ProHoster > Blog > Adminisztráció > Hogyan lehet barátkozni a GOST R 57580-zal és a konténervirtualizációval. A Központi Bank válasza (és a mi gondolataink az üggyel kapcsolatban)

Hogyan lehet barátkozni a GOST R 57580-zal és a konténervirtualizációval. A Központi Bank válasza (és a mi gondolataink az üggyel kapcsolatban)

Nem sokkal ezelőtt újabb értékelést végeztünk a GOST R 57580 (a továbbiakban egyszerűen GOST) követelményeinek való megfelelésről. Az ügyfél egy olyan cég, amely elektronikus fizetési rendszert fejleszt. A rendszer komoly: több mint 3 millió felhasználó, több mint 200 ezer tranzakció naponta. Ott nagyon komolyan veszik az információbiztonságot.

Az értékelési folyamat során az ügyfél lazán bejelentette, hogy a fejlesztési részleg a virtuális gépek mellett konténerek használatát is tervezi. De ezzel – tette hozzá az ügyfél – van egy probléma: a GOST-ban egy szó sincs ugyanarról a Dockerről. Mit kellene tennem? Hogyan értékeljük a konténerek biztonságát?

Hogyan lehet barátkozni a GOST R 57580-zal és a konténervirtualizációval. A Központi Bank válasza (és a mi gondolataink az üggyel kapcsolatban)

Igaz, a GOST csak a hardveres virtualizációról ír - a virtuális gépek, a hipervizor és a szerver védelméről. Felvilágosítást kértünk a jegybanktól. A válasz megzavart bennünket.

GOST és virtualizáció

Először is emlékezzünk arra, hogy a GOST R 57580 egy új szabvány, amely meghatározza a „pénzügyi szervezetek információbiztonságának biztosítására vonatkozó követelményeket” (FI). Ezek a FI-k magukban foglalják a fizetési rendszerek üzemeltetőit és résztvevőit, a hitel- és nem hitelszervezeteket, valamint az operatív és elszámolóközpontokat.

1. január 2021-től az FI-k kötelesek lefolytatni az új GOST követelményeinek való megfelelés értékelése. Mi, az ITGLOBAL.COM, egy könyvvizsgáló cég vagyunk, amely ilyen értékeléseket végez.

A GOST-nak van egy alszekciója, amely a virtualizált környezetek védelmével foglalkozik - 7.8. sz. A „virtualizáció” kifejezés nincs megadva, nincs felosztás hardveres és konténervirtualizációra. Bármely informatikus azt mondja, hogy ez technikai szempontból helytelen: a virtuális gép (VM) és a konténer különböző környezetek, eltérő elkülönítési elvekkel. A virtuális gép és a Docker konténereket telepítő gazdagép sebezhetősége szempontjából ez is nagy különbség.

Kiderült, hogy a virtuális gépek és a konténerek információbiztonságának értékelése is más legyen.

Kérdéseink a Központi Bankhoz

Ezeket a jegybank Információbiztonsági Főosztályának küldtük el (a kérdéseket rövidített formában közöljük).

  1. Hogyan vegyük figyelembe a Docker-típusú virtuális tárolókat a GOST-megfelelőség értékelésekor? Helyes-e a technológiát a GOST 7.8 alpontja szerint értékelni?
  2. Hogyan értékelhető a virtuális konténerkezelő eszközök? Lehetséges-e ezeket a szervervirtualizációs komponensekkel azonosítani, és a GOST ugyanazon alszakasza szerint értékelni?
  3. Külön kell értékelnem a Docker-tárolókon belüli információk biztonságát? Ha igen, milyen biztosítékokat kell figyelembe venni az értékelési folyamat során?
  4. Ha a konténerezést a virtuális infrastruktúrával egyenlővé teszik, és a 7.8 alszakasz szerint értékelik, hogyan valósulnak meg a GOST követelményei a speciális információbiztonsági eszközök megvalósításához?

A Központi Bank válasza

Az alábbiakban a főbb részleteket közöljük.

„A GOST R 57580.1-2017 előírja a műszaki intézkedések alkalmazásával történő végrehajtás követelményeit a következő intézkedésekkel kapcsolatban, a GOST R 7.8-57580.1 ZI 2017. alszakasza, amely a Tanszék véleménye szerint kiterjeszthető a konténervirtualizáció használatának eseteire. technológiákat, figyelembe véve a következőket:

  • A virtuális gépekhez és virtualizációs szerver komponensekhez való logikai hozzáférés megvalósítása során az azonosítás, hitelesítés, engedélyezés (hozzáférés-vezérlés) megszervezésére szolgáló ZSV.1 - ZSV.11 intézkedések végrehajtása eltérhet a konténervirtualizációs technológia használatának eseteitől. Ezt figyelembe véve számos intézkedés (például ZVS.6 és ZVS.7) végrehajtása érdekében javasolhatónak tartjuk, hogy a pénzintézetek olyan kompenzációs intézkedéseket dolgozzanak ki, amelyek ugyanazokat a célokat követik;
  • a virtuális gépek információs interakciójának megszervezésére és ellenőrzésére szolgáló ZSV.13 - ZSV.22 intézkedések végrehajtása egy pénzügyi szervezet számítógépes hálózatának szegmentálását írja elő, hogy megkülönböztessük a virtualizációs technológiát megvalósító és különböző biztonsági áramkörökhöz tartozó informatizálási objektumokat. Ezt figyelembe véve úgy gondoljuk, hogy a konténervirtualizációs technológia alkalmazásakor célszerű gondoskodni a megfelelő szegmentálásról (mind a végrehajtható virtuális konténerek, mind az operációs rendszer szintjén használt virtualizációs rendszerek vonatkozásában);
  • a virtuális gépek képeinek védelmének megszervezésére irányuló ZSV.26, ZSV.29 - ZSV.31 intézkedések végrehajtását analógia útján kell végrehajtani a virtuális tárolók alapvető és aktuális képeinek védelme érdekében is;
  • a virtuális gépekhez és szervervirtualizációs komponensekhez való hozzáféréssel kapcsolatos információbiztonsági események rögzítésére szolgáló ZVS.32 - ZVS.43 intézkedések végrehajtását analógia útján kell elvégezni a virtualizációs környezet konténervirtualizációs technológiát megvalósító elemei vonatkozásában is.”

Mit jelent

A jegybanki információbiztonsági osztály válaszából két fő következtetés vonható le:

  • a tárolók védelmét szolgáló intézkedések nem különböznek a virtuális gépek védelmét szolgáló intézkedésektől;
  • Ebből az következik, hogy az információbiztonsággal összefüggésben a Központi Bank kétféle virtualizációt tesz egyenlővé - a Docker konténerek és a virtuális gépek.

A válasz „kompenzációs intézkedéseket” is említ, amelyeket a fenyegetések semlegesítésére kell alkalmazni. Csak nem világos, hogy mik ezek a „kompenzációs intézkedések”, és hogyan mérhető megfelelőségük, teljességük és hatékonyságuk.

Mi a baj a jegybank álláspontjával?

Ha az értékelés (és az önértékelés) során a Központi Bank ajánlásait használja, akkor számos technikai és logikai nehézséget kell megoldania.

  • Minden végrehajtható tárolóhoz információvédelmi szoftver (IP) telepítése szükséges: vírusirtó, integritásfigyelés, naplókkal való munka, DLP-rendszerek (Data Leak Prevention) stb. Mindez gond nélkül telepíthető virtuális gépre, de egy konténer esetében az információbiztonság telepítése abszurd lépés. A tartály tartalmazza a szolgáltatás működéséhez szükséges minimális mennyiségű „testkészletet”. Egy SZI telepítése ellentmond a jelentésének.
  • A konténerképeket ugyanezen elv szerint kell védeni, ennek megvalósítása szintén nem világos.
  • A GOST megköveteli a szerver virtualizációs összetevőihez, azaz a hypervisorhoz való hozzáférés korlátozását. Mi számít szerverkomponensnek a Docker esetében? Ez nem azt jelenti, hogy minden tárolót külön gépen kell futtatni?
  • Ha a hagyományos virtualizációhoz lehetőség van a virtuális gépek biztonsági kontúrok és hálózati szegmensek szerinti elválasztására, akkor az ugyanazon a gazdagépen belüli Docker-tárolók esetében ez nem így van.

A gyakorlatban valószínű, hogy minden auditor a maga módján, saját tudása és tapasztalata alapján értékeli a konténerek biztonságát. Nos, vagy egyáltalán ne értékeld, ha nincs se egyik, se másik.

Minden esetre hozzátesszük, hogy 1. január 2021-től a minimális pontszám nem lehet alacsonyabb 0,7-nél.

Egyébként rendszeresen közzétesszük a GOST 57580 és a központi banki szabályzat követelményeivel kapcsolatos szabályozó hatóságok válaszait és megjegyzéseit. Telegram csatorna.

Mi a teendő

Véleményünk szerint a pénzügyi szervezeteknek csak két lehetőségük van a probléma megoldására.

1. Kerülje a konténerek alkalmazását

Megoldás azok számára, akik készek megengedni maguknak, hogy csak hardveres virtualizációt használjanak, és ugyanakkor félnek a GOST szerinti alacsony minősítésektől és a Központi Bank bírságától.

plusz: könnyebb megfelelni a GOST 7.8. alszakaszában foglalt követelményeknek.

kevesebb: El kell hagynunk a konténervirtualizáción alapuló új fejlesztői eszközökkel, különös tekintettel a Dockerre és a Kubernetesre.

2. Megtagadja a GOST 7.8. alszakaszában foglalt követelmények teljesítését

Ugyanakkor a konténerekkel végzett munka során alkalmazza a legjobb gyakorlatokat az információbiztonság biztosításában. Ez egy megoldás azok számára, akik értékelik az új technológiákat és az általuk nyújtott lehetőségeket. A „legjobb gyakorlatok” alatt az iparág által elfogadott normákat és szabványokat értjük a Docker konténerek biztonságának biztosítására:

  • a gazdagép operációs rendszer biztonsága, megfelelően konfigurált naplózás, a konténerek közötti adatcsere tiltása stb.;
  • a Docker Trust funkció használata a képek integritásának ellenőrzésére és a beépített sebezhetőségi szkenner használata;
  • Nem szabad megfeledkeznünk a távoli hozzáférés biztonságáról és a hálózati modell egészéről sem: az olyan támadásokat, mint az ARP-spoofing és a MAC-flooding, nem sikerült törölni.

plusz: nincs technikai korlátozás a konténervirtualizáció használatára vonatkozóan.

kevesebb: nagy a valószínűsége annak, hogy a szabályozó megbünteti a GOST követelményeinek be nem tartását.

Következtetés

Ügyfelünk úgy döntött, hogy nem adja fel a konténereket. Ugyanakkor jelentősen át kellett gondolnia a munka körét és a Dockerre való áttérés időzítését (hat hónapig tartottak). Az ügyfél nagyon jól ismeri a kockázatokat. Azt is megérti, hogy a GOST R 57580-nak való megfelelés következő értékelése során sok múlik a könyvvizsgálón.

Ti mit tennétek ebben a helyzetben?

Forrás: will.com

Hozzászólás