Бир күнү бизге булут кызматтарына суроо-талап келип түштү. Бизден эмне талап кылынарын жалпысынан айтып бердик жана чоо-жайын тактоо үчүн суроолордун тизмесин кайра жөнөттүк. Андан кийин биз жоопторду талдап чыктык жана түшүндүк: кардар булуттагы коопсуздуктун экинчи деңгээлиндеги жеке маалыматтарды жайгаштырууну каалайт. Биз ага: "Сизде жеке маалыматыңыздын экинчи деңгээли бар, кечиресиз, биз жеке булутту гана түзө алабыз" деп жооп беребиз. Ал: "Билесизби, бирок X компаниясында алар мага баарын ачык жарыялай алышат."
Стив Крисптин сүрөтү, Reuters
Кызык нерселер! Биз X компаниясынын веб-сайтына кирип, алардын күбөлүк документтерин изилдеп, башыбызды чайкап, түшүндүк: жеке маалыматтарды жайгаштырууда ачык суроолор көп жана алар кылдаттык менен чечилиши керек. Бул постто биз эмне кылабыз.
Баары кантип иштеши керек
Биринчиден, жеке маалыматтарды коопсуздуктун тигил же бул деңгээли катары классификациялоо үчүн кандай критерийлер колдонуларын аныктап көрөлү. Бул маалыматтардын категориясына, оператор сактаган жана иштеткен бул маалыматтардын субъекттеринин санына, ошондой эле учурдагы коркунучтардын түрүнө жараша болот.
Учурдагы коркунучтардын түрлөрү аныкталат 1-жылдын 2012-ноябрындагы «Жеке маалыматтардын маалыматтык системаларында аларды иштетүүдө жеке маалыматтарды коргоого карата талаптарды бекитүү жөнүндө»
«Биринчи типтеги коркунучтар, эгерде ал камтыса, маалымат системасы үчүн актуалдуу менен байланышкан учурдагы коркунучтар документсиз (жарыяланбаган) мүмкүнчүлүктөрдүн болушу менен системалык программалык камсыздоодомаалымат системасында колдонулат.
2-типтеги коркунучтар маалыматтык системага тиешелүү болсо, анын ичинде менен байланышкан учурдагы коркунучтар документсиз (жарыяланбаган) мүмкүнчүлүктөрдүн болушу менен колдонмо программалык камсыздоодомаалымат системасында колдонулат.
3-түрдөгү коркунучтар маалымат системасы үчүн тиешелүү болсо, анда ал үчүн байланышы жок коркунучтар документсиз (жарыяланбаган) мүмкүнчүлүктөрдүн болушу менен системалык жана колдонмо программалык камсыздоодомаалымат системасында колдонулат».
Бул аныктамалардагы негизги нерсе - документтештирилбеген (жарыяланбаган) мүмкүнчүлүктөрдүн болушу. Документтештирилбеген программалык мүмкүнчүлүктөрдүн жоктугун тастыктоо үчүн (булуттук учурда бул гипервизор) сертификаттоо Россиянын FSTEC тарабынан жүргүзүлөт. Эгерде PD оператору программалык камсыздоодо мындай мүмкүнчүлүктөр жок деп кабыл алса, анда тиешелүү коркунучтар мааниге ээ эмес. 1 жана 2-түрдөгү коркунучтар өтө сейрек PD операторлору тарабынан актуалдуу деп эсептелинет.
Оператор PD коопсуздугунун деңгээлин аныктоодон тышкары, коомдук булут үчүн конкреттүү учурдагы коркунучтарды аныктоого жана ПД коопсуздугунун аныкталган деңгээлине жана учурдагы коркунучтарга таянып, алардан коргонуунун зарыл чараларын жана каражаттарын аныктоого тийиш.
FSTEC бардык негизги коркунучтарды так тизмелейт (коркунучтуу маалымат базасы). Булуттук инфраструктураны камсыздоочулар жана баалоочулар өз иштеринде бул маалымат базасын колдонушат. Бул жерде коркунучтардын мисалдары:
: "Коркунуч - бул виртуалдык машинанын ичинде иштеген программалардын колдонуучу маалыматтарынын коопсуздугун виртуалдык машинанын сыртында иштеген зыяндуу программалык камсыздоонун бузуу мүмкүнчүлүгү." Бул коркунуч виртуалдык машинанын ичинде иштеген программалар үчүн колдонуучунун маалыматтарын сактоо үчүн колдонулган дарек мейкиндигинин виртуалдык машинанын сыртында иштеген зыяндуу программалык камсыздоонун уруксатсыз кирүүсүнөн обочолонушун камсыз кылган гипервизордук программалык камсыздоодо алсыздыктын болушу менен шартталган.
Бул коркунучту ишке ашыруу зыяндуу программалык код виртуалдык машинанын чектерин ийгиликтүү жеңген шартта, гипервизордун аялуу жерлерин пайдалануу менен гана эмес, ошондой эле төмөнкү деңгээлдеги (гипервизорго салыштырмалуу) мындай таасирди ишке ашыруу менен мүмкүн болот. системанын иштеши."
: "Коркунуч бир булут кызматын керектөөчүнүн башкасынан корголгон маалыматына уруксатсыз кирүү мүмкүнчүлүгүндө. Бул коркунуч булуттук технологиялардын табиятынан улам булут кызматын керектөөчүлөр бир эле булут инфраструктурасын бөлүшүүгө туура келгендигине байланыштуу. Бул коркунуч булуттук кызматтын керектөөчүлөрүнүн ортосунда булут инфраструктурасынын элементтерин бөлүүдө, ошондой эле алардын ресурстарын изоляциялоодо жана маалыматтарды бири-биринен бөлүүдө каталар жасалса, ишке ашырылышы мүмкүн.
Сиз бул коркунучтардан гипервизордун жардамы менен гана коргой аласыз, анткени ал виртуалдык ресурстарды башкарат. Ошентип, гипервизор коргоо каражаты катары каралышы керек.
Жана ылайык 18-жылдын 2013-февралында, гипервизор 4-деңгээлде NDV эмес деп тастыкталууга тийиш, антпесе аны менен 1 жана 2-деңгээлдеги жеке маалыматтарды колдонуу мыйзамсыз болуп калат («12-пункт. ... Жеке маалыматтардын коопсуздугунун 1 жана 2-деңгээлдерин камсыз кылуу, ошондой эле 3-түрдөгү коркунучтар учурдагы болуп классификацияланган маалымат тутумдарында жеке маалыматтардын коопсуздугунун 2-деңгээлин камсыз кылуу үчүн, маалыматтык коопсуздуктун инструменттери колдонулган, программалык камсыздоосу жаңыланган жок дегенде 4-деңгээлге ылайык текшерилген, жарыяланбаган мүмкүнчүлүктөр жок).
Россияда иштелип чыккан бир гана гипервизор талап кылынган NDV-4 сертификатына ээ. . Эң популярдуу чечим эмес, жумшак айтканда. Коммерциялык булуттар, адатта, VMware vSphere, KVM, Microsoft Hyper-V базасында курулат. Бул буюмдардын бири да NDV-4 тастыкталган эмес. Неге? Өндүрүүчүлөр үчүн мындай сертификацияны алуу азырынча экономикалык жактан негиздүү эмес болсо керек.
Ал эми коомдук булуттагы 1 жана 2-деңгээлдеги жеке маалыматтар үчүн Горизонт BC гана калат. Өкүнүчтүү бирок чындык.
Кантип баары (биздин оюбузча) чындап иштейт
Бир караганда, баары катуу: бул коркунучтар NDV-4 боюнча тастыкталган гипервизордун стандарттык коргоо механизмдерин туура конфигурациялоо менен жок кылынышы керек. Бирок бир жылчык бар. FSTEC № 21 буйругуна ылайык (2-пункт Жеке маалыматтардын маалымат тутумунда (мындан ары - маалыматтык система) иштетилгенде жеке маалыматтардын коопсуздугу оператор же оператордун атынан жеке маалыматтарды иштеп чыгуучу жак тарабынан камсыз кылынат. Орус Федерациясы"), провайдерлер мүмкүн болгон коркунучтардын актуалдуулугун өз алдынча баалайт жана ошого жараша коргоо чараларын тандашат. Ошондуктан, эгерде сиз UBI.44 жана UBI.101 коркунучтарын учурдагы катары кабыл албасаңыз, анда NDV-4 боюнча тастыкталган гипервизорду колдонуунун кажети жок болот, бул так аларга каршы коргоону камсыз кылышы керек. Бул Роскомнадзор толугу менен канааттандыра турган жеке маалыматтардын коопсуздугунун 1 жана 2-деңгээлдерине коомдук булуттун шайкештиги жөнүндө сертификат алуу үчүн жетиштүү болот.
Албетте, Roskomnadzor тышкары, FSTEC текшерүү менен келиши мүмкүн - бул уюм техникалык маселелерде алда канча кылдат. Ал, балким, эмне үчүн UBI.44 жана UBI.101 коркунучтары тиешеси жок деп эсептелгени кызыктырышы мүмкүн? Бирок, адатта, FSTEC кандайдыр бир маанилүү окуя жөнүндө маалымат алганда гана текшерүү жүргүзөт. Бул учурда, федералдык кызмат биринчи жеке маалымат операторуна келет - башкача айтканда, булут кызматтарынын кардары. Эң начар учурда, оператор бир аз айып алат - мисалы, жылдын башында Twitter үчүн ушундай эле учурда 5000 рублди түзгөн. Андан кийин FSTEC булут кызматын камсыздоочуга барат. Бул ченемдик талаптарга жооп бербегендиктен лицензиядан ажырап калышы мүмкүн - бул булут провайдери үчүн да, анын кардарлары үчүн да такыр башка тобокелдиктер. Бирок, кайталап айтам, FSTEC текшерүү үчүн, адатта, так себеби керек. Ошентип, булут провайдерлери тобокелчиликке барууга даяр. Биринчи олуттуу окуяга чейин.
Гипервизорго vGate сыяктуу кошумчаны кошуу менен бардык коркунучтарды жабууга болот деп эсептеген “жооптуураак” провайдерлердин тобу да бар. Бирок кээ бир коркунучтар үчүн кардарлар арасында бөлүштүрүлгөн виртуалдык чөйрөдө (мисалы, жогорудагы UBI.101), эффективдүү коргоо механизми NDV-4 боюнча сертификатталган гипервизордун деңгээлинде гана ишке ашырылышы мүмкүн, анткени ар кандай кошумча системалар ресурстарды башкаруу үчүн гипервизордун стандарттык функциялары (айрыкча, RAM) таасир этпейт.
Кантип иштейбиз
Бизде FSTEC тарабынан тастыкталган гипервизордо ишке ашырылган булут сегменти бар (бирок NDV-4 үчүн сертификаты жок). Бул сегмент тастыкталган, ошондуктан жеке маалыматтар анын негизинде булутта сакталышы мүмкүн 3 жана 4 коопсуздук деңгээли — бул жерде жарыяланбаган мүмкүнчүлүктөрдөн коргоо талаптарын сактоонун кереги жок. Бул жерде, демек, биздин коопсуз булут сегментибиздин архитектурасы:
Жеке маалыматтар үчүн системалар 1 жана 2 коопсуздук деңгээли Биз атайын жабдууларда гана ишке ашырабыз. Бул учурда гана, мисалы, UBI.101 коркунучу чындыгында актуалдуу эмес, анткени бир виртуалдык чөйрө менен бириктирилбеген сервердик стеллаждар бир маалымат борборунда жайгашкан учурда да бири-бирине таасир эте албайт. Мындай учурларда, биз атайын жабдууларды ижарага алуу кызматын сунуштайбыз (ал ошондой эле кызмат катары аппараттык деп аталат).
Эгер сиздин жеке маалымат тутумуңуз үчүн коопсуздуктун кандай деңгээли талап кылынарын билбесеңиз, биз аны классификациялоого да жардам беребиз.
жыйынтыктоо
Биздин чакан базар изилдөөбүз көрсөткөндөй, кээ бир булут операторлору заказды алуу үчүн кардарлардын маалыматтарынын коопсуздугун да, өздөрүнүн келечегин да тобокелге салууга даяр. Бирок бул маселелерде биз жогоруда кыскача баяндаган башка саясатты карманабыз. Суроолоруңузга комментарийлерде жооп берүүгө кубанычтабыз.
Source: www.habr.com