Ġurnata waħda rċevejna talba għal servizzi cloud. Aħna ddeskrivejna f'termini ġenerali dak li jkun meħtieġ minna u bgħatna lura lista ta 'mistoqsijiet biex niċċaraw id-dettalji. Imbagħad analizzajna t-tweġibiet u rrealizzajna: il-klijent irid ipoġġi data personali tat-tieni livell ta 'sigurtà fil-cloud. Aħna nwieġbuh: "Għandek it-tieni livell ta 'dejta personali, skużani, nistgħu biss noħolqu cloud privat." U hu: "Taf, imma fil-kumpanija X jistgħu jpoġġu kollox miegħi pubblikament."
Ritratt minn Steve Crisp, Reuters
Affarijiet strambi! Morna fuq il-websajt tal-kumpanija X, studjajna d-dokumenti ta 'ċertifikazzjoni tagħhom, ħadna rasna u rrealizzajna: hemm ħafna mistoqsijiet miftuħa fit-tqegħid ta' data personali u għandhom jiġu indirizzati bir-reqqa. Dak se nagħmlu f'din il-kariga.
Kif kollox għandu jaħdem
L-ewwel, ejja nsemmu liema kriterji jintużaw biex tikklassifika d-dejta personali bħala livell wieħed jew ieħor ta 'sigurtà. Dan jiddependi fuq il-kategorija tad-dejta, in-numru ta’ suġġetti ta’ din id-dejta li l-operatur jaħżen u jipproċessa, kif ukoll it-tip ta’ theddid attwali.
It-tipi ta’ theddid kurrenti huma definiti fi datata l-1 ta’ Novembru, 2012 “Dwar l-approvazzjoni tar-rekwiżiti għall-protezzjoni tad-dejta personali waqt l-ipproċessar tagħhom f’sistemi ta’ informazzjoni ta’ dejta personali”:
“It-theddid tat-Tip 1 huwa rilevanti għal sistema ta’ informazzjoni jekk jinkludi theddid attwali relatat ma bil-preżenza ta’ kapaċitajiet mhux dokumentati (mhux iddikjarati). fis-softwer tas-sistemaużati fis-sistema ta’ informazzjoni.
Theddid tat-2 tip huma rilevanti għal sistema ta' informazzjoni jekk għaliha, inkluż theddid attwali relatat ma bil-preżenza ta’ kapaċitajiet mhux dokumentati (mhux iddikjarati). f'softwer ta' applikazzjoniużati fis-sistema ta’ informazzjoni.
Theddid tat-3 tip huma rilevanti għal sistema ta' informazzjoni jekk għaliha theddid li mhux relatat bil-preżenza ta’ kapaċitajiet mhux dokumentati (mhux iddikjarati). fis-sistema u softwer ta' applikazzjoniużata fis-sistema tal-informazzjoni."
Il-ħaġa prinċipali f'dawn id-definizzjonijiet hija l-preżenza ta 'kapaċitajiet mhux dokumentati (mhux iddikjarati). Biex tikkonferma n-nuqqas ta 'kapaċitajiet ta' softwer mhux dokumentati (fil-każ tas-sħab, dan huwa hypervisor), iċ-ċertifikazzjoni titwettaq minn FSTEC tar-Russja. Jekk l-operatur PD jaċċetta li m'hemmx tali kapaċitajiet fis-softwer, allura t-theddid korrispondenti huwa irrilevanti. Theddid tat-tipi 1 u 2 rarament jitqiesu rilevanti mill-operaturi tal-PD.
Minbarra li jiddetermina l-livell ta’ sigurtà tal-PD, l-operatur għandu wkoll jiddetermina theddid attwali speċifiku għall-cloud pubbliku u, abbażi tal-livell identifikat ta’ sigurtà tal-PD u theddid attwali, jiddetermina l-miżuri u l-mezzi ta’ protezzjoni meħtieġa kontrihom.
FSTEC jelenka b'mod ċar it-theddidiet ewlenin kollha fi (database tat-theddid). Il-fornituri u l-assessuri tal-infrastruttura tal-cloud jużaw din id-database fix-xogħol tagħhom. Hawn huma eżempji ta’ theddid:
: "It-theddida hija l-possibbiltà li tinkiser is-sigurtà tad-dejta tal-utent ta' programmi li joperaw ġewwa magna virtwali minn softwer malizzjuż li jopera barra l-magna virtwali." Din it-theddida hija dovuta għall-preżenza ta 'vulnerabbiltajiet fis-softwer tal-hypervisor, li jiżgura li l-ispazju tal-indirizz użat biex jaħżen id-dejta tal-utent għal programmi li joperaw ġewwa l-magna virtwali huwa iżolat minn aċċess mhux awtorizzat minn softwer malizzjuż li jopera barra l-magna virtwali.
L-implimentazzjoni ta 'din it-theddida hija possibbli sakemm il-kodiċi tal-programm malizzjuż jegħleb b'suċċess il-konfini tal-magna virtwali, mhux biss billi jisfrutta l-vulnerabbiltajiet tal-hypervisor, iżda wkoll billi jwettaq impatt bħal dan minn livelli aktar baxxi (relattiv għall-hypervisor) ta' funzjonament tas-sistema."
: “It-theddida tinsab fil-possibbiltà ta’ aċċess mhux awtorizzat għall-informazzjoni protetta ta’ konsumatur tas-servizz tal-cloud minn ieħor. Din it-theddida hija dovuta għall-fatt li, minħabba n-natura tat-teknoloġiji tal-cloud, il-konsumaturi tas-servizz tal-cloud għandhom jaqsmu l-istess infrastruttura tal-cloud. Din it-theddida tista’ tiġi realizzata jekk isiru żbalji meta jiġu separati l-elementi tal-infrastruttura tal-cloud bejn il-konsumaturi tas-servizz tal-cloud, kif ukoll meta jiġu iżolati r-riżorsi tagħhom u s-separazzjoni tad-dejta minn xulxin.”
Tista 'tipproteġi biss kontra dan it-theddid bl-għajnuna ta' hypervisor, peress li huwa dak li jamministra r-riżorsi virtwali. Għalhekk, l-hypervisor għandu jitqies bħala mezz ta 'protezzjoni.
U skond bid-data tat-18 ta' Frar, 2013, l-hypervisor għandu jkun iċċertifikat bħala mhux NDV fil-livell 4, inkella l-użu tad-dejta personali tal-livell 1 u 2 magħha jkun illegali (“Klawżola 12. ... Biex jiġu żgurati l-livelli 1 u 2 tas-sigurtà tad-dejta personali, kif ukoll biex jiġi żgurat il-livell 3 ta’ sigurtà tad-dejta personali f’sistemi ta’ informazzjoni li għalihom it-theddid tat-tip 2 huwa kklassifikat bħala attwali, jintużaw għodod tas-sigurtà tal-informazzjoni, li s-softwer tagħhom ġie ittestjat mill-inqas skont 4 livell ta' kontroll fuq in-nuqqas ta' kapaċitajiet mhux iddikjarati").
Hypervisor wieħed biss, żviluppat fir-Russja, għandu l-livell meħtieġ ta 'ċertifikazzjoni, NDV-4. . Fi kliem ħafif, mhux l-aktar soluzzjoni popolari. Is-sħab kummerċjali huma ġeneralment mibnija fuq il-bażi ta 'VMware vSphere, KVM, Microsoft Hyper-V. L-ebda wieħed minn dawn il-prodotti ma huwa ċċertifikat NDV-4. Għaliex? Huwa probabbli li l-kisba ta' tali ċertifikazzjoni għall-manifatturi għadha mhix iġġustifikata ekonomikament.
U dak kollu li jibqa' għalina għad-dejta personali tal-livell 1 u 2 fil-cloud pubbliku huwa Orizzont BC. Imdejjaq imma veru.
Kif kollox (fl-opinjoni tagħna) jaħdem tassew
L-ewwel daqqa t'għajn, kollox huwa pjuttost strett: dawn it-theddidiet għandhom jiġu eliminati billi jiġu kkonfigurati b'mod korrett il-mekkaniżmi ta 'protezzjoni standard ta' hypervisor iċċertifikat skont NDV-4. Iżda hemm lakuna waħda. Skont l-Ordni Nru 21 tal-FSTEC (“klawżola 2 Is-sigurtà tad-dejta personali meta tiġi pproċessata fis-sistema ta’ informazzjoni tad-dejta personali (minn hawn ‘il quddiem imsejħa s-sistema tal-informazzjoni) hija żgurata mill-operatur jew il-persuna li tipproċessa d-dejta personali f’isem l-operatur skont Federazzjoni Russa"), il-fornituri jivvalutaw b'mod indipendenti r-rilevanza ta' theddid possibbli u jagħżlu miżuri ta' protezzjoni kif xieraq. Għalhekk, jekk ma taċċettax it-theddid UBI.44 u UBI.101 bħala kurrenti, allura ma jkunx hemm bżonn li tuża hypervisor iċċertifikat skont NDV-4, li huwa preċiżament dak li għandu jipprovdi protezzjoni kontrihom. U dan ikun biżżejjed biex jinkiseb ċertifikat ta 'konformità tas-sħab pubbliku mal-livelli 1 u 2 ta' sigurtà tad-dejta personali, li Roskomnadzor se jkun kompletament sodisfatt bih.
Naturalment, minbarra Roskomnadzor, FSTEC jista 'jiġi bi spezzjoni - u din l-organizzazzjoni hija ħafna aktar metikoluża fi kwistjonijiet tekniċi. Probabbilment se tkun interessata għaliex eżattament it-theddid UBI.44 u UBI.101 tqiesu bħala irrilevanti? Iżda ġeneralment FSTEC twettaq spezzjoni biss meta tirċievi informazzjoni dwar xi inċident sinifikanti. F'dan il-każ, is-servizz federali l-ewwel jasal għand l-operatur tad-dejta personali - jiġifieri, il-klijent tas-servizzi tal-cloud. Fl-agħar każ, l-operatur jirċievi multa żgħira - pereżempju, għal Twitter fil-bidu tas-sena f'każ simili ammontaw għal 5000 rublu. Imbagħad FSTEC imur aktar lejn il-fornitur tas-servizz tal-cloud. Li jista 'jkun imċaħħad minn liċenzja minħabba nuqqas ta' konformità mar-rekwiżiti regolatorji - u dawn huma riskji kompletament differenti, kemm għall-fornitur tal-cloud kif ukoll għall-klijenti tiegħu. Imma, nirrepeti, Biex tiċċekkja FSTEC, normalment ikollok bżonn raġuni ċara. Allura l-fornituri tal-cloud huma lesti li jieħdu riskji. Sa l-ewwel inċident serju.
Hemm ukoll grupp ta 'fornituri "aktar responsabbli" li jemmnu li huwa possibbli li jagħlqu t-theddidiet kollha billi jżidu add-on bħal vGate mal-hypervisor. Iżda f'ambjent virtwali mqassam fost il-klijenti għal xi theddid (per eżempju, l-UBI.101 ta 'hawn fuq), mekkaniżmu ta' protezzjoni effettiv jista 'jiġi implimentat biss fil-livell ta' hypervisor iċċertifikat skont NDV-4, peress li kwalunkwe sistema addizzjonali għal il-funzjonijiet standard tal-hypervisor għall-ġestjoni tar-riżorsi (b'mod partikolari , RAM) ma jaffettwawx.
Kif naħdmu
Għandna segment sħab implimentat fuq hypervisor iċċertifikat minn FSTEC (iżda mingħajr ċertifikazzjoni għal NDV-4). Dan is-segment huwa ċċertifikat, għalhekk id-dejta personali tista 'tinħażen fis-sħab ibbażat fuqha 3 u 4 livelli ta 'sigurtà — rekwiżiti għall-protezzjoni kontra kapaċitajiet mhux iddikjarati m'għandhomx għalfejn jiġu osservati hawnhekk. Hawnhekk, mill-mod, hija l-arkitettura tas-segment tas-sħab sikur tagħna:
Sistemi għal data personali 1 u 2 livelli ta 'sigurtà Aħna nimplimentaw biss fuq tagħmir iddedikat. F'dan il-każ biss, pereżempju, it-theddida ta 'UBI.101 hija verament mhux rilevanti, peress li xtillieri tas-server li mhumiex magħquda minn ambjent virtwali wieħed ma jistgħux jinfluwenzaw lil xulxin anki meta jinsabu fl-istess ċentru tad-dejta. Għal każijiet bħal dawn, noffru servizz dedikat għall-kiri tat-tagħmir (jissejjaħ ukoll Hardware bħala servizz).
Jekk m'intix ċert x'livell ta' sigurtà huwa meħtieġ għas-sistema tad-dejta personali tiegħek, aħna ngħinu wkoll fil-klassifikazzjoni tagħha.
Output
Ir-riċerka żgħira tas-suq tagħna wriet li xi operaturi tal-cloud huma pjuttost lesti li jirriskjaw kemm is-sigurtà tad-dejta tal-klijenti kif ukoll il-futur tagħhom stess biex jirċievu ordni. Iżda f’dawn il-kwistjonijiet aħna nżommu ma’ politika differenti, li ddeskrivejna fil-qosor eżatt hawn fuq. Inkunu kuntenti li nwieġbu l-mistoqsijiet tiegħek fil-kummenti.
Sors: www.habr.com