「そうなるだろう」: クラウドプロバイダーは個人データについて交渉しない

ある日、クラウドサービスの依頼を受けました。 私たちは、私たちに求められることを大まかに説明し、詳細を明確にするために質問のリストを送り返しました。 そこで私たちはその回答を分析し、顧客が第 XNUMX レベルのセキュリティの個人データをクラウドに置きたいと考えていることに気づきました。 私たちは彼にこう答えます。「あなたには第 XNUMX レベルの個人データがあります。申し訳ありませんが、私たちはプライベート クラウドしか作成できません。」 そして彼は、「ご存知のように、X 社ではすべてを私に公開することができます。」

写真提供：スティーブ・クリスプ、ロイター

奇妙なこと！ 私たちは X 社の Web サイトにアクセスし、その認証文書を検討し、頭を振って、個人データの配置には多くの未解決の疑問があり、徹底的に対処する必要があることに気づきました。 それがこの投稿でやることです。

すべてがどのように機能するか

まず、個人データを XNUMX つまたは別のレベルのセキュリティに分類するためにどのような基準が使用されるかを考えてみましょう。 これは、データのカテゴリ、オペレータが保存および処理するデータの対象の数、および現在の脅威の種類によって異なります。

現在の脅威の種類は次のように定義されています。 ロシア連邦政府令第 1119 号 1 年 2012 月 XNUMX 日付け「個人データ情報システムにおける処理中の個人データの保護要件の承認について」:

「タイプ 1 の脅威は、以下が含まれる場合、情報システムに関連します。 ～に関連する現在の脅威 文書化されていない (宣言されていない) 機能の存在 システムソフトウェア内で情報システムで使用されます。

2 番目のタイプの脅威は、情報システムに関連するものであり、次のようなものがあります。 ～に関連する現在の脅威 文書化されていない (宣言されていない) 機能の存在 アプリケーションソフトウェアで情報システムで使用されます。

3 番目のタイプの脅威は、情報システムに関連するものです。 無関係な脅威 文書化されていない (宣言されていない) 機能の存在 システムおよびアプリケーション ソフトウェア内で情報システムで使用されます。」

これらの定義の主なものは、文書化されていない (宣言されていない) 機能の存在です。 文書化されていないソフトウェア機能 (クラウドの場合はハイパーバイザー) が存在しないことを確認するために、ロシアの FSTEC によって認証が行われます。 PD オペレーターがソフトウェアにそのような機能が存在しないことを受け入れた場合、対応する脅威は無関係になります。 タイプ 1 および 2 の脅威が PD オペレーターによって関連性があるとみなされることはほとんどありません。

PD セキュリティのレベルを決定することに加えて、オペレータはパブリック クラウドに対する特定の現在の脅威も決定し、特定された PD セキュリティのレベルと現在の脅威に基づいて、それらに対する必要な対策と保護手段を決定する必要があります。

FSTEC は、すべての主要な脅威を明確にリストしています。 NOS (脅威データベース)。 クラウド インフラストラクチャのプロバイダーと評価者は、業務でこのデータベースを使用します。 脅威の例は次のとおりです。

UBI.44: 「脅威は、仮想マシンの外部で動作する悪意のあるソフトウェアによって、仮想マシン内で動作するプログラムのユーザー データのセキュリティが侵害される可能性です。」 この脅威は、仮想マシン内で動作するプログラムのユーザー データの保存に使用されるアドレス空間が、仮想マシンの外部で動作する悪意のあるソフトウェアによる不正アクセスから隔離されるようにするハイパーバイザ ソフトウェアの脆弱性の存在によるものです。

この脅威の実装は、悪意のあるプログラム コードがハイパーバイザーの脆弱性を悪用するだけでなく、(ハイパーバイザーに比べて) より低いレベルからそのような影響を実行することによって、仮想マシンの境界をうまく乗り越える場合に可能です。システムは機能しています。」

UBI.101: 「脅威は、あるクラウド サービス利用者の保護された情報に別のクラウド サービス利用者から不正アクセスが行われる可能性にあります。 この脅威は、クラウド テクノロジーの性質上、クラウド サービスの利用者が同じクラウド インフラストラクチャを共有する必要があるという事実に起因します。 この脅威は、クラウド サービス利用者間でクラウド インフラストラクチャ要素を分離する際や、リソースを分離してデータを相互に分離する際にエラーが発生した場合に現実化する可能性があります。」

ハイパーバイザーは仮想リソースを管理するものであるため、これらの脅威から保護するにはハイパーバイザーを利用する必要があります。 したがって、ハイパーバイザーは保護手段として考慮する必要があります。

そしてそれに従って FSTEC No.21の命令により 18 年 2013 月 4 日付けの規定では、ハイパーバイザーはレベル 1 で非 NDV として認定される必要があります。そうでない場合、レベル 2 および XNUMX の個人データをハイパーバイザーで使用することは違法になります (「第12条。 ... タイプ 1 の脅威が現在として分類されている情報システムにおける個人データ セキュリティのレベル 2 および 3 を確保するだけでなく、レベル 2 の個人データ セキュリティを確保するには、情報セキュリティ ツールが使用されます。そのソフトウェアは、宣言されていない機能の欠如に関して、少なくとも 4 つの管理レベルに従ってテストされている」).

必要なレベルの認定である NDV-4 を備えているのは、ロシアで開発されたハイパーバイザー XNUMX つだけです。 太陽の地平線。 控えめに言っても、最も一般的な解決策ではありません。 商用クラウドは、原則として、VMware vSphere、KVM、Microsoft Hyper-V に基づいて構築されます。 これらの製品はいずれも NDV-4 認定を受けていません。 なぜ？ メーカーがそのような認証を取得することは、まだ経済的に正当化されていない可能性があります。

そして、パブリック クラウド内のレベル 1 と 2 の個人データとして残っているのは Horizo​​n BC だけです。 悲しいが本当。

(私たちの意見では) すべてが実際にどのように機能するか

一見すると、すべてが非常に厳格です。これらの脅威は、NDV-4 に従って認定されたハイパーバイザーの標準保護メカニズムを正しく構成することによって排除する必要があります。 しかし、抜け穴が21つあります。 FSTEC 注文番号 XNUMX に準拠 (「第2項」 個人データ情報システム（以下、情報システムという）で処理される個人データの安全性は、運営者または運営者に代わって個人データを処理する者によって、以下の規定に従って確保されます。 法律 ロシア連邦")、プロバイダーは独自に考えられる脅威の関連性を評価し、それに応じて保護手段を選択します。 したがって、UBI.44 および UBI.101 の脅威を現在のものとして受け入れない場合は、NDV-4 に従って認定されたハイパーバイザーを使用する必要はありません。これはまさにそれらに対する保護を提供するものです。 これは、個人データ セキュリティのレベル 1 および 2 を備えたパブリック クラウドのコンプライアンス証明書を取得するのに十分であり、Roskomnadzor はこれに完全に満足するでしょう。

もちろん、ロスコムナゾールに加えて、FSTECも検査を受ける可能性があります。そしてこの組織は技術的な問題においてはるかに細心の注意を払っています。 彼女はおそらく、UBI.44 と UBI.101 という脅威がなぜ無関係であると考えられたのかに興味を持つでしょう。 しかし通常、FSTECは何らかの重大な事件に関する情報を受け取った場合にのみ検査を開始する。 この場合、連邦政府のサービスはまず個人データ事業者、つまりクラウド サービスの顧客に提供されます。 最悪の場合、運営者は少額の罰金を科せられます - たとえば、年初の Twitter の場合 罰金 同様のケースでは5000ルーブルに達した。 次に、FSTEC はクラウド サービス プロバイダーにさらに進みます。 規制要件を遵守できないためにライセンスが剥奪される可能性は十分にあります。これらは、クラウド プロバイダーとそのクライアントの両方にとって、まったく異なるリスクです。 しかし、繰り返しますが、 FSTEC をチェックするには、通常、明確な理由が必要です。 そのため、クラウドプロバイダーはリスクを取ることをいとわないのです。 最初の重大事件が起きるまでは。

vGate のようなアドオンをハイパーバイザーに追加することで、すべての脅威を阻止できると信じている「より責任ある」プロバイダーのグループもあります。 しかし、一部の脅威 (たとえば、上記の UBI.101) に対して顧客間で分散された仮想環境では、効果的な保護メカニズムは、NDV-4 に従って認定されたハイパーバイザーのレベルでのみ実装できます。リソース (特に RAM) を管理するためのハイパーバイザーの標準機能は影響しません。

私たちの働き方

当社では、FSTEC によって認定されたハイパーバイザー上にクラウド セグメントを実装しています (ただし、NDV-4 の認定は受けていません)。 このセグメントは認定されているため、それに基づいて個人データをクラウドに保存できます 3 および 4 レベルのセキュリティ — ここでは、宣言されていない機能に対する保護の要件に従う必要はありません。 ちなみに、セキュア クラウド セグメントのアーキテクチャは次のとおりです。

個人データのシステム 1 および 2 レベルのセキュリティ 専用機器のみで実施いたします。 たとえば、この場合に限り、UBI.101 の脅威は実際には関係ありません。XNUMX つの仮想環境に統合されていないサーバー ラックは、同じデータ センター内にある場合でも相互に影響を与えることができないからです。 そのような場合に備えて、専用機器のレンタルサービス（ハードウェア・アズ・ア・サービスとも言います）をご用意しております。

個人データ システムにどのレベルのセキュリティが必要かが不明な場合は、分類もお手伝いします。

出力

私たちの小規模な市場調査では、一部のクラウド オペレーターは顧客データのセキュリティと自分の将来の両方を危険にさらして注文を受けることをいとわないことがわかりました。 しかし、これらの問題については、先ほど簡単に説明した異なるポリシーを遵守します。 コメントでのご質問に喜んでお答えいたします。

出所： habr.com