Suatu hari kami menerima permintaan layanan cloud. Kami menguraikan secara umum apa yang diminta dari kami dan mengirimkan kembali daftar pertanyaan untuk memperjelas rinciannya. Kemudian kami menganalisis jawabannya dan menyadari: pelanggan ingin menempatkan data pribadi dengan keamanan tingkat kedua di cloud. Kami menjawabnya: “Anda memiliki data pribadi tingkat kedua, maaf, kami hanya dapat membuat cloud pribadi.” Dan dia: “Anda tahu, tapi di perusahaan X mereka bisa memposting semuanya kepada saya secara publik.”
Foto oleh Steve Crisp, Reuters
Hal-hal aneh! Kami mengunjungi situs web perusahaan X, mempelajari dokumen sertifikasi mereka, menggelengkan kepala dan menyadari: ada banyak pertanyaan terbuka dalam penempatan data pribadi dan harus ditangani secara menyeluruh. Itulah yang akan kami lakukan di postingan ini.
Bagaimana segala sesuatunya harus berjalan
Pertama, mari kita cari tahu kriteria apa yang digunakan untuk mengklasifikasikan data pribadi ke dalam satu atau beberapa tingkat keamanan. Hal ini bergantung pada kategori data, jumlah subjek data yang disimpan dan diproses oleh operator, serta jenis ancaman saat ini.
Jenis ancaman saat ini didefinisikan dalam tanggal 1 November 2012 “Atas persetujuan persyaratan perlindungan data pribadi selama pemrosesannya dalam sistem informasi data pribadi”:
“Ancaman tipe 1 relevan untuk sistem informasi jika termasuk di dalamnya ancaman saat ini terkait dengan dengan adanya kemampuan yang tidak terdokumentasi (tidak dideklarasikan). dalam perangkat lunak sistemdigunakan dalam sistem informasi.
Ancaman tipe ke-2 relevan untuk suatu sistem informasi jika untuk itu, termasuk ancaman saat ini terkait dengan dengan adanya kemampuan yang tidak terdokumentasi (tidak dideklarasikan). dalam perangkat lunak aplikasidigunakan dalam sistem informasi.
Ancaman tipe ke-3 relevan untuk sistem informasi jika untuk itu ancaman yang tidak berhubungan dengan adanya kemampuan yang tidak terdokumentasi (tidak dideklarasikan). dalam sistem dan perangkat lunak aplikasidigunakan dalam sistem informasi."
Hal utama dalam definisi ini adalah adanya kemampuan yang tidak terdokumentasi (tidak dideklarasikan). Untuk mengonfirmasi tidak adanya kemampuan perangkat lunak yang tidak terdokumentasi (dalam kasus cloud, ini adalah hypervisor), sertifikasi dilakukan oleh FSTEC Rusia. Jika operator PD menerima bahwa tidak ada kemampuan seperti itu dalam perangkat lunak, maka ancaman terkait tidak relevan. Ancaman tipe 1 dan 2 sangat jarang dianggap relevan oleh operator PD.
Selain menentukan tingkat keamanan PD, operator juga harus menentukan ancaman spesifik saat ini terhadap cloud publik dan, berdasarkan tingkat keamanan PD yang teridentifikasi dan ancaman saat ini, menentukan tindakan dan sarana perlindungan yang diperlukan terhadap ancaman tersebut.
FSTEC dengan jelas mencantumkan semua ancaman utama di dalamnya (basis data ancaman). Penyedia dan penilai infrastruktur cloud menggunakan database ini dalam pekerjaan mereka. Berikut adalah contoh ancaman:
: “Ancamannya adalah kemungkinan pelanggaran keamanan data pengguna dari program yang beroperasi di dalam mesin virtual oleh perangkat lunak berbahaya yang beroperasi di luar mesin virtual.” Ancaman ini disebabkan oleh adanya kerentanan pada perangkat lunak hypervisor, yang memastikan bahwa ruang alamat yang digunakan untuk menyimpan data pengguna untuk program yang beroperasi di dalam mesin virtual diisolasi dari akses tidak sah oleh perangkat lunak berbahaya yang beroperasi di luar mesin virtual.
Implementasi ancaman ini dimungkinkan asalkan kode program jahat berhasil mengatasi batas-batas mesin virtual, tidak hanya dengan mengeksploitasi kerentanan hypervisor, tetapi juga dengan melakukan dampak seperti itu dari tingkat yang lebih rendah (relatif terhadap hypervisor). sistem berfungsi."
: “Ancamannya terletak pada kemungkinan akses tidak sah terhadap informasi yang dilindungi dari satu konsumen layanan cloud dari konsumen lain. Ancaman ini disebabkan oleh sifat teknologi cloud, konsumen layanan cloud harus berbagi infrastruktur cloud yang sama. Ancaman ini dapat terwujud jika terjadi kesalahan saat memisahkan elemen infrastruktur cloud antara konsumen layanan cloud, serta saat mengisolasi sumber daya dan memisahkan data satu sama lain.”
Anda hanya dapat melindungi diri dari ancaman ini dengan bantuan hypervisor, karena hypervisorlah yang mengelola sumber daya virtual. Oleh karena itu, hypervisor harus dianggap sebagai sarana perlindungan.
Dan sesuai dengan tertanggal 18 Februari 2013, hypervisor harus disertifikasi sebagai non-NDV pada level 4, jika tidak, penggunaan data pribadi level 1 dan 2 dengannya akan ilegal (“Klausul 12. ... Untuk memastikan keamanan data pribadi tingkat 1 dan 2, serta untuk memastikan keamanan data pribadi tingkat 3 dalam sistem informasi yang ancaman tipe 2 diklasifikasikan sebagai terkini, digunakan alat keamanan informasi, yang perangkat lunaknya telah diuji setidaknya menurut 4 tingkat kontrol atas tidak adanya kemampuan yang tidak diumumkan").
Hanya satu hypervisor, yang dikembangkan di Rusia, yang memiliki tingkat sertifikasi yang disyaratkan, NDV-4. . Sederhananya, ini bukan solusi yang paling populer. Cloud komersial biasanya dibangun berdasarkan VMware vSphere, KVM, Microsoft Hyper-V. Tak satu pun dari produk ini bersertifikat NDV-4. Mengapa? Kemungkinan besar memperoleh sertifikasi tersebut bagi produsen belum dapat dibenarkan secara ekonomi.
Dan yang tersisa bagi kami untuk data pribadi level 1 dan 2 di cloud publik hanyalah Horizon BC. Sedih tapi benar.
Bagaimana semuanya (menurut kami) benar-benar berfungsi
Pada pandangan pertama, semuanya cukup ketat: ancaman ini harus dihilangkan dengan mengkonfigurasi mekanisme perlindungan standar hypervisor yang disertifikasi menurut NDV-4 dengan benar. Tapi ada satu celah. Sesuai dengan Perintah FSTEC No.21 (“klausul 2 Keamanan data pribadi pada saat diproses dalam sistem informasi data pribadi (selanjutnya disebut sistem informasi) dijamin oleh operator atau orang yang memproses data pribadi atas nama operator sesuai dengan Federasi Rusia"), penyedia layanan secara independen menilai relevansi ancaman yang mungkin terjadi dan memilih tindakan perlindungan yang sesuai. Oleh karena itu, jika Anda tidak menerima ancaman UBI.44 dan UBI.101 sebagai ancaman terkini, maka tidak perlu menggunakan hypervisor yang disertifikasi menurut NDV-4, yang seharusnya memberikan perlindungan terhadap ancaman tersebut. Dan ini akan cukup untuk mendapatkan sertifikat kepatuhan cloud publik dengan keamanan data pribadi tingkat 1 dan 2, yang akan membuat Roskomnadzor puas sepenuhnya.
Tentu saja, selain Roskomnadzor, FSTEC mungkin juga melakukan inspeksi - dan organisasi ini jauh lebih teliti dalam masalah teknis. Dia mungkin akan tertarik mengapa sebenarnya ancaman UBI.44 dan UBI.101 dianggap tidak relevan? Namun biasanya FSTEC melakukan inspeksi hanya ketika menerima informasi tentang suatu kejadian penting. Dalam hal ini, layanan federal pertama kali datang ke operator data pribadi - yaitu pelanggan layanan cloud. Dalam kasus terburuk, operator menerima denda kecil - misalnya, untuk Twitter di awal tahun dalam kasus serupa berjumlah 5000 rubel. Kemudian FSTEC melangkah lebih jauh ke penyedia layanan cloud. Yang mungkin dicabut lisensinya karena kegagalan untuk mematuhi persyaratan peraturan - dan ini merupakan risiko yang sangat berbeda, baik bagi penyedia cloud maupun kliennya. Tapi, saya ulangi, Untuk mengecek FSTEC biasanya memerlukan alasan yang jelas. Jadi penyedia cloud bersedia mengambil risiko. Sampai kejadian serius pertama.
Ada juga sekelompok penyedia yang “lebih bertanggung jawab” yang percaya bahwa semua ancaman dapat diatasi dengan menambahkan add-on seperti vGate ke hypervisor. Namun dalam lingkungan virtual yang didistribusikan di antara pelanggan untuk beberapa ancaman (misalnya, UBI.101 di atas), mekanisme perlindungan yang efektif hanya dapat diterapkan pada tingkat hypervisor yang disertifikasi menurut NDV-4, karena sistem tambahan apa pun untuk fungsi standar hypervisor untuk mengelola sumber daya (khususnya, RAM) tidak berpengaruh.
Bagaimana kita bekerja
Kami memiliki segmen cloud yang diimplementasikan pada hypervisor yang disertifikasi oleh FSTEC (tetapi tanpa sertifikasi untuk NDV-4). Segmen ini tersertifikasi, sehingga data pribadi dapat disimpan di cloud berdasarkan segmen tersebut Tingkat keamanan 3 dan 4 — persyaratan untuk perlindungan terhadap kemampuan yang tidak diumumkan tidak perlu diperhatikan di sini. Berikut adalah arsitektur segmen cloud aman kami:
Sistem untuk data pribadi Tingkat keamanan 1 dan 2 Kami menerapkan hanya pada peralatan khusus. Hanya dalam kasus ini, misalnya, ancaman UBI.101 sebenarnya tidak relevan, karena rak server yang tidak disatukan oleh satu lingkungan virtual tidak dapat saling mempengaruhi meskipun berada di pusat data yang sama. Untuk kasus seperti itu, kami menawarkan layanan penyewaan peralatan khusus (disebut juga Perangkat Keras sebagai layanan).
Jika Anda tidak yakin tingkat keamanan apa yang diperlukan untuk sistem data pribadi Anda, kami juga membantu mengklasifikasikannya.
Keluaran
Riset pasar kecil kami menunjukkan bahwa beberapa operator cloud bersedia mempertaruhkan keamanan data pelanggan dan masa depan mereka sendiri untuk menerima pesanan. Namun dalam hal ini kami menganut kebijakan yang berbeda, yang telah kami jelaskan secara singkat di atas. Kami akan dengan senang hati menjawab pertanyaan Anda di komentar.
Sumber: www.habr.com