Ekki er langt síðan við gerðum annað mat á samræmi við kröfur GOST R 57580 (hér á eftir nefnt einfaldlega GOST). Viðskiptavinurinn er fyrirtæki sem þróar rafrænt greiðslukerfi. Kerfið er alvarlegt: meira en 3 milljónir notenda, meira en 200 þúsund viðskipti daglega. Þar taka þeir upplýsingaöryggi mjög alvarlega.
Í matsferlinu tilkynnti viðskiptavinurinn af frjálsum vilja að þróunardeildin, auk sýndarvéla, hygðist nota ílát. En með þessu, bætti viðskiptavinurinn við, er eitt vandamál: í GOST er ekki orð um sama Docker. Hvað ætti ég að gera? Hvernig á að meta öryggi gáma?
Það er satt, GOST skrifar aðeins um sýndarvæðingu vélbúnaðar - um hvernig eigi að vernda sýndarvélar, yfirsýnara og netþjón. Við báðum Seðlabankann um skýringar. Svarið kom okkur á óvart.
GOST og sýndarvæðing
Til að byrja með skulum við muna að GOST R 57580 er nýr staðall sem tilgreinir „kröfur til að tryggja upplýsingaöryggi fjármálastofnana“ (FI). Í þessum sjóðum eru rekstraraðilar og þátttakendur greiðslukerfa, lána- og lánastofnanir, rekstrar- og jöfnunarstöðvar.
Frá 1. janúar 2021 er FIs skylt að sinna . Við, ITGLOBAL.COM, erum endurskoðunarfyrirtæki sem framkvæmir slíkt mat.
GOST er með undirkafla sem er tileinkaður vernd sýndarumhverfis - nr. 7.8. Hugtakið „sýndarvæðing“ er ekki tilgreint þar; það er engin skipting í vélbúnað og gáma sýndarvæðingu. Sérhver upplýsingatæknifræðingur mun segja að frá tæknilegu sjónarmiði sé þetta rangt: sýndarvél (VM) og ílát eru mismunandi umhverfi, með mismunandi einangrunarreglur. Frá sjónarhóli varnarleysis gestgjafans sem VM og Docker gámarnir eru settir á er þetta líka mikill munur.
Í ljós kemur að mat á upplýsingaöryggi VM og gáma ætti einnig að vera öðruvísi.
Spurningar okkar til Seðlabankans
Við sendum þær til upplýsingaöryggisdeildar Seðlabankans (við kynnum spurningarnar í styttri mynd).
- Hvernig á að huga að sýndargámum af Docker-gerð þegar GOST samræmi er metið? Er rétt að meta tækni í samræmi við undirkafla 7.8 í GOST?
- Hvernig á að meta sýndargámastjórnunartæki? Er hægt að jafna þeim við sýndarvæðingaríhluti netþjóna og meta þá samkvæmt sama undirkafla GOST?
- Þarf ég að meta sérstaklega öryggi upplýsinga í Docker gámum? Ef svo er, hvaða varúðarráðstafanir ætti að hafa í huga vegna þessa í matsferlinu?
- Ef gámavæðing er jöfnuð við sýndarinnviði og er metin samkvæmt undirkafla 7.8, hvernig eru kröfur GOST um innleiðingu sérstakra upplýsingaöryggistækja útfærðar?
Svar Seðlabankans
Hér að neðan eru helstu útdrættir.
„GOST R 57580.1-2017 setur kröfur um innleiðingu með beitingu tæknilegra ráðstafana í tengslum við eftirfarandi ráðstafanir ZI undirkafla 7.8 í GOST R 57580.1-2017, sem, að mati deildarinnar, má útvíkka til tilvika þar sem sýndarvæðing íláta er notuð. tækni, að teknu tilliti til eftirfarandi:
- innleiðing ráðstafana ZSV.1 - ZSV.11 til að skipuleggja auðkenningu, auðkenningu, heimild (aðgangsstýringu) við innleiðingu á rökréttum aðgangi að sýndarvélum og sýndarvæðingarmiðlarahlutum getur verið frábrugðið tilfellum um notkun gáma virtualization tækni. Að teknu tilliti til þessa, til að hrinda í framkvæmd fjölda aðgerða (til dæmis ZVS.6 og ZVS.7), teljum við að hægt sé að mæla með því að fjármálastofnanir þrói jöfnunaraðgerðir sem munu stefna að sömu markmiðum;
- framkvæmd ráðstafana ZSV.13 - ZSV.22 fyrir skipulag og eftirlit með upplýsingasamskiptum sýndarvéla er kveðið á um skiptingu tölvunets fjármálastofnunar til að greina á milli upplýsingatæknihluta sem innleiða sýndarvæðingartækni og tilheyra mismunandi öryggisrásum. Að teknu tilliti til þessa teljum við ráðlegt að kveða á um viðeigandi skiptingu þegar sýndartækni í gáma er notuð (bæði í tengslum við keyranlega sýndargáma og í tengslum við sýndarvæðingarkerfi sem notuð eru á stýrikerfisstigi);
- innleiðing ráðstafana ZSV.26, ZSV.29 - ZSV.31 til að skipuleggja vernd myndar af sýndarvélum ætti að fara fram með hliðstæðum hætti einnig til að vernda grunn- og núverandi myndir af sýndarílátum;
- innleiðing ráðstafana ZVS.32 - ZVS.43 til að skrá upplýsingaöryggisatburði sem tengjast aðgangi að sýndarvélum og sýndarvæðingarhlutum miðlara ætti að fara fram á hliðstæðan hátt, einnig í tengslum við þætti sýndarvæðingarumhverfisins sem innleiða gáma-virtunartækni.
Hvað þýðir þetta
Tvær meginniðurstöður úr svari upplýsingaöryggisdeildar Seðlabankans:
- ráðstafanir til að vernda gáma eru ekkert frábrugðnar ráðstöfunum til að vernda sýndarvélar;
- Af þessu leiðir að í samhengi upplýsingaöryggis leggur Seðlabankinn að jöfnu tvenns konar sýndarvæðingu - Docker gáma og VM.
Í svarinu er einnig minnst á „uppbótarráðstafanir“ sem beita þarf til að gera hótanir óvirkar. Það er bara óljóst hverjar þessar „uppbótarráðstafanir“ eru og hvernig á að mæla hæfi þeirra, heilleika og skilvirkni.
Hvað er athugavert við stöðu Seðlabankans?
Ef þú notar ráðleggingar Seðlabankans við mat (og sjálfsmat) þarftu að leysa ýmsa tæknilega og rökræna erfiðleika.
- Hvert keyranlegt gámur krefst uppsetningar á upplýsingaverndarhugbúnaði (IP) á það: vírusvarnarefni, heilleikavöktun, vinna með logs, DLP kerfi (Data Leak Prevention) og svo framvegis. Allt þetta er hægt að setja upp á VM án vandræða, en ef um gám er að ræða er uppsetning upplýsingaöryggis fáránleg ráðstöfun. Ílátið inniheldur lágmarksmagn af „líkamsbúnaði“ sem þarf til að þjónustan virki. Að setja upp SZI í það stangast á við merkingu þess.
- Gámamyndir ættu að vera verndaðar samkvæmt sömu reglu; hvernig á að útfæra þetta er líka óljóst.
- GOST krefst þess að takmarka aðgang að sýndarvæðingarhlutum miðlara, þ.e.a.s. að hypervisor. Hvað er talið miðlarahluti þegar um Docker er að ræða? Þýðir þetta ekki að keyra þarf hvern gám á sérstakan hýsil?
- Ef fyrir hefðbundna sýndarvæðingu er hægt að afmarka VM með öryggisútlínum og nethlutum, þá er þetta ekki raunin þegar um er að ræða Docker gáma innan sama hýsils.
Í reynd er líklegt að hver endurskoðandi meti öryggi gáma á sinn hátt út frá eigin þekkingu og reynslu. Jæja, eða ekki meta það yfirleitt, ef það er hvorki eitt né annað.
Bara til að tryggja að við bætum því við að frá 1. janúar 2021 má lágmarkseinkunn ekki vera lægri en 0,7.
Við the vegur, við birtum reglulega svör og athugasemdir frá eftirlitsaðilum sem tengjast kröfum GOST 57580 og reglugerðar Seðlabankans í okkar .
Hvað á að gera
Að okkar mati hafa fjármálastofnanir aðeins tvo kosti til að leysa vandann.
1. Forðastu að útfæra ílát
Lausn fyrir þá sem eru tilbúnir að hafa efni á því að nota eingöngu virtualization vélbúnaðar og eru á sama tíma hræddir við lágar einkunnir samkvæmt GOST og sektir frá Seðlabankanum.
A plús: það er auðveldara að uppfylla kröfur undirkafla 7.8 í GOST.
Mínus: Við verðum að yfirgefa ný þróunarverkfæri sem byggjast á sýndarvæðingu gáma, einkum Docker og Kubernetes.
2. Neita að uppfylla kröfur undirkafla 7.8 í GOST
En á sama tíma skaltu beita bestu starfsvenjum við að tryggja upplýsingaöryggi þegar unnið er með gáma. Þetta er lausn fyrir þá sem meta nýja tækni og tækifærin sem hún gefur. Með „bestu starfsvenjum“ er átt við staðla og staðla sem eru viðurkennd af iðnaði til að tryggja öryggi Docker gáma:
- öryggi hýsingarkerfisins, rétt stillt skráning, bann við gagnaskiptum milli gáma og svo framvegis;
- nota Docker Trust aðgerðina til að athuga heilleika mynda og nota innbyggða varnarleysisskannann;
- Við megum ekki gleyma öryggi fjaraðgangs og netlíkansins í heild: Árásum eins og ARP-spoofing og MAC-flóð hefur ekki verið hætt.
A plús: engar tæknilegar takmarkanir á notkun gáma virtualization.
Mínus: það eru miklar líkur á því að eftirlitsaðilinn muni refsa fyrir að ekki sé farið að kröfum GOST.
Ályktun
Viðskiptavinur okkar ákvað að gefa ekki upp gáma. Á sama tíma þurfti hann að endurskoða verulega umfang vinnunnar og tímasetningu skipta yfir í Docker (þau stóðu í sex mánuði). Viðskiptavinurinn skilur áhættuna mjög vel. Hann skilur einnig að við næsta mat á samræmi við GOST R 57580 mun mikið velta á endurskoðandanum.
Hvað myndir þú gera í þessari stöðu?
Heimild: www.habr.com