ProHoster > Блог > administratio > Quomodo amicos facere cum GOST R 57580 et continens virtualizationem. Central Bank responsionem (et cogitationem nostram de hac re)

Quomodo amicos facere cum GOST R 57580 et continens virtualizationem. Central Bank responsionem (et cogitationem nostram de hac re)

Aliam taxationem obsequii cum exigentiis GOST R 57580 non pridem percepimus (infra ad simpliciter GOST). Cliens est societas quae systema electronicum electronicum explicat. Ratio gravis est: plus quam 3 decies centena millia utentium, plus quam 200 milia negotiorum cotidie. Securitatem capiunt notitias gravissime ibi.

Per aestimationem processus, client casualiter denuntiavit evolutionem department, praeter virtualis machinis, vasis uti consiliis. Sed cum hoc, cliens additur, quaestio una est: in GOST nullum est verbum de eodem Docker. Quid faciam? Quomodo securitatem vasorum aestimare?

Quomodo amicos facere cum GOST R 57580 et continens virtualizationem. Central Bank responsionem (et cogitationem nostram de hac re)

Verum est, GOST solum scribit de hardware virtualizatione - quomodo machinis virtualibus, hypervisore et servo tuendis. Interrogavimus Centralis Bank pro declaratione. Responsum movet.

GOST et virtualization

In primis recolamus GOST R 57580 novum esse vexillum, quod "requisita ad securitatem informationum de Institutis nummariis praestandis" designat (FI). Haec FIs includunt operatores et participes solutionis systematum, creditarum et non creditarum institutiones, operationes et purgationes centra.

Ex die 1 mensis Ianuarii 2021, FIs conductio requiritur taxationem obsequii cum exigentiis novi GOST. Nos, ITGLOBAL.COM, societas computorum quae tales census agit.

Subsectio GOST ambitus virtualisati tutelae dicata - N. 7.8. Terminus "virtualizationis" ibi non specificatur, nulla divisio in hardware et continens virtualizationis. Quisquis IT artifex dixerit hoc ex technica parte falsa esse: virtualis machina (VM) et continens diversos ambitus esse, cum diversis principiis solitudo. Ex parte vulnerabilitas exercitus, in quo VM et Docker continentia explicantur, etiam magna differentia est.

Evenit ut aestimationem informationis securitatis de VMs et vasis etiam differre deberent.

Nostrum quaestiones ad Central Bank

eas ad Securitatis Information Centralis Bank (quaestiones sub compendio exhibemus).

  1. Quomodo considerare Docker-typum virtualis continentia cum perpendendis GOST obsequium? Estne recte technologiam aestimare secundum ordinem 7.8 GOST?
  2. Quomodo aestimare instrumenta virtualis continens administratione? Licetne illos aequare ad componentes virtualisationi inservientes ac aestimare secundum eandem GOST ordinem?
  3. Mihi opus est separatim aestimare securitatem notitiarum in medio vasorum Docker? Quod si ita est, quae praesidia in processu taxationis ad hoc consideranda sunt?
  4. Si continensizationem ad virtualem infrastructuram aequatur et secundum ordinem 7.8 aestimatur, quomodo GOST requisita sunt ad exsequenda instrumenta securitatis specialium informationum perficienda?

Central Bank responsionem

Infra excerpta praecipua sunt.

"GOST R 57580.1-2017 postulata ad exsequendum per applicationem mensurarum technicarum in relatione ad sequentes mensuras ZI subsection 7.8 GOST R 57580.1-2017 constituit, quae, in sententia Department, extendi possunt ad casus utendi virtualizationis continentis. technologiae, ratione habita sequentium;

  • ad exsecutionem mensurarum ZSV.1 - ZSV.11 ad identitatem, authenticationem, authoritatem (accessum imperium) ordinandas, cum logicae accessus ad virtualis machinis ac virtualisationum servientium accessus differre possunt a casibus utendi virtualisizationis technologiae continentis. Hac ratione habita, ut plurium mensurarum (exempli gratia ZVS.6 et ZVS.7) efficiatur, credimus fieri posse suadere ut oeconomicis institutis compensatorias mensuras enucleandos, quae easdem metas persequentur;
  • exsequendam mensurarum ZSV.13 - ZSV.22 ad ordinationem et potestatem informationis commercium machinarum virtualium praebet ad segmentationem retis computatralis organisationis oeconomicae ad distinguendum inter obiecta informatizationis quae virtualisation technicae instrumenti et ad diversos ambitus securitatis pertinent. Hac ratione habita, censemus aptam portionem providere, cum technologiam virtualizationem utens continente (tam in relatione ad exsecutabile continentia virtualis et in relatione ad systemata virtualizationis adhibita in gradu operante);
  • ZSV.26, ZSV.29 - ZSV.31 ad tutelam imaginum virtualium machinis ordinare debet analogia etiam ut imagines fundamentales et currentes virtualis continentia tueantur;
  • ZVS.32 - ZVS.43 ad exsequendam informationes securitatis eventus relatas ad accessum ad machinis virtualis et servitorem virtualisationum componentium, per analogiam etiam in relatione ad elementa environment virtualizationis, quae instrumento technologiae virtualisationi continens."

Quid est hoc

Duae conclusiones principales ex responsione Centralis Bank Information Securitatis Department:

  • mensurae ad continentiam tuendam non sunt diversae a mensuris ad machinis virtualis tuendis;
  • Inde sequitur quod, in contextu securitatis informationis, Centralis Bank duo genera virtualizationis - Docker continentia et VMs aequat.

Responsum etiam commemorat "mensuras compensatorias" quae adhibenda sunt ad minas corrumpendas. Incertum est quaenam sint hae "compensatoriae mensurae" et quomodo eorum adaequationem, complementum et efficaciam metiantur.

Quid mali Central Bank de situ?

Si commendatione Argentariae Centralis in aestimatione (et auto-aestimatione) uteris, necesse est plures technicas et logicas difficultates solvere.

  • Quodlibet vas exsecutabile requirit institutionem informationis protectionis programmatis in ea: antivirus, integritas vigilantia, operans cum lignis, systematibus DLP (Data Leak praeventionis), et sic porro. Haec omnia sine ullis quaestionibus in VM institui possunt, at in casu continentis notitiae securitatis ineptum motum est. Continens minimam quantitatem "ornamentorum corporis" continet quae ad ministerium functionis necessariae sunt. SZI inaugurari in ea significationem eius contradicit.
  • Continens imagines ad idem rationem custodiri debet, quo modo hoc efficiendum sit incertum est.
  • GOST requirit restrictionem accessum ad componentium servo virtualisationi, i.e., hypervisori. Quid in casu Docker censetur cultor? Nonne hoc medium est quod unumquodque vas opus est ut ad exercitum separatum persequatur?
  • Si pro conventionali virtualizatione potest VMs per securitates contours et segmenta retis circumscribere, tunc in vasis Docker intra eundem exercitum, hoc non est.

In praxi, verisimile est quod unusquisque auditor suo modo securitatem continentiae aestimabit, ex propria scientia et experientia. Bene, vel omnino non aestimas, si alter non est.

In casu modo, ex die 1 Ianuarii 2021 addemus, minimum score non minus quam 0,7.

Viam regulariter post responsa et commentarios ex regulatoribus exigentiis GOST 57580 relatis et in nostris Regulis Centralis Bank. telegraphum channel.

Quid faciam

In nostra opinione, Instituta oeconomica duo tantum optiones habent ad problema solvendum.

1. vitare foveant continentia

Solutio pro illis qui prompti sunt ad usum virtualizationis tantum ferramentorum praestandum et simul timent aestimationes humiles secundum GOST et multas a Central Bank.

Plus A: facilior est condicionum ordine 7.8 GOST parere.

minus; Nova instrumenta evolutionis relinquenda debebimus in continente virtualizatione, in specie Docker et Kubernetes.

2. Noli parere exigentiis ordo 7.8 GOST

Sed simul adhibe optimas exercitationes ad securitatem informationem quaerendam cum vasis operando. Haec solutio est illis qui novas technologias aestimant et opportunitates praebet. Per "optimas consuetudines" significamus normas et signa industria acceptatas ad securitatem Docker vasorum procurandam:

  • securitas militiae OS, proprie figuratio logging, prohibitio notitiarum permutationis inter continentia, et sic porro;
  • utens Docker Trust functioni ad reprimendam imaginum integritatem et utens in vulnerabilitate scanner constructo;
  • Non oblivisci debemus securitatem accessus remoti et exemplar retis quasi totum: impetus ut ARP-spofing et MAC inundationes non cassantur.

Plus A: nulla technica restrictiones in usu continentis virtualizationis.

minus; Summum est probabile quod moderator puniet pro non-obsequio cum GOST requisitis.

conclusio,

Cliens noster vasis tradere non voluit. Eodem tempore signanter retractare debebat ambitum laboris ac leo transitus ad Docker (per sex menses duravit). Cliens optime intelligit pericula. Intelligit etiam quod in proximo examine obsequii cum R 57580 GOST, multum ab auditore dependet.

Quid faeis in hac re?

Source: www.habr.com

Add a comment