Pirms neilga laika mÄs veicÄm kÄrtÄjo novÄrtÄjumu par atbilstÄ«bu GOST R 57580 (turpmÄk vienkÄrÅ”i GOST) prasÄ«bÄm. Klients ir uzÅÄmums, kas izstrÄdÄ elektronisko norÄÄ·inu sistÄmu. SistÄma ir nopietna: vairÄk nekÄ 3 miljoni lietotÄju, vairÄk nekÄ 200 tÅ«kstoÅ”i darÄ«jumu katru dienu. ViÅi tur ļoti nopietni uztver informÄcijas droŔību.
NovÄrtÄÅ”anas procesÄ klients nejauÅ”i paziÅoja, ka attÄ«stÄ«bas nodaļa papildus virtuÄlajÄm maŔīnÄm plÄno izmantot konteinerus. Bet ar to, klients piebilda, ir viena problÄma: GOST nav ne vÄrda par to paÅ”u Docker. Ko man darÄ«t? KÄ novÄrtÄt konteineru droŔību?
TÄ ir taisnÄ«ba, GOST raksta tikai par aparatÅ«ras virtualizÄciju - par to, kÄ aizsargÄt virtuÄlÄs maŔīnas, hipervizoru un serveri. LÅ«dzÄm precizÄjumus CentrÄlajai bankai. Atbilde mÅ«s mulsinÄja.
GOST un virtualizÄcija
SÄkumÄ atcerÄsimies, ka GOST R 57580 ir jauns standarts, kas nosaka āprasÄ«bas finanÅ”u organizÄciju informÄcijas droŔības nodroÅ”inÄÅ”anaiā (FI). Å ie FI ietver maksÄjumu sistÄmu operatorus un dalÄ«bniekus, kredÄ«torganizÄcijas un ar kredÄ«tu nesaistÄ«tas organizÄcijas, darbÄ«bas un klÄ«ringa centrus.
No 1. gada 2021. janvÄra FI ir jÄveic
GOST ir virtualizÄto vidi aizsardzÄ«bai veltÄ«ta apakÅ”sadaļa - Nr.7.8. Termins āvirtualizÄcijaā tur nav norÄdÄ«ts, nav iedalÄ«juma aparatÅ«rÄ un konteineru virtualizÄcijÄ. JebkurÅ” IT speciÄlists sacÄ«s, ka no tehniskÄ viedokļa tas ir nepareizi: virtuÄlÄ maŔīna (VM) un konteiners ir dažÄdas vides, ar atŔķirÄ«giem izolÄcijas principiem. No tÄ saimniekdatora ievainojamÄ«bas viedokļa, kurÄ ir izvietoti VM un Docker konteineri, arÄ« tÄ ir liela atŔķirÄ«ba.
IzrÄdÄs, ka arÄ« VM un konteineru informÄcijas droŔības vÄrtÄjumam vajadzÄtu bÅ«t atŔķirÄ«gam.
MÅ«su jautÄjumi CentrÄlajai bankai
NosÅ«tÄ«jÄm tos CentrÄlÄs bankas InformÄcijas droŔības pÄrvaldei (jautÄjumus sniedzam saÄ«sinÄtÄ veidÄ).
- KÄ Åemt vÄrÄ Docker tipa virtuÄlos konteinerus, novÄrtÄjot atbilstÄ«bu GOST? Vai ir pareizi novÄrtÄt tehnoloÄ£iju saskaÅÄ ar GOST 7.8. apakÅ”nodaļu?
- KÄ novÄrtÄt virtuÄlo konteineru pÄrvaldÄ«bas rÄ«kus? Vai ir iespÄjams tos pielÄ«dzinÄt servera virtualizÄcijas komponentiem un novÄrtÄt saskaÅÄ ar to paÅ”u GOST apakÅ”nodaļu?
- Vai man atseviŔķi jÄnovÄrtÄ informÄcijas droŔība Docker konteineros? Ja jÄ, kÄdi aizsardzÄ«bas pasÄkumi bÅ«tu jÄÅem vÄrÄ novÄrtÄÅ”anas procesÄ?
- Ja konteinerizÄcija tiek pielÄ«dzinÄta virtuÄlajai infrastruktÅ«rai un tiek novÄrtÄta saskaÅÄ ar 7.8.apakÅ”nodaļu, kÄ tiek Ä«stenotas GOST prasÄ«bas speciÄlo informÄcijas droŔības rÄ«ku ievieÅ”anai?
CentrÄlÄs bankas atbilde
TÄlÄk ir sniegti galvenie izvilkumi.
āGOST R 57580.1-2017 nosaka prasÄ«bas ievieÅ”anai, piemÄrojot tehniskos pasÄkumus saistÄ«bÄ ar Å”Ädiem pasÄkumiem GOST R 7.8-57580.1 ZI 2017.apakÅ”nodaļÄ, kuras, pÄc departamenta domÄm, var attiecinÄt arÄ« uz konteineru virtualizÄcijas izmantoÅ”anas gadÄ«jumiem. tehnoloÄ£ijas, Åemot vÄrÄ:
- identifikÄcijas, autentifikÄcijas, autorizÄcijas (piekļuves kontroles) organizÄÅ”anas pasÄkumu ZSV.1 - ZSV.11 Ä«stenoÅ”ana, ievieÅ”ot loÄ£isko piekļuvi virtuÄlajÄm maŔīnÄm un virtualizÄcijas servera komponentiem, var atŔķirties no konteineru virtualizÄcijas tehnoloÄ£ijas izmantoÅ”anas gadÄ«jumiem. Å emot to vÄrÄ, lai Ä«stenotu virkni pasÄkumu (piemÄram, ZVS.6 un ZVS.7), uzskatÄm, ka ir iespÄjams ieteikt finanÅ”u iestÄdÄm izstrÄdÄt kompensÄjoÅ”us pasÄkumus, kas tiecas uz tiem paÅ”iem mÄrÄ·iem;
- pasÄkumu ZSV.13 - ZSV.22 Ä«stenoÅ”ana virtuÄlo maŔīnu informÄcijas mijiedarbÄ«bas organizÄÅ”anai un kontrolei paredz finanÅ”u organizÄcijas datortÄ«kla segmentÄciju, lai atŔķirtu informatizÄcijas objektus, kas realizÄ virtualizÄcijas tehnoloÄ£iju un pieder pie dažÄdÄm droŔības shÄmÄm. Å emot to vÄrÄ, uzskatÄm, ka, izmantojot konteineru virtualizÄcijas tehnoloÄ£iju, ir ieteicams nodroÅ”inÄt atbilstoÅ”u segmentÄciju (gan attiecÄ«bÄ uz izpildÄmiem virtuÄlajiem konteineriem, gan attiecÄ«bÄ uz operÄtÄjsistÄmas lÄ«menÄ« izmantotajÄm virtualizÄcijas sistÄmÄm);
- pasÄkumu ZSV.26, ZSV.29 - ZSV.31 Ä«stenoÅ”ana virtuÄlo maŔīnu attÄlu aizsardzÄ«bas organizÄÅ”anai jÄveic pÄc analoÄ£ijas arÄ«, lai aizsargÄtu virtuÄlo konteineru pamata un aktuÄlos attÄlus;
- pasÄkumu ZVS.32 - ZVS.43 ievieÅ”ana informÄcijas droŔības notikumu reÄ£istrÄÅ”anai, kas saistÄ«ti ar piekļuvi virtuÄlajÄm maŔīnÄm un serveru virtualizÄcijas komponentiem, bÅ«tu jÄveic pÄc analoÄ£ijas arÄ« attiecÄ«bÄ uz virtualizÄcijas vides elementiem, kas ievieÅ” konteineru virtualizÄcijas tehnoloÄ£iju.
Ko tas nozÄ«mÄ
Divi galvenie secinÄjumi no CentrÄlÄs bankas InformÄcijas droŔības departamenta atbildes:
- konteineru aizsardzÄ«bas pasÄkumi neatŔķiras no virtuÄlo maŔīnu aizsardzÄ«bas pasÄkumiem;
- No tÄ izriet, ka informÄcijas droŔības kontekstÄ CentrÄlÄ banka pielÄ«dzina divus virtualizÄcijas veidus - Docker konteinerus un VM.
AtbildÄ minÄti arÄ« "kompensÄcijas pasÄkumi", kas jÄpiemÄro, lai neitralizÄtu draudus. Tikai nav skaidrs, kas ir Å”ie ākompensÄcijas pasÄkumiā un kÄ novÄrtÄt to atbilstÄ«bu, pilnÄ«gumu un efektivitÄti.
Kas vainas centrÄlÄs bankas pozÄ«cijai?
Ja vÄrtÄÅ”anas (un paÅ”novÄrtÄjuma) laikÄ izmantojat CentrÄlÄs bankas ieteikumus, jums ir jÄatrisina vairÄkas tehniskas un loÄ£iskas grÅ«tÄ«bas.
- Katram izpildÄmajam konteineram ir jÄinstalÄ informÄcijas aizsardzÄ«bas programmatÅ«ra (IP): antivÄ«russ, integritÄtes uzraudzÄ«ba, darbs ar žurnÄliem, DLP sistÄmas (Data Leak Prevention) un tÄ tÄlÄk. To visu bez problÄmÄm var uzstÄdÄ«t uz VM, bet konteinera gadÄ«jumÄ informÄcijas droŔības uzstÄdÄ«Å”ana ir absurds gÄjiens. Konteiners satur minimÄlo āÄ·ermeÅa komplektaā daudzumu, kas nepiecieÅ”ams pakalpojuma funkcionÄÅ”anai. SZI instalÄÅ”ana tajÄ ir pretrunÄ ar tÄ nozÄ«mi.
- Konteineru attÄli ir jÄaizsargÄ saskaÅÄ ar to paÅ”u principu; arÄ« nav skaidrs, kÄ to Ä«stenot.
- GOST pieprasa ierobežot piekļuvi servera virtualizÄcijas komponentiem, t.i., hipervizoram. Kas tiek uzskatÄ«ts par servera komponentu Docker gadÄ«jumÄ? Vai tas nenozÄ«mÄ, ka katrs konteiners ir jÄpalaiž atseviÅ”Ä·Ä resursdatorÄ?
- Ja parastajai virtualizÄcijai ir iespÄjams norobežot virtuÄlÄs maŔīnas pÄc droŔības kontÅ«rÄm un tÄ«kla segmentiem, tad Docker konteineru gadÄ«jumÄ vienÄ un tajÄ paÅ”Ä resursdatorÄ tas tÄ nav.
PraksÄ, visticamÄk, katrs auditors konteineru droŔību izvÄrtÄs savÄ veidÄ, balstoties uz savÄm zinÄÅ”anÄm un pieredzi. Nu vai nevÄrtÄ vispÄr, ja nav ne viens, ne otrs.
Katram gadÄ«jumam piebildÄ«sim, ka no 1. gada 2021. janvÄra minimÄlais punktu skaits nedrÄ«kst bÅ«t zemÄks par 0,7.
Starp citu, mÄs regulÄri publicÄjam regulatoru atbildes un komentÄrus, kas saistÄ«ti ar GOST 57580 prasÄ«bÄm un CentrÄlÄs bankas noteikumiem.
Ko darīt
MÅ«suprÄt, finanÅ”u organizÄcijÄm problÄmas risinÄÅ”anai ir tikai divas iespÄjas.
1. Izvairieties no konteineru ievieŔanas
RisinÄjums tiem, kuri ir gatavi atļauties izmantot tikai aparatÅ«ras virtualizÄciju un tajÄ paÅ”Ä laikÄ baidÄs no zemiem reitingiem saskaÅÄ ar GOST un naudas sodiem no CentrÄlÄs bankas.
Plus: ir vieglÄk izpildÄ«t GOST 7.8. apakÅ”nodaļas prasÄ«bas.
MÄ«nus: Mums bÅ«s jÄatsakÄs no jauniem izstrÄdes rÄ«kiem, kuru pamatÄ ir konteineru virtualizÄcija, jo Ä«paÅ”i Docker un Kubernetes.
2. Atteikties ievÄrot GOST 7.8.apakÅ”nodaļas prasÄ«bas
Bet tajÄ paÅ”Ä laikÄ, strÄdÄjot ar konteineriem, izmantojiet labÄko praksi informÄcijas droŔības nodroÅ”inÄÅ”anÄ. Å is ir risinÄjums tiem, kas novÄrtÄ jaunÄs tehnoloÄ£ijas un to sniegtÄs iespÄjas. Ar ālabÄko praksiā mÄs saprotam nozarÄ pieÅemtas normas un standartus Docker konteineru droŔības nodroÅ”inÄÅ”anai:
- resursdatora OS droŔība, pareizi konfigurÄta reÄ£istrÄÅ”ana, datu apmaiÅas aizliegums starp konteineriem un tÄ tÄlÄk;
- izmantojot Docker Trust funkciju, lai pÄrbaudÄ«tu attÄlu integritÄti, un izmantojot iebÅ«vÄto ievainojamÄ«bas skeneri;
- MÄs nedrÄ«kstam aizmirst par attÄlÄs piekļuves droŔību un tÄ«kla modeli kopumÄ: uzbrukumi, piemÄram, ARP-spoofing un MAC-plÅ«di, nav atcelti.
Plus: nav tehnisku ierobežojumu konteineru virtualizÄcijas lietoÅ”anai.
MÄ«nus: pastÄv liela varbÅ«tÄ«ba, ka regulators sodÄ«s par GOST prasÄ«bu neievÄroÅ”anu.
SecinÄjums
MÅ«su klients nolÄma neatteikties no konteineriem. TajÄ paÅ”Ä laikÄ viÅam bija bÅ«tiski jÄpÄrskata darba apjoms un pÄrejas laiks uz Docker (tie ilga seÅ”us mÄneÅ”us). Klients ļoti labi izprot riskus. ViÅÅ” arÄ« saprot, ka nÄkamajÄ novÄrtÄjumÄ par atbilstÄ«bu GOST R 57580 daudz kas bÅ«s atkarÄ«gs no revidenta.
Ko jÅ«s darÄ«tu Å”ajÄ situÄcijÄ?
Avots: www.habr.com