyon 7.8 GOST
Men, an menm tan, aplike pi bon pratik yo nan asire sekirite enfòmasyon lè w ap travay ak resipyan. Sa a se yon solisyon pou moun ki apresye nouvo teknoloji ak opòtinite yo bay yo. Pa "pi bon pratik" nou vle di nòm ak estanda endistri aksepte pou asire sekirite veso Docker yo:
- sekirite nan OS lame a, byen konfigirasyon antre, entèdiksyon nan echanj done ant resipyan, ak sou sa;
- lè l sèvi avèk fonksyon Docker Trust pou tcheke entegrite imaj yo ak lè l sèvi avèk eskanè vilnerabilite entegre;
- Nou pa dwe bliye sou sekirite aksè aleka ak modèl rezo a kòm yon antye: atak tankou ARP-spoofing ak MAC-inondasyon pa te anile.
Yon plis: pa gen okenn restriksyon teknik sou itilizasyon Virtualization veso.
Mwens: gen yon gwo pwobabilite ke regilatè a pral pini pou pa-konfòmite ak kondisyon GOST.
Konklizyon
Kliyan nou an deside pa bay veso yo. An menm tan an, li te oblije rekonsidere siyifikativman sijè ki abòde lan travay ak distribisyon an nan tranzisyon an Docker (yo te dire pou sis mwa). Kliyan an konprann risk yo trè byen. Li konprann tou ke pandan pwochen evalyasyon an konfòmite ak GOST R 57580, anpil pral depann de oditè a.
Kisa ou ta fè nan sitiyasyon sa a?
Sous: www.habr.com