ProHoster > Blog > Administratioun > Wéi Frënn mat GOST R 57580 a Container Virtualiséierung ze maachen. D'Äntwert vun der Zentralbank (an eis Gedanken zu dëser Matière)

Wéi Frënn mat GOST R 57580 a Container Virtualiséierung ze maachen. D'Äntwert vun der Zentralbank (an eis Gedanken zu dëser Matière)

Net viru laanger Zäit hu mir eng aner Bewäertung vun der Konformitéit mat den Ufuerderunge vum GOST R 57580 gemaach (nodréiglech einfach GOST bezeechent). De Client ass eng Firma déi en elektronesche Bezuelsystem entwéckelt. De System ass sérieux: méi wéi 3 Millioune Benotzer, méi wéi 200 dausend Transaktiounen deeglech. Si huelen do d'Informatiounssécherheet ganz eescht.

Wärend dem Evaluatiounsprozess huet de Client zoufälleg ugekënnegt datt d'Entwécklungsdepartement, nieft virtuelle Maschinnen, plangt Container ze benotzen. Awer mat dësem, huet de Client bäigefüügt, gëtt et ee Problem: am GOST gëtt et kee Wuert iwwer deeselwechten Docker. Wat sollt ech maachen? Wéi bewäert d'Sécherheet vu Container?

Wéi Frënn mat GOST R 57580 a Container Virtualiséierung ze maachen. D'Äntwert vun der Zentralbank (an eis Gedanken zu dëser Matière)

Et ass richteg, GOST schreift nëmmen iwwer Hardwarevirtualiséierung - iwwer wéi ee virtuelle Maschinnen, en Hypervisor an e Server schützt. Mir hunn d'Zentralbank no Klärunge gefrot. D'Äntwert huet eis verwonnert.

GOST a Virtualiséierung

Fir unzefänken, loosst eis drun erënneren datt de GOST R 57580 en neie Standard ass, deen "Ufuerderunge fir d'Informatiounssécherheet vu Finanzorganisatiounen ze garantéieren" (FI) spezifizéiert. Dës FIs enthalen Bedreiwer a Participanten vu Bezuelsystemer, Kreditt- an Net-Kredittorganisatiounen, Operatiouns- a Clearingzentren.

Vum 1. Januar 2021 sinn FIs verlaangt ze féieren Bewäertung vun der Konformitéit mat den Ufuerderunge vum neie GOST. Mir, ITGLOBAL.COM, sinn eng Auditfirma déi esou Bewäertunge mécht.

GOST huet eng Ënnersektioun gewidmet fir de Schutz vu virtualiséierten Ëmfeld - Nr 7.8. De Begrëff "Virtualiséierung" gëtt do net spezifizéiert; et gëtt keng Divisioun an Hardware a Containervirtualiséierung. All IT Spezialist wäert soen datt aus enger technescher Siicht dëst falsch ass: eng virtuell Maschinn (VM) an e Container sinn verschidden Ëmfeld, mat verschiddenen Isolatiounsprinzipien. Aus der Siicht vun der Schwachstelle vum Host, op deem d'VM an d'Docker Container ofgesat ginn, ass dëst och e groussen Ënnerscheed.

Et stellt sech eraus datt d'Bewäertung vun der Informatiounssécherheet vu VMs a Container och anescht sollt sinn.

Eis Froen un d'Zentralbank

Mir hunn se un d'Informatiounssécherheetsdepartement vun der Zentralbank geschéckt (mir presentéieren d'Froen a verkierzte Form).

  1. Wéi berücksichtegt Dir virtuelle Container vum Docker-Typ wann Dir GOST Konformitéit beurteelt? Ass et richteg d'Technologie am Aklang mat der Sektioun 7.8 vum GOST ze evaluéieren?
  2. Wéi evaluéieren ech virtuell Container Gestioun Tools? Ass et méiglech se mat Servervirtualiséierungskomponenten auszegläichen an se no der selwechter Ënnersektioun vu GOST ze evaluéieren?
  3. Muss ech d'Sécherheet vun Informatioun an Docker Container separat evaluéieren? Wa jo, wéi eng Sécherheetsmoossname sollen dofir während dem Bewäertungsprozess berücksichtegt ginn?
  4. Wann d'Containeriséierung mat enger virtueller Infrastruktur gläichgestallt gëtt an no der Ënnersektioun 7.8 bewäert gëtt, wéi gi GOST Ufuerderunge fir d'Ëmsetzung vu speziellen Informatiounssécherheetsinstrumenter ëmgesat?

Zentralbank Äntwert

Drënner sinn d'Haaptauszich.

"GOST R 57580.1-2017 stellt Ufuerderunge fir d'Ëmsetzung duerch d'Applikatioun vun technesche Moossnamen a Relatioun mat de folgende Moossnamen ZI Ënnersektioun 7.8 vum GOST R 57580.1-2017 fest, déi, an der Meenung vum Departement, op Fäll vu Containervirtualiséierung verlängert kënne ginn Technologien, déi folgend berücksichtegt:

  • der Ëmsetzung vun Moossnamen ZSV.1 - ZSV.11 fir z'organiséieren Identifikatioun, Authentifikatioun, Autorisatioun (Zougang Kontroll) wann Ëmsetzung logesch Zougang zu virtuell Maschinnen an virtualization Server Komponente kann aus Fäll vun benotzt Container virtualization Technologie ënnerscheeden. Wann Dir dëst berécksiichtegt, fir eng Rei vu Moossnamen ëmzesetzen (zum Beispill ZVS.6 an ZVS.7), gleewen mir datt et méiglech ass ze recommandéieren datt Finanzinstituter kompensatoresch Moossnamen entwéckelen déi déiselwecht Ziler verfollegen;
  • der Ëmsetzung vun Moossnamen ZSV.13 - ZSV.22 fir d'Organisatioun an d'Kontroll vun Informatiounen Interaktioun vun virtuell Maschinnen stellt fir d'Segmentatioun vun der Computer Reseau vun enger finanzieller Organisatioun tëscht informatization Objete z'ënnerscheeden datt Virtualiséierung Technologie ëmsetzen a gehéieren zu verschiddene Sécherheet Kreesleef. Wann Dir dëst berücksichtegt, gleewe mir datt et ubruecht ass fir eng adequat Segmentatioun ze bidden wann Dir Containervirtualiséierungstechnologie benotzt (souwuel a Relatioun mat ausführbare virtuelle Container a Relatioun mat Virtualiséierungssystemer déi um Betribssystemniveau benotzt ginn);
  • d'Ëmsetze vu Moossnamen ZSV.26, ZSV.29 - ZSV.31 fir de Schutz vu Biller vu virtuelle Maschinnen z'organiséieren soll och Analogie duerchgefouert ginn fir Basis an aktuell Biller vu virtuelle Container ze schützen;
  • D'Ëmsetze vu Moossnamen ZVS.32 - ZVS.43 fir d'Opname vun Informatiounssécherheetsevenementer am Zesummenhang mat Zougang zu virtuelle Maschinnen a Servervirtualiséierungskomponenten sollen duerch Analogie och a Relatioun mat Elementer vum Virtualiséierungsëmfeld duerchgefouert ginn, déi Containervirtualiséierungstechnologie implementéieren.

Wat heescht dat

Zwee Haaptconclusiounen aus der Äntwert vum Zentralbank Informatiounssécherheetsdepartement:

  • Mesuren fir Container ze schützen sinn net anescht wéi Mesuren fir virtuell Maschinnen ze schützen;
  • Et geet dovun aus, datt am Kontext vun der Informatiounssécherheet d'Zentralbank zwou Aarte vu Virtualiséierung gläicht - Docker Container a VMs.

D'Äntwert nennt och "kompensatoresch Moossnamen", déi applizéiert musse ginn fir d'Geforen ze neutraliséieren. Et ass just onkloer wat dës "kompensatoresch Moossnamen" sinn a wéi se hir Adäquatitéit, Vollständegkeet an Effektivitéit moossen.

Wat ass falsch mat der Positioun vun der Zentralbank?

Wann Dir d'Empfehlungen vun der Zentralbank während der Bewäertung (a Selbstbewäertung) benotzt, musst Dir eng Rei technesch a logesch Schwieregkeeten léisen.

  • All ausführbar Container erfuerdert d'Installatioun vun Informatiounsschutzsoftware (IP) drop: Antivirus, Integritéitsiwwerwaachung, Aarbecht mat Logbicher, DLP Systemer (Data Leak Prevention), a sou weider. All dëst kann ouni Probleemer op engem VM installéiert ginn, awer am Fall vun engem Container ass d'Installatioun vun Informatiounssécherheet eng absurd Beweegung. De Container enthält de Mindestbetrag u "Kierperkit", deen néideg ass fir de Service ze funktionéieren. Installéiere vun engem SZI an et widdersprécht seng Bedeitung.
  • Containerbiller sollen no deemselwechte Prinzip geschützt ginn, wéi dat ëmzesetzen ass och onkloer.
  • GOST erfuerdert den Zougang zu Servervirtualiséierungskomponenten ze beschränken, dh zum Hypervisor. Wat gëtt als Serverkomponent am Fall vun Docker ugesinn? Heescht dat net datt all Container op engem separaten Host muss lafen?
  • Wann et fir konventionell Virtualiséierung méiglech ass VMs duerch Sécherheetskonturen an Netzwierksegmenter ofzegrenzen, dann am Fall vun Docker Container am selwechte Host, ass dëst net de Fall.

An der Praxis ass et méiglech datt all Auditeur d'Sécherheet vun de Container op seng eege Manéier beurteelt, baséiert op sengem eegene Wëssen an Erfarung. Gutt, oder evaluéiert et guer net, wann et weder deen een nach deen aneren ass.

Just am Fall, addéiere mer datt vum 1. Januar 2021 de Minimumscore net manner wéi 0,7 muss sinn.

Iwwregens poste mir regelméisseg Äntwerten a Kommentare vu Reguléierer am Zesummenhang mat den Ufuerderunge vum GOST 57580 an Zentralbankreglementer an eisem Telegram Kanal.

Wat maachen

An eiser Meenung no, finanziell Organisatiounen hunn nëmmen zwou Méiglechkeeten fir de Problem ze léisen.

1. Vermeiden d'Ëmsetzung vun Container

Eng Léisung fir déi, déi bereet sinn ze leeschten, nëmmen Hardwarevirtualiséierung ze benotzen a gläichzäiteg Angscht virun nidderegen Bewäertungen no GOST a Geldstrofe vun der Zentralbank.

E Plus: et ass méi einfach mat den Ufuerderunge vum Sektioun 7.8 vun der GOST ze respektéieren.

Minus: Mir mussen nei Entwécklungsinstrumenter opzeginn baséiert op Containervirtualiséierung, besonnesch Docker a Kubernetes.

2. Refuséiert d'Ufuerderunge vum Sektioun 7.8 vum GOST ze respektéieren

Awer zur selwechter Zäit, gëllen déi bescht Praktiken fir Informatiounssécherheet ze garantéieren wann Dir mat Container schafft. Dëst ass eng Léisung fir déi déi nei Technologien schätzen an d'Méiglechkeeten déi se ubidden. Mat "best practices" mengen mir Industrie-akzeptéiert Normen a Standarden fir d'Sécherheet vun Docker Container ze garantéieren:

  • Sécherheet vum Host OS, richteg konfiguréiert Logbicher, Verbuet vum Datenaustausch tëscht Container, a sou weider;
  • benotzt d'Docker Trust Funktioun fir d'Integritéit vu Biller ze kontrolléieren an den agebaute Schwachstelle Scanner ze benotzen;
  • Mir däerfen net iwwer d'Sécherheet vum Fernzougang an den Netzwierkmodell als Ganzt vergiessen: Attacke wéi ARP-Spoofing a MAC-Flooding sinn net annuléiert ginn.

E Plus: keng technesch Restriktiounen op d'Benotzung vun Container virtualization.

Minus: et ass eng héich Wahrscheinlechkeet, datt de regulator fir Net-Konformitéit mat GOST Ufuerderunge bestrofen.

Konklusioun

Eise Client huet decidéiert Container net opzeginn. Zur selwechter Zäit huet hien den Ëmfang vun der Aarbecht an den Timing vum Iwwergank op Docker bedeitend iwwerdenken (si sechs Méint gedauert). De Client versteet d'Risiken ganz gutt. Hien versteet och datt während der nächster Bewäertung vun der Konformitéit mat GOST R 57580 vill vum Auditeur ofhänken.

Wat géift Dir an dëser Situatioun maachen?

Source: will.com

Setzt e Commentaire