Бір күні бізге бұлттық қызметтерге сұраныс келді. Біз бізден не талап етілетінін жалпылама түрде сипаттадық және егжей-тегжейлерді нақтылау үшін сұрақтар тізімін қайтардық. Содан кейін біз жауаптарды талдап, түсіндік: тұтынушы қауіпсіздіктің екінші деңгейінің жеке деректерін бұлтқа орналастырғысы келеді. Біз оған: «Сізде жеке деректердің екінші деңгейі бар, кешіріңіз, біз тек жеке бұлтты жасай аламыз» деп жауап береміз. Және ол: «Білесіз бе, бірақ X компаниясында олар маған бәрін жариялай алады».
Стив Крисптің суреті, Reuters
Біртүрлі нәрселер! Біз X компаниясының веб-сайтына кіріп, олардың сертификаттау құжаттарын зерттеп, басымызды шайқап, түсіндік: жеке деректерді орналастыруда көптеген ашық сұрақтар бар және оларды мұқият шешу керек. Бұл постта біз мұны істейміз.
Барлығы қалай жұмыс істеуі керек
Алдымен, жеке деректерді қауіпсіздіктің сол немесе басқа деңгейі ретінде жіктеу үшін қандай критерийлер қолданылатынын анықтайық. Бұл деректер санатына, оператор сақтайтын және өңдейтін осы деректердің субъектілерінің санына, сондай-ақ ағымдағы қауіптердің түріне байланысты.
Ағымдағы қауіптердің түрлері мынада анықталған 1 жылғы 2012 қарашадағы «Дербес деректердің ақпараттық жүйелерінде оларды өңдеу кезінде дербес деректерді қорғауға қойылатын талаптарды бекіту туралы»:
«1 типті қауіптер, егер ол қамтылған болса, ақпараттық жүйеге қатысты қатысты ағымдағы қауіптер құжатталмаған (жарияланбаған) мүмкіндіктердің болуымен жүйелік бағдарламалық құралдаақпараттық жүйеде қолданылады.
2-ші түрдегі қауіптер ақпараттық жүйеге қатысты, егер ол үшін болса, соның ішінде қатысты ағымдағы қауіптер құжатталмаған (жарияланбаған) мүмкіндіктердің болуымен қолданбалы бағдарламалық құралдаақпараттық жүйеде қолданылады.
3-ші түрдегі қауіптер ақпараттық жүйе үшін, егер ол үшін болса байланысты емес қауіптер құжатталмаған (жарияланбаған) мүмкіндіктердің болуымен жүйелік және қолданбалы бағдарламалық қамтамасыз етудеақпараттық жүйеде қолданылады».
Бұл анықтамалардағы ең бастысы құжатталмаған (жарияланбаған) мүмкіндіктердің болуы. Құжатсыз бағдарламалық қамтамасыз ету мүмкіндіктерінің жоқтығын растау үшін (бұлтты жағдайда бұл гипервизор) сертификаттауды Ресейдің FSTEC компаниясы жүргізеді. Егер PD операторы бағдарламалық жасақтамада мұндай мүмкіндіктер жоқ деп қабылдаса, онда сәйкес қауіптер маңызды емес. 1 және 2 типті қауіптерді PD операторлары өте сирек маңызды деп санайды.
Оператор PD қауіпсіздік деңгейін анықтаудан басқа, жалпы бұлтқа нақты ағымдағы қауіптерді анықтауы және PD қауіпсіздігінің анықталған деңгейі мен ағымдағы қауіптердің негізінде олардан қорғаудың қажетті шаралары мен құралдарын анықтауы керек.
FSTEC барлық негізгі қауіптерді нақты тізімдейді (қауіпті дерекқор). Бұлтты инфрақұрылым провайдерлері мен бағалаушылар өз жұмысында осы дерекқорды пайдаланады. Міне, қатерлердің мысалдары:
: «Қауіп – виртуалды машинаның ішінде жұмыс істейтін бағдарламалардың пайдаланушы деректерінің қауіпсіздігін виртуалды машинадан тыс жұмыс істейтін зиянды бағдарламалық қамтамасыз етудің бұзу мүмкіндігі.» Бұл қауіп гипервизорлық бағдарламалық құралда осалдықтардың болуына байланысты, ол виртуалды машинаның ішінде жұмыс істейтін бағдарламалар үшін пайдаланушы деректерін сақтау үшін пайдаланылатын мекенжай кеңістігінің виртуалды машинадан тыс жұмыс істейтін зиянды бағдарламалық құралдың рұқсатсыз кіруінен оқшаулануын қамтамасыз етеді.
Бұл қауіпті іске асыру зиянды бағдарлама коды виртуалды машинаның шекарасын гипервизордың осал тұстарын пайдалану арқылы ғана емес, сонымен қатар төменірек (гипервизорға қатысты) деңгейлерден осындай әсер ету арқылы сәтті еңсерген жағдайда мүмкін болады. жүйенің жұмыс істеуі».
: «Қауіп бір бұлттық қызмет тұтынушысының басқасынан қорғалған ақпаратына рұқсатсыз кіру мүмкіндігінде жатыр. Бұл қауіп бұлтты технологиялардың табиғатына байланысты бұлттық қызмет тұтынушыларының бірдей бұлттық инфрақұрылымды ортақ пайдалануына байланысты. Бұл қауіп бұлттық қызметті тұтынушылар арасында бұлттық инфрақұрылым элементтерін бөлу кезінде, сондай-ақ олардың ресурстарын оқшаулау және деректерді бір-бірінен бөлу кезінде қателер жасалса, жүзеге асырылуы мүмкін.
Сіз бұл қауіптерден тек гипервизордың көмегімен қорғай аласыз, өйткені ол виртуалды ресурстарды басқарады. Осылайша, гипервизорды қорғау құралы ретінде қарастыру керек.
Және сәйкес 18 жылғы 2013 ақпанда гипервизор 4-деңгейде NDV емес ретінде сертификатталуы керек, әйтпесе онымен 1 және 2-деңгейдегі жеке деректерді пайдалану заңсыз болады («12-тармақ. ... Дербес деректер қауіпсіздігінің 1 және 2 деңгейлерін қамтамасыз ету үшін, сондай-ақ 3 типті қауіптер ағымдағы болып жіктелетін ақпараттық жүйелерде дербес деректердің қауіпсіздігінің 2 деңгейін қамтамасыз ету үшін бағдарламалық қамтамасыз ету орнатылған ақпараттық қауіпсіздік құралдары пайдаланылады. хабарланбаған мүмкіндіктердің жоқтығына бақылаудың 4 деңгейінен кем емес сынақтан өткен»).
Ресейде жасалған бір ғана гипервизордың NDV-4 сертификатының қажетті деңгейі бар. . Жұмсақ сөзбен айтқанда, ең танымал шешім емес. Коммерциялық бұлттар әдетте VMware vSphere, KVM, Microsoft Hyper-V негізінде құрастырылады. Бұл өнімдердің ешқайсысы NDV-4 сертификаты жоқ. Неліктен? Өндірушілер үшін мұндай сертификат алу әлі экономикалық тұрғыдан ақталған жоқ шығар.
Қоғамдық бұлттағы жеке деректердің 1 және 2 деңгейінде біз үшін тек Horizon BC қалады. Өкінішті, бірақ шындық.
Барлығы (біздің ойымызша) шынымен қалай жұмыс істейді
Бір қарағанда, бәрі өте қатал: бұл қауіптер NDV-4 сәйкес сертификатталған гипервизордың стандартты қорғау механизмдерін дұрыс конфигурациялау арқылы жойылуы керек. Бірақ бір олқылық бар. FSTEC № 21 бұйрығына сәйкес («2-тармақ Дербес деректердің ақпараттық жүйесінде (бұдан әрі – ақпараттық жүйе) өңделген кезде дербес деректердің қауіпсіздігін оператор немесе оператордың тапсырмасы бойынша дербес деректерді өңдейтін тұлға қамтамасыз етеді. Ресей Федерациясы»), провайдерлер ықтимал қауіптердің өзектілігін дербес бағалайды және сәйкесінше қорғау шараларын таңдайды. Сондықтан, егер сіз UBI.44 және UBI.101 қауіптерін ағымдағы деп қабылдамасаңыз, NDV-4 сәйкес сертификатталған гипервизорды пайдаланудың қажеті болмайды, бұл дәл олардан қорғауды қамтамасыз етуі керек. Бұл Роскомнадзор толығымен қанағаттандыратын жеке деректер қауіпсіздігінің 1 және 2 деңгейлеріне қоғамдық бұлттың сәйкестік сертификатын алу үшін жеткілікті болады.
Әрине, Роскомнадзордан басқа, FSTEC инспекциямен бірге келуі мүмкін - және бұл ұйым техникалық мәселелерде әлдеқайда мұқият. Оны UBI.44 және UBI.101 қатерлері неге маңызды емес деп санайтыны қызықтыратын шығар? Бірақ әдетте FSTEC қандай да бір маңызды оқиға туралы ақпаратты алған кезде ғана тексеруді жүзеге асырады. Бұл жағдайда федералды қызмет алдымен жеке деректер операторына келеді - бұл бұлттық қызметтердің тұтынушысы. Ең нашар жағдайда, оператор шағын айыппұл алады - мысалы, жыл басында Twitter үшін ұқсас жағдайда 5000 рубльді құрады. Содан кейін FSTEC бұлттық қызмет провайдеріне барады. Нормативтік талаптарды сақтамау салдарынан лицензиядан айырылуы мүмкін - бұл бұлттық провайдер үшін де, оның клиенттері үшін де мүлдем басқа тәуекелдер. Бірақ, қайталаймын, FSTEC тексеру үшін әдетте нақты себеп қажет. Сондықтан бұлттық провайдерлер тәуекелге баруға дайын. Бірінші ауыр оқиғаға дейін.
Сондай-ақ гипервизорға vGate сияқты қосымшаны қосу арқылы барлық қауіптерді жабуға болатынына сенетін «жауапты» провайдерлер тобы бар. Бірақ кейбір қауіптер үшін тұтынушылар арасында бөлінген виртуалды ортада (мысалы, жоғарыда көрсетілген UBI.101), тиімді қорғау механизмі NDV-4 сәйкес сертификатталған гипервизор деңгейінде ғана жүзеге асырылуы мүмкін, өйткені кез келген қосымша жүйелер ресурстарды басқаруға арналған гипервизордың стандартты функциялары (атап айтқанда, RAM) әсер етпейді.
Біз қалай жұмыс істейміз
Бізде FSTEC сертификатталған (бірақ NDV-4 үшін сертификатсыз) гипервизорда іске асырылған бұлттық сегмент бар. Бұл сегмент сертификатталған, сондықтан оның негізінде жеке деректерді бұлтта сақтауға болады 3 және 4 қауіпсіздік деңгейі — бұл жерде жарияланбаған мүмкіндіктерден қорғау талаптарын сақтаудың қажеті жоқ. Міне, айтпақшы, біздің қауіпсіз бұлт сегментінің архитектурасы:
Жеке деректерге арналған жүйелер 1 және 2 қауіпсіздік деңгейі Біз тек арнайы жабдықта орындаймыз. Тек осы жағдайда ғана, мысалы, UBI.101 қауіпі шын мәнінде маңызды емес, өйткені бір виртуалды ортамен біріктірілмеген сервер сөрелері бір деректер орталығында орналасқанның өзінде бір-біріне әсер ете алмайды. Мұндай жағдайларда біз арнайы жабдықты жалға беру қызметін ұсынамыз (оны қызмет ретінде аппараттық құрал деп те атайды).
Жеке деректер жүйесі үшін қауіпсіздіктің қандай деңгейі қажет екенін білмесеңіз, біз оны жіктеуге де көмектесеміз.
қорытынды
Біздің шағын нарықтық зерттеулеріміз көрсеткендей, кейбір бұлттық операторлар тапсырысты алу үшін тұтынушы деректерінің қауіпсіздігіне де, өз болашағына да қауіп төндіруге дайын. Бірақ бұл мәселелерде біз жоғарыда қысқаша сипатталған басқа саясатты ұстанамыз. Түсініктемелерде сұрақтарыңызға жауап беруге қуаныштымыз.
Ақпарат көзі: www.habr.com