ProHoster > Π‘Π»ΠΎΠ³ > Administrasi > Carane nggawe kanca karo GOST R 57580 lan virtualisasi wadhah. Tanggapan Bank Sentral (lan pikirane babagan perkara iki)

Carane nggawe kanca karo GOST R 57580 lan virtualisasi wadhah. Tanggapan Bank Sentral (lan pikirane babagan perkara iki)

Ora suwe, kita nindakake penilaian liyane babagan kepatuhan karo syarat GOST R 57580 (sabanjure diarani mung GOST). Klien minangka perusahaan sing ngembangake sistem pembayaran elektronik. Sistem kasebut serius: luwih saka 3 yuta pangguna, luwih saka 200 ewu transaksi saben dina. Dheweke njupuk keamanan informasi kanthi serius ing kana.

Sajrone proses evaluasi, klien kanthi sembrono ngumumake yen departemen pangembangan, saliyane mesin virtual, ngrancang nggunakake kontainer. Nanging kanthi iki, klien nambahake, ana siji masalah: ing GOST ora ana tembung babagan Docker sing padha. Aku kudu piye? Kepiye cara ngevaluasi keamanan kontainer?

Carane nggawe kanca karo GOST R 57580 lan virtualisasi wadhah. Tanggapan Bank Sentral (lan pikirane babagan perkara iki)

Pancen, GOST mung nulis babagan virtualisasi hardware - babagan cara nglindhungi mesin virtual, hypervisor, lan server. Kita takon Bank Sentral kanggo klarifikasi. Jawaban iki nggumunake kita.

GOST lan virtualisasi

Kanggo miwiti, ayo elinga yen GOST R 57580 minangka standar anyar sing nemtokake "syarat kanggo njamin keamanan informasi organisasi finansial" (FI). FI kasebut kalebu operator lan peserta sistem pembayaran, organisasi kredit lan non-kredit, pusat operasional lan kliring.

Wiwit 1 Januari 2021, FI kudu nindakake evaluasi kepatuhan karo syarat GOST anyar. Kita, ITGLOBAL.COM, minangka perusahaan audit sing nganakake penilaian kasebut.

GOST duwe bagean khusus kanggo nglindhungi lingkungan virtualisasi - No 7.8. Istilah "virtualisasi" ora ditemtokake ing kana; ora ana divisi menyang virtualisasi hardware lan wadah. Sembarang spesialis IT bakal ujar manawa saka sudut pandang teknis iki ora bener: mesin virtual (VM) lan wadhah minangka lingkungan sing beda, kanthi prinsip isolasi sing beda. Saka sudut pandang kerentanan host ing ngendi kontaner VM lan Docker disebarake, iki uga beda banget.

Pranyata manawa penilaian keamanan informasi VM lan wadhah uga kudu beda.

Pitakonan kita menyang Bank Sentral

Kita dikirim menyang Departemen Keamanan Informasi Bank Sentral (kita nampilake pitakonan ing wangun sing disingkat).

  1. Kepiye cara nimbang wadhah virtual jinis Docker nalika netepake kepatuhan GOST? Apa bener kanggo ngevaluasi teknologi miturut bagean 7.8 GOST?
  2. Kepiye cara ngevaluasi alat manajemen wadah virtual? Apa bisa padha karo komponen virtualisasi server lan ngevaluasi miturut bagean GOST sing padha?
  3. Apa aku kudu ngevaluasi keamanan informasi ing wadhah Docker? Yen mangkono, pangayoman apa sing kudu digatekake sajrone proses pambiji?
  4. Yen containerization padha karo infrastruktur virtual lan ditaksir miturut bagean 7.8, kepiye syarat GOST kanggo implementasi alat keamanan informasi khusus?

Wangsulane Bank Sentral

Ing ngisor iki kutipan utama.

"GOST R 57580.1-2017 netepake syarat kanggo implementasine liwat aplikasi langkah-langkah teknis sing ana gandhengane karo langkah-langkah ing ngisor iki ZI bagean 7.8 saka GOST R 57580.1-2017, sing, miturut pendapat Departemen, bisa ditambahake kanggo kasus nggunakake virtualisasi wadah. teknologi, njupuk menyang akun ing ngisor iki:

  • implementasine saka ngukur ZSV.1 - ZSV.11 kanggo ngatur identifikasi, otentikasi, wewenang (kontrol akses) nalika ngleksanakake akses logis kanggo mesin virtual lan komponen server virtualisasi bisa beda-beda saka kasus nggunakake teknologi virtualisasi wadhah. Njupuk iki menyang akun, kanggo ngleksanakake sawetara ngukur (contone, ZVS.6 lan ZVS.7), kita pracaya iku bisa kanggo menehi rekomendasi sing institusi financial ngembangaken ngukur compensatory sing bakal nguber padha gol;
  • implementasine saka ngukur ZSV.13 - ZSV.22 kanggo organisasi lan kontrol interaksi informasi saka mesin virtual nyedhiyakake kanggo segmentasi jaringan komputer saka organisasi financial kanggo mbedakake antarane obyek informasi sing ngleksanakake teknologi virtualization lan kagungane sirkuit keamanan beda. Njupuk iki menyang akun, kita pracaya iku saranake kanggo nyedhiyani segmentasi cocok nalika nggunakake teknologi virtualisasi wadhah (loro ing hubungan kanggo kontaner virtual eksekusi lan ing hubungan kanggo sistem virtualization digunakake ing tingkat sistem operasi);
  • implementasine saka ngukur ZSV.26, ZSV.29 - ZSV.31 kanggo ngatur pangayoman saka gambar saka mesin virtual kudu digawa metu dening analogi uga kanggo nglindhungi gambar dhasar lan saiki saka kontaner virtual;
  • implementasine saka ngukur ZVS.32 - ZVS.43 kanggo ngrekam acara keamanan informasi sing ana hubungane karo akses menyang mesin virtual lan komponen virtualisasi server kudu ditindakake kanthi analogi uga ana hubungane karo unsur lingkungan virtualisasi sing ngetrapake teknologi virtualisasi wadah.

Apa tegese

Rong kesimpulan utama saka respon Departemen Keamanan Informasi Bank Sentral:

  • langkah-langkah kanggo nglindhungi kontaner ora beda karo langkah-langkah kanggo nglindhungi mesin virtual;
  • Saka iki, ing konteks keamanan informasi, Bank Sentral nyathet rong jinis virtualisasi - wadah Docker lan VM.

Tanggepan kasebut uga nyebutake "langkah kompensasi" sing kudu ditrapake kanggo netralake ancaman kasebut. Ora jelas apa "langkah kompensasi" iki lan carane ngukur kecukupan, kelengkapan lan efektifitas.

Apa sing salah karo posisi Bank Sentral?

Yen sampeyan nggunakake Rekomendasi saka Bank Central sak Assessment (lan poto-assessment), sampeyan kudu ngatasi sawetara kangelan technical lan logis.

  • Saben wadhah eksekusi mbutuhake instalasi piranti lunak perlindungan informasi (IP) ing: antivirus, ngawasi integritas, nggarap log, sistem DLP (Pencegahan Bocor Data), lan liya-liyane. Kabeh iki bisa diinstal ing VM tanpa masalah, nanging ing kasus wadhah, nginstal keamanan informasi minangka langkah sing ora masuk akal. Wadhah kasebut ngemot jumlah minimal "kit awak" sing dibutuhake supaya layanan bisa digunakake. Nginstal SZI ing kono mbantah maknane.
  • Gambar kontainer kudu dilindhungi miturut prinsip sing padha; carane ngetrapake iki uga ora jelas.
  • GOST mbutuhake mbatesi akses menyang komponen virtualisasi server, yaiku, menyang hypervisor. Apa sing dianggep minangka komponen server ing kasus Docker? Apa iki ora ateges saben wadhah kudu mbukak ing host sing kapisah?
  • Yen kanggo virtualisasi konvensional bisa mbatesi VM kanthi kontur keamanan lan segmen jaringan, mula ing kasus wadah Docker ing host sing padha, iki ora kedadeyan.

Ing praktik, saben auditor bakal netepake keamanan kontainer kanthi cara dhewe, adhedhasar kawruh lan pengalaman dhewe. Inggih, utawa ora ngevaluasi kabeh, yen ora ana siji utawa liyane.

Yen ngono, kita bakal nambah manawa wiwit tanggal 1 Januari 2021, skor minimal kudu ora luwih murah tinimbang 0,7.

Miturut cara, kita ajeg ngirim tanggapan lan komentar saka regulator sing ana gandhengane karo syarat GOST 57580 lan Peraturan Bank Pusat ing kita. Saluran Telegram.

Apa sing kudu dilakoni

Miturut pendapat kita, organisasi finansial mung duwe rong pilihan kanggo ngrampungake masalah kasebut.

1. Aja ngleksanakake wadhah

Solusi kanggo wong-wong sing siap nggunakake mung virtualisasi hardware lan ing wektu sing padha wedi karo rating sing kurang miturut GOST lan denda saka Bank Sentral.

A plus: luwih gampang kanggo tundhuk karo syarat saka bagean 7.8 GOST.

Minus: Kita kudu ninggalake alat pangembangan anyar adhedhasar virtualisasi wadah, utamane Docker lan Kubernetes.

2. Nolak kanggo tundhuk karo syarat saka bagean 7.8 GOST

Nanging ing wektu sing padha, gunakake praktik paling apik kanggo njamin keamanan informasi nalika nggarap kontaner. Iki minangka solusi kanggo wong sing ngormati teknologi anyar lan kesempatan sing diwenehake. Miturut "praktik paling apik" tegese norma lan standar sing ditampa industri kanggo njamin keamanan wadah Docker:

  • keamanan OS host, logging sing dikonfigurasi kanthi bener, larangan pertukaran data ing antarane wadhah, lan liya-liyane;
  • nggunakake fungsi Docker Trust kanggo mriksa integritas gambar lan nggunakake scanner kerentanan dibangun ing;
  • Kita ora kudu lali babagan keamanan akses remot lan model jaringan kanthi sakabehe: serangan kayata ARP-spoofing lan MAC-banjir durung dibatalake.

A plus: ora ana watesan teknis babagan panggunaan virtualisasi wadhah.

Minus: ana kemungkinan gedhe yen regulator bakal ngukum amarga ora netepi syarat GOST.

kesimpulan

Klien kita mutusake ora nyerahake kontaner. Ing wektu sing padha, dheweke kudu nimbang maneh ruang lingkup kerja lan wektu transisi menyang Docker (padha suwene nem sasi). Klien ngerti risiko banget. Dheweke uga ngerti yen sajrone pambiji selaras karo GOST R 57580, akeh sing bakal gumantung ing auditor.

Apa sing bakal sampeyan lakoni ing kahanan iki?

Source: www.habr.com

Add a comment