Sawijining dina kita nampa panjalukan kanggo layanan awan. Kita mbatesi ing istilah umum apa sing bakal dibutuhake saka kita lan ngirim maneh dhaptar pitakonan kanggo njlentrehake rincian. Banjur kita nganalisa jawaban lan nyadari: pelanggan pengin nyelehake data pribadhi tingkat keamanan kapindho ing méga. Kita mangsuli: "Sampeyan duwe data pribadhi tingkat kapindho, nuwun sewu, kita mung bisa nggawe awan pribadi." Lan dheweke: "Sampeyan ngerti, nanging ing perusahaan X dheweke bisa ngirim kabeh menyang publik."
Foto dening Steve Crisp, Reuters
Barang aneh! Kita lunga menyang situs web perusahaan X, sinau dokumen sertifikasi, guncang lan nyadari: ana akeh pitakonan sing mbukak babagan penempatan data pribadhi lan kudu ditangani kanthi lengkap. Sing bakal kita tindakake ing kirim iki.
Carane kabeh kudu bisa
Pisanan, ayo ngerteni kritéria apa sing digunakake kanggo nggolongake data pribadhi minangka tingkat keamanan siji utawa liyane. Iki gumantung saka kategori data, jumlah subyek data iki sing operator nyimpen lan proses, uga jinis ancaman saiki.
Jinis ancaman saiki ditetepake ing tanggal 1 November 2012 "Ing disetujoni syarat kanggo nglindhungi data pribadhi sajrone proses ing sistem informasi data pribadhi":
"Ancaman Tipe 1 cocog kanggo sistem informasi yen kalebu ancaman saiki related kanggo kanthi anané kapabilitas sing ora didokumentasikan (ora diumumake). ing piranti lunak sistemdigunakake ing sistem informasi.
Ancaman saka jinis 2 cocog kanggo sistem informasi yen kanggo, kalebu ancaman saiki related kanggo kanthi anané kapabilitas sing ora didokumentasikan (ora diumumake). ing piranti lunak aplikasidigunakake ing sistem informasi.
Ancaman saka jinis 3 cocog kanggo sistem informasi yen kanggo iku ancaman sing ora ana hubungane kanthi anané kapabilitas sing ora didokumentasikan (ora diumumake). ing sistem lan piranti lunak aplikasidigunakake ing sistem informasi."
Wangsulan utama ing definisi kasebut yaiku anané kapabilitas sing ora didokumentasikan (ora diumumake). Kanggo konfirmasi ora ana kemampuan piranti lunak sing ora didokumentasikan (ing kasus awan, iki minangka hypervisor), sertifikasi ditindakake dening FSTEC Rusia. Yen operator PD nampa manawa ora ana kemampuan kasebut ing piranti lunak, mula ancaman sing cocog ora ana gandhengane. Ancaman jinis 1 lan 2 arang banget dianggep relevan dening operator PD.
Saliyane nemtokake tingkat keamanan PD, operator uga kudu nemtokake ancaman saiki khusus kanggo awan umum lan, adhedhasar tingkat keamanan PD sing diidentifikasi lan ancaman saiki, nemtokake langkah-langkah lan cara perlindungan sing dibutuhake.
FSTEC kanthi jelas nampilake kabeh ancaman utama ing (database ancaman). Panyedhiya infrastruktur awan lan penilai nggunakake database iki ing karyane. Ing ngisor iki conto ancaman:
: "Ancaman yaiku kamungkinan nglanggar keamanan data pangguna program sing beroperasi ing mesin virtual kanthi piranti lunak jahat sing operasi ing njaba mesin virtual." Ancaman iki amarga ana kerentanan ing piranti lunak hypervisor, sing njamin manawa papan alamat sing digunakake kanggo nyimpen data pangguna kanggo program sing ana ing njero mesin virtual diisolasi saka akses sing ora sah dening piranti lunak jahat sing beroperasi ing njaba mesin virtual.
Implementasi ancaman iki bisa ditindakake yen kode program angkoro kasil ngatasi wates-wates mesin virtual, ora mung kanthi ngeksploitasi kerentanan hypervisor, nanging uga kanthi nindakake pengaruh kasebut saka tingkat ngisor (relatif karo hypervisor) fungsi sistem."
: "Ancaman kasebut ana ing kamungkinan akses ora sah menyang informasi sing dilindhungi saka siji konsumen layanan awan saka liyane. Ancaman iki amarga kasunyatane, amarga sifat teknologi awan, konsumen layanan awan kudu nuduhake infrastruktur awan sing padha. Ancaman iki bisa diwujudake yen ana kesalahan nalika misahake unsur infrastruktur awan antarane konsumen layanan awan, uga nalika ngisolasi sumber daya lan misahake data saka siji liyane.
Sampeyan mung bisa nglindhungi ancaman kasebut kanthi bantuan hypervisor, amarga iku sing ngatur sumber daya virtual. Dadi, hypervisor kudu dianggep minangka sarana pangayoman.
Lan sesuai karo tanggal 18 Februari 2013, hypervisor kudu disertifikasi minangka non-NDV ing level 4, yen ora, panggunaan data pribadi level 1 lan 2 bakal dadi ilegal ("Pasal 12. ... Kanggo njamin keamanan data pribadhi tingkat 1 lan 2, uga kanggo njamin keamanan data pribadhi tingkat 3 ing sistem informasi sing ancaman jinis 2 diklasifikasikake minangka saiki, piranti keamanan informasi digunakake, piranti lunak sing wis digunakake. dites paling ora miturut 4 tingkat kontrol amarga ora ana kemampuan sing ora dingerteni").
Mung siji hypervisor, sing dikembangake ing Rusia, nduweni tingkat sertifikasi sing dibutuhake, NDV-4. . Kanggo nyelehake kanthi entheng, dudu solusi sing paling populer. Awan komersial biasane dibangun kanthi basis VMware vSphere, KVM, Microsoft Hyper-V. Ora ana produk sing disertifikasi NDV-4. Kenging punapa? Kamungkinan entuk sertifikasi kasebut kanggo manufaktur durung bisa dibenerake kanthi ekonomi.
Lan kabeh sing tetep kanggo kita kanggo level 1 lan 2 data pribadhi ing awan umum yaiku Horizon BC. Sedhih nanging bener.
Carane kabeh (miturut pendapat kita) tenan bisa
Sepisanan, kabeh cukup ketat: ancaman kasebut kudu diilangi kanthi bener ngatur mekanisme proteksi standar hypervisor sing disertifikasi miturut NDV-4. Nanging ana siji celah. Sesuai karo Ordo FSTEC No. 21 ("Pasal 2 Keamanan data pribadhi nalika diproses ing sistem informasi data pribadhi (sabanjure diarani sistem informasi) dijangkepi dening operator utawa wong sing ngolah data pribadhi atas jenenge operator sesuai karo Russian Federation"), panyedhiya kanthi bebas netepake relevansi ancaman sing bisa ditindakake lan milih langkah-langkah perlindungan sing cocog. Dadi, yen sampeyan ora nampa ancaman UBI.44 lan UBI.101 saiki, mula ora perlu nggunakake hypervisor sing disertifikasi miturut NDV-4, yaiku sing kudu menehi perlindungan marang dheweke. Lan iki bakal cukup kanggo entuk sertifikat kepatuhan awan umum kanthi tingkat 1 lan 2 keamanan data pribadi, sing Roskomnadzor bakal kepenak.
Mesthine, saliyane Roskomnadzor, FSTEC bisa uga ana inspeksi - lan organisasi iki luwih tliti babagan teknis. Dheweke mbokmenawa bakal kasengsem apa persis ancaman UBI.44 lan UBI.101 padha dianggep ora salaras? Nanging biasane FSTEC nindakake inspeksi mung nalika nampa informasi babagan sawetara kedadeyan sing penting. Ing kasus iki, layanan federal pisanan teka menyang operator data pribadhi - yaiku, pelanggan layanan awan. Ing kasus paling awon, operator nampa denda cilik - contone, kanggo Twitter ing awal taun ing kasus sing padha gunggunge 5000 rubel. Banjur FSTEC pindhah menyang panyedhiya layanan maya. Sing bisa uga dicabut lisensi amarga gagal tundhuk karo syarat peraturan - lan iki minangka risiko sing beda banget, kanggo panyedhiya maya lan kanggo para klien. Nanging, aku mbaleni, Kanggo mriksa FSTEC, sampeyan biasane mbutuhake alesan sing jelas. Dadi panyedhiya awan gelem njupuk risiko. Nganti kedadeyan serius pisanan.
Ana uga klompok panyedhiya "luwih tanggung jawab" sing percaya yen bisa nutup kabeh ancaman kanthi nambahake tambahan kaya vGate menyang hypervisor. Nanging ing lingkungan virtual mbagekke antarane pelanggan kanggo sawetara ancaman (contone, UBI.101 ndhuwur), mekanisme pangayoman efektif mung bisa dipun ginakaken ing tingkat hypervisor certified miturut NDV-4, wiwit sembarang sistem tambahan kanggo fungsi standar hypervisor kanggo ngatur sumber daya (utamané, RAM) ora mengaruhi.
Carane kita bisa
Kita duwe segmen maya sing ditindakake ing hypervisor sing disertifikasi dening FSTEC (nanging tanpa sertifikasi kanggo NDV-4). Segmen iki disertifikasi, saengga data pribadhi bisa disimpen ing méga adhedhasar 3 lan 4 tingkat keamanan - syarat kanggo pangayoman marang kapabilitas undeclared ora perlu kanggo diamati kene. Iki, kanthi cara, arsitektur segmen awan sing aman:
Sistem kanggo data pribadhi 1 lan 2 tingkat keamanan We ngleksanakake mung ing peralatan darmabakti. Mung ing kasus iki, umpamane, ancaman UBI.101 pancen ora cocog, amarga rak server sing ora digabungake karo lingkungan virtual ora bisa pengaruhe sanajan ana ing pusat data sing padha. Kanggo kasus kaya mengkono, kita nawakake layanan rental peralatan khusus (uga disebut Hardware minangka layanan).
Yen sampeyan ora yakin apa tingkat keamanan sing dibutuhake kanggo sistem data pribadhi, kita uga mbantu ing klasifikasi.
kesimpulan
Riset pasar cilik kita nuduhake manawa sawetara operator awan cukup siap ngrusak keamanan data pelanggan lan masa depan dhewe kanggo nampa pesenan. Nanging ing prakara iki, kita netepi kabijakan sing beda, sing dijelasake kanthi ringkes ing ndhuwur. Kita bakal seneng njawab pitakonan sampeyan ing komentar.
Source: www.habr.com