Non molto tempo fa abbiamo effettuato un'altra valutazione della conformità ai requisiti di GOST R 57580 (di seguito semplicemente GOST). Il cliente è un'azienda che sviluppa un sistema di pagamento elettronico. Il sistema è serio: più di 3 milioni di utenti, più di 200mila transazioni giornaliere. Lì prendono molto sul serio la sicurezza delle informazioni.
Durante il processo di valutazione, il cliente ha annunciato casualmente che il reparto di sviluppo, oltre alle macchine virtuali, prevede di utilizzare i container. Ma con questo, ha aggiunto il cliente, c'è un problema: in GOST non c'è una parola sullo stesso Docker. Cosa dovrei fare? Come valutare la sicurezza dei container?
È vero, GOST scrive solo sulla virtualizzazione dell'hardware, su come proteggere le macchine virtuali, l'hypervisor e il server. Abbiamo chiesto chiarimenti alla Banca Centrale. La risposta ci ha lasciato perplessi.
GOST e virtualizzazione
Per cominciare, ricordiamo che GOST R 57580 è un nuovo standard che specifica i "requisiti per garantire la sicurezza delle informazioni delle organizzazioni finanziarie" (FI). Questi intermediari finanziari includono operatori e partecipanti ai sistemi di pagamento, organizzazioni creditizie e non creditizie, centri operativi e di compensazione.
Dal 1° gennaio 2021 gli FI sono tenuti a condurre . Noi, ITGLOBAL.COM, siamo una società di revisione che conduce tali valutazioni.
GOST ha una sottosezione dedicata alla protezione degli ambienti virtualizzati - N. 7.8. Il termine “virtualizzazione” non è specificato lì; non c’è divisione in hardware e virtualizzazione del contenitore. Qualsiasi specialista IT dirà che da un punto di vista tecnico questo non è corretto: una macchina virtuale (VM) e un contenitore sono ambienti diversi, con principi di isolamento diversi. Anche questa è una grande differenza dal punto di vista della vulnerabilità dell’host su cui sono distribuiti i contenitori VM e Docker.
Risulta che anche la valutazione della sicurezza delle informazioni di VM e container dovrebbe essere diversa.
Le nostre domande alla Banca Centrale
Li abbiamo inviati al Dipartimento di Sicurezza delle Informazioni della Banca Centrale (presentiamo le domande in forma abbreviata).
- Come considerare i contenitori virtuali di tipo Docker nella valutazione della conformità GOST? È corretto valutare la tecnologia in conformità con la sottosezione 7.8 di GOST?
- Come valutare gli strumenti di gestione dei contenitori virtuali? È possibile equipararli ai componenti di virtualizzazione del server e valutarli secondo la stessa sottosezione di GOST?
- Devo valutare separatamente la sicurezza delle informazioni all'interno dei contenitori Docker? In tal caso, quali garanzie dovrebbero essere prese in considerazione durante il processo di valutazione?
- Se la containerizzazione è equiparata all'infrastruttura virtuale e viene valutata secondo la sottosezione 7.8, come vengono implementati i requisiti GOST per l'implementazione di strumenti speciali di sicurezza delle informazioni?
La risposta della Banca Centrale
Di seguito sono riportati gli estratti principali.
“GOST R 57580.1-2017 stabilisce i requisiti per l'implementazione attraverso l'applicazione di misure tecniche in relazione alle seguenti misure ZI sottosezione 7.8 di GOST R 57580.1-2017, che, a parere del Dipartimento, può essere esteso ai casi di utilizzo della virtualizzazione dei container tecnologie, tenendo conto di quanto segue:
- l'implementazione delle misure ZSV.1 - ZSV.11 per l'organizzazione dell'identificazione, dell'autenticazione, dell'autorizzazione (controllo degli accessi) quando si implementa l'accesso logico alle macchine virtuali e ai componenti del server di virtualizzazione può differire dai casi di utilizzo della tecnologia di virtualizzazione dei contenitori. Tenendo conto di ciò, al fine di attuare una serie di misure (ad esempio, ZVS.6 e ZVS.7), riteniamo che sia possibile raccomandare agli istituti finanziari di sviluppare misure compensative che perseguano gli stessi obiettivi;
- l'attuazione delle misure ZSV.13 - ZSV.22 per l'organizzazione e il controllo dell'interazione informativa delle macchine virtuali prevede la segmentazione della rete informatica di un'organizzazione finanziaria per distinguere tra oggetti di informatizzazione che implementano la tecnologia di virtualizzazione e appartengono a diversi circuiti di sicurezza. Tenuto conto di ciò, riteniamo opportuno prevedere un'adeguata segmentazione nell'utilizzo della tecnologia di virtualizzazione dei contenitori (sia in relazione ai contenitori virtuali eseguibili, sia in relazione ai sistemi di virtualizzazione utilizzati a livello di sistema operativo);
- l'attuazione delle misure ZSV.26, ZSV.29 - ZSV.31 per organizzare la protezione delle immagini delle macchine virtuali dovrebbe essere effettuata per analogia anche al fine di proteggere le immagini di base e attuali dei contenitori virtuali;
- l’implementazione delle misure ZVS.32 - ZVS.43 per la registrazione degli eventi di sicurezza informatica relativi all’accesso alle macchine virtuali e ai componenti di virtualizzazione dei server dovrebbe essere effettuata per analogia anche in relazione agli elementi dell’ambiente di virtualizzazione che implementano la tecnologia di virtualizzazione dei container.”
Cosa vuol dire
Due conclusioni principali dalla risposta del Dipartimento per la sicurezza delle informazioni della Banca centrale:
- le misure per proteggere i contenitori non sono diverse dalle misure per proteggere le macchine virtuali;
- Ne consegue che, nel contesto della sicurezza informatica, la Banca Centrale identifica due tipi di virtualizzazione: i contenitori Docker e le VM.
La risposta menziona anche “misure compensative” che devono essere applicate per neutralizzare le minacce. Non è chiaro cosa siano queste “misure compensative” e come misurarne l’adeguatezza, la completezza e l’efficacia.
Cosa c'è di sbagliato nella posizione della Banca Centrale?
Se si utilizzano le raccomandazioni della Banca Centrale durante la valutazione (e l'autovalutazione), è necessario risolvere una serie di difficoltà tecniche e logiche.
- Ogni contenitore eseguibile richiede l'installazione di un software di protezione delle informazioni (IP): antivirus, monitoraggio dell'integrità, utilizzo dei registri, sistemi DLP (Data Leak Prevention) e così via. Tutto questo può essere installato su una VM senza problemi, ma nel caso di un container installare la sicurezza informatica è una mossa assurda. Il contenitore contiene la quantità minima di “body kit” necessaria per il funzionamento del servizio. L'installazione di un SZI contraddice il suo significato.
- Le immagini dei contenitori dovrebbero essere protette secondo lo stesso principio; anche come implementarlo non è chiaro.
- GOST richiede la limitazione dell'accesso ai componenti di virtualizzazione del server, ovvero all'hypervisor. Cosa è considerato un componente server nel caso di Docker? Ciò non significa che ciascun contenitore deve essere eseguito su un host separato?
- Se nella virtualizzazione convenzionale è possibile delimitare le macchine virtuali mediante contorni di sicurezza e segmenti di rete, nel caso dei contenitori Docker all'interno dello stesso host ciò non è possibile.
In pratica, è probabile che ciascun revisore valuti la sicurezza dei contenitori a modo suo, in base alla propria conoscenza ed esperienza. Bene, o non valutarlo affatto, se non c'è né l'uno né l'altro.
Per ogni evenienza, aggiungiamo che dal 1 gennaio 2021 il punteggio minimo non dovrà essere inferiore a 0,7.
A proposito, pubblichiamo regolarmente risposte e commenti degli enti regolatori relativi ai requisiti di GOST 57580 e ai Regolamenti della Banca Centrale nel nostro .
Cosa fare
A nostro avviso, le organizzazioni finanziarie hanno solo due opzioni per risolvere il problema.
1. Evitare l'implementazione di contenitori
Una soluzione per chi è pronto a permettersi di utilizzare solo la virtualizzazione hardware e allo stesso tempo ha paura dei rating bassi secondo GOST e delle multe da parte della Banca Centrale.
oltre a: è più semplice soddisfare i requisiti della sottosezione 7.8 di GOST.
meno: Dovremo abbandonare i nuovi strumenti di sviluppo basati sulla virtualizzazione dei container, in particolare Docker e Kubernetes.
2. Rifiutarsi di soddisfare i requisiti della sottosezione 7.8 di GOST
Ma allo stesso tempo, applica le migliori pratiche per garantire la sicurezza delle informazioni quando lavori con i contenitori. Questa è una soluzione per coloro che apprezzano le nuove tecnologie e le opportunità che offrono. Per “migliori pratiche” intendiamo norme e standard accettati dal settore per garantire la sicurezza dei container Docker:
- sicurezza del sistema operativo host, registrazione correttamente configurata, divieto di scambio di dati tra contenitori e così via;
- utilizzare la funzione Docker Trust per verificare l'integrità delle immagini e utilizzare lo scanner di vulnerabilità integrato;
- Non dobbiamo dimenticare la sicurezza dell’accesso remoto e del modello di rete nel suo insieme: attacchi come ARP spoofing e MAC Flooding non sono stati annullati.
oltre a: nessuna restrizione tecnica sull'uso della virtualizzazione del contenitore.
meno: esiste un'alta probabilità che l'autorità di regolamentazione punisca il mancato rispetto dei requisiti GOST.
conclusione
Il nostro cliente ha deciso di non rinunciare ai container. Allo stesso tempo, ha dovuto riconsiderare in modo significativo l'ambito del lavoro e i tempi del passaggio a Docker (sono durati sei mesi). Il cliente comprende molto bene i rischi. Capisce anche che durante la prossima valutazione della conformità a GOST R 57580, molto dipenderà dal revisore.
Cosa faresti in questa situazione?
Fonte: habr.com