ProHoster > Օրագիր > Վարչակազմը > Ինչպես ընկերանալ ԳՕՍՏ Ռ 57580-ի և կոնտեյների վիրտուալացման հետ: Կենտրոնական բանկի արձագանքը (և մեր կարծիքն այս հարցում)

Ինչպես ընկերանալ ԳՕՍՏ Ռ 57580-ի և կոնտեյների վիրտուալացման հետ: Կենտրոնական բանկի արձագանքը (և մեր կարծիքն այս հարցում)

Ոչ վաղ անցյալում մենք կատարեցինք ԳՕՍՏ Ռ 57580 (այսուհետ՝ ԳՕՍՏ) պահանջներին համապատասխանության ևս մեկ գնահատում: Հաճախորդը էլեկտրոնային վճարային համակարգ մշակող ընկերություն է: Համակարգը լուրջ է՝ ավելի քան 3 միլիոն օգտատեր, օրական ավելի քան 200 հազար գործարք։ Նրանք այնտեղ շատ լուրջ են վերաբերվում տեղեկատվական անվտանգությանը։

Գնահատման գործընթացում հաճախորդը պատահաբար հայտարարեց, որ զարգացման բաժինը, բացի վիրտուալ մեքենաներից, նախատեսում է օգտագործել կոնտեյներներ: Բայց սրանով, հավելեց հաճախորդը, կա մեկ խնդիր՝ ԳՕՍՏ-ում ոչ մի խոսք չկա նույն Docker-ի մասին։ Ինչ պետք է անեմ? Ինչպե՞ս գնահատել բեռնարկղերի անվտանգությունը:

Ինչպես ընկերանալ ԳՕՍՏ Ռ 57580-ի և կոնտեյների վիրտուալացման հետ: Կենտրոնական բանկի արձագանքը (և մեր կարծիքն այս հարցում)

Ճիշտ է, ԳՕՍՏ-ը գրում է միայն ապարատային վիրտուալացման մասին՝ այն մասին, թե ինչպես պաշտպանել վիրտուալ մեքենաները, հիպերվիզորը և սերվերը: Պարզաբանում խնդրեցինք Կենտրոնական բանկից։ Պատասխանը մեզ տարակուսեց.

ԳՕՍՏ և վիրտուալացում

Սկզբից հիշենք, որ ԳՕՍՏ Ռ 57580-ը նոր ստանդարտ է, որը սահմանում է «ֆինանսական կազմակերպությունների տեղեկատվական անվտանգության ապահովման պահանջները» (FI): Այս ՖՀ-ները ներառում են վճարային համակարգերի օպերատորներ և մասնակիցներ, վարկային և ոչ վարկային կազմակերպություններ, գործառնական և քլիրինգային կենտրոններ:

1 թվականի հունվարի 2021-ից ՖՀ-ներից պահանջվում է անցկացնել նոր ԳՕՍՏ-ի պահանջներին համապատասխանության գնահատում. Մենք՝ ITGLOBAL.COM-ը, աուդիտորական ընկերություն ենք, որն իրականացնում է նման գնահատումներ:

ԳՕՍՏ-ն ունի ենթաբաժին, որը նվիրված է վիրտուալացված միջավայրերի պաշտպանությանը` թիվ 7.8: «Վիրտուալացում» տերմինն այնտեղ նշված չէ, չկա բաժանում ապարատային և կոնտեյներային վիրտուալացման: Ցանկացած ՏՏ մասնագետ կասի, որ տեխնիկական տեսանկյունից դա ճիշտ չէ. վիրտուալ մեքենան (VM) և կոնտեյները տարբեր միջավայրեր են, տարբեր մեկուսացման սկզբունքներով։ Հոսթի խոցելիության տեսանկյունից, որի վրա տեղակայված են VM և Docker կոնտեյներները, սա նույնպես մեծ տարբերություն է:

Ստացվում է, որ VM-ների և բեռնարկղերի տեղեկատվական անվտանգության գնահատականը նույնպես պետք է տարբեր լինի։

Մեր հարցերը Կենտրոնական բանկին

Դրանք ուղարկել ենք Կենտրոնական բանկի տեղեկատվական անվտանգության վարչություն (հարցերը ներկայացնում ենք կրճատումներով)։

  1. Ինչպե՞ս հաշվի առնել Docker-ի տիպի վիրտուալ կոնտեյներները ԳՕՍՏ-ի համապատասխանությունը գնահատելիս: Ճի՞շտ է գնահատել տեխնոլոգիան ԳՕՍՏ-ի 7.8 ենթաբաժնի համաձայն:
  2. Ինչպե՞ս գնահատել վիրտուալ բեռնարկղերի կառավարման գործիքները: Հնարավո՞ր է դրանք նույնացնել սերվերի վիրտուալացման բաղադրիչներին և գնահատել դրանք ԳՕՍՏ-ի նույն ենթաբաժնի համաձայն:
  3. Արդյո՞ք ես պետք է առանձին գնահատեմ Docker կոնտեյներների ներսում տեղեկատվության անվտանգությունը: Եթե ​​այո, ապա ի՞նչ երաշխիքներ պետք է հաշվի առնել դրա համար գնահատման գործընթացում:
  4. Եթե ​​կոնտեյներացումը հավասարեցվում է վիրտուալ ենթակառուցվածքին և գնահատվում է 7.8 ենթաբաժնի համաձայն, ինչպե՞ս են իրականացվում ԳՕՍՏ-ի պահանջները տեղեկատվական անվտանգության հատուկ գործիքների ներդրման համար:

Կենտրոնական բանկի արձագանքը

Ստորև ներկայացնում ենք հիմնական հատվածները.

«ԳՕՍՏ Ռ 57580.1-2017-ը սահմանում է տեխնիկական միջոցների կիրառման միջոցով իրականացման պահանջներ ԳՕՍՏ Ռ 7.8-57580.1-ի ZI 2017 ենթաբաժնի հետևյալ միջոցառումների հետ կապված, որոնք, վարչության կարծիքով, կարող են տարածվել կոնտեյներների վիրտուալացման օգտագործման դեպքերի վրա: տեխնոլոգիաները՝ հաշվի առնելով հետևյալը.

  • ZSV.1 - ZSV.11 միջոցառումների իրականացումը նույնականացման, նույնականացման, թույլտվության (մուտքի վերահսկման) կազմակերպման համար վիրտուալ մեքենաների և վիրտուալացման սերվերի բաղադրիչների տրամաբանական մուտքի իրականացման ժամանակ կարող է տարբերվել կոնտեյների վիրտուալացման տեխնոլոգիայի օգտագործման դեպքերից: Հաշվի առնելով դա՝ մի շարք միջոցառումներ իրականացնելու համար (օրինակ՝ ZVS.6 և ZVS.7), մենք կարծում ենք, որ հնարավոր է առաջարկել, որ ֆինանսական հաստատությունները մշակեն փոխհատուցման միջոցներ, որոնք կհետապնդեն նույն նպատակները.
  • ZSV.13 - ZSV.22 միջոցառումների իրականացումը վիրտուալ մեքենաների տեղեկատվական փոխազդեցության կազմակերպման և վերահսկման համար նախատեսում է ֆինանսական կազմակերպության համակարգչային ցանցի սեգմենտավորում՝ տարբերակելու վիրտուալացման տեխնոլոգիան կիրառող և անվտանգության տարբեր սխեմաներին պատկանող տեղեկատվականացման օբյեկտները: Հաշվի առնելով դա՝ մենք կարծում ենք, որ նպատակահարմար է ապահովել համապատասխան սեգմենտավորում բեռնարկղերի վիրտուալացման տեխնոլոգիան օգտագործելիս (ինչպես գործարկվող վիրտուալ կոնտեյներների, այնպես էլ օպերացիոն համակարգի մակարդակում օգտագործվող վիրտուալացման համակարգերի առնչությամբ);
  • Վիրտուալ մեքենաների պատկերների պաշտպանությունը կազմակերպելու ZSV.26, ZSV.29 - ZSV.31 միջոցառումների իրականացումը պետք է իրականացվի անալոգիայով նաև վիրտուալ բեռնարկղերի հիմնական և ընթացիկ պատկերները պաշտպանելու համար.
  • ZVS.32 - ZVS.43 միջոցառումների իրականացումը վիրտուալ մեքենաների և սերվերի վիրտուալացման բաղադրիչների հասանելիության հետ կապված տեղեկատվական անվտանգության իրադարձությունների գրանցման համար պետք է իրականացվի անալոգիայով նաև վիրտուալացման միջավայրի տարրերի առնչությամբ, որոնք իրականացնում են կոնտեյներների վիրտուալացման տեխնոլոգիա:

Ի՞նչ է դա նշանակում

Կենտրոնական բանկի տեղեկատվական անվտանգության վարչության պատասխանից երկու հիմնական եզրակացություն.

  • Կոնտեյներների պաշտպանության միջոցները չեն տարբերվում վիրտուալ մեքենաների պաշտպանության միջոցներից.
  • Այստեղից հետևում է, որ տեղեկատվական անվտանգության համատեքստում Կենտրոնական բանկը նույնացնում է վիրտուալացման երկու տեսակ՝ Docker կոնտեյներներ և VM-ներ։

Պատասխանում նշվում են նաև «փոխհատուցման միջոցներ», որոնք պետք է կիրառվեն սպառնալիքները չեզոքացնելու համար։ Պարզապես անհասկանալի է, թե որոնք են այդ «փոխհատուցման միջոցները» և ինչպես չափել դրանց համարժեքությունը, ամբողջականությունը և արդյունավետությունը:

Ի՞նչն է սխալ Կենտրոնական բանկի դիրքորոշման մեջ.

Եթե ​​գնահատման (և ինքնագնահատման) ընթացքում օգտվում եք Կենտրոնական բանկի առաջարկություններից, ապա ձեզ հարկավոր է լուծել մի շարք տեխնիկական և տրամաբանական դժվարություններ։

  • Յուրաքանչյուր գործարկվող կոնտեյներ պահանջում է դրա վրա տեղեկատվական պաշտպանության ծրագրային ապահովման (IP) տեղադրում՝ հակավիրուսային, ամբողջականության մոնիտորինգ, տեղեկամատյանների հետ աշխատանք, DLP համակարգեր (Տվյալների արտահոսքի կանխարգելում) և այլն։ Այս ամենն առանց խնդիրների կարելի է տեղադրել VM-ի վրա, սակայն կոնտեյների դեպքում տեղեկատվական անվտանգության տեղադրումը անհեթեթ քայլ է։ Բեռնարկղը պարունակում է «մարմնի հանդերձանքի» նվազագույն քանակությունը, որն անհրաժեշտ է ծառայության գործարկման համար: Դրա մեջ SZI տեղադրելը հակասում է դրա իմաստին։
  • Կոնտեյների պատկերները պետք է պաշտպանված լինեն նույն սկզբունքով, ինչպես դա իրականացնել, նույնպես անհասկանալի է:
  • ԳՕՍՏ-ը պահանջում է սահմանափակել մուտքը սերվերի վիրտուալացման բաղադրիչներին, այսինքն՝ հիպերվիզորին: Ի՞նչն է համարվում սերվերի բաղադրիչ Docker-ի դեպքում: Արդյո՞ք սա չի նշանակում, որ յուրաքանչյուր կոնտեյներ պետք է գործարկվի առանձին հոսթի վրա:
  • Եթե ​​սովորական վիրտուալիզացիայի համար հնարավոր է VM-ները սահմանազատել անվտանգության ուրվագծերով և ցանցի հատվածներով, ապա նույն հոսթի ներսում Docker կոնտեյներների դեպքում դա այդպես չէ:

Գործնականում հավանական է, որ յուրաքանչյուր աուդիտոր յուրովի կգնահատի բեռնարկղերի անվտանգությունը՝ հիմնվելով իր սեփական գիտելիքների և փորձի վրա: Դե, կամ ընդհանրապես մի գնահատեք, եթե չկա ոչ մեկը, ոչ մյուսը։

Ամեն դեպքում կավելացնենք, որ 1 թվականի հունվարի 2021-ից նվազագույն միավորը պետք է լինի 0,7-ից ոչ ցածր։

Ի դեպ, ԳՕՍՏ 57580-ի և Կենտրոնական բանկի կանոնակարգերի պահանջներին առնչվող կարգավորող մարմինների պատասխաններն ու մեկնաբանությունները պարբերաբար տեղադրում ենք մեր կայքում: Telegram ալիք.

Ինչ անել

Մեր կարծիքով, ֆինանսական կազմակերպությունները խնդրի լուծման ընդամենը երկու տարբերակ ունեն.

1. Խուսափեք բեռնարկղերի ներդրումից

Լուծում նրանց համար, ովքեր պատրաստ են իրենց թույլ տալ օգտագործել միայն ապարատային վիրտուալացում և միևնույն ժամանակ վախենում են ԳՕՍՏ-ի համաձայն ցածր վարկանիշներից և Կենտրոնական բանկի տուգանքներից:

Plus: ավելի հեշտ է համապատասխանել ԳՕՍՏ-ի 7.8 ենթաբաժնի պահանջներին:

Մինուս: Մենք ստիպված կլինենք հրաժարվել կոնտեյներների վիրտուալացման վրա հիմնված զարգացման նոր գործիքներից, մասնավորապես՝ Docker-ից և Kubernetes-ից։

2. Հրաժարվել ԳՕՍՏ-ի 7.8 ենթաբաժնի պահանջներին համապատասխանելուց

Բայց միևնույն ժամանակ, կոնտեյներների հետ աշխատելիս կիրառեք տեղեկատվական անվտանգության ապահովման լավագույն փորձը։ Սա լուծում է նրանց համար, ովքեր գնահատում են նոր տեխնոլոգիաները և դրանց ընձեռած հնարավորությունները։ «Լավագույն պրակտիկա» ասելով մենք նկատի ունենք արդյունաբերության կողմից ընդունված նորմերն ու ստանդարտները՝ Docker կոնտեյներների անվտանգությունն ապահովելու համար.

  • հյուրընկալող ՕՀ-ի անվտանգությունը, պատշաճ կազմաձևված գրանցումը, բեռնարկղերի միջև տվյալների փոխանակման արգելքը և այլն.
  • օգտագործելով Docker Trust գործառույթը պատկերների ամբողջականությունը ստուգելու համար և օգտագործելով ներկառուցված խոցելիության սկաները.
  • Մենք չպետք է մոռանանք հեռավոր մուտքի անվտանգության և ընդհանուր առմամբ ցանցային մոդելի մասին. հարձակումները, ինչպիսիք են ARP-spoofing-ը և MAC-flooding-ը, չեն չեղարկվել:

Plus: կոնտեյներների վիրտուալացման օգտագործման տեխնիկական սահմանափակումներ չկան:

Մինուս: մեծ հավանականություն կա, որ կարգավորիչը կպատժի ԳՕՍՏ-ի պահանջներին չհամապատասխանելու համար:

Ամփոփում

Մեր հաճախորդը որոշել է չհրաժարվել տարաներից։ Միաժամանակ նա ստիպված է եղել էապես վերանայել աշխատանքի շրջանակն ու Docker-ին անցնելու ժամկետները (դրանք տեւել են վեց ամիս)։ Հաճախորդը շատ լավ հասկանում է ռիսկերը։ Նա նաև հասկանում է, որ ԳՕՍՏ Ռ 57580-ի համապատասխանության հաջորդ գնահատման ժամանակ շատ բան կախված կլինի աուդիտորից:

Ի՞նչ կանեիք այս իրավիճակում:

Source: www.habr.com

Добавить комментарий