Nem sokkal ezelőtt újabb értékelést végeztünk a GOST R 57580 (a továbbiakban egyszerűen GOST) követelményeinek való megfelelésről. Az ügyfél egy olyan cég, amely elektronikus fizetési rendszert fejleszt. A rendszer komoly: több mint 3 millió felhasználó, több mint 200 ezer tranzakció naponta. Ott nagyon komolyan veszik az információbiztonságot.
Az értékelési folyamat során az ügyfél lazán bejelentette, hogy a fejlesztési részleg a virtuális gépek mellett konténerek használatát is tervezi. De ezzel – tette hozzá az ügyfél – van egy probléma: a GOST-ban egy szó sincs ugyanarról a Dockerről. Mit kellene tennem? Hogyan értékeljük a konténerek biztonságát?
Igaz, a GOST csak a hardveres virtualizációról ír - a virtuális gépek, a hipervizor és a szerver védelméről. Felvilágosítást kértünk a jegybanktól. A válasz megzavart bennünket.
GOST és virtualizáció
Először is emlékezzünk arra, hogy a GOST R 57580 egy új szabvány, amely meghatározza a „pénzügyi szervezetek információbiztonságának biztosítására vonatkozó követelményeket” (FI). Ezek a FI-k magukban foglalják a fizetési rendszerek üzemeltetőit és résztvevőit, a hitel- és nem hitelszervezeteket, valamint az operatív és elszámolóközpontokat.
1. január 2021-től az FI-k kötelesek lefolytatni
A GOST-nak van egy alszekciója, amely a virtualizált környezetek védelmével foglalkozik - 7.8. sz. A „virtualizáció” kifejezés nincs megadva, nincs felosztás hardveres és konténervirtualizációra. Bármely informatikus azt mondja, hogy ez technikai szempontból helytelen: a virtuális gép (VM) és a konténer különböző környezetek, eltérő elkülönítési elvekkel. A virtuális gép és a Docker konténereket telepítő gazdagép sebezhetősége szempontjából ez is nagy különbség.
Kiderült, hogy a virtuális gépek és a konténerek információbiztonságának értékelése is más legyen.
Kérdéseink a Központi Bankhoz
Ezeket a jegybank Információbiztonsági Főosztályának küldtük el (a kérdéseket rövidített formában közöljük).
- Hogyan vegyük figyelembe a Docker-típusú virtuális tárolókat a GOST-megfelelőség értékelésekor? Helyes-e a technológiát a GOST 7.8 alpontja szerint értékelni?
- Hogyan értékelhető a virtuális konténerkezelő eszközök? Lehetséges-e ezeket a szervervirtualizációs komponensekkel azonosítani, és a GOST ugyanazon alszakasza szerint értékelni?
- Külön kell értékelnem a Docker-tárolókon belüli információk biztonságát? Ha igen, milyen biztosítékokat kell figyelembe venni az értékelési folyamat során?
- Ha a konténerezést a virtuális infrastruktúrával egyenlővé teszik, és a 7.8 alszakasz szerint értékelik, hogyan valósulnak meg a GOST követelményei a speciális információbiztonsági eszközök megvalósításához?
A Központi Bank válasza
Az alábbiakban a főbb részleteket közöljük.
„A GOST R 57580.1-2017 előírja a műszaki intézkedések alkalmazásával történő végrehajtás követelményeit a következő intézkedésekkel kapcsolatban, a GOST R 7.8-57580.1 ZI 2017. alszakasza, amely a Tanszék véleménye szerint kiterjeszthető a konténervirtualizáció használatának eseteire. technológiákat, figyelembe véve a következőket:
- A virtuális gépekhez és virtualizációs szerver komponensekhez való logikai hozzáférés megvalósítása során az azonosítás, hitelesítés, engedélyezés (hozzáférés-vezérlés) megszervezésére szolgáló ZSV.1 - ZSV.11 intézkedések végrehajtása eltérhet a konténervirtualizációs technológia használatának eseteitől. Ezt figyelembe véve számos intézkedés (például ZVS.6 és ZVS.7) végrehajtása érdekében javasolhatónak tartjuk, hogy a pénzintézetek olyan kompenzációs intézkedéseket dolgozzanak ki, amelyek ugyanazokat a célokat követik;
- a virtuális gépek információs interakciójának megszervezésére és ellenőrzésére szolgáló ZSV.13 - ZSV.22 intézkedések végrehajtása egy pénzügyi szervezet számítógépes hálózatának szegmentálását írja elő, hogy megkülönböztessük a virtualizációs technológiát megvalósító és különböző biztonsági áramkörökhöz tartozó informatizálási objektumokat. Ezt figyelembe véve úgy gondoljuk, hogy a konténervirtualizációs technológia alkalmazásakor célszerű gondoskodni a megfelelő szegmentálásról (mind a végrehajtható virtuális konténerek, mind az operációs rendszer szintjén használt virtualizációs rendszerek vonatkozásában);
- a virtuális gépek képeinek védelmének megszervezésére irányuló ZSV.26, ZSV.29 - ZSV.31 intézkedések végrehajtását analógia útján kell végrehajtani a virtuális tárolók alapvető és aktuális képeinek védelme érdekében is;
- a virtuális gépekhez és szervervirtualizációs komponensekhez való hozzáféréssel kapcsolatos információbiztonsági események rögzítésére szolgáló ZVS.32 - ZVS.43 intézkedések végrehajtását analógia útján kell elvégezni a virtualizációs környezet konténervirtualizációs technológiát megvalósító elemei vonatkozásában is.”
Mit jelent
A jegybanki információbiztonsági osztály válaszából két fő következtetés vonható le:
- a tárolók védelmét szolgáló intézkedések nem különböznek a virtuális gépek védelmét szolgáló intézkedésektől;
- Ebből az következik, hogy az információbiztonsággal összefüggésben a Központi Bank kétféle virtualizációt tesz egyenlővé - a Docker konténerek és a virtuális gépek.
A válasz „kompenzációs intézkedéseket” is említ, amelyeket a fenyegetések semlegesítésére kell alkalmazni. Csak nem világos, hogy mik ezek a „kompenzációs intézkedések”, és hogyan mérhető megfelelőségük, teljességük és hatékonyságuk.
Mi a baj a jegybank álláspontjával?
Ha az értékelés (és az önértékelés) során a Központi Bank ajánlásait használja, akkor számos technikai és logikai nehézséget kell megoldania.
- Minden végrehajtható tárolóhoz információvédelmi szoftver (IP) telepítése szükséges: vírusirtó, integritásfigyelés, naplókkal való munka, DLP-rendszerek (Data Leak Prevention) stb. Mindez gond nélkül telepíthető virtuális gépre, de egy konténer esetében az információbiztonság telepítése abszurd lépés. A tartály tartalmazza a szolgáltatás működéséhez szükséges minimális mennyiségű „testkészletet”. Egy SZI telepítése ellentmond a jelentésének.
- A konténerképeket ugyanezen elv szerint kell védeni, ennek megvalósítása szintén nem világos.
- A GOST megköveteli a szerver virtualizációs összetevőihez, azaz a hypervisorhoz való hozzáférés korlátozását. Mi számít szerverkomponensnek a Docker esetében? Ez nem azt jelenti, hogy minden tárolót külön gépen kell futtatni?
- Ha a hagyományos virtualizációhoz lehetőség van a virtuális gépek biztonsági kontúrok és hálózati szegmensek szerinti elválasztására, akkor az ugyanazon a gazdagépen belüli Docker-tárolók esetében ez nem így van.
A gyakorlatban valószínű, hogy minden auditor a maga módján, saját tudása és tapasztalata alapján értékeli a konténerek biztonságát. Nos, vagy egyáltalán ne értékeld, ha nincs se egyik, se másik.
Minden esetre hozzátesszük, hogy 1. január 2021-től a minimális pontszám nem lehet alacsonyabb 0,7-nél.
Egyébként rendszeresen közzétesszük a GOST 57580 és a központi banki szabályzat követelményeivel kapcsolatos szabályozó hatóságok válaszait és megjegyzéseit.
Mi a teendő
Véleményünk szerint a pénzügyi szervezeteknek csak két lehetőségük van a probléma megoldására.
1. Kerülje a konténerek alkalmazását
Megoldás azok számára, akik készek megengedni maguknak, hogy csak hardveres virtualizációt használjanak, és ugyanakkor félnek a GOST szerinti alacsony minősítésektől és a Központi Bank bírságától.
plusz: könnyebb megfelelni a GOST 7.8. alszakaszában foglalt követelményeknek.
kevesebb: El kell hagynunk a konténervirtualizáción alapuló új fejlesztői eszközökkel, különös tekintettel a Dockerre és a Kubernetesre.
2. Megtagadja a GOST 7.8. alszakaszában foglalt követelmények teljesítését
Ugyanakkor a konténerekkel végzett munka során alkalmazza a legjobb gyakorlatokat az információbiztonság biztosításában. Ez egy megoldás azok számára, akik értékelik az új technológiákat és az általuk nyújtott lehetőségeket. A „legjobb gyakorlatok” alatt az iparág által elfogadott normákat és szabványokat értjük a Docker konténerek biztonságának biztosítására:
- a gazdagép operációs rendszer biztonsága, megfelelően konfigurált naplózás, a konténerek közötti adatcsere tiltása stb.;
- a Docker Trust funkció használata a képek integritásának ellenőrzésére és a beépített sebezhetőségi szkenner használata;
- Nem szabad megfeledkeznünk a távoli hozzáférés biztonságáról és a hálózati modell egészéről sem: az olyan támadásokat, mint az ARP-spoofing és a MAC-flooding, nem sikerült törölni.
plusz: nincs technikai korlátozás a konténervirtualizáció használatára vonatkozóan.
kevesebb: nagy a valószínűsége annak, hogy a szabályozó megbünteti a GOST követelményeinek be nem tartását.
Következtetés
Ügyfelünk úgy döntött, hogy nem adja fel a konténereket. Ugyanakkor jelentősen át kellett gondolnia a munka körét és a Dockerre való áttérés időzítését (hat hónapig tartottak). Az ügyfél nagyon jól ismeri a kockázatokat. Azt is megérti, hogy a GOST R 57580-nak való megfelelés következő értékelése során sok múlik a könyvvizsgálón.
Ti mit tennétek ebben a helyzetben?
Forrás: will.com