Еден ден добивме барање за облак услуги. Наведовме генерално што ќе се бара од нас и испративме листа со прашања за да ги разјасниме деталите. Потоа ги анализиравме одговорите и сфативме: клиентот сака да постави лични податоци од второто ниво на безбедност во облакот. Ние му одговараме: „Имате второ ниво на лични податоци, извинете, можеме да создадеме само приватен облак“. А тој: „Знаете, но во компанијата Х можат јавно да ми објават сè“.
Фотографија од Стив Крисп, Ројтерс
Чудни работи! Отидовме на веб-страницата на компанијата Х, ги проучувавме нивните документи за сертификација, одмавнавме со главите и сфативме: има многу отворени прашања во поставувањето на личните податоци и тие треба темелно да се решат. Тоа е она што ќе го направиме во овој пост.
Како сè треба да функционира
Прво, да откриеме кои критериуми се користат за класифицирање на личните податоци како едно или друго ниво на безбедност. Ова зависи од категоријата на податоци, бројот на субјекти на овие податоци што операторот ги складира и обработува, како и од видот на тековните закани.
Видовите тековни закани се дефинирани во од 1 ноември 2012 година „За одобрување на барања за заштита на личните податоци при нивна обработка во информациските системи за лични податоци“:
„Тип 1 закани се релевантни за информацискиот систем доколку вклучува тековните закани поврзани со со присуство на недокументирани (непријавени) способности во системскиот софтверсе користи во информацискиот систем.
Заканите од втор тип се релевантни за информацискиот систем ако за него, вклучително тековните закани поврзани со со присуство на недокументирани (непријавени) способности во апликативен софтверсе користи во информацискиот систем.
Заканите од третиот тип се релевантни за информациски систем ако за него закани кои не се поврзани со присуство на недокументирани (непријавени) способности во системски и апликативен софтверсе користи во информацискиот систем“.
Главната работа во овие дефиниции е присуството на недокументирани (непријавени) способности. За да се потврди отсуството на недокументирани софтверски способности (во случај на облак, ова е хипервизор), сертификацијата ја врши FSTEC од Русија. Ако операторот PD прифати дека нема такви можности во софтверот, тогаш соодветните закани се ирелевантни. Заканите од типот 1 и 2 исклучително ретко се сметаат за релевантни од операторите на ПД.
Покрај одредувањето на нивото на безбедност на ПД, операторот мора да утврди и конкретни тековни закани за јавниот облак и, врз основа на идентификуваното ниво на безбедност на ПД и тековните закани, да ги утврди потребните мерки и средства за заштита од нив.
FSTEC јасно ги наведува сите главни закани во (база на податоци за закани). Обезбедувачите на облак инфраструктура и оценувачите ја користат оваа база на податоци во нивната работа. Еве примери на закани:
: „Заканата е можноста за нарушување на безбедноста на корисничките податоци на програмите што работат во виртуелна машина со злонамерен софтвер што работи надвор од виртуелната машина“. Оваа закана се должи на присуството на пропусти во софтверот на хипервизорот, кој осигурува дека адресниот простор што се користи за складирање на кориснички податоци за програмите што работат внатре во виртуелната машина е изолиран од неовластен пристап на малициозен софтвер кој работи надвор од виртуелната машина.
Имплементацијата на оваа закана е можна под услов малициозниот програмски код успешно да ги надмине границите на виртуелната машина, не само со искористување на ранливостите на хипервизорот, туку и со извршување на такво влијание од пониските (во однос на хипервизорот) нивоа на функционирање на системот“.
: „Заканата лежи во можноста за неовластен пристап до заштитените информации на еден потрошувач на облак услуга од друг. Оваа закана се должи на фактот дека, поради природата на облак технологиите, потрошувачите на облак услуги мора да ја делат истата инфраструктура на облак. Оваа закана може да се реализира доколку се направат грешки при одвојување на елементите на облак инфраструктурата помеѓу потрошувачите на облак услуги, како и при изолирање на нивните ресурси и одвојување на податоците еден од друг.
Од овие закани можете да се заштитите само со помош на хипервизор, бидејќи тој е тој што управува со виртуелните ресурси. Така, хипервизорот мора да се смета како средство за заштита.
И во согласност со од 18 февруари 2013 година, хипервизорот мора да биде сертифициран како не-NDV на ниво 4, инаку употребата на лични податоци од ниво 1 и 2 со него ќе биде нелегална („Клаузула 12. ... За да се осигураат нивоата 1 и 2 на безбедноста на личните податоци, како и да се обезбеди ниво 3 на безбедноста на личните податоци во информациските системи за кои заканите од тип 2 се класифицирани како актуелни, се користат алатки за безбедност на информации, чиј софтвер е тестиран барем според 4 нивоа на контрола над отсуството на непријавени способности“).
Само еден хипервизор, развиен во Русија, го има потребното ниво на сертификација, NDV-4. . Најблаго кажано, не е најпопуларното решение. Комерцијалните облаци, по правило, се изградени врз основа на VMware vSphere, KVM, Microsoft Hyper-V. Ниту еден од овие производи не е сертифициран NDV-4. Зошто? Веројатно е дека добивањето таква потврда за производителите сè уште не е економски оправдано.
А сè што ни останува за личните податоци на ниво 1 и 2 во јавниот облак е Horizon BC. Тажно но вистинито.
Како сè (според нас) навистина функционира
На прв поглед, сè е прилично строго: овие закани мора да се елиминираат со правилно конфигурирање на стандардните механизми за заштита на хипервизорот сертифициран според NDV-4. Но, постои една дупка. Во согласност со FSTEC налог бр. 21 („клаузула 2 Безбедноста на личните податоци кога се обработуваат во информативниот систем за лични податоци (во натамошниот текст: информациски систем) ја обезбедува операторот или лицето кое обработува лични податоци во име на операторот во согласност со Руска Федерација"), давателите на услуги независно ја оценуваат релевантноста на можните закани и соодветно избираат мерки за заштита. Затоа, доколку не ги прифатите заканите UBI.44 и UBI.101 како актуелни, тогаш нема да има потреба да користите хипервизор сертифициран според NDV-4, што е токму она што треба да обезбеди заштита од нив. И ова ќе биде доволно за да се добие сертификат за усогласеност на јавниот облак со нивоата 1 и 2 за безбедност на личните податоци, со што Роскомнадзор ќе биде целосно задоволен.
Се разбира, покрај Роскомнадзор, FSTEC може да дојде со инспекција - и оваа организација е многу попрецизна во техничките работи. Веројатно ќе ја интересира зошто токму заканите UBI.44 и UBI.101 се сметаа за ирелевантни? Но, обично FSTEC презема инспекција само кога ќе добие информации за некој значаен инцидент. Во овој случај, федералната служба прво доаѓа до операторот на лични податоци - односно, клиентот на облак услуги. Во најлош случај, операторот добива мала парична казна - на пример, за Twitter на почетокот на годината во сличен случај изнесуваше 5000 рубли. Потоа FSTEC оди понатаму до давателот на облак услуги. Која може да биде лишена од лиценца поради неусогласеност со регулаторните барања - и тоа се сосема различни ризици, и за давателот на облак и за неговите клиенти. Но, повторувам, За да го проверите FSTEC, обично ви треба јасна причина. Така, давателите на облак се подготвени да преземат ризици. До првиот тежок инцидент.
Исто така, постои група на „поодговорни“ провајдери кои веруваат дека е можно да се затворат сите закани со додавање на додаток како vGate на хипервизорот. Но, во виртуелна средина дистрибуирана меѓу клиентите за некои закани (на пример, горенаведениот UBI.101), ефективен заштитен механизам може да се имплементира само на ниво на хипервизор сертифициран според NDV-4, бидејќи секој дополнителен систем на стандардните функции на хипервизорот за управување со ресурси (особено , RAM) не влијаат.
Како работиме
Имаме сегмент на облак имплементиран на хипервизор сертифициран од FSTEC (но без сертификација за NDV-4). Овој сегмент е сертифициран, па врз основа на него може да се складираат лични податоци во облакот 3 и 4 нивоа на безбедност — овде не треба да се почитуваат барањата за заштита од непријавени способности. Еве, патем, архитектурата на нашиот безбеден облак сегмент:
Системи за лични податоци 1 и 2 нивоа на безбедност Ние имплементираме само на наменска опрема. Само во овој случај, на пример, заканата од UBI.101 навистина не е релевантна, бидејќи серверските лавици кои не се обединети со една виртуелна средина не можат да влијаат едни на други дури и кога се наоѓаат во истиот центар за податоци. За такви случаи, нудиме посветена услуга за изнајмување опрема (тоа се нарекува и Хардвер како услуга).
Ако не сте сигурни кое ниво на безбедност е потребно за вашиот систем за лични податоци, ние помагаме и во класификација.
Излез
Нашето мало истражување на пазарот покажа дека некои облак оператори се сосема подготвени да ја ризикуваат и безбедноста на податоците за клиентите и сопствената иднина за да добијат нарачка. Но, во овие работи ние се придржуваме до друга политика, која накратко ја опишавме веднаш погоре. Со задоволство ќе одговориме на вашите прашања во коментарите.
Извор: www.habr.com