ProHoster > Блог > басқарма > ГОСТ R 57580 және контейнерлік виртуализациямен қалай достасуға болады. Орталық банктің жауабы (және бұл мәселе бойынша біздің ойларымыз)

ГОСТ R 57580 және контейнерлік виртуализациямен қалай достасуға болады. Орталық банктің жауабы (және бұл мәселе бойынша біздің ойларымыз)

Жақында біз ГОСТ Р 57580 (бұдан әрі жай ГОСТ) талаптарына сәйкестігін тағы бір бағалауды жүргіздік. Клиент – электронды төлем жүйесін жасаушы компания. Жүйе күрделі: 3 миллионнан астам пайдаланушы, күніне 200 мыңнан астам транзакция. Онда олар ақпараттық қауіпсіздікке аса мән береді.

Бағалау процесі кезінде клиент әзірлеу бөлімі виртуалды машиналардан басқа контейнерлерді пайдалануды жоспарлап отырғанын кездейсоқ хабарлады. Бірақ бұл туралы клиент қосты, бір мәселе бар: ГОСТ-та бірдей Docker туралы бірде-бір сөз жоқ. Не істейін? Контейнерлердің қауіпсіздігін қалай бағалауға болады?

ГОСТ R 57580 және контейнерлік виртуализациямен қалай достасуға болады. Орталық банктің жауабы (және бұл мәселе бойынша біздің ойларымыз)

Рас, ГОСТ тек аппараттық виртуалдандыру туралы жазады - виртуалды машиналарды, гипервизорды және серверді қорғау туралы. Біз Орталық банктен түсініктеме сұрадық. Жауабы бізді таң қалдырды.

ГОСТ және виртуализация

Алдымен, ГОСТ Р 57580 «қаржы ұйымдарының ақпараттық қауіпсіздігін қамтамасыз ету талаптарын» (FI) белгілейтін жаңа стандарт екенін еске түсірейік. Бұл ҚҰ-ға төлем жүйелерінің операторлары мен қатысушылары, несиелік және несиелік емес ұйымдар, операциялық және клирингтік орталықтар жатады.

1 жылдың 2021 қаңтарынан бастап ҚҰ жүргізуге міндетті жаңа ГОСТ талаптарына сәйкестігін бағалау. Біз, ITGLOBAL.COM, осындай бағалауларды жүргізетін аудиторлық компаниямыз.

ГОСТ виртуалдандырылған орталарды қорғауға арналған бөлімшеге ие - № 7.8. Онда «виртуализация» термині көрсетілмеген, аппараттық және контейнерлік виртуализацияға бөлінбейді. Кез келген АТ маманы техникалық тұрғыдан бұл дұрыс емес екенін айтады: виртуалды машина (VM) мен контейнер әртүрлі оқшаулау принциптері бар әртүрлі орталар. VM және Docker контейнерлері орналастырылған хосттың осалдығы тұрғысынан бұл да үлкен айырмашылық.

VM және контейнерлердің ақпараттық қауіпсіздігін бағалау да әртүрлі болуы керек екен.

Орталық банкке сұрақтарымыз

Біз оларды Орталық банктің Ақпараттық қауіпсіздік департаментіне жібердік (сұрақтарды қысқартылған түрде ұсынамыз).

  1. ГОСТ сәйкестігін бағалау кезінде Docker типті виртуалды контейнерлерді қалай қарастыруға болады? ГОСТ 7.8-тармақшасына сәйкес технологияны бағалау дұрыс па?
  2. Виртуалды контейнерлерді басқару құралдарын қалай бағалауға болады? Оларды серверді виртуализациялау құрамдастарына теңестіріп, ГОСТ-тың сол бөлімшелері бойынша бағалауға болады ма?
  3. Docker контейнерлеріндегі ақпараттың қауіпсіздігін бөлек бағалауым керек пе? Олай болса, бағалау процесінде бұл үшін қандай қауіпсіздік шараларын ескеру қажет?
  4. Контейнерлеу виртуалды инфрақұрылымға теңестірілген болса және 7.8-тармақшаға сәйкес бағаланса, арнайы ақпаратты қорғау құралдарын енгізуге арналған ГОСТ талаптары қалай жүзеге асырылады?

Орталық банктің жауабы

Төменде негізгі үзінділер берілген.

«ГОСТ Р 57580.1-2017 келесі шараларға қатысты техникалық шараларды қолдану арқылы жүзеге асыруға қойылатын талаптарды белгілейді МЕМСТ Р 7.8-57580.1 ЗІ 2017-тармақшасы, департаменттің пікірінше, контейнерлік виртуализацияны қолдану жағдайларына кеңейтілуі мүмкін. технологияларды ескере отырып:

  • виртуалды машиналарға және виртуалдандыру серверінің құрамдастарына логикалық қол жеткізуді жүзеге асыру кезінде сәйкестендіруді, аутентификацияны, авторизацияны (қол жеткізуді басқару) ұйымдастыруға арналған ZSV.1 - ZSV.11 шараларын орындау контейнерлік виртуалдандыру технологиясын пайдалану жағдайларынан өзгеше болуы мүмкін. Осыны ескере отырып, бірқатар шараларды (мысалы, ZVS.6 және ZVS.7) жүзеге асыру үшін қаржы институттарына бірдей мақсаттарды көздейтін өтемақы шараларын әзірлеуді ұсынуға болады деп санаймыз;
  • виртуалды машиналардың ақпараттық өзара әрекеттесуін ұйымдастыру және бақылау бойынша ZSV.13 - ZSV.22 шараларын іске асыру виртуалдандыру технологиясын іске асыратын және әртүрлі қауіпсіздік схемаларына жататын ақпараттандыру объектілерін ажырату үшін қаржы ұйымының компьютерлік желісін сегменттеуді қарастырады. Осыны ескере отырып, контейнерлік виртуалдандыру технологиясын (орындалатын виртуалды контейнерлерге қатысты да, операциялық жүйе деңгейінде қолданылатын виртуалдандыру жүйелеріне де қатысты) пайдалану кезінде тиісті сегменттеуді қамтамасыз ету орынды деп санаймыз;
  • виртуалды машиналар кескіндерін қорғауды ұйымдастыру бойынша ZSV.26, ZSV.29 - ZSV.31 іс-шараларын орындау виртуалды контейнерлердің негізгі және ағымдағы кескіндерін қорғау үшін де ұқсастық бойынша жүзеге асырылуы керек;
  • виртуалды машиналарға және серверді виртуализациялау құрамдастарына қол жеткізуге байланысты ақпараттық қауіпсіздік оқиғаларын тіркеуге арналған ZVS.32 - ZVS.43 шараларын іске асыру контейнерлік виртуалдандыру технологиясын жүзеге асыратын виртуалдандыру ортасының элементтеріне қатысты ұқсастық бойынша жүзеге асырылуы тиіс.».

Бұл нені білдіреді

Орталық банктің Ақпараттық қауіпсіздік департаментінің жауабынан екі негізгі қорытынды:

  • контейнерлерді қорғау шаралары виртуалды машиналарды қорғау шараларынан еш айырмашылығы жоқ;
  • Бұдан шығатыны, ақпараттық қауіпсіздік контекстінде Орталық банк виртуализацияның екі түрін – Docker контейнерлері мен VM-ді теңестіреді.

Жауапта қауіп-қатерлерді бейтараптандыру үшін қолданылуы қажет «өтемдік шаралар» да айтылады. Бұл «өтемдік шаралар» дегеніміз не және олардың барабарлығын, толықтығын және тиімділігін қалай өлшеуге болатыны түсініксіз.

Орталық банктің ұстанымында не дұрыс емес?

Бағалау (және өзін-өзі бағалау) кезінде Орталық банктің ұсынымдарын пайдалансаңыз, сізге бірқатар техникалық және логикалық қиындықтарды шешу қажет.

  • Әрбір орындалатын контейнер оған ақпаратты қорғау бағдарламалық құралын (IP) орнатуды қажет етеді: антивирус, тұтастықты бақылау, журналдармен жұмыс істеу, DLP жүйелері (Data Leak Prevention) және т.б. Мұның бәрін VM-ге еш қиындықсыз орнатуға болады, бірақ контейнер жағдайында ақпараттық қауіпсіздікті орнату абсурдтық қадам болып табылады. Контейнерде қызметтің жұмыс істеуі үшін қажетті ең аз «дене жинағы» бар. Онда SZI орнату оның мағынасына қайшы келеді.
  • Контейнер кескіндері бірдей принцип бойынша қорғалуы керек, мұны қалай жүзеге асыру керектігі де түсініксіз.
  • ГОСТ серверді виртуалдандыру компоненттеріне, яғни гипервизорға кіруді шектеуді талап етеді. Docker жағдайында не сервер компоненті болып саналады? Бұл әрбір контейнерді бөлек хостта іске қосу керек дегенді білдірмейді ме?
  • Егер кәдімгі виртуалдандыру үшін қауіпсіздік контурлары және желі сегменттері бойынша VM-ді шектеу мүмкін болса, онда бір хост ішіндегі Docker контейнерлері жағдайында бұлай болмайды.

Іс жүзінде әрбір аудитор өз білімі мен тәжірибесіне сүйене отырып, контейнерлердің қауіпсіздігін өзінше бағалайтын шығар. Жақсы, егер біреуі де, екіншісі де болмаса, оны мүлдем бағаламаңыз.

Қалай болғанда да, 1 жылдың 2021 қаңтарынан бастап ең төменгі балл 0,7-ден төмен болмауы керек екенін қосамыз.

Айтпақшы, біз ГОСТ 57580 және Орталық банк ережелерінің талаптарына қатысты реттеушілердің жауаптары мен түсініктемелерін біздің сайтымызда үнемі жариялап отырамыз. Telegram арнасы.

Не істеу

Біздің ойымызша, қаржы ұйымдарында мәселені шешудің екі жолы ғана бар.

1. Контейнерлерді енгізуден аулақ болыңыз

Тек аппараттық виртуалдандыруды пайдалануға дайын және сонымен бірге ГОСТ бойынша төмен рейтингтерден және Орталық банктің айыппұлдарынан қорқатындарға арналған шешім.

Плюс: ГОСТ 7.8-тармақшасының талаптарын орындау оңайырақ.

Минус: Бізге контейнерлік виртуализацияға негізделген жаңа әзірлеу құралдарынан, атап айтқанда Docker және Kubernetes-тен бас тартуға тура келеді.

2. ГОСТ 7.8-тармақшасының талаптарын орындаудан бас тарту

Бірақ сонымен бірге контейнерлермен жұмыс істеу кезінде ақпараттық қауіпсіздікті қамтамасыз етудің озық тәжірибелерін қолданыңыз. Бұл жаңа технологиялар мен олар беретін мүмкіндіктерді бағалайтындар үшін шешім. «Ең жақсы тәжірибе» деп біз Docker контейнерлерінің қауіпсіздігін қамтамасыз ету үшін салада қабылданған нормалар мен стандарттарды түсінеміз:

  • негізгі ОЖ қауіпсіздігі, дұрыс конфигурацияланған журнал жүргізу, контейнерлер арасында деректер алмасуға тыйым салу және т.б.;
  • кескіндердің тұтастығын тексеру үшін Docker Trust функциясын пайдалану және кіріктірілген осалдық сканерін пайдалану;
  • Біз қашықтан қол жеткізудің қауіпсіздігін және тұтастай желі моделін ұмытпауымыз керек: ARP-спуфинг және MAC-флодингі сияқты шабуылдар жойылған жоқ.

Плюс: контейнерлік виртуализацияны пайдалануға техникалық шектеулер жоқ.

Минус: реттеушінің ГОСТ талаптарын сақтамағаны үшін жазалау ықтималдығы жоғары.

қорытынды

Біздің клиент контейнерлерден бас тартпауды шешті. Сонымен бірге ол жұмыс көлемін және Докерге көшу уақытын айтарлықтай қайта қарауға мәжбүр болды (олар алты айға созылды). Клиент тәуекелдерді жақсы түсінеді. Сондай-ақ ол ГОСТ Р 57580 сәйкестігін келесі бағалау кезінде көп нәрсе аудиторға байланысты болатынын түсінеді.

Сіз бұл жағдайда не істер едіңіз?

Ақпарат көзі: www.habr.com

пікір қалдыру