Un giorno abbiamo ricevuto una richiesta di servizi cloud. Abbiamo delineato in termini generali ciò che ci sarebbe stato richiesto e abbiamo inviato un elenco di domande per chiarire i dettagli. Poi abbiamo analizzato le risposte e abbiamo capito: il cliente vuole inserire nel cloud i dati personali del secondo livello di sicurezza. Gli rispondiamo: "Hai un secondo livello di dati personali, scusa, possiamo solo creare un cloud privato". E lui: “Sai, ma nell’azienda X mi possono postare tutto pubblicamente”.
Foto di Steve Crisp, Reuters
Cose strane! Siamo andati al sito web dell'azienda X, abbiamo studiato i loro documenti di certificazione, abbiamo scosso la testa e ci siamo resi conto: ci sono molte domande aperte nel posizionamento dei dati personali e dovrebbero essere affrontate in modo approfondito. Questo è ciò che faremo in questo post.
Come dovrebbe funzionare tutto
Per prima cosa, vediamo quali criteri vengono utilizzati per classificare i dati personali secondo l’uno o l’altro livello di sicurezza. Ciò dipende dalla categoria dei dati, dal numero di soggetti dei dati che l'operatore memorizza ed elabora, nonché dal tipo di minacce attuali.
I tipi di minacce attuali sono definiti in del 1 novembre 2012 “Sull'approvazione dei requisiti per la protezione dei dati personali durante il loro trattamento nei sistemi di informazione dei dati personali”:
“Le minacce di tipo 1 sono rilevanti per un sistema informativo se lo include minacce attuali relative a con la presenza di capacità non documentate (non dichiarate). nel software di sistemautilizzati nel sistema informativo.
Le minacce del 2o tipo sono rilevanti per il sistema informativo se per esso, incluso minacce attuali relative a con la presenza di capacità non documentate (non dichiarate). nel software applicativoutilizzati nel sistema informativo.
Le minacce del 3° tipo sono rilevanti per un sistema informativo minacce non correlate con la presenza di capacità non documentate (non dichiarate). nel software di sistema e applicativoutilizzati nel sistema informativo."
La cosa principale in queste definizioni è la presenza di capacità non documentate (non dichiarate). Per confermare l'assenza di funzionalità software non documentate (nel caso del cloud si tratta di un hypervisor), la certificazione viene effettuata da FSTEC della Russia. Se l'operatore PD accetta che tali funzionalità non siano presenti nel software, le minacce corrispondenti sono irrilevanti. Le minacce di tipo 1 e 2 sono estremamente raramente considerate rilevanti dagli operatori PD.
Oltre a determinare il livello di sicurezza PD, il gestore deve anche determinare le minacce attuali concrete per il cloud pubblico e, sulla base del livello di sicurezza PD identificato e delle minacce attuali, determinare le misure e i mezzi di protezione necessari contro di esse.
FSTEC elenca chiaramente tutte le principali minacce presenti (database delle minacce). I fornitori e i valutatori dell'infrastruttura cloud utilizzano questo database nel loro lavoro. Ecco alcuni esempi di minacce:
: "La minaccia è la possibilità di violare la sicurezza dei dati utente dei programmi che operano all'interno di una macchina virtuale da parte di software dannoso che opera all'esterno della macchina virtuale." Questa minaccia è dovuta alla presenza di vulnerabilità nel software dell'hypervisor, che garantisce che lo spazio degli indirizzi utilizzato per archiviare i dati utente per i programmi che operano all'interno della macchina virtuale sia isolato dall'accesso non autorizzato da parte di software dannoso che opera all'esterno della macchina virtuale.
L'implementazione di questa minaccia è possibile a condizione che il codice del programma dannoso superi con successo i limiti della macchina virtuale, non solo sfruttando le vulnerabilità dell'hypervisor, ma anche effettuando un tale impatto da livelli di protezione inferiori (rispetto all'hypervisor). funzionamento del sistema."
: “La minaccia risiede nella possibilità di accesso non autorizzato alle informazioni protette di un consumatore di servizi cloud da un altro. Questa minaccia è dovuta al fatto che, a causa della natura delle tecnologie cloud, i consumatori dei servizi cloud devono condividere la stessa infrastruttura cloud. Questa minaccia può realizzarsi se vengono commessi errori nel separare gli elementi dell’infrastruttura cloud tra i consumatori dei servizi cloud, così come nell’isolare le loro risorse e nel separare i dati gli uni dagli altri”.
Puoi proteggerti da queste minacce solo con l'aiuto di un hypervisor, poiché è lui che gestisce le risorse virtuali. Pertanto, l'hypervisor deve essere considerato come uno strumento di protezione.
E in conformità con del 18 febbraio 2013, l'hypervisor deve essere certificato come non NDV di livello 4, altrimenti l'utilizzo dei dati personali di livello 1 e 2 con esso sarà illegale (“Clausola 12. ... Per garantire i livelli 1 e 2 di sicurezza dei dati personali, nonché per garantire il livello 3 di sicurezza dei dati personali nei sistemi informativi per i quali le minacce di tipo 2 sono classificate come attuali, vengono utilizzati strumenti di sicurezza delle informazioni, il cui software è stato testato almeno secondo il livello di controllo 4 sull'assenza di capacità non dichiarate").
Solo un hypervisor, sviluppato in Russia, ha il livello di certificazione richiesto, NDV-4. . Per usare un eufemismo, non è la soluzione più popolare. I cloud commerciali, di norma, sono costruiti sulla base di VMware vSphere, KVM, Microsoft Hyper-V. Nessuno di questi prodotti è certificato NDV-4. Perché? È probabile che l'ottenimento di tale certificazione per i produttori non sia ancora economicamente giustificato.
E tutto ciò che ci resta per i dati personali di livello 1 e 2 nel cloud pubblico è Horizon BC. Triste ma vero.
Come tutto (secondo noi) funziona davvero
A prima vista, tutto è abbastanza rigido: queste minacce devono essere eliminate configurando correttamente i meccanismi di protezione standard di un hypervisor certificato secondo NDV-4. Ma c'è una scappatoia. In conformità con l'ordinanza FSTEC n. 21 ("clausola 2 La sicurezza dei dati personali durante il trattamento nel sistema di informazione dei dati personali (di seguito denominato sistema di informazione) è garantita dall'operatore o dalla persona che tratta i dati personali per conto dell'operatore in conformità con Federazione Russa"), i fornitori valutano in modo indipendente la rilevanza delle possibili minacce e scelgono di conseguenza le misure di protezione. Se quindi non si accettano come attuali le minacce UBI.44 e UBI.101, non sarà necessario utilizzare un hypervisor certificato secondo NDV-4, che è proprio quello che dovrebbe fornire protezione contro di esse. E questo sarà sufficiente per ottenere un certificato di conformità del cloud pubblico ai livelli 1 e 2 di sicurezza dei dati personali, di cui Roskomnadzor sarà completamente soddisfatto.
Naturalmente, oltre a Roskomnadzor, FSTEC può effettuare un'ispezione e questa organizzazione è molto più meticolosa in questioni tecniche. Probabilmente le interesserà sapere perché esattamente le minacce UBI.44 e UBI.101 sono state considerate irrilevanti? Ma di solito l'FSTEC effettua un'ispezione solo quando riceve informazioni su un incidente significativo. In questo caso, il servizio federale arriva prima all'operatore dei dati personali, ovvero al cliente dei servizi cloud. Nel peggiore dei casi, l'operatore riceve una piccola multa, ad esempio per Twitter all'inizio dell'anno in un caso simile ammontavano a 5000 rubli. Quindi FSTEC va oltre al fornitore di servizi cloud. Che potrebbe essere privato della licenza a causa del mancato rispetto dei requisiti normativi - e questi sono rischi completamente diversi, sia per il fornitore di servizi cloud che per i suoi clienti. Ma, ripeto, Per verificare FSTEC, di solito è necessaria una motivazione chiara. Quindi i fornitori di servizi cloud sono disposti a correre dei rischi. Fino al primo grave incidente.
Esiste anche un gruppo di fornitori “più responsabili” che ritiene che sia possibile eliminare tutte le minacce aggiungendo un componente aggiuntivo come vGate all’hypervisor. Ma in un ambiente virtuale distribuito tra i clienti per alcune minacce (ad esempio, la suddetta UBI.101), un meccanismo di protezione efficace può essere implementato solo a livello di un hypervisor certificato secondo NDV-4, poiché eventuali sistemi aggiuntivi per non incidono le funzionalità standard dell'hypervisor per la gestione delle risorse (in particolare la RAM).
Come lavoriamo
Abbiamo un segmento cloud implementato su un hypervisor certificato da FSTEC (ma senza certificazione per NDV-4). Questo segmento è certificato, quindi i dati personali possono essere archiviati nel cloud in base ad esso 3 e 4 livelli di sicurezza — in questo caso non è necessario rispettare i requisiti di protezione contro le capacità non dichiarate. Ecco, a proposito, l'architettura del nostro segmento cloud sicuro:
Sistemi per i dati personali 1 e 2 livelli di sicurezza Implementiamo solo su apparecchiature dedicate. Solo in questo caso, ad esempio, la minaccia UBI.101 non è realmente rilevante, poiché i server rack che non sono uniti da un unico ambiente virtuale non possono influenzarsi a vicenda anche se si trovano nello stesso data center. Per questi casi offriamo un servizio di noleggio attrezzature dedicato (chiamato anche Hardware as a service).
Se non sei sicuro del livello di sicurezza richiesto per il tuo sistema di dati personali, ti aiutiamo anche a classificarlo.
conclusione
La nostra piccola ricerca di mercato ha dimostrato che alcuni operatori cloud sono disposti a rischiare sia la sicurezza dei dati dei clienti che il proprio futuro per ricevere un ordine. Ma in queste questioni aderiamo ad una politica diversa, che abbiamo brevemente descritto poco sopra. Saremo felici di rispondere alle vostre domande nei commenti.
Fonte: habr.com