ProHoster > blog > Amministrazzjoni > Kif tagħmel ħbieb ma 'GOST R 57580 u l-virtwalizzazzjoni tal-kontejners. Ir-rispons tal-Bank Ċentrali (u l-ħsibijiet tagħna dwar din il-kwistjoni)

Kif tagħmel ħbieb ma 'GOST R 57580 u l-virtwalizzazzjoni tal-kontejners. Ir-rispons tal-Bank Ċentrali (u l-ħsibijiet tagħna dwar din il-kwistjoni)

Ftit ilu għamilna valutazzjoni oħra tal-konformità mar-rekwiżiti ta 'GOST R 57580 (minn hawn 'il quddiem imsejħa sempliċement GOST). Il-klijent huwa kumpanija li tiżviluppa sistema ta 'ħlas elettroniku. Is-sistema hija serja: aktar minn 3 miljun utent, aktar minn 200 elf tranżazzjoni kuljum. Huma jieħdu s-sigurtà tal-informazzjoni bis-serjetà ħafna hemmhekk.

Matul il-proċess ta 'evalwazzjoni, il-klijent ħabbar b'mod każwali li d-dipartiment tal-iżvilupp, minbarra l-magni virtwali, jippjana li juża kontenituri. Iżda b'dan, żied il-klijent, hemm problema waħda: f'GOST m'hemmx kelma dwar l-istess Docker. X'irrid nagħmel? Kif tevalwa s-sigurtà tal-kontenituri?

Kif tagħmel ħbieb ma 'GOST R 57580 u l-virtwalizzazzjoni tal-kontejners. Ir-rispons tal-Bank Ċentrali (u l-ħsibijiet tagħna dwar din il-kwistjoni)

Huwa veru, GOST jikteb biss dwar il-virtwalizzazzjoni tal-ħardwer - dwar kif tipproteġi magni virtwali, hypervisor, u server. Tlabna kjarifika lill-Bank Ċentrali. It-tweġiba ddeċidietna.

GOST u virtwalizzazzjoni

Biex tibda, ejjew infakkru li GOST R 57580 huwa standard ġdid li jispeċifika "rekwiżiti biex tiġi żgurata s-sigurtà tal-informazzjoni ta 'organizzazzjonijiet finanzjarji" (FI). Dawn l-FIs jinkludu operaturi u parteċipanti ta' sistemi ta' ħlas, organizzazzjonijiet ta' kreditu u mhux ta' kreditu, ċentri operattivi u ta' kklerjar.

Mill-1 ta' Jannar 2021, l-FIs huma meħtieġa li jmexxu valutazzjoni tal-konformità mar-rekwiżiti tal-GOST il-ġdid. Aħna, ITGLOBAL.COM, huma kumpanija tal-awditjar li twettaq valutazzjonijiet bħal dawn.

GOST għandu sottotaqsima ddedikata għall-protezzjoni ta 'ambjenti virtwalizzati - Nru 7.8. It-terminu "virtwalizzazzjoni" mhuwiex speċifikat hemmhekk; m'hemm l-ebda diviżjoni fil-virtwalizzazzjoni tal-hardware u tal-kontenitur. Kwalunkwe speċjalista tal-IT jgħid li mil-lat tekniku dan mhux korrett: magna virtwali (VM) u kontenitur huma ambjenti differenti, bi prinċipji ta 'iżolament differenti. Mil-lat tal-vulnerabbiltà tal-host li fuqu huma skjerati l-kontenituri VM u Docker, din hija wkoll differenza kbira.

Jirriżulta li l-valutazzjoni tas-sigurtà tal-informazzjoni tal-VMs u l-kontenituri għandha wkoll tkun differenti.

Il-mistoqsijiet tagħna lill-Bank Ċentrali

Bgħatniehom lid-Dipartiment tas-Sigurtà tal-Informazzjoni tal-Bank Ċentrali (nippreżentaw il-mistoqsijiet f’forma mqassra).

  1. Kif tikkunsidra kontenituri virtwali tat-tip Docker meta tivvaluta l-konformità tal-GOST? Huwa korrett li tiġi evalwata t-teknoloġija skont is-subtaqsima 7.8 tal-GOST?
  2. Kif tevalwa l-għodod tal-ġestjoni tal-kontenituri virtwali? Huwa possibbli li jiġu ekwiparati mal-komponenti tal-virtwalizzazzjoni tas-server u jiġu evalwati skont l-istess subtaqsima tal-GOST?
  3. Għandi bżonn nevalwa separatament is-sigurtà tal-informazzjoni fil-kontenituri Docker? Jekk iva, liema salvagwardji għandhom jiġu kkunsidrati għal dan matul il-proċess ta' valutazzjoni?
  4. Jekk il-kontenerizzazzjoni hija ekwiparata ma' infrastruttura virtwali u tiġi vvalutata skont is-subtaqsima 7.8, kif jiġu implimentati r-rekwiżiti tal-GOST għall-implimentazzjoni ta' għodod speċjali tas-sigurtà tal-informazzjoni?

Ir-risposta tal-Bank Ċentrali

Hawn taħt jinsabu s-siltiet ewlenin.

“GOST R 57580.1-2017 jistabbilixxi rekwiżiti għall-implimentazzjoni permezz tal-applikazzjoni ta’ miżuri tekniċi fir-rigward tal-miżuri li ġejjin ZI subsezzjoni 7.8 ta’ GOST R 57580.1-2017, li, fl-opinjoni tad-Dipartiment, jistgħu jiġu estiżi għal każijiet ta’ użu tal-virtwalizzazzjoni tal-kontenituri teknoloġiji, b'kont meħud ta' dan li ġej:

  • l-implimentazzjoni ta 'miżuri ZSV.1 - ZSV.11 għall-organizzazzjoni ta' identifikazzjoni, awtentikazzjoni, awtorizzazzjoni (kontroll ta 'aċċess) meta timplimenta aċċess loġiku għal magni virtwali u komponenti ta' server ta 'virtwalizzazzjoni jistgħu jvarjaw minn każijiet ta' użu tat-teknoloġija tal-virtwalizzazzjoni tal-kontejners. Meta wieħed iqis dan, sabiex jiġu implimentati għadd ta’ miżuri (pereżempju, ZVS.6 u ZVS.7), nemmnu li huwa possibbli li jiġi rrakkomandat li l-istituzzjonijiet finanzjarji jiżviluppaw miżuri ta’ kumpens li jsegwu l-istess għanijiet;
  • l-implimentazzjoni ta 'miżuri ZSV.13 - ZSV.22 għall-organizzazzjoni u l-kontroll ta' interazzjoni ta 'informazzjoni ta' magni virtwali tipprovdi għas-segmentazzjoni tan-netwerk tal-kompjuter ta 'organizzazzjoni finanzjarja biex tiddistingwi bejn oġġetti ta' informatizzazzjoni li jimplimentaw teknoloġija ta 'virtwalizzazzjoni u jappartjenu għal ċirkwiti ta' sigurtà differenti. Meta wieħed iqis dan, nemmnu li huwa rakkomandabbli li tiġi pprovduta segmentazzjoni xierqa meta tuża t-teknoloġija tal-virtwalizzazzjoni tal-kontejners (kemm fir-rigward ta 'kontenituri virtwali eżekutibbli kif ukoll fir-rigward ta' sistemi ta 'virtwalizzazzjoni użati fil-livell tas-sistema operattiva);
  • l-implimentazzjoni tal-miżuri ZSV.26, ZSV.29 - ZSV.31 biex torganizza l-protezzjoni ta 'immaġini ta' magni virtwali għandha titwettaq b'analoġija wkoll sabiex jiġu protetti stampi bażiċi u kurrenti ta 'kontenituri virtwali;
  • l-implimentazzjoni tal-miżuri ZVS.32 - ZVS.43 għar-reġistrazzjoni ta’ avvenimenti ta’ sigurtà tal-informazzjoni relatati mal-aċċess għal magni virtwali u komponenti ta’ virtwalizzazzjoni tas-server għandha titwettaq b’analoġija wkoll fir-rigward tal-elementi tal-ambjent tal-virtwalizzazzjoni li jimplimentaw it-teknoloġija tal-virtwalizzazzjoni tal-kontejners.”

Xi tfisser

Żewġ konklużjonijiet ewlenin mir-rispons tad-Dipartiment tas-Sigurtà tal-Informazzjoni tal-Bank Ċentrali:

  • miżuri biex jipproteġu kontenituri mhumiex differenti minn miżuri biex jipproteġu magni virtwali;
  • Minn dan jirriżulta li, fil-kuntest tas-sigurtà tal-informazzjoni, il-Bank Ċentrali jqabbel żewġ tipi ta’ virtwalizzazzjoni – Docker containers u VMs.

It-tweġiba ssemmi wkoll "miżuri kumpensatorji" li jeħtieġ li jiġu applikati biex jinnewtralizza t-theddid. Mhuwiex ċar x’inhuma dawn il-“miżuri kumpensatorji” u kif titkejjel l-adegwatezza, il-kompletezza u l-effettività tagħhom.

X'hemm ħażin fil-pożizzjoni tal-Bank Ċentrali?

Jekk tuża r-rakkomandazzjonijiet tal-Bank Ċentrali waqt il-valutazzjoni (u l-awtovalutazzjoni), trid issolvi numru ta’ diffikultajiet tekniċi u loġiċi.

  • Kull kontenitur eżekutibbli jeħtieġ l-installazzjoni ta 'softwer għall-protezzjoni tal-informazzjoni (IP) fuqu: antivirus, monitoraġġ tal-integrità, ħidma ma' zkuk, sistemi DLP (Prevenzjoni ta 'Tnixxija tad-Data), eċċ. Dan kollu jista 'jiġi installat fuq VM mingħajr problemi, iżda fil-każ ta' kontenitur, l-installazzjoni tas-sigurtà tal-informazzjoni hija mossa assurda. Il-kontenitur fih l-ammont minimu ta '"kit tal-ġisem" li huwa meħtieġ biex is-servizz jiffunzjona. L-installazzjoni ta 'SZI fiha tikkontradixxi t-tifsira tagħha.
  • L-immaġini tal-kontejners għandhom ikunu protetti skont l-istess prinċipju; kif dan jiġi implimentat mhuwiex ċar ukoll.
  • GOST jeħtieġ li jirrestrinġi l-aċċess għall-komponenti tal-virtwalizzazzjoni tas-server, jiġifieri, għall-hypervisor. X'inhu meqjus bħala komponent ta 'server fil-każ ta' Docker? Dan ma jfissirx li kull kontenitur jeħtieġ li jitħaddem fuq host separat?
  • Jekk għall-virtwalizzazzjoni konvenzjonali huwa possibbli li jiġu delimitati VMs minn kontorni ta 'sigurtà u segmenti tan-netwerk, allura fil-każ ta' kontenituri Docker fi ħdan l-istess host, dan mhux il-każ.

Fil-prattika, huwa probabbli li kull awditur jivvaluta s-sigurtà tal-kontenituri bil-mod tiegħu, abbażi tal-għarfien u l-esperjenza tiegħu stess. Tajjeb, jew ma tevalwah xejn, jekk la jkun hemm wieħed u lanqas l-ieħor.

Fil-każ, inżidu li mill-1 ta’ Jannar 2021, il-punteġġ minimu m’għandux ikun inqas minn 0,7.

Mill-mod, regolarment inpoġġu tweġibiet u kummenti minn regolaturi relatati mar-rekwiżiti tal-GOST 57580 u r-Regolamenti tal-Bank Ċentrali tagħna Kanal tat-telegramma.

X'għandek tagħmel

Fl-opinjoni tagħna, l-organizzazzjonijiet finanzjarji għandhom biss żewġ għażliet biex isolvu l-problema.

1. Evita li timplimenta kontenituri

Soluzzjoni għal dawk li huma lesti li jaffordjaw li jużaw biss il-virtwalizzazzjoni tal-ħardwer u fl-istess ħin jibżgħu minn klassifikazzjonijiet baxxi skont GOST u multi mill-Bank Ċentrali.

A plus: huwa aktar faċli li tikkonforma mar-rekwiżiti tas-subtaqsima 7.8 tal-GOST.

Minus: Ikollna nabbandunaw għodod ġodda ta 'żvilupp ibbażati fuq il-virtwalizzazzjoni tal-kontejners, b'mod partikolari Docker u Kubernetes.

2. Tirrifjuta li tikkonforma mar-rekwiżiti tas-subtaqsima 7.8 tal-GOST

Iżda fl-istess ħin, applika l-aħjar prattiki biex tiżgura s-sigurtà tal-informazzjoni meta taħdem mal-kontenituri. Din hija soluzzjoni għal dawk li japprezzaw it-teknoloġiji l-ġodda u l-opportunitajiet li jipprovdu. Permezz ta’ “l-aħjar prattiki” nifhmu normi u standards aċċettati mill-industrija biex tiġi żgurata s-sigurtà tal-kontenituri Docker:

  • sigurtà tal-OS ospitanti, illoggjar konfigurat sew, projbizzjoni ta 'skambju ta' data bejn kontenituri, eċċ;
  • billi tuża l-funzjoni Docker Trust biex tiċċekkja l-integrità tal-immaġini u tuża l-iskaner tal-vulnerabbiltà integrat;
  • Ma rridux ninsew dwar is-sigurtà tal-aċċess mill-bogħod u l-mudell tan-netwerk kollu kemm hu: attakki bħal ARP-spoofing u MAC-flooding ma ġewx ikkanċellati.

A plus: l-ebda restrizzjoni teknika fuq l-użu tal-virtwalizzazzjoni tal-kontejners.

Minus: hemm probabbiltà kbira li r-regolatur jikkastiga għan-nuqqas ta' konformità mar-rekwiżiti tal-GOST.

Konklużjoni

Il-klijent tagħna ddeċieda li ma jċedix il-kontenituri. Fl-istess ħin, kellu jikkunsidra mill-ġdid b'mod sinifikanti l-ambitu tax-xogħol u ż-żmien tat-tranżizzjoni għal Docker (damu għal sitt xhur). Il-klijent jifhem ir-riskji tajjeb ħafna. Huwa jifhem ukoll li matul il-valutazzjoni li jmiss tal-konformità ma 'GOST R 57580, ħafna se jiddependi fuq l-awditur.

X'tagħmel f'din is-sitwazzjoni?

Sors: www.habr.com

Żid kumment