ProHoster > Blog > башкаруу > ГОСТ R 57580 жана контейнерди виртуалдаштыруу менен кантип достосо болот. Борбордук банктын жообу (жана бул маселе боюнча биздин ойлорубуз)

ГОСТ R 57580 жана контейнерди виртуалдаштыруу менен кантип достосо болот. Борбордук банктын жообу (жана бул маселе боюнча биздин ойлорубуз)

Жакында биз ГОСТ Р 57580 (мындан ары жөн эле ГОСТ) талаптарына шайкештигин дагы бир баалоону жүргүздүк. Кардар электрондук төлөм системасын иштеп чыгуучу компания болуп саналат. Система олуттуу: 3 миллиондон ашык колдонуучулар, күн сайын 200 миңден ашык транзакциялар. Алар ал жерде маалымат коопсуздугуна өтө олуттуу мамиле кылышат.

Баалоо процессинде кардар кокусунан өнүктүрүү бөлүмү виртуалдык машиналардан тышкары контейнерлерди колдонууну пландаштырып жатканын жарыялады. Бирок муну менен кардар кошумчалагандай, бир көйгөй бар: ГОСТто ошол эле Докер жөнүндө бир да сөз жок. Мен эмне кылышым керек? Контейнерлердин коопсуздугун кантип баалоого болот?

ГОСТ R 57580 жана контейнерди виртуалдаштыруу менен кантип достосо болот. Борбордук банктын жообу (жана бул маселе боюнча биздин ойлорубуз)

Ырас, ГОСТ аппараттык виртуалдаштыруу жөнүндө гана жазат - виртуалдык машиналарды, гипервизорду жана серверди кантип коргоо керектиги жөнүндө. Биз тактоо үчүн Борбордук банкка кайрылдык. Жооп бизди таң калтырды.

ГОСТ жана виртуалдаштыруу

Баштоо үчүн, ГОСТ Р 57580 "финансылык уюмдардын маалыматтык коопсуздугун камсыз кылуу боюнча талаптарды" (ФИ) аныктаган жаңы стандарт экенин эске сала кетели. Бул ФКларга төлөм системаларынын операторлору жана катышуучулары, кредиттик жана кредиттик эмес уюмдар, операциялык жана клирингдик борборлор кирет.

1-жылдын 2021-январынан баштап ФИ жүргүзүүгө милдеттүү жаңы ГОСТтун талаптарына шайкештигин баалоо. Биз, ITGLOBAL.COM, ушундай баа берүүлөрдү жүргүзгөн аудитордук компаниябыз.

ГОСТта виртуалдаштырылган чөйрөлөрдү коргоого арналган бөлүм бар - № 7.8. Ал жерде "виртуалдаштыруу" термини көрсөтүлгөн эмес, аппараттык жана контейнердик виртуалдаштырууга бөлүнүү жок. Ар бир IT адиси техникалык көз караштан алганда бул туура эмес деп айтат: виртуалдык машина (VM) жана контейнер ар кандай изоляция принциптери менен башка чөйрөлөр. VM жана Docker контейнерлери орнотулган хосттун аялуу көз карашынан алганда, бул да чоң айырма.

Көрсө, VM жана контейнерлердин маалыматтык коопсуздугуна баа берүү да башкача болушу керек.

Борбордук банкка суроолорубуз

Биз аларды Борбордук банктын Маалыматтык коопсуздук башкармалыгына жөнөттүк (суроолорду кыскартылган түрдө беребиз).

  1. ГОСТтун шайкештигин баалоодо Докер тибиндеги виртуалдык контейнерлерди кантип эске алуу керек? ГОСТтун 7.8 пунктуна ылайык технологияны баалоо туурабы?
  2. Виртуалдык контейнер башкаруу куралдарын кантип баалоого болот? Аларды сервердик виртуалдаштыруу компоненттерине теңеп, ГОСТтун ошол эле бөлүмчөсүнө ылайык баалоого болобу?
  3. Мен Docker контейнерлеринин ичиндеги маалыматтын коопсуздугун өзүнчө баалашым керекпи? Эгер ошондой болсо, баалоо процессинде бул үчүн кандай кепилдиктер каралышы керек?
  4. Эгерде контейнерлештирүү виртуалдык инфраструктурага теңештирилсе жана 7.8-пунктчага ылайык бааланса, анда маалыматтык коопсуздуктун атайын инструменттерин ишке ашыруу боюнча ГОСТ талаптары кандайча аткарылат?

Борбордук банктын жообу

Төмөндө негизги үзүндүлөр келтирилген.

«ГОСТ Р 57580.1-2017 ГОСТ Р 7.8-57580.1 2017 ЗИ бөлүмчөсүнүн төмөнкү чараларына карата техникалык чараларды колдонуу аркылуу ишке ашыруу талаптарын белгилейт, департаменттин пикири боюнча, контейнерлерди виртуалдаштырууну колдонуу учурларына да жайылтылат. төмөнкү технологияларды эске алуу менен:

  • виртуалдык машиналарга жана виртуалдаштыруу серверинин компоненттерине логикалык кирүүнү ишке ашырууда идентификациялоону, аутентификацияны, авторизациялоону (колдонууну башкаруу) уюштуруу боюнча ZSV.1 - ZSV.11 чараларды ишке ашыруу контейнердик виртуалдаштыруу технологиясын колдонуу учурларынан айырмаланышы мүмкүн. Муну эске алып, бир катар чараларды ишке ашыруу үчүн (мисалы, ZVS.6 жана ZVS.7) финансылык институттарга ошол эле максаттарды көздөгөн компенсациялык чараларды иштеп чыгууну сунуш кылууга болот деп эсептейбиз;
  • виртуалдык машиналардын маалыматтык өз ара аракеттенүүсүн уюштуруу жана контролдоо боюнча ZSV.13 - ZSV.22 иш-чараларын ишке ашыруу виртуалдаштыруу технологиясын ишке ашыруучу жана ар кандай коопсуздук схемаларына таандык болгон маалыматташтыруу объектилерин айырмалоо үчүн финансылык уюмдун компьютердик тармагын сегментациялоону карайт. Муну эске алуу менен, контейнерлерди виртуалдаштыруу технологиясын колдонууда (аткалуучу виртуалдык контейнерлерге карата да, операциялык системанын деңгээлинде колдонулган виртуалдаштыруу системаларына карата да) тиешелүү сегментациялоону камсыз кылуу максатка ылайыктуу деп эсептейбиз;
  • виртуалдык машиналардын сүрөттөрүн коргоону уюштуруу боюнча ZSV.26, ZSV.29 - ZSV.31 иш-чараларын ишке ашыруу виртуалдык контейнерлердин негизги жана учурдагы сүрөттөрүн коргоо максатында аналогия боюнча да жүргүзүлүшү керек;
  • виртуалдык машиналарга жана серверди виртуалдаштыруунун компоненттерине жетүү менен байланышкан маалыматтык коопсуздук окуяларын жазуу боюнча ZVS.32 - ZVS.43 чараларды ишке ашыруу контейнердик виртуалдаштыруу технологиясын ишке ашыруучу виртуалдаштыруу чөйрөсүнүн элементтерине карата да аналогия боюнча жүргүзүлүшү керек.

Бул эмнени билдирет

Борбордук банктын Маалыматтык коопсуздук департаментинин жообунан эки негизги корутунду:

  • контейнерлерди коргоо чаралары виртуалдык машиналарды коргоо чараларынан айырмаланбайт;
  • Мындан улам Борбордук банк маалыматтык коопсуздук контекстинде виртуалдаштыруунун эки түрүн – Docker контейнерлерин жана VMлерди теңдейт.

Жоопто коркунучтарды нейтралдаштыруу үчүн колдонулушу керек болгон “компенсациялык чаралар” да айтылат. Бул "компенсациялык чаралар" деген эмне жана алардын адекваттуулугун, толуктугун жана натыйжалуулугун кантип өлчөө керектиги түшүнүксүз.

Борбордук банктын позициясында эмне туура эмес?

Эгерде сиз баалоодо (жана өзүн-өзү баалоодо) Борбордук банктын сунуштарын колдонсоңуз, анда бир катар техникалык жана логикалык кыйынчылыктарды чечүү керек.

  • Ар бир аткарылуучу контейнер ага маалыматты коргоо программасын (IP) орнотууну талап кылат: антивирус, бүтүндүккө мониторинг, журналдар менен иштөө, DLP системалары (Data Leak Prevention) жана башкалар. Мунун баарын VMге эч кандай көйгөйсүз орнотууга болот, бирок контейнерде маалыматтык коопсуздукту орнотуу абсурддуу кадам болуп саналат. Контейнерде кызматтын иштеши үчүн зарыл болгон минималдуу "корпус комплекти" бар. Ага SZI орнотуу анын маанисине карама-каршы келет.
  • Контейнер сүрөттөрү ошол эле принцип боюнча корголушу керек; муну кантип ишке ашыруу да түшүнүксүз.
  • ГОСТ сервердин виртуалдаштыруу компоненттерине, башкача айтканда, гипервизорго кирүүнү чектөөнү талап кылат. Docker учурда сервердин компоненти эмне деп эсептелет? Бул ар бир контейнер өзүнчө хостто иштетилиши керек дегенди билдирбейби?
  • Эгерде кадимки виртуалдаштыруу үчүн VMлерди коопсуздук контурлары жана тармак сегменттери боюнча чектөө мүмкүн болсо, анда бир эле хосттун ичиндеги Docker контейнерлеринде бул андай эмес.

Практикада ар бир аудитор өзүнүн билимине жана тажрыйбасына таянып, контейнерлердин коопсуздугуна өз алдынча баа берет окшойт. Мейли, же бирөөсү да, экинчиси да жок болсо, такыр баа бербеңиз.

Болбосо, 1-жылдын 2021-январынан баштап минималдуу упай 0,7ден төмөн болбошу керектигин кошумчалайбыз.

Баса, биз ГОСТ 57580 жана Борбордук банктын ченемдик укуктук актыларынын талаптарына байланыштуу жөнгө салуучу органдардын жоопторун жана комментарийлерин биздин баракчага дайыма жарыялап турабыз. Телеграмма-канал.

Эмне кылуу керек

Биздин оюбузча, каржы уюмдарында маселени чечүүнүн эки гана жолу бар.

1. Контейнерлерди колдонуудан алыс болуңуз

Аппараттык виртуалдаштырууну гана колдонууга даяр жана ошол эле учурда ГОСТ боюнча төмөн рейтингдерден жана Борбордук банктын айып пулдарынан корккондор үчүн чечим.

плюс: ГОСТтун 7.8-бөлүмүнүн талаптарын аткаруу оңой.

Минус: Контейнерди виртуалдаштырууга негизделген жаңы иштеп чыгуу куралдарынан, атап айтканда Docker жана Kubernetesтен баш тартууга туура келет.

2. ГОСТтун 7.8-пунктчасынын талаптарын аткаруудан баш тартуу

Бирок ошол эле учурда контейнерлер менен иштөөдө маалыматтык коопсуздукту камсыз кылуу боюнча мыкты тажрыйбаларды колдонуңуз. Бул жаңы технологияларды жана алар берген мүмкүнчүлүктөрдү баалагандар үчүн чечим. "Мыкты тажрыйбалар" деп биз Docker контейнерлеринин коопсуздугун камсыз кылуу үчүн өнөр жай тарабынан кабыл алынган нормаларды жана стандарттарды түшүнөбүз:

  • хост ОСтун коопсуздугу, туура конфигурацияланган журналдар, контейнерлер ортосунда маалымат алмашууга тыюу салуу жана башкалар;
  • сүрөттөрдүн бүтүндүгүн текшерүү үчүн Docker Trust функциясын колдонуу жана камтылган аялуу сканерин колдонуу;
  • Биз алыстан кирүүнүн коопсуздугу жана бүтүндөй тармак модели жөнүндө унутпашыбыз керек: ARP-спофинг жана MAC-флодинг сыяктуу чабуулдар жокко чыгарылган эмес.

плюс: контейнерди виртуалдаштырууну колдонууга техникалык чектөөлөр жок.

Минус: жөнгө салуучу ГОСТ талаптарына ылайык келбегендиги үчүн жазалоо ыктымалдыгы жогору.

жыйынтыктоо

Биздин кардар контейнерлерден баш тартпоону чечти. Ошол эле учурда ал иштин көлөмүн жана Докерге өтүү мөөнөтүн олуттуу түрдө кайра карап чыгууга туура келди (алар алты айга созулду). Кардар тобокелдиктерди абдан жакшы түшүнөт. Ал ошондой эле ГОСТ Р 57580 ылайык келүүнү кийинки баалоодо аудитордон көп нерсе көз каранды болорун түшүнөт.

Мындай кырдаалда эмне кылат элеңиз?

Source: www.habr.com

Комментарий кошуу