ProHoster > Blogs > Administrācija > ā€œUn tā tas darÄ«sā€: mākoņa pakalpojumu sniedzēji nevienojas par personas datiem

ā€œUn tā tas darÄ«sā€: mākoņa pakalpojumu sniedzēji nevienojas par personas datiem

Kādu dienu saņēmām pieprasÄ«jumu pēc mākoņpakalpojumiem. Mēs vispārÄ«gi izklāstÄ«jām, kas no mums tiks prasÄ«ts, un nosÅ«tÄ«jām atpakaļ jautājumu sarakstu, lai precizētu detaļas. Tad mēs analizējām atbildes un sapratām: klients vēlas ievietot otrā lÄ«meņa personas datus mākonÄ«. Mēs viņam atbildam: "Jums ir otrais personas datu lÄ«menis, atvainojiet, mēs varam izveidot tikai privātu mākoni." Un viņŔ: "Zini, bet uzņēmumā X viņi var man visu publicēt publiski."

ā€œUn tā tas darÄ«sā€: mākoņa pakalpojumu sniedzēji nevienojas par personas datiem
Stīva Krispa fotoattēls, Reuters

DÄ«vainas lietas! Iegājām uzņēmuma X mājaslapā, izpētÄ«jām viņu sertifikācijas dokumentus, pamājām ar galvu un sapratām: personas datu izvietoÅ”anā ir daudz atklātu jautājumu un tie bÅ«tu rÅ«pÄ«gi jārisina. Tas ir tas, ko mēs darÄ«sim Å”ajā amatā.

Kā visam vajadzētu darboties

Vispirms noskaidrosim, pēc kādiem kritērijiem personas dati tiek klasificēti vienā vai citā droŔības lÄ«menÄ«. Tas ir atkarÄ«gs no datu kategorijas, Å”o datu subjektu skaita, ko operators glabā un apstrādā, kā arÄ« no paÅ”reizējo apdraudējumu veida.

ā€œUn tā tas darÄ«sā€: mākoņa pakalpojumu sniedzēji nevienojas par personas datiem

PaÅ”reizējo draudu veidi ir definēti Krievijas Federācijas valdÄ«bas dekrēts Nr.1119 ar 1.gada 2012.novembri ā€œPar prasÄ«bu apstiprināŔanu personas datu aizsardzÄ«bai to apstrādes laikā personas datu informācijas sistēmāsā€:

ā€œ1. tipa draudi attiecas uz informācijas sistēmu, ja tā ietver paÅ”reizējie draudi, kas saistÄ«ti ar ar nedokumentētu (nedeklarētu) spēju klātbÅ«tni sistēmas programmatÅ«rāizmanto informācijas sistēmā.

2. tipa draudi ir aktuāli informācijas sistēmai, ja tai, t.sk paÅ”reizējie draudi, kas saistÄ«ti ar ar nedokumentētu (nedeklarētu) spēju klātbÅ«tni lietojumprogrammatÅ«rāizmanto informācijas sistēmā.

3. tipa draudi ir aktuāli informācijas sistēmai, ja tai draudi, kas nav saistīti ar nedokumentētu (nedeklarētu) spēju klātbūtni sistēmā un lietojumprogrammatūrāizmanto informācijas sistēmā."

Galvenais Å”ajās definÄ«cijās ir nedokumentētu (nedeklarētu) spēju klātbÅ«tne. Lai apstiprinātu nedokumentētu programmatÅ«ras iespēju neesamÄ«bu (mākoņa gadÄ«jumā tas ir hipervizors), sertifikāciju veic Krievijas FSTEC. Ja PD operators pieņem, ka programmatÅ«rā Ŕādas iespējas nav, tad atbilstoÅ”ajiem draudiem nav nozÄ«mes. PD operatori ārkārtÄ«gi reti uzskata 1. un 2. tipa draudus par bÅ«tiskiem.

Operatoram papildus PD droŔības lÄ«meņa noteikÅ”anai ir jānosaka arÄ« konkrēti aktuālie draudi publiskajam mākonim un, pamatojoties uz identificēto PD droŔības lÄ«meni un aktuālajiem draudiem, jānosaka nepiecieÅ”amie pasākumi un lÄ«dzekļi aizsardzÄ«bai pret tiem.

FSTEC skaidri uzskaita visus galvenos draudus NOS (draudu datu bāze). Mākoņu infrastruktÅ«ras nodroÅ”inātāji un vērtētāji izmanto Å”o datu bāzi savā darbā. Å eit ir draudu piemēri:

UBI.44: "Draudi ir iespēja pārkāpt virtuālajā maŔīnā strādājoÅ”o programmu lietotāju datu droŔību, izmantojot ļaunprātÄ«gu programmatÅ«ru, kas darbojas ārpus virtuālās maŔīnas." Å is apdraudējums ir saistÄ«ts ar ievainojamÄ«bu klātbÅ«tni hipervizora programmatÅ«rā, kas nodroÅ”ina, ka adreÅ”u telpa, kas tiek izmantota, lai uzglabātu lietotāja datus programmām, kas darbojas virtuālajā maŔīnā, ir izolēta no ļaunprātÄ«gas programmatÅ«ras, kas darbojas ārpus virtuālās maŔīnas, nesankcionētas piekļuves.

Å o draudu ievieÅ”ana ir iespējama, ja ļaunprātÄ«gās programmas kods veiksmÄ«gi pārvar virtuālās maŔīnas robežas, ne tikai izmantojot hipervizora ievainojamÄ«bas, bet arÄ« veicot Ŕādu ietekmi no zemākiem (attiecÄ«bā pret hipervizoru) lÄ«meņiem. sistēmas darbÄ«ba."

UBI.101: ā€œDraudi slēpjas iespējā nesankcionēti piekļūt viena mākoņpakalpojuma patērētāja aizsargātajai informācijai no cita. Å ie draudi ir saistÄ«ti ar to, ka mākoņtehnoloÄ£iju bÅ«tÄ«bas dēļ mākoņpakalpojumu patērētājiem ir jāizmanto viena un tā pati mākoņa infrastruktÅ«ra. Å os draudus var realizēt, ja tiek pieļautas kļūdas, atdalot mākoņa infrastruktÅ«ras elementus starp mākoņpakalpojumu patērētājiem, kā arÄ« izolējot savus resursus un atdalot datus vienu no otra.ā€

JÅ«s varat aizsargāties pret Å”iem draudiem tikai ar hipervizora palÄ«dzÄ«bu, jo tas pārvalda virtuālos resursus. Tādējādi hipervizors ir jāuzskata par aizsardzÄ«bas lÄ«dzekli.

Un saskaņā ar ar FSTEC rÄ«kojumu Nr.21 datēts ar 18. gada 2013. februāri, hipervizoram jābÅ«t sertificētam kā ne-NDV 4. lÄ«menÄ«, pretējā gadÄ«jumā 1. un 2. lÄ«meņa personas datu izmantoÅ”ana ar to bÅ«s nelikumÄ«ga (ā€œ12. punkts. ... Personas datu 1. un 2. droŔības lÄ«meņa nodroÅ”ināŔanai, kā arÄ« 3. personas datu droŔības lÄ«meņa nodroÅ”ināŔanai informācijas sistēmās, kurām 2. tipa apdraudējumi klasificēti kā aktuāli, tiek izmantoti informācijas droŔības rÄ«ki, kuru programmatÅ«ra ir bijusi pārbaudÄ«ts vismaz saskaņā ar 4 kontroles lÄ«meni par nedeklarētu iespēju neesamÄ«bu").

Tikai vienam hipervizoram, kas izstrādāts Krievijā, ir nepiecieÅ”amais sertifikācijas lÄ«menis NDV-4. Saules horizonts. Maigi sakot, ne populārākais risinājums. Komerciālie mākoņi parasti tiek veidoti uz VMware vSphere, KVM, Microsoft Hyper-V bāzes. Nevienam no Å”iem produktiem nav NDV-4 sertifikāta. Kāpēc? Visticamāk, ka Ŕādas sertifikācijas iegÅ«Å”ana ražotājiem vēl nav ekonomiski pamatota.

Un viss, kas mums paliek 1. un 2. līmeņa personas datiem publiskajā mākonī, ir Horizon BC. Skumji bet patiesi.

Kā viss (mūsuprāt) īsti darbojas

No pirmā acu uzmetiena viss ir diezgan strikts: Å”ie draudi ir jānovērÅ”, pareizi konfigurējot atbilstoÅ”i NDV-4 sertificēta hipervizora standarta aizsardzÄ«bas mehānismus. Bet ir viena nepilnÄ«ba. Saskaņā ar FSTEC rÄ«kojumu Nr.21 (ā€œ2.punkts Personas datu droŔību, tos apstrādājot personas datu informācijas sistēmā (turpmāk ā€“ informācijas sistēma), nodroÅ”ina operators vai persona, kas operatora uzdevumā apstrādā personas datus saskaņā ar Regulas Nr. tiesÄ«bu aktiem Krievijas Federācija"), pakalpojumu sniedzēji neatkarÄ«gi novērtē iespējamo apdraudējumu atbilstÄ«bu un attiecÄ«gi izvēlas aizsardzÄ«bas pasākumus. Tāpēc, ja jÅ«s nepieņemat draudus UBI.44 un UBI.101 kā aktuālus, tad nebÅ«s nepiecieÅ”ams izmantot saskaņā ar NDV-4 sertificētu hipervizoru, kas ir tieÅ”i tas, kam vajadzētu nodroÅ”ināt aizsardzÄ«bu pret tiem. Un ar to pietiks, lai iegÅ«tu sertifikātu par publiskā mākoņa atbilstÄ«bu 1. un 2. personas datu droŔības lÄ«menim, ar ko Roskomnadzor bÅ«s pilnÄ«bā apmierināts.

Protams, papildus Roskomnadzor FSTEC var nākt ar pārbaudi - un Ŕī organizācija tehniskos jautājumos ir daudz rÅ«pÄ«gāka. Viņai droÅ”i vien interesēs, kāpēc tieÅ”i draudi UBI.44 un UBI.101 tika uzskatÄ«ti par nebÅ«tiskiem? Bet parasti FSTEC veic pārbaudi tikai tad, kad tā saņem informāciju par kādu nozÄ«mÄ«gu incidentu. Å ajā gadÄ«jumā federālais dienests vispirms nonāk pie personas datu operatora - tas ir, mākoņpakalpojumu klienta. Sliktākajā gadÄ«jumā operators saņem nelielu sodu - piemēram, par Twitter gada sākumā smalks lÄ«dzÄ«gā gadÄ«jumā sastādÄ«ja 5000 rubļu. Pēc tam FSTEC dodas tālāk uz mākoņpakalpojumu sniedzēju. Kuriem var atņemt licenci, jo netiek ievērotas normatÄ«vās prasÄ«bas - un tie ir pilnÄ«gi atŔķirÄ«gi riski gan mākoņa pakalpojumu sniedzējam, gan tā klientiem. Bet es atkārtoju, Lai pārbaudÄ«tu FSTEC, parasti ir nepiecieÅ”ams skaidrs iemesls. Tāpēc mākoņpakalpojumu sniedzēji ir gatavi riskēt. LÄ«dz pirmajam nopietnajam incidentam.

Ir arÄ« grupa ā€œatbildÄ«gākuā€ pakalpojumu sniedzēju, kuri uzskata, ka ir iespējams aizvērt visus draudus, pievienojot hipervizoram tādu papildinājumu kā vGate. Bet virtuālajā vidē, kas ir izplatÄ«ta starp klientiem dažiem draudiem (piemēram, iepriekÅ” minētajam UBI.101), efektÄ«vu aizsardzÄ«bas mehānismu var ieviest tikai saskaņā ar NDV-4 sertificēta hipervizora lÄ«menÄ«, jo jebkuras pievienojumsistēmas hipervizora standarta funkcijas resursu (jo Ä«paÅ”i RAM) pārvaldÄ«bai neietekmē.

Kā mēs strādājam

Mums ir mākoņa segments, kas ir ieviests FSTEC sertificētā hipervizorā (bet bez NDV-4 sertifikācijas). Å is segments ir sertificēts, tāpēc uz tā pamata mākonÄ« var glabāt personas datus 3 un 4 droŔības lÄ«meņi ā€” prasÄ«bas aizsardzÄ«bai pret nedeklarētām spējām Å”eit nav jāievēro. Å eit, starp citu, ir mÅ«su droŔā mākoņa segmenta arhitektÅ«ra:

ā€œUn tā tas darÄ«sā€: mākoņa pakalpojumu sniedzēji nevienojas par personas datiem
Sistēmas personas datiem 1 un 2 droŔības lÄ«meņi Mēs ievieÅ”am tikai uz speciāla aprÄ«kojuma. Tikai Å”ajā gadÄ«jumā, piemēram, UBI.101 draudi Ä«sti nav aktuāli, jo serveru plaukti, kurus neapvieno viena virtuālā vide, nevar ietekmēt viens otru pat atrodoties vienā datu centrā. Šādiem gadÄ«jumiem mēs piedāvājam Ä«paÅ”u aprÄ«kojuma nomas pakalpojumu (to sauc arÄ« par aparatÅ«ru kā pakalpojumu).

Ja neesat pārliecināts, kāds droŔības lÄ«menis ir nepiecieÅ”ams jÅ«su personas datu sistēmai, mēs arÄ« palÄ«dzam to klasificēt.

secinājums

MÅ«su nelielais tirgus pētÄ«jums parādÄ«ja, ka daži mākoņa operatori ir diezgan gatavi riskēt gan ar klientu datu droŔību, gan savu nākotni, lai saņemtu pasÅ«tÄ«jumu. Taču Å”ajos jautājumos mēs ievērojam citu politiku, ko Ä«sumā aprakstÄ«jām tieÅ”i iepriekÅ”. Mēs labprāt atbildēsim uz jÅ«su jautājumiem komentāros.

Avots: www.habr.com

Pievieno komentāru