ProHoster > blog > administrasi > Cara berteman dengan gost r 57580 dan virtualisasi container. Tanggapan Bank Sentral (dan pemikiran kami mengenai hal ini)

Cara berteman dengan gost r 57580 dan virtualisasi container. Tanggapan Bank Sentral (dan pemikiran kami mengenai hal ini)

Belum lama ini kami melakukan penilaian lain terhadap kepatuhan terhadap persyaratan Gost R 57580 (selanjutnya disebut hanya gost). Klien adalah perusahaan yang mengembangkan sistem pembayaran elektronik. Sistemnya serius: lebih dari 3 juta pengguna, lebih dari 200 ribu transaksi setiap hari. Mereka sangat memperhatikan keamanan informasi di sana.

Selama proses evaluasi, klien dengan santai mengumumkan bahwa departemen pengembangan, selain mesin virtual, berencana untuk menggunakan container. Tetapi dengan ini, klien menambahkan, ada satu masalah: di Gost tidak ada sepatah kata pun tentang Docker yang sama. Apa yang harus saya lakukan? Bagaimana cara mengevaluasi keamanan kontainer?

Cara berteman dengan gost r 57580 dan virtualisasi container. Tanggapan Bank Sentral (dan pemikiran kami mengenai hal ini)

Memang benar, GOST hanya menulis tentang virtualisasi perangkat keras - tentang cara melindungi mesin virtual, hypervisor, dan server. Kami meminta klarifikasi dari Bank Sentral. Jawabannya membingungkan kami.

Gost dan virtualisasi

Pertama-tama, mari kita ingat bahwa GOST R 57580 adalah standar baru yang menetapkan “persyaratan untuk memastikan keamanan informasi organisasi keuangan” (FI). FI ini mencakup operator dan peserta sistem pembayaran, organisasi kredit dan non-kredit, pusat operasional dan kliring.

Mulai 1 Januari 2021, FI wajib melakukan penilaian kepatuhan terhadap persyaratan Gost baru. Kami, ITGLOBAL.COM, adalah perusahaan audit yang melakukan penilaian tersebut.

GOST memiliki subbagian yang didedikasikan untuk perlindungan lingkungan tervirtualisasi - No. 7.8. Istilah "virtualisasi" tidak ditentukan di sana, tidak ada pembagian menjadi virtualisasi perangkat keras dan wadah. Setiap spesialis IT akan mengatakan bahwa dari sudut pandang teknis hal ini salah: mesin virtual (VM) dan container adalah lingkungan yang berbeda, dengan prinsip isolasi yang berbeda. Dari sudut pandang kerentanan host tempat VM dan container Docker diterapkan, ini juga merupakan perbedaan besar.

Ternyata penilaian terhadap keamanan informasi VM dan container juga harus berbeda.

Pertanyaan kami kepada Bank Sentral

Kami mengirimkannya ke Departemen Keamanan Informasi Bank Sentral (kami menyajikan pertanyaan dalam bentuk singkat).

  1. Bagaimana cara mempertimbangkan wadah virtual tipe Docker saat menilai kepatuhan terhadap gost? Apakah benar mengevaluasi teknologi sesuai dengan sub-bagian 7.8 GOST?
  2. Bagaimana cara mengevaluasi alat manajemen kontainer virtual? Apakah mungkin untuk menyamakannya dengan komponen virtualisasi server dan mengevaluasinya sesuai dengan subbagian yang sama dari Gost?
  3. Apakah saya perlu mengevaluasi keamanan informasi di dalam container Docker secara terpisah? Jika ya, upaya perlindungan apa yang harus dipertimbangkan selama proses penilaian?
  4. Jika containerisasi disamakan dengan infrastruktur virtual dan dinilai berdasarkan sub-bagian 7.8, bagaimana persyaratan GOST untuk penerapan alat keamanan informasi khusus diterapkan?

Tanggapan Bank Sentral

Di bawah ini adalah kutipan utamanya.

“GOST R 57580.1-2017 menetapkan persyaratan untuk implementasi melalui penerapan tindakan teknis sehubungan dengan tindakan berikut ZI sub-bagian 7.8 dari GOST R 57580.1-2017, yang, menurut pendapat Departemen, dapat diperluas ke kasus penggunaan virtualisasi kontainer teknologi, dengan mempertimbangkan hal-hal berikut:

  • penerapan langkah-langkah ZSV.1 - ZSV.11 untuk mengatur identifikasi, otentikasi, otorisasi (kontrol akses) ketika menerapkan akses logis ke mesin virtual dan komponen server virtualisasi mungkin berbeda dari kasus penggunaan teknologi virtualisasi kontainer. Dengan mempertimbangkan hal ini, untuk menerapkan sejumlah tindakan (misalnya, ZVS.6 dan ZVS.7), kami yakin bahwa lembaga keuangan dapat direkomendasikan untuk mengembangkan tindakan kompensasi yang akan mencapai tujuan yang sama;
  • penerapan langkah-langkah ZSV.13 - ZSV.22 untuk mengatur dan mengendalikan interaksi informasi mesin virtual menyediakan segmentasi jaringan komputer organisasi keuangan untuk membedakan antara objek informasi yang menerapkan teknologi virtualisasi dan termasuk dalam sirkuit keamanan yang berbeda. Dengan mempertimbangkan hal ini, kami yakin disarankan untuk menyediakan segmentasi yang tepat saat menggunakan teknologi virtualisasi container (baik dalam kaitannya dengan container virtual yang dapat dieksekusi maupun dalam kaitannya dengan sistem virtualisasi yang digunakan pada tingkat sistem operasi);
  • penerapan langkah-langkah ZSV.26, ZSV.29 - ZSV.31 untuk mengatur perlindungan gambar mesin virtual harus dilakukan dengan analogi juga untuk melindungi gambar dasar dan terkini dari wadah virtual;
  • penerapan tindakan ZVS.32 - ZVS.43 untuk mencatat peristiwa keamanan informasi terkait akses ke mesin virtual dan komponen virtualisasi server harus dilakukan dengan analogi juga dalam kaitannya dengan elemen lingkungan virtualisasi yang menerapkan teknologi virtualisasi container.”

Apa artinya

Dua kesimpulan utama dari tanggapan Departemen Keamanan Informasi Bank Sentral:

  • tindakan untuk melindungi container tidak berbeda dengan tindakan untuk melindungi mesin virtual;
  • Oleh karena itu, dalam konteks keamanan informasi, Bank Sentral menyamakan dua jenis virtualisasi - container Docker dan VM.

Tanggapan tersebut juga menyebutkan “langkah-langkah kompensasi” yang perlu diterapkan untuk menetralisir ancaman. Masih belum jelas apa yang dimaksud dengan “langkah-langkah kompensasi” ini dan bagaimana mengukur kecukupan, kelengkapan dan efektivitasnya.

Apa yang salah dengan posisi Bank Sentral?

Jika kita menggunakan rekomendasi Bank Sentral selama penilaian (dan penilaian mandiri), kita perlu menyelesaikan sejumlah kesulitan teknis dan logis.

  • Setiap kontainer yang dapat dieksekusi memerlukan instalasi perangkat lunak perlindungan informasi (IP) di dalamnya: antivirus, pemantauan integritas, bekerja dengan log, sistem DLP (Pencegahan Kebocoran Data), dan sebagainya. Semua ini dapat diinstal pada VM tanpa masalah, tetapi dalam kasus container, menginstal keamanan informasi adalah langkah yang tidak masuk akal. Wadah tersebut berisi jumlah minimum “body kit” yang diperlukan agar layanan dapat berfungsi. Memasang SZI di dalamnya bertentangan dengan maknanya.
  • Gambar container harus dilindungi berdasarkan prinsip yang sama; cara menerapkannya juga masih belum jelas.
  • GOST memerlukan pembatasan akses ke komponen virtualisasi server, yaitu ke hypervisor. Apa yang dianggap sebagai komponen server dalam kasus Docker? Bukankah ini berarti setiap container harus dijalankan di host terpisah?
  • Jika untuk virtualisasi konvensional dimungkinkan untuk membatasi VM berdasarkan kontur keamanan dan segmen jaringan, maka dalam kasus kontainer Docker dalam host yang sama, hal ini tidak terjadi.

Dalam praktiknya, kemungkinan besar setiap auditor akan menilai keamanan kontainer dengan caranya sendiri, berdasarkan pengetahuan dan pengalamannya sendiri. Ya, atau jangan evaluasi sama sekali, jika tidak ada yang satu atau yang lain.

Untuk berjaga-jaga, kami akan menambahkan bahwa mulai 1 Januari 2021, skor minimum tidak boleh lebih rendah dari 0,7.

Omong-omong, kami secara teratur memposting tanggapan dan komentar dari regulator terkait dengan persyaratan GOST 57580 dan Peraturan Bank Sentral di kami saluran telegram.

Apa yang harus dilakukan

Menurut pendapat kami, lembaga keuangan hanya memiliki dua pilihan untuk memecahkan masalah ini.

1. Hindari penerapan container

Sebuah solusi bagi mereka yang bersedia hanya menggunakan virtualisasi perangkat keras dan pada saat yang sama takut akan peringkat rendah menurut Gost dan denda dari Bank Sentral.

Sebuah tambahan: lebih mudah untuk mematuhi persyaratan sub-bagian 7.8 Gost.

dikurangi: Kita harus meninggalkan alat pengembangan baru berdasarkan virtualisasi container, khususnya Docker dan Kubernetes.

2. Menolak untuk mematuhi persyaratan ayat 7.8 Gost

Namun pada saat yang sama, terapkan praktik terbaik dalam memastikan keamanan informasi saat bekerja dengan container. Ini adalah solusi bagi mereka yang menghargai teknologi baru dan peluang yang diberikannya. Yang kami maksud dengan “praktik terbaik” adalah norma dan standar yang diterima industri untuk memastikan keamanan container Docker:

  • keamanan OS host, logging yang dikonfigurasi dengan benar, larangan pertukaran data antar container, dan sebagainya;
  • menggunakan fungsi Docker Trust untuk memeriksa integritas gambar dan menggunakan pemindai kerentanan bawaan;
  • Kita tidak boleh melupakan keamanan akses jarak jauh dan model jaringan secara keseluruhan: serangan seperti ARP-spoofing dan MAC-flooding belum dibatalkan.

Sebuah tambahan: tidak ada batasan teknis dalam penggunaan virtualisasi container.

dikurangi: ada kemungkinan besar bahwa regulator akan menghukum karena ketidakpatuhan terhadap persyaratan GOST.

Kesimpulan

Klien kami memutuskan untuk tidak menyerahkan kontainer. Pada saat yang sama, dia harus mempertimbangkan kembali secara signifikan ruang lingkup pekerjaan dan waktu transisi ke Docker (berlangsung selama enam bulan). Klien memahami risikonya dengan sangat baik. Dia juga memahami bahwa selama penilaian kepatuhan berikutnya terhadap GOST R 57580, banyak hal akan bergantung pada auditor.

Apa yang akan Anda lakukan dalam situasi ini?

Sumber: www.habr.com

Tambah komentar