Тун удалгүй бид ГОСТ R 57580 (цаашид энгийн ГОСТ гэх) стандартын шаардлагад нийцсэн байдлын өөр нэг үнэлгээг хийсэн. Үйлчлүүлэгч нь цахим төлбөрийн системийг хөгжүүлдэг компани юм. Систем нь ноцтой юм: 3 сая гаруй хэрэглэгч, өдөр бүр 200 мянга гаруй гүйлгээ хийдэг. Тэд тэнд мэдээллийн аюулгүй байдлыг маш нухацтай авч үздэг.
Үнэлгээний явцад үйлчлүүлэгч хөгжлийн хэлтэс нь виртуал машинуудаас гадна контейнер ашиглахаар төлөвлөж байгааг санамсаргүйгээр мэдэгдэв. Гэсэн хэдий ч үйлчлүүлэгч нэмж хэлэхэд нэг асуудал байна: ГОСТ-д ижил Docker-ийн талаар нэг ч үг байдаггүй. Би юу хийх хэрэгтэй вэ? Савны аюулгүй байдлыг хэрхэн үнэлэх вэ?
Үнэн, ГОСТ зөвхөн техник хангамжийн виртуалчлалын тухай бичдэг - виртуал машин, гипервизор, серверийг хэрхэн хамгаалах талаар. Бид Төв банкнаас тодруулга хүссэн. Хариулт нь биднийг гайхшруулав.
ГОСТ ба виртуалчлал
Эхлэхийн тулд ГОСТ R 57580 нь "санхүүгийн байгууллагын мэдээллийн аюулгүй байдлыг хангахад тавигдах шаардлагыг" (FI) тодорхойлсон шинэ стандарт гэдгийг сануулъя. Эдгээр санхүүгийн байгууллагуудад төлбөрийн системийн оператор, оролцогчид, зээлийн болон зээлийн бус байгууллагууд, үйл ажиллагааны болон клирингийн төвүүд орно.
1 оны 2021-р сарын XNUMX-ээс СБ-ууд хийх ёстой . Бид ITGLOBAL.COM нь ийм үнэлгээ хийдэг аудитын компани юм.
ГОСТ нь виртуалчлагдсан орчныг хамгаалахад зориулагдсан дэд хэсэгтэй - No 7.8. Тэнд "виртуалчлал" гэсэн нэр томъёог заагаагүй бөгөөд техник хангамж, контейнерийн виртуалчлал гэж хуваагдаагүй болно. Техникийн үүднээс авч үзвэл энэ нь буруу гэж МТ-ийн ямар ч мэргэжилтэн хэлэх болно: виртуал машин (VM) ба контейнер нь өөр өөр тусгаарлах зарчимтай өөр өөр орчин юм. VM болон Docker контейнеруудыг байрлуулсан хостын эмзэг байдлын үүднээс авч үзвэл энэ нь бас том ялгаа юм.
VM болон контейнерийн мэдээллийн аюулгүй байдлын үнэлгээ өөр байх ёстой.
Төв банкинд өгөх бидний асуулт
Бид тэднийг Төв банкны Мэдээллийн аюулгүй байдлын хэлтэст илгээсэн (бид асуултуудыг товчилсон хэлбэрээр танилцуулж байна).
- ГОСТ-ийн нийцлийг үнэлэхдээ Docker төрлийн виртуал савыг хэрхэн авч үзэх вэ? ГОСТ-ийн 7.8-д заасны дагуу технологийг үнэлэх нь зөв үү?
- Виртуал контейнерийн удирдлагын хэрэгслийг хэрхэн үнэлэх вэ? Тэдгээрийг серверийн виртуалчлалын бүрэлдэхүүн хэсгүүдтэй адилтгаж, ГОСТ-ийн ижил дэд хэсгийн дагуу үнэлэх боломжтой юу?
- Би Docker контейнер доторх мэдээллийн аюулгүй байдлыг тусад нь үнэлэх шаардлагатай юу? Хэрэв тийм бол үнэлгээний явцад үүнд ямар арга хэмжээ авах шаардлагатай вэ?
- Хэрэв чингэлэгжилтийг виртуал дэд бүтэцтэй адилтгаж, дэд хэсгийн 7.8-д заасны дагуу үнэлдэг бол мэдээллийн аюулгүй байдлын тусгай хэрэгслийг хэрэгжүүлэхэд тавигдах ГОСТ шаардлагыг хэрхэн хэрэгжүүлэх вэ?
Төв банкны хариу
Гол ишлэлүүдийг доор харуулав.
"ГОСТ R 57580.1-2017 нь ГОСТ Р 7.8-57580.1 стандартын 2017-р зүйлийн XNUMX-д дараахь арга хэмжээнүүдийн талаар техникийн арга хэмжээ авах замаар хэрэгжүүлэх шаардлагыг тогтоодог бөгөөд энэ нь хэлтсийн үзэж байгаагаар контейнер виртуалчлалыг ашиглах тохиолдолд өргөжүүлж болно. технологи нь дараахь зүйлийг харгалзан үздэг.
- Виртуал машин болон виртуалчлалын серверийн бүрэлдэхүүн хэсгүүдэд логик хандалтыг хэрэгжүүлэх үед таних, баталгаажуулах, зөвшөөрөл олгох (хандалтын хяналт) зохион байгуулах ZSV.1 - ZSV.11 арга хэмжээг хэрэгжүүлэх нь контейнер виртуалчлалын технологийг ашиглах тохиолдлуудаас ялгаатай байж болно. Үүнийг харгалзан хэд хэдэн арга хэмжээг (жишээлбэл, ZVS.6 ба ZVS.7) хэрэгжүүлэхийн тулд санхүүгийн байгууллагуудад ижил зорилгыг хэрэгжүүлэх нөхөн олговор олгох арга хэмжээг боловсруулахыг зөвлөж байна гэж бид үзэж байна;
- Виртуал машинуудын мэдээллийн харилцан үйлчлэлийг зохион байгуулах, хянах ZSV.13 - ZSV.22 арга хэмжээг хэрэгжүүлэх нь виртуалчлалын технологийг хэрэгжүүлдэг, янз бүрийн хамгаалалтын хэлхээнд хамаарах мэдээлэлжүүлэлтийн объектуудыг ялгахын тулд санхүүгийн байгууллагын компьютерийн сүлжээг сегментчлэх боломжийг олгодог. Үүнийг харгалзан бид чингэлэгийн виртуалчлалын технологийг ашиглахдаа зохих сегментчилэл хийх нь зүйтэй гэж үзэж байна (гүйцэтгэх боломжтой виртуал контейнеруудтай холбоотой болон үйлдлийн системийн түвшинд ашигладаг виртуалчлалын системтэй холбоотой);
- виртуал машинуудын дүрсийг хамгаалах ажлыг зохион байгуулах ZSV.26, ZSV.29 - ZSV.31 арга хэмжээг хэрэгжүүлэх нь виртуал контейнерийн үндсэн болон одоогийн зургийг хамгаалахын тулд аналогиар хийгдсэн байх ёстой;
- Виртуал машин, серверийн виртуалчлалын бүрэлдэхүүн хэсгүүдэд хандахтай холбоотой мэдээллийн аюулгүй байдлын үйл явдлыг бүртгэх ZVS.32 - ZVS.43 арга хэмжээг хэрэгжүүлэх нь чингэлэг виртуалчлалын технологийг хэрэгжүүлдэг виртуалчлалын орчны элементүүдтэй адил төстэй байдлаар хийгдэх ёстой.
Энэ нь юу гэсэн үг вэ?
Төв банкны Мэдээллийн аюулгүй байдлын газрын хариултаас хоёр үндсэн дүгнэлт:
- савыг хамгаалах арга хэмжээ нь виртуал машиныг хамгаалах арга хэмжээнээс ялгаатай биш;
- Үүнээс үзэхэд мэдээллийн аюулгүй байдлын хүрээнд Төв банк виртуалчлалын хоёр төрлийг адилтган үздэг - Docker контейнер ба VM.
Хариуд нь аюул заналхийллийг саармагжуулахын тулд хэрэглэх шаардлагатай "нөхөн олговрын арга хэмжээ"-ийг мөн дурдсан байна. Эдгээр "нөхөн төлбөрийн арга хэмжээ" гэж юу болох, тэдгээрийн хүрэлцээ, бүрэн байдал, үр нөлөөг хэрхэн хэмжих нь тодорхойгүй байна.
Төв банкны байр суурь юу нь буруу байна вэ?
Хэрэв та үнэлгээ хийхдээ (мөн өөрийгөө үнэлэх) Төв банкны зөвлөмжийг ашигладаг бол хэд хэдэн техникийн болон логик бэрхшээлийг шийдвэрлэх хэрэгтэй.
- Гүйцэтгэх боломжтой контейнер бүр нь мэдээлэл хамгаалах програм хангамжийг (IP) суулгахыг шаарддаг: вирусны эсрэг, бүрэн бүтэн байдлыг хянах, бүртгэлтэй ажиллах, DLP систем (Өгөгдөл алдагдахаас урьдчилан сэргийлэх) гэх мэт. Энэ бүгдийг VM дээр ямар ч асуудалгүйгээр суулгаж болох ч контейнерийн хувьд мэдээллийн аюулгүй байдлыг суурилуулах нь утгагүй алхам юм. Уг саванд үйлчилгээ явуулахад шаардагдах хамгийн бага хэмжээний "биеийн хэрэгсэл" агуулагдана. Үүнд SZI суулгах нь түүний утгатай зөрчилдөж байна.
- Контейнерийн зургийг ижил зарчмын дагуу хамгаалах ёстой бөгөөд үүнийг хэрхэн хэрэгжүүлэх нь тодорхойгүй байна.
- ГОСТ нь серверийн виртуалчлалын бүрэлдэхүүн хэсгүүдэд, өөрөөр хэлбэл гипервизор руу нэвтрэх эрхийг хязгаарлахыг шаарддаг. Docker-ийн хувьд серверийн бүрэлдэхүүн хэсэг гэж юу вэ? Энэ нь контейнер бүрийг тусдаа хост дээр ажиллуулах шаардлагатай гэсэн үг биш гэж үү?
- Хэрэв ердийн виртуалчлалын хувьд VM-ийг хамгаалалтын контур болон сүлжээний сегментээр тусгаарлах боломжтой бол нэг хост доторх Docker контейнеруудын хувьд энэ нь тийм биш юм.
Бодит байдал дээр аудитор бүр өөрийн мэдлэг, туршлага дээрээ үндэслэн чингэлэгийн аюулгүй байдлыг өөр өөрийнхөөрөө үнэлдэг байх магадлалтай. За, эсвэл нэг нь ч, нөгөө нь ч байхгүй бол үүнийг огт үнэлж болохгүй.
1 оны 2021-р сарын 0,7-ээс эхлэн хамгийн бага оноо XNUMX-оос багагүй байх ёстой гэдгийг бид нэмж хэлэх болно.
Дашрамд дурдахад, бид ГОСТ 57580 болон Төв банкны дүрэм журмын шаардлагуудтай холбоотой зохицуулалтын байгууллагуудын хариулт, сэтгэгдлийг тогтмол нийтэлж байна. .
Юу хийх вэ
Бидний бодлоор санхүүгийн байгууллагууд асуудлыг шийдэх хоёрхон сонголттой.
1. Савыг хэрэгжүүлэхээс зайлсхий
Зөвхөн техник хангамжийн виртуалчлалыг ашиглахад бэлэн байгаа хүмүүст зориулсан шийдэл бөгөөд ГОСТ-ийн дагуу бага үнэлгээ, Төв банкны торгууль төлөхөөс айдаг.
Нэмэлт нь: ГОСТ-ийн 7.8-р хэсгийн шаардлагыг биелүүлэхэд илүү хялбар байдаг.
Хасах: Бид чингэлэг виртуалчлалд суурилсан шинэ хөгжүүлэлтийн хэрэгслүүд, тухайлбал Docker болон Kubernetes-ээс татгалзах хэрэгтэй болно.
2. ГОСТ-ийн 7.8-д заасан шаардлагыг биелүүлэхээс татгалзах
Гэхдээ үүнтэй зэрэгцэн чингэлэгтэй ажиллахдаа мэдээллийн аюулгүй байдлыг хангах шилдэг туршлагыг хэрэгжүүлээрэй. Энэ бол шинэ технологи, тэдний олгож буй боломжийг эрхэмлэдэг хүмүүст зориулсан шийдэл юм. "Шилдэг туршлага" гэж бид Docker контейнерийн аюулгүй байдлыг хангах салбарт хүлээн зөвшөөрөгдсөн хэм хэмжээ, стандартыг хэлнэ.
- хост үйлдлийн системийн аюулгүй байдал, зөв тохируулсан бүртгэл, контейнер хооронд өгөгдөл солилцохыг хориглох гэх мэт;
- Docker Trust функцийг ашиглан зургийн бүрэн бүтэн байдлыг шалгах, суурилуулсан эмзэг байдлын сканнерыг ашиглах;
- Бид алсын зайнаас нэвтрэх аюулгүй байдал болон сүлжээний загварыг бүхэлд нь мартаж болохгүй: ARP хууран мэхлэх, MAC үерлэх зэрэг халдлагууд цуцлагдаагүй байна.
Нэмэлт нь: чингэлэг виртуалчлалыг ашиглахад техникийн хязгаарлалт байхгүй.
Хасах: Зохицуулагч нь ГОСТ-ийн шаардлагыг дагаж мөрдөөгүй тохиолдолд шийтгэх магадлал өндөр байна.
дүгнэлт
Манай үйлчлүүлэгч чингэлэгээ өгөхгүй байхаар шийдсэн. Үүний зэрэгцээ тэрээр ажлын цар хүрээ, Докер руу шилжих хугацааг (тэдгээр нь зургаан сар үргэлжилсэн) дахин авч үзэх шаардлагатай болсон. Үйлчлүүлэгч эрсдэлийг маш сайн ойлгодог. ГОСТ R 57580-д нийцэж буй дараагийн үнэлгээний явцад аудитороос их зүйл шалтгаална гэдгийг тэрээр бас ойлгож байна.
Ийм нөхцөлд та юу хийх байсан бэ?
Эх сурвалж: www.habr.com