ProHoster > Blogs > Administrācija > Kā sadraudzēties ar GOST R 57580 un konteineru virtualizāciju. Centrālās bankas atbilde (un mÅ«su domas par Å”o jautājumu)

Kā sadraudzēties ar GOST R 57580 un konteineru virtualizāciju. Centrālās bankas atbilde (un mÅ«su domas par Å”o jautājumu)

Pirms neilga laika mēs veicām kārtējo novērtējumu par atbilstÄ«bu GOST R 57580 (turpmāk vienkārÅ”i GOST) prasÄ«bām. Klients ir uzņēmums, kas izstrādā elektronisko norēķinu sistēmu. Sistēma ir nopietna: vairāk nekā 3 miljoni lietotāju, vairāk nekā 200 tÅ«kstoÅ”i darÄ«jumu katru dienu. Viņi tur ļoti nopietni uztver informācijas droŔību.

NovērtÄ“Å”anas procesā klients nejauÅ”i paziņoja, ka attÄ«stÄ«bas nodaļa papildus virtuālajām maŔīnām plāno izmantot konteinerus. Bet ar to, klients piebilda, ir viena problēma: GOST nav ne vārda par to paÅ”u Docker. Ko man darÄ«t? Kā novērtēt konteineru droŔību?

Kā sadraudzēties ar GOST R 57580 un konteineru virtualizāciju. Centrālās bankas atbilde (un mÅ«su domas par Å”o jautājumu)

Tā ir taisnÄ«ba, GOST raksta tikai par aparatÅ«ras virtualizāciju - par to, kā aizsargāt virtuālās maŔīnas, hipervizoru un serveri. LÅ«dzām precizējumus Centrālajai bankai. Atbilde mÅ«s mulsināja.

GOST un virtualizācija

Sākumā atcerēsimies, ka GOST R 57580 ir jauns standarts, kas nosaka ā€œprasÄ«bas finanÅ”u organizāciju informācijas droŔības nodroÅ”ināŔanaiā€ (FI). Å ie FI ietver maksājumu sistēmu operatorus un dalÄ«bniekus, kredÄ«torganizācijas un ar kredÄ«tu nesaistÄ«tas organizācijas, darbÄ«bas un klÄ«ringa centrus.

No 1. gada 2021. janvāra FI ir jāveic atbilstÄ«bas novērtējums jaunā GOST prasÄ«bām. Mēs, ITGLOBAL.COM, esam auditorfirma, kas veic Ŕādus novērtējumus.

GOST ir virtualizēto vidi aizsardzÄ«bai veltÄ«ta apakÅ”sadaļa - Nr.7.8. Termins ā€œvirtualizācijaā€ tur nav norādÄ«ts, nav iedalÄ«juma aparatÅ«rā un konteineru virtualizācijā. JebkurÅ” IT speciālists sacÄ«s, ka no tehniskā viedokļa tas ir nepareizi: virtuālā maŔīna (VM) un konteiners ir dažādas vides, ar atŔķirÄ«giem izolācijas principiem. No tā saimniekdatora ievainojamÄ«bas viedokļa, kurā ir izvietoti VM un Docker konteineri, arÄ« tā ir liela atŔķirÄ«ba.

Izrādās, ka arÄ« VM un konteineru informācijas droŔības vērtējumam vajadzētu bÅ«t atŔķirÄ«gam.

Mūsu jautājumi Centrālajai bankai

Nosūtījām tos Centrālās bankas Informācijas droŔības pārvaldei (jautājumus sniedzam saīsinātā veidā).

  1. Kā ņemt vērā Docker tipa virtuālos konteinerus, novērtējot atbilstÄ«bu GOST? Vai ir pareizi novērtēt tehnoloÄ£iju saskaņā ar GOST 7.8. apakÅ”nodaļu?
  2. Kā novērtēt virtuālo konteineru pārvaldÄ«bas rÄ«kus? Vai ir iespējams tos pielÄ«dzināt servera virtualizācijas komponentiem un novērtēt saskaņā ar to paÅ”u GOST apakÅ”nodaļu?
  3. Vai man atseviŔķi jānovērtē informācijas droŔība Docker konteineros? Ja jā, kādi aizsardzÄ«bas pasākumi bÅ«tu jāņem vērā novērtÄ“Å”anas procesā?
  4. Ja konteinerizācija tiek pielÄ«dzināta virtuālajai infrastruktÅ«rai un tiek novērtēta saskaņā ar 7.8.apakÅ”nodaļu, kā tiek Ä«stenotas GOST prasÄ«bas speciālo informācijas droŔības rÄ«ku ievieÅ”anai?

Centrālās bankas atbilde

Tālāk ir sniegti galvenie izvilkumi.

ā€œGOST R 57580.1-2017 nosaka prasÄ«bas ievieÅ”anai, piemērojot tehniskos pasākumus saistÄ«bā ar Ŕādiem pasākumiem GOST R 7.8-57580.1 ZI 2017.apakÅ”nodaļā, kuras, pēc departamenta domām, var attiecināt arÄ« uz konteineru virtualizācijas izmantoÅ”anas gadÄ«jumiem. tehnoloÄ£ijas, ņemot vērā:

  • identifikācijas, autentifikācijas, autorizācijas (piekļuves kontroles) organizÄ“Å”anas pasākumu ZSV.1 - ZSV.11 Ä«stenoÅ”ana, ievieÅ”ot loÄ£isko piekļuvi virtuālajām maŔīnām un virtualizācijas servera komponentiem, var atŔķirties no konteineru virtualizācijas tehnoloÄ£ijas izmantoÅ”anas gadÄ«jumiem. Ņemot to vērā, lai Ä«stenotu virkni pasākumu (piemēram, ZVS.6 un ZVS.7), uzskatām, ka ir iespējams ieteikt finanÅ”u iestādēm izstrādāt kompensējoÅ”us pasākumus, kas tiecas uz tiem paÅ”iem mērÄ·iem;
  • pasākumu ZSV.13 - ZSV.22 Ä«stenoÅ”ana virtuālo maŔīnu informācijas mijiedarbÄ«bas organizÄ“Å”anai un kontrolei paredz finanÅ”u organizācijas datortÄ«kla segmentāciju, lai atŔķirtu informatizācijas objektus, kas realizē virtualizācijas tehnoloÄ£iju un pieder pie dažādām droŔības shēmām. Ņemot to vērā, uzskatām, ka, izmantojot konteineru virtualizācijas tehnoloÄ£iju, ir ieteicams nodroÅ”ināt atbilstoÅ”u segmentāciju (gan attiecÄ«bā uz izpildāmiem virtuālajiem konteineriem, gan attiecÄ«bā uz operētājsistēmas lÄ«menÄ« izmantotajām virtualizācijas sistēmām);
  • pasākumu ZSV.26, ZSV.29 - ZSV.31 Ä«stenoÅ”ana virtuālo maŔīnu attēlu aizsardzÄ«bas organizÄ“Å”anai jāveic pēc analoÄ£ijas arÄ«, lai aizsargātu virtuālo konteineru pamata un aktuālos attēlus;
  • pasākumu ZVS.32 - ZVS.43 ievieÅ”ana informācijas droŔības notikumu reÄ£istrÄ“Å”anai, kas saistÄ«ti ar piekļuvi virtuālajām maŔīnām un serveru virtualizācijas komponentiem, bÅ«tu jāveic pēc analoÄ£ijas arÄ« attiecÄ«bā uz virtualizācijas vides elementiem, kas ievieÅ” konteineru virtualizācijas tehnoloÄ£iju.

Ko tas nozīmē

Divi galvenie secinājumi no Centrālās bankas Informācijas droŔības departamenta atbildes:

  • konteineru aizsardzÄ«bas pasākumi neatŔķiras no virtuālo maŔīnu aizsardzÄ«bas pasākumiem;
  • No tā izriet, ka informācijas droŔības kontekstā Centrālā banka pielÄ«dzina divus virtualizācijas veidus - Docker konteinerus un VM.

Atbildē minēti arÄ« "kompensācijas pasākumi", kas jāpiemēro, lai neitralizētu draudus. Tikai nav skaidrs, kas ir Å”ie ā€œkompensācijas pasākumiā€ un kā novērtēt to atbilstÄ«bu, pilnÄ«gumu un efektivitāti.

Kas vainas centrālās bankas pozīcijai?

Ja vērtÄ“Å”anas (un paÅ”novērtējuma) laikā izmantojat Centrālās bankas ieteikumus, jums ir jāatrisina vairākas tehniskas un loÄ£iskas grÅ«tÄ«bas.

  • Katram izpildāmajam konteineram ir jāinstalē informācijas aizsardzÄ«bas programmatÅ«ra (IP): antivÄ«russ, integritātes uzraudzÄ«ba, darbs ar žurnāliem, DLP sistēmas (Data Leak Prevention) un tā tālāk. To visu bez problēmām var uzstādÄ«t uz VM, bet konteinera gadÄ«jumā informācijas droŔības uzstādÄ«Å”ana ir absurds gājiens. Konteiners satur minimālo ā€œÄ·ermeņa komplektaā€ daudzumu, kas nepiecieÅ”ams pakalpojuma funkcionÄ“Å”anai. SZI instalÄ“Å”ana tajā ir pretrunā ar tā nozÄ«mi.
  • Konteineru attēli ir jāaizsargā saskaņā ar to paÅ”u principu; arÄ« nav skaidrs, kā to Ä«stenot.
  • GOST pieprasa ierobežot piekļuvi servera virtualizācijas komponentiem, t.i., hipervizoram. Kas tiek uzskatÄ«ts par servera komponentu Docker gadÄ«jumā? Vai tas nenozÄ«mē, ka katrs konteiners ir jāpalaiž atseviŔķā resursdatorā?
  • Ja parastajai virtualizācijai ir iespējams norobežot virtuālās maŔīnas pēc droŔības kontÅ«rām un tÄ«kla segmentiem, tad Docker konteineru gadÄ«jumā vienā un tajā paŔā resursdatorā tas tā nav.

Praksē, visticamāk, katrs auditors konteineru droŔību izvērtēs savā veidā, balstoties uz savām zināŔanām un pieredzi. Nu vai nevērtē vispār, ja nav ne viens, ne otrs.

Katram gadÄ«jumam piebildÄ«sim, ka no 1. gada 2021. janvāra minimālais punktu skaits nedrÄ«kst bÅ«t zemāks par 0,7.

Starp citu, mēs regulāri publicējam regulatoru atbildes un komentārus, kas saistīti ar GOST 57580 prasībām un Centrālās bankas noteikumiem. Telegrammas kanāls.

Ko darīt

MÅ«suprāt, finanÅ”u organizācijām problēmas risināŔanai ir tikai divas iespējas.

1. Izvairieties no konteineru ievieŔanas

Risinājums tiem, kuri ir gatavi atļauties izmantot tikai aparatÅ«ras virtualizāciju un tajā paŔā laikā baidās no zemiem reitingiem saskaņā ar GOST un naudas sodiem no Centrālās bankas.

Plus: ir vieglāk izpildīt GOST 7.8. apakŔnodaļas prasības.

Mīnus: Mums būs jāatsakās no jauniem izstrādes rīkiem, kuru pamatā ir konteineru virtualizācija, jo īpaŔi Docker un Kubernetes.

2. Atteikties ievērot GOST 7.8.apakÅ”nodaļas prasÄ«bas

Bet tajā paŔā laikā, strādājot ar konteineriem, izmantojiet labāko praksi informācijas droŔības nodroÅ”ināŔanā. Å is ir risinājums tiem, kas novērtē jaunās tehnoloÄ£ijas un to sniegtās iespējas. Ar ā€œlabāko praksiā€ mēs saprotam nozarē pieņemtas normas un standartus Docker konteineru droŔības nodroÅ”ināŔanai:

  • resursdatora OS droŔība, pareizi konfigurēta reÄ£istrÄ“Å”ana, datu apmaiņas aizliegums starp konteineriem un tā tālāk;
  • izmantojot Docker Trust funkciju, lai pārbaudÄ«tu attēlu integritāti, un izmantojot iebÅ«vēto ievainojamÄ«bas skeneri;
  • Mēs nedrÄ«kstam aizmirst par attālās piekļuves droŔību un tÄ«kla modeli kopumā: uzbrukumi, piemēram, ARP-spoofing un MAC-plÅ«di, nav atcelti.

Plus: nav tehnisku ierobežojumu konteineru virtualizācijas lietoŔanai.

MÄ«nus: pastāv liela varbÅ«tÄ«ba, ka regulators sodÄ«s par GOST prasÄ«bu neievēroÅ”anu.

Secinājums

MÅ«su klients nolēma neatteikties no konteineriem. Tajā paŔā laikā viņam bija bÅ«tiski jāpārskata darba apjoms un pārejas laiks uz Docker (tie ilga seÅ”us mēneÅ”us). Klients ļoti labi izprot riskus. ViņŔ arÄ« saprot, ka nākamajā novērtējumā par atbilstÄ«bu GOST R 57580 daudz kas bÅ«s atkarÄ«gs no revidenta.

Ko jūs darītu Ŕajā situācijā?

Avots: www.habr.com

Pievieno komentāru