Ոչ վաղ անցյալում մենք կատարեցինք ԳՕՍՏ Ռ 57580 (այսուհետ՝ ԳՕՍՏ) պահանջներին համապատասխանության ևս մեկ գնահատում: Հաճախորդը էլեկտրոնային վճարային համակարգ մշակող ընկերություն է: Համակարգը լուրջ է՝ ավելի քան 3 միլիոն օգտատեր, օրական ավելի քան 200 հազար գործարք։ Նրանք այնտեղ շատ լուրջ են վերաբերվում տեղեկատվական անվտանգությանը։
Գնահատման գործընթացում հաճախորդը պատահաբար հայտարարեց, որ զարգացման բաժինը, բացի վիրտուալ մեքենաներից, նախատեսում է օգտագործել կոնտեյներներ: Բայց սրանով, հավելեց հաճախորդը, կա մեկ խնդիր՝ ԳՕՍՏ-ում ոչ մի խոսք չկա նույն Docker-ի մասին։ Ինչ պետք է անեմ? Ինչպե՞ս գնահատել բեռնարկղերի անվտանգությունը:
Ճիշտ է, ԳՕՍՏ-ը գրում է միայն ապարատային վիրտուալացման մասին՝ այն մասին, թե ինչպես պաշտպանել վիրտուալ մեքենաները, հիպերվիզորը և սերվերը: Պարզաբանում խնդրեցինք Կենտրոնական բանկից։ Պատասխանը մեզ տարակուսեց.
ԳՕՍՏ և վիրտուալացում
Սկզբից հիշենք, որ ԳՕՍՏ Ռ 57580-ը նոր ստանդարտ է, որը սահմանում է «ֆինանսական կազմակերպությունների տեղեկատվական անվտանգության ապահովման պահանջները» (FI): Այս ՖՀ-ները ներառում են վճարային համակարգերի օպերատորներ և մասնակիցներ, վարկային և ոչ վարկային կազմակերպություններ, գործառնական և քլիրինգային կենտրոններ:
1 թվականի հունվարի 2021-ից ՖՀ-ներից պահանջվում է անցկացնել
ԳՕՍՏ-ն ունի ենթաբաժին, որը նվիրված է վիրտուալացված միջավայրերի պաշտպանությանը` թիվ 7.8: «Վիրտուալացում» տերմինն այնտեղ նշված չէ, չկա բաժանում ապարատային և կոնտեյներային վիրտուալացման: Ցանկացած ՏՏ մասնագետ կասի, որ տեխնիկական տեսանկյունից դա ճիշտ չէ. վիրտուալ մեքենան (VM) և կոնտեյները տարբեր միջավայրեր են, տարբեր մեկուսացման սկզբունքներով։ Հոսթի խոցելիության տեսանկյունից, որի վրա տեղակայված են VM և Docker կոնտեյներները, սա նույնպես մեծ տարբերություն է:
Ստացվում է, որ VM-ների և բեռնարկղերի տեղեկատվական անվտանգության գնահատականը նույնպես պետք է տարբեր լինի։
Մեր հարցերը Կենտրոնական բանկին
Դրանք ուղարկել ենք Կենտրոնական բանկի տեղեկատվական անվտանգության վարչություն (հարցերը ներկայացնում ենք կրճատումներով)։
- Ինչպե՞ս հաշվի առնել Docker-ի տիպի վիրտուալ կոնտեյներները ԳՕՍՏ-ի համապատասխանությունը գնահատելիս: Ճի՞շտ է գնահատել տեխնոլոգիան ԳՕՍՏ-ի 7.8 ենթաբաժնի համաձայն:
- Ինչպե՞ս գնահատել վիրտուալ բեռնարկղերի կառավարման գործիքները: Հնարավո՞ր է դրանք նույնացնել սերվերի վիրտուալացման բաղադրիչներին և գնահատել դրանք ԳՕՍՏ-ի նույն ենթաբաժնի համաձայն:
- Արդյո՞ք ես պետք է առանձին գնահատեմ Docker կոնտեյներների ներսում տեղեկատվության անվտանգությունը: Եթե այո, ապա ի՞նչ երաշխիքներ պետք է հաշվի առնել դրա համար գնահատման գործընթացում:
- Եթե կոնտեյներացումը հավասարեցվում է վիրտուալ ենթակառուցվածքին և գնահատվում է 7.8 ենթաբաժնի համաձայն, ինչպե՞ս են իրականացվում ԳՕՍՏ-ի պահանջները տեղեկատվական անվտանգության հատուկ գործիքների ներդրման համար:
Կենտրոնական բանկի արձագանքը
Ստորև ներկայացնում ենք հիմնական հատվածները.
«ԳՕՍՏ Ռ 57580.1-2017-ը սահմանում է տեխնիկական միջոցների կիրառման միջոցով իրականացման պահանջներ ԳՕՍՏ Ռ 7.8-57580.1-ի ZI 2017 ենթաբաժնի հետևյալ միջոցառումների հետ կապված, որոնք, վարչության կարծիքով, կարող են տարածվել կոնտեյներների վիրտուալացման օգտագործման դեպքերի վրա: տեխնոլոգիաները՝ հաշվի առնելով հետևյալը.
- ZSV.1 - ZSV.11 միջոցառումների իրականացումը նույնականացման, նույնականացման, թույլտվության (մուտքի վերահսկման) կազմակերպման համար վիրտուալ մեքենաների և վիրտուալացման սերվերի բաղադրիչների տրամաբանական մուտքի իրականացման ժամանակ կարող է տարբերվել կոնտեյների վիրտուալացման տեխնոլոգիայի օգտագործման դեպքերից: Հաշվի առնելով դա՝ մի շարք միջոցառումներ իրականացնելու համար (օրինակ՝ ZVS.6 և ZVS.7), մենք կարծում ենք, որ հնարավոր է առաջարկել, որ ֆինանսական հաստատությունները մշակեն փոխհատուցման միջոցներ, որոնք կհետապնդեն նույն նպատակները.
- ZSV.13 - ZSV.22 միջոցառումների իրականացումը վիրտուալ մեքենաների տեղեկատվական փոխազդեցության կազմակերպման և վերահսկման համար նախատեսում է ֆինանսական կազմակերպության համակարգչային ցանցի սեգմենտավորում՝ տարբերակելու վիրտուալացման տեխնոլոգիան կիրառող և անվտանգության տարբեր սխեմաներին պատկանող տեղեկատվականացման օբյեկտները: Հաշվի առնելով դա՝ մենք կարծում ենք, որ նպատակահարմար է ապահովել համապատասխան սեգմենտավորում բեռնարկղերի վիրտուալացման տեխնոլոգիան օգտագործելիս (ինչպես գործարկվող վիրտուալ կոնտեյներների, այնպես էլ օպերացիոն համակարգի մակարդակում օգտագործվող վիրտուալացման համակարգերի առնչությամբ);
- Վիրտուալ մեքենաների պատկերների պաշտպանությունը կազմակերպելու ZSV.26, ZSV.29 - ZSV.31 միջոցառումների իրականացումը պետք է իրականացվի անալոգիայով նաև վիրտուալ բեռնարկղերի հիմնական և ընթացիկ պատկերները պաշտպանելու համար.
- ZVS.32 - ZVS.43 միջոցառումների իրականացումը վիրտուալ մեքենաների և սերվերի վիրտուալացման բաղադրիչների հասանելիության հետ կապված տեղեկատվական անվտանգության իրադարձությունների գրանցման համար պետք է իրականացվի անալոգիայով նաև վիրտուալացման միջավայրի տարրերի առնչությամբ, որոնք իրականացնում են կոնտեյներների վիրտուալացման տեխնոլոգիա:
Ի՞նչ է դա նշանակում
Կենտրոնական բանկի տեղեկատվական անվտանգության վարչության պատասխանից երկու հիմնական եզրակացություն.
- Կոնտեյներների պաշտպանության միջոցները չեն տարբերվում վիրտուալ մեքենաների պաշտպանության միջոցներից.
- Այստեղից հետևում է, որ տեղեկատվական անվտանգության համատեքստում Կենտրոնական բանկը նույնացնում է վիրտուալացման երկու տեսակ՝ Docker կոնտեյներներ և VM-ներ։
Պատասխանում նշվում են նաև «փոխհատուցման միջոցներ», որոնք պետք է կիրառվեն սպառնալիքները չեզոքացնելու համար։ Պարզապես անհասկանալի է, թե որոնք են այդ «փոխհատուցման միջոցները» և ինչպես չափել դրանց համարժեքությունը, ամբողջականությունը և արդյունավետությունը:
Ի՞նչն է սխալ Կենտրոնական բանկի դիրքորոշման մեջ.
Եթե գնահատման (և ինքնագնահատման) ընթացքում օգտվում եք Կենտրոնական բանկի առաջարկություններից, ապա ձեզ հարկավոր է լուծել մի շարք տեխնիկական և տրամաբանական դժվարություններ։
- Յուրաքանչյուր գործարկվող կոնտեյներ պահանջում է դրա վրա տեղեկատվական պաշտպանության ծրագրային ապահովման (IP) տեղադրում՝ հակավիրուսային, ամբողջականության մոնիտորինգ, տեղեկամատյանների հետ աշխատանք, DLP համակարգեր (Տվյալների արտահոսքի կանխարգելում) և այլն։ Այս ամենն առանց խնդիրների կարելի է տեղադրել VM-ի վրա, սակայն կոնտեյների դեպքում տեղեկատվական անվտանգության տեղադրումը անհեթեթ քայլ է։ Բեռնարկղը պարունակում է «մարմնի հանդերձանքի» նվազագույն քանակությունը, որն անհրաժեշտ է ծառայության գործարկման համար: Դրա մեջ SZI տեղադրելը հակասում է դրա իմաստին։
- Կոնտեյների պատկերները պետք է պաշտպանված լինեն նույն սկզբունքով, ինչպես դա իրականացնել, նույնպես անհասկանալի է:
- ԳՕՍՏ-ը պահանջում է սահմանափակել մուտքը սերվերի վիրտուալացման բաղադրիչներին, այսինքն՝ հիպերվիզորին: Ի՞նչն է համարվում սերվերի բաղադրիչ Docker-ի դեպքում: Արդյո՞ք սա չի նշանակում, որ յուրաքանչյուր կոնտեյներ պետք է գործարկվի առանձին հոսթի վրա:
- Եթե սովորական վիրտուալիզացիայի համար հնարավոր է VM-ները սահմանազատել անվտանգության ուրվագծերով և ցանցի հատվածներով, ապա նույն հոսթի ներսում Docker կոնտեյներների դեպքում դա այդպես չէ:
Գործնականում հավանական է, որ յուրաքանչյուր աուդիտոր յուրովի կգնահատի բեռնարկղերի անվտանգությունը՝ հիմնվելով իր սեփական գիտելիքների և փորձի վրա: Դե, կամ ընդհանրապես մի գնահատեք, եթե չկա ոչ մեկը, ոչ մյուսը։
Ամեն դեպքում կավելացնենք, որ 1 թվականի հունվարի 2021-ից նվազագույն միավորը պետք է լինի 0,7-ից ոչ ցածր։
Ի դեպ, ԳՕՍՏ 57580-ի և Կենտրոնական բանկի կանոնակարգերի պահանջներին առնչվող կարգավորող մարմինների պատասխաններն ու մեկնաբանությունները պարբերաբար տեղադրում ենք մեր կայքում:
Ինչ անել
Մեր կարծիքով, ֆինանսական կազմակերպությունները խնդրի լուծման ընդամենը երկու տարբերակ ունեն.
1. Խուսափեք բեռնարկղերի ներդրումից
Լուծում նրանց համար, ովքեր պատրաստ են իրենց թույլ տալ օգտագործել միայն ապարատային վիրտուալացում և միևնույն ժամանակ վախենում են ԳՕՍՏ-ի համաձայն ցածր վարկանիշներից և Կենտրոնական բանկի տուգանքներից:
Plus: ավելի հեշտ է համապատասխանել ԳՕՍՏ-ի 7.8 ենթաբաժնի պահանջներին:
Մինուս: Մենք ստիպված կլինենք հրաժարվել կոնտեյներների վիրտուալացման վրա հիմնված զարգացման նոր գործիքներից, մասնավորապես՝ Docker-ից և Kubernetes-ից։
2. Հրաժարվել ԳՕՍՏ-ի 7.8 ենթաբաժնի պահանջներին համապատասխանելուց
Բայց միևնույն ժամանակ, կոնտեյներների հետ աշխատելիս կիրառեք տեղեկատվական անվտանգության ապահովման լավագույն փորձը։ Սա լուծում է նրանց համար, ովքեր գնահատում են նոր տեխնոլոգիաները և դրանց ընձեռած հնարավորությունները։ «Լավագույն պրակտիկա» ասելով մենք նկատի ունենք արդյունաբերության կողմից ընդունված նորմերն ու ստանդարտները՝ Docker կոնտեյներների անվտանգությունն ապահովելու համար.
- հյուրընկալող ՕՀ-ի անվտանգությունը, պատշաճ կազմաձևված գրանցումը, բեռնարկղերի միջև տվյալների փոխանակման արգելքը և այլն.
- օգտագործելով Docker Trust գործառույթը պատկերների ամբողջականությունը ստուգելու համար և օգտագործելով ներկառուցված խոցելիության սկաները.
- Մենք չպետք է մոռանանք հեռավոր մուտքի անվտանգության և ընդհանուր առմամբ ցանցային մոդելի մասին. հարձակումները, ինչպիսիք են ARP-spoofing-ը և MAC-flooding-ը, չեն չեղարկվել:
Plus: կոնտեյներների վիրտուալացման օգտագործման տեխնիկական սահմանափակումներ չկան:
Մինուս: մեծ հավանականություն կա, որ կարգավորիչը կպատժի ԳՕՍՏ-ի պահանջներին չհամապատասխանելու համար:
Ամփոփում
Մեր հաճախորդը որոշել է չհրաժարվել տարաներից։ Միաժամանակ նա ստիպված է եղել էապես վերանայել աշխատանքի շրջանակն ու Docker-ին անցնելու ժամկետները (դրանք տեւել են վեց ամիս)։ Հաճախորդը շատ լավ հասկանում է ռիսկերը։ Նա նաև հասկանում է, որ ԳՕՍՏ Ռ 57580-ի համապատասխանության հաջորդ գնահատման ժամանակ շատ բան կախված կլինի աուդիտորից:
Ի՞նչ կանեիք այս իրավիճակում:
Source: www.habr.com