ProHoster > Blog > Pentadbiran > Bagaimana untuk berkawan dengan GOST R 57580 dan virtualisasi kontena. Maklum balas Bank Pusat (dan pemikiran kami tentang perkara ini)

Bagaimana untuk berkawan dengan GOST R 57580 dan virtualisasi kontena. Maklum balas Bank Pusat (dan pemikiran kami tentang perkara ini)

Tidak lama dahulu kami telah menjalankan satu lagi penilaian pematuhan terhadap keperluan GOST R 57580 (selepas ini dirujuk sebagai GOST sahaja). Pelanggan adalah syarikat yang membangunkan sistem pembayaran elektronik. Sistem ini serius: lebih daripada 3 juta pengguna, lebih daripada 200 ribu transaksi setiap hari. Mereka mengambil serius keselamatan maklumat di sana.

Semasa proses penilaian, pelanggan secara santai mengumumkan bahawa jabatan pembangunan, sebagai tambahan kepada mesin maya, merancang untuk menggunakan bekas. Tetapi dengan ini, pelanggan menambah, terdapat satu masalah: dalam GOST tidak ada perkataan tentang Docker yang sama. Apa patut saya buat? Bagaimana untuk menilai keselamatan kontena?

Bagaimana untuk berkawan dengan GOST R 57580 dan virtualisasi kontena. Maklum balas Bank Pusat (dan pemikiran kami tentang perkara ini)

Memang benar, GOST hanya menulis tentang virtualisasi perkakasan - tentang cara melindungi mesin maya, hypervisor dan pelayan. Kami meminta penjelasan Bank Pusat. Jawapannya membingungkan kami.

GOST dan virtualisasi

Sebagai permulaan, mari kita ingat bahawa GOST R 57580 ialah piawaian baharu yang menentukan "keperluan untuk memastikan keselamatan maklumat organisasi kewangan" (FI). FI ini termasuk pengendali dan peserta sistem pembayaran, organisasi kredit dan bukan kredit, pusat operasi dan penjelasan.

Mulai 1 Januari 2021, FI dikehendaki menjalankan penilaian pematuhan dengan keperluan GOST baharu. Kami, ITGLOBAL.COM, adalah syarikat audit yang menjalankan penilaian sedemikian.

GOST mempunyai subseksyen khusus untuk perlindungan persekitaran maya - No. 7.8. Istilah "virtualisasi" tidak dinyatakan di sana; tiada pembahagian ke dalam virtualisasi perkakasan dan kontena. Mana-mana pakar IT akan mengatakan bahawa dari sudut pandangan teknikal ini tidak betul: mesin maya (VM) dan bekas adalah persekitaran yang berbeza, dengan prinsip pengasingan yang berbeza. Dari sudut pandangan kelemahan hos di mana bekas VM dan Docker digunakan, ini juga merupakan perbezaan yang besar.

Ternyata penilaian keselamatan maklumat VM dan bekas juga harus berbeza.

Soalan kami kepada Bank Negara

Kami menghantarnya ke Jabatan Keselamatan Maklumat Bank Pusat (kami mengemukakan soalan dalam bentuk ringkas).

  1. Bagaimana untuk mempertimbangkan bekas maya jenis Docker semasa menilai pematuhan GOST? Adakah betul untuk menilai teknologi mengikut subseksyen 7.8 GOST?
  2. Bagaimana untuk menilai alat pengurusan kontena maya? Adakah mungkin untuk menyamakannya dengan komponen virtualisasi pelayan dan menilai mereka mengikut subseksyen GOST yang sama?
  3. Adakah saya perlu menilai secara berasingan keselamatan maklumat di dalam bekas Docker? Jika ya, apakah perlindungan yang perlu dipertimbangkan untuk ini semasa proses penilaian?
  4. Jika kontena disamakan dengan infrastruktur maya dan dinilai mengikut subseksyen 7.8, bagaimanakah keperluan GOST untuk pelaksanaan alat keselamatan maklumat khas dilaksanakan?

Jawapan Bank Pusat

Di bawah adalah petikan utama.

β€œGOST R 57580.1-2017 menetapkan keperluan untuk pelaksanaan melalui penggunaan langkah teknikal berhubung dengan langkah ZI subseksyen 7.8 GOST R 57580.1-2017 berikut, yang, pada pendapat Jabatan, boleh diperluaskan kepada kes penggunaan virtualisasi kontena. teknologi, dengan mengambil kira perkara berikut:

  • pelaksanaan langkah-langkah ZSV.1 - ZSV.11 untuk mengatur pengenalan, pengesahan, kebenaran (kawalan akses) apabila melaksanakan capaian logik kepada mesin maya dan komponen pelayan virtualisasi mungkin berbeza daripada kes penggunaan teknologi virtualisasi kontena. Dengan mengambil kira perkara ini, untuk melaksanakan beberapa langkah (contohnya, ZVS.6 dan ZVS.7), kami percaya adalah mungkin untuk mengesyorkan agar institusi kewangan membangunkan langkah pampasan yang akan mencapai matlamat yang sama;
  • pelaksanaan langkah-langkah ZSV.13 - ZSV.22 untuk organisasi dan kawalan interaksi maklumat mesin maya menyediakan pembahagian rangkaian komputer organisasi kewangan untuk membezakan antara objek pemformatan yang melaksanakan teknologi virtualisasi dan tergolong dalam litar keselamatan yang berbeza. Dengan mengambil kira perkara ini, kami percaya adalah dinasihatkan untuk menyediakan pembahagian yang sesuai apabila menggunakan teknologi virtualisasi kontena (kedua-duanya berhubung dengan bekas maya boleh laku dan berhubung dengan sistem virtualisasi yang digunakan pada peringkat sistem pengendalian);
  • pelaksanaan langkah-langkah ZSV.26, ZSV.29 - ZSV.31 untuk mengatur perlindungan imej mesin maya perlu dilakukan dengan analogi juga untuk melindungi imej asas dan semasa bagi bekas maya;
  • pelaksanaan langkah-langkah ZVS.32 - ZVS.43 untuk merekodkan peristiwa keselamatan maklumat yang berkaitan dengan akses kepada mesin maya dan komponen virtualisasi pelayan harus dilakukan secara analogi juga berkaitan dengan elemen persekitaran virtualisasi yang melaksanakan teknologi virtualisasi kontena.”

Apakah maksudnya

Dua kesimpulan utama daripada maklum balas Jabatan Keselamatan Maklumat Bank Pusat:

  • langkah untuk melindungi bekas tidak berbeza dengan langkah untuk melindungi mesin maya;
  • Berikutan daripada ini, dalam konteks keselamatan maklumat, Bank Pusat menyamakan dua jenis virtualisasi - bekas Docker dan VM.

Respons itu juga menyebut "langkah pampasan" yang perlu digunakan untuk meneutralkan ancaman. Cuma tidak jelas apakah "langkah pampasan" ini dan cara mengukur kecukupan, kesempurnaan dan keberkesanannya.

Apa yang salah dengan kedudukan Bank Pusat?

Jika anda menggunakan cadangan Bank Negara semasa penilaian (dan penilaian kendiri), anda perlu menyelesaikan beberapa masalah teknikal dan logik.

  • Setiap bekas boleh laku memerlukan pemasangan perisian perlindungan maklumat (IP) padanya: antivirus, pemantauan integriti, bekerja dengan log, sistem DLP (Pencegahan Kebocoran Data), dan sebagainya. Semua ini boleh dipasang pada VM tanpa sebarang masalah, tetapi dalam kes bekas, memasang keselamatan maklumat adalah langkah yang tidak masuk akal. Bekas mengandungi jumlah minimum "kit badan" yang diperlukan untuk perkhidmatan berfungsi. Memasang SZI di dalamnya bercanggah dengan maksudnya.
  • Imej bekas harus dilindungi mengikut prinsip yang sama; cara melaksanakannya juga tidak jelas.
  • GOST memerlukan mengehadkan akses kepada komponen virtualisasi pelayan, iaitu, kepada hipervisor. Apakah yang dianggap sebagai komponen pelayan dalam kes Docker? Bukankah ini bermakna setiap bekas perlu dijalankan pada hos yang berasingan?
  • Jika untuk virtualisasi konvensional adalah mungkin untuk mengehadkan VM dengan kontur keselamatan dan segmen rangkaian, maka dalam kes bekas Docker dalam hos yang sama, ini tidak berlaku.

Dalam praktiknya, kemungkinan setiap juruaudit akan menilai keselamatan kontena dengan caranya sendiri, berdasarkan pengetahuan dan pengalamannya sendiri. Nah, atau jangan menilai sama sekali, jika tidak ada satu atau yang lain.

Untuk berjaga-jaga, kami akan menambah bahawa mulai 1 Januari 2021, skor minimum mestilah tidak lebih rendah daripada 0,7.

Dengan cara ini, kami kerap menyiarkan maklum balas dan komen daripada pengawal selia yang berkaitan dengan keperluan GOST 57580 dan Peraturan Bank Pusat dalam Saluran Telegram.

Apa yang perlu dilakukan

Pada pendapat kami, organisasi kewangan hanya mempunyai dua pilihan untuk menyelesaikan masalah tersebut.

1. Elakkan daripada melaksanakan bekas

Penyelesaian untuk mereka yang bersedia untuk menggunakan hanya virtualisasi perkakasan dan pada masa yang sama takut penilaian rendah mengikut GOST dan denda dari Bank Pusat.

Plus: lebih mudah untuk mematuhi keperluan subseksyen 7.8 GOST.

Minus: Kami perlu meninggalkan alatan pembangunan baharu berdasarkan virtualisasi kontena, khususnya Docker dan Kubernetes.

2. Enggan mematuhi keperluan subseksyen 7.8 GOST

Tetapi pada masa yang sama, gunakan amalan terbaik dalam memastikan keselamatan maklumat apabila bekerja dengan bekas. Ini adalah penyelesaian bagi mereka yang menghargai teknologi baharu dan peluang yang mereka sediakan. Dengan "amalan terbaik" kami maksudkan norma dan piawaian yang diterima industri untuk memastikan keselamatan bekas Docker:

  • keselamatan OS hos, pengelogan yang dikonfigurasikan dengan betul, larangan pertukaran data antara bekas, dan sebagainya;
  • menggunakan fungsi Docker Trust untuk menyemak integriti imej dan menggunakan pengimbas kelemahan terbina dalam;
  • Kita tidak boleh lupa tentang keselamatan akses jauh dan model rangkaian secara keseluruhan: serangan seperti ARP-spoofing dan MAC-flooding belum dibatalkan.

Plus: tiada sekatan teknikal terhadap penggunaan virtualisasi kontena.

Minus: terdapat kebarangkalian tinggi bahawa pengawal selia akan menghukum kerana tidak mematuhi keperluan GOST.

Kesimpulan

Pelanggan kami memutuskan untuk tidak menyerahkan bekas. Pada masa yang sama, dia perlu mempertimbangkan semula dengan ketara skop kerja dan masa peralihan ke Docker (mereka bertahan selama enam bulan). Pelanggan memahami risiko dengan baik. Beliau juga memahami bahawa semasa penilaian pematuhan seterusnya GOST R 57580, banyak yang akan bergantung kepada juruaudit.

Apa yang akan anda lakukan dalam situasi ini?

Sumber: www.habr.com

Tambah komen