မကြာသေးမီက ကျွန်ုပ်တို့သည် GOST R 57580 ၏လိုအပ်ချက်များနှင့် လိုက်လျောညီထွေမှုဆိုင်ရာ အကဲဖြတ်ချက်ကို ထပ်မံပြုလုပ်ခဲ့သည် (၎င်းနောက်တွင် ရိုးရိုး GOST ဟုရည်ညွှန်းသည်)။ ဖောက်သည်သည် အီလက်ထရွန်းနစ် ငွေပေးချေမှုစနစ်ကို တီထွင်သည့် ကုမ္ပဏီတစ်ခုဖြစ်သည်။ စနစ်သည် လေးနက်သည်- သုံးစွဲသူ ၃ သန်းကျော်၊ နေ့စဉ် အရောင်းအ၀ယ် ၂၀၀,ဝဝဝ ကျော်ရှိသည်။ သူတို့သည် သတင်းအချက်အလက် လုံခြုံရေးကို အလွန်အလေးထားပါသည်။
အကဲဖြတ်ခြင်းလုပ်ငန်းစဉ်အတွင်း၊ ဖောက်သည်သည် ဖွံ့ဖြိုးတိုးတက်ရေးဌာနသည် virtual machines များအပြင် ကွန်တိန်နာများကို အသုံးပြုရန် စီစဉ်နေကြောင်း ပေါ့ပေါ့ပါးပါး ကြေညာခဲ့သည်။ သို့သော်၎င်းနှင့်အတူ၊ client မှဆက်ပြောသည်မှာပြဿနာတစ်ခုရှိသည် - GOST တွင်တူညီသော Docker နှင့်ပတ်သက်သောစကားလုံးမရှိပါ။ ကျွန်တော်ဘာလုပ်သင့်သလဲ? ကွန်တိန်နာတွေရဲ့ လုံခြုံရေးကို ဘယ်လိုအကဲဖြတ်မလဲ။
အမှန်ပါပဲ၊ GOST သည် virtual machines များ၊ hypervisor နှင့် server ကိုကာကွယ်နည်းအကြောင်း hardware virtualization အကြောင်းသာရေးသားသည် ။ ရှင်းလင်းချက်ပေးဖို့ ဗဟိုဘဏ်ကို မေးတယ်။ အဖြေက ကျွန်တော်တို့ကို စိတ်ရှုပ်စေတယ်။
GOST နှင့် virtualization
စတင်ရန်၊ GOST R 57580 သည် "ဘဏ္ဍာရေးအဖွဲ့အစည်းများ၏ အချက်အလက်လုံခြုံရေးအတွက် လိုအပ်ချက်များ" (FI) ကို သတ်မှတ်ပေးသည့် စံအသစ်တစ်ခုဖြစ်ကြောင်း သတိရကြပါစို့။ ဤ FI များတွင် ငွေပေးချေမှုစနစ်၏ အော်ပရေတာများနှင့် ပါဝင်သူများ၊ ခရက်ဒစ်နှင့် ခရက်ဒစ်မဟုတ်သော အဖွဲ့အစည်းများ၊ လုပ်ငန်းလည်ပတ်မှုနှင့် ရှင်းလင်းရေးစင်တာများ ပါဝင်သည်။
ဇန်နဝါရီ 1 ရက်၊ 2021 မှစတင်၍ FI များလုပ်ဆောင်ရန်လိုအပ်သည်။ . ကျွန်ုပ်တို့၊ ITGLOBAL.COM သည် ထိုသို့သော အကဲဖြတ်မှုများကို လုပ်ဆောင်သည့် စာရင်းစစ်ကုမ္ပဏီတစ်ခုဖြစ်သည်။
GOST တွင် virtualized ပတ် ၀ န်းကျင်များကိုကာကွယ်ရန်အတွက်ရည်ညွှန်းထားသောအပိုင်းခွဲတစ်ခုပါရှိသည် - နံပါတ် 7.8 ။ "virtualization" ဟူသော အသုံးအနှုန်းကို ထိုနေရာတွင် မဖော်ပြထားပါ၊ ဟာ့ဒ်ဝဲနှင့် ကွန်တိန်နာကို virtualization တွင် ပိုင်းခြားထားခြင်းမရှိပါ။ နည်းပညာဆိုင်ရာ ရှုထောင့်မှကြည့်လျှင် ၎င်းသည် မမှန်ကန်ကြောင်း IT ကျွမ်းကျင်သူတိုင်းက ပြောလိမ့်မည်- virtual machine (VM) နှင့် container သည် မတူညီသော သီးခြားခွဲထုတ်ခြင်းမူများနှင့် မတူညီသော ပတ်ဝန်းကျင်တစ်ခုဖြစ်သည်။ VM နှင့် Docker ကွန်တိန်နာများကို အသုံးပြုသည့် host ၏ အားနည်းချက်ကို ရှုထောင့်မှကြည့်လျှင် ၎င်းသည် ကြီးမားသော ခြားနားချက်လည်း ဖြစ်သည်။
VM များနှင့် ကွန်တိန်နာများ၏ သတင်းအချက်အလက်လုံခြုံရေးကို အကဲဖြတ်ခြင်းသည်လည်း ကွဲပြားသင့်ပါသည်။
ကျွန်တော်တို့ ဗဟိုဘဏ်ကို မေးခွန်းထုတ်တယ်။
၎င်းတို့ကို ဗဟိုဘဏ်၏ သတင်းအချက်အလက် လုံခြုံရေးဌာနသို့ ပေးပို့ခဲ့သည် (မေးခွန်းများကို အတိုကောက်ပုံစံဖြင့် တင်ပြသည်)။
- GOST လိုက်နာမှုကို အကဲဖြတ်ရာတွင် Docker-type virtual containers များကို မည်သို့စဉ်းစားရမည်နည်း။ GOST ပုဒ်မခွဲ 7.8 အရ နည်းပညာကို အကဲဖြတ်ခြင်းသည် မှန်ကန်ပါသလား။
- virtual container management tools တွေကို ဘယ်လိုအကဲဖြတ်မလဲ။ ၎င်းတို့ကို ဆာဗာ virtualization အစိတ်အပိုင်းများနှင့် ညီမျှပြီး GOST ၏ တူညီသောအပိုင်းခွဲအတိုင်း အကဲဖြတ်ရန် ဖြစ်နိုင်ပါသလား။
- Docker ကွန်တိန်နာများအတွင်း သတင်းအချက်အလက်လုံခြုံရေးကို သီးခြားအကဲဖြတ်ရန် လိုအပ်ပါသလား။ သို့ဆိုလျှင် အကဲဖြတ်ခြင်းလုပ်ငန်းစဉ်အတွင်း ၎င်းအတွက် အဘယ်အကာအကွယ်များကို ထည့်သွင်းစဉ်းစားသင့်သနည်း။
- ကွန်တိန်နာပြုလုပ်ခြင်းကို virtual infrastructure နှင့် ညီမျှပြီး ပုဒ်မခွဲ 7.8 အရ အကဲဖြတ်ပါက၊ အထူးအချက်အလက်လုံခြုံရေးကိရိယာများကို အကောင်အထည်ဖော်ရန်အတွက် GOST လိုအပ်ချက်များကို မည်သို့အကောင်အထည်ဖော်မည်နည်း။
ဗဟိုဘဏ်ရဲ့ တုံ့ပြန်ချက်
အောက်တွင် အဓိက ကောက်နုတ်ချက်များ ရှိပါသည်။
"GOST R 57580.1-2017 သည် ဌာန၏အမြင်အရ ကွန်တိန်နာ virtualization ကိုအသုံးပြုသည့်ကိစ္စများတွင် ကွန်တိန်နာ virtualization ကိုအသုံးပြုသည့်ကိစ္စများတွင် တိုးချဲ့ဆောင်ရွက်နိုင်သည့် GOST R 7.8-57580.1 ၏အောက်ဖော်ပြပါအစီအမံများနှင့်သက်ဆိုင်သော နည်းပညာဆိုင်ရာအစီအမံများကို အသုံးချခြင်းအတွက် လိုအပ်ချက်များကို သတ်မှတ်ပေးပါသည်။ အောက်ပါတို့ကို ထည့်သွင်းစဉ်းစား၍ နည်းပညာများ၊
- အစီအမံ ZSV.1 - ZSV.11 ၏ အကောင်အထည်ဖော်မှုမှာ ကွန်တိန်နာ virtualization နည်းပညာကို အသုံးပြုသည့် ကိစ္စများတွင် ယုတ္တိရှိရှိ ဝင်ရောက်အသုံးပြုနိုင်သည့် virtual machines များနှင့် virtualization server အစိတ်အပိုင်းများကို အကောင်အထည်ဖော်ရာတွင် ခွဲခြားသတ်မှတ်ခြင်း၊ အထောက်အထားစိစစ်ခြင်း၊ ခွင့်ပြုချက် (ဝင်ရောက်ထိန်းချုပ်ခြင်း) တို့ကို စုစည်းရန်အတွက် ZSV.6 - ZSV.7 ၏ အကောင်အထည်ဖော်မှုသည် ကွဲပြားနိုင်သည်။ ဤအချက်ကို ထည့်သွင်းစဉ်းစားခြင်းဖြင့် အတိုင်းအတာများစွာ (ဥပမာ၊ ZVS.XNUMX နှင့် ZVS.XNUMX) ကို အကောင်အထည်ဖော်ရန်အတွက် တူညီသောပန်းတိုင်များကို အကောင်အထည်ဖော်မည့် လျော်ကြေးငွေပေးချေမှုအစီအမံများကို ဘဏ္ဍာရေးအဖွဲ့အစည်းများမှ အကြံပြုနိုင်သည်ဟု ကျွန်ုပ်တို့ယုံကြည်ပါသည်။
- အဖွဲ့အစည်းအတွက် ZSV.13 - ZSV.22 အစီအမံများကို အကောင်အထည်ဖော်ခြင်းနှင့် virtual machines များ၏ သတင်းအချက်အလက် အပြန်အလှန်ဖလှယ်မှုကို ထိန်းချုပ်ခြင်းသည် virtualization နည်းပညာနှင့် မတူညီသော လုံခြုံရေးဆားကစ်များနှင့်သက်ဆိုင်သည့် သတင်းအချက်အလတ်ဖန်တီးခြင်းအရာဝတ္ထုများအကြား ခွဲခြားသိမြင်နိုင်စေရန် ငွေကြေးအဖွဲ့အစည်းတစ်ခု၏ ကွန်ပျူတာကွန်ရက်၏ အပိုင်းခွဲခြင်းကို ပံ့ပိုးပေးပါသည်။ ၎င်းကို ထည့်သွင်းစဉ်းစားခြင်းဖြင့် container virtualization နည်းပညာကို အသုံးပြုသည့်အခါ သင့်လျော်သော အပိုင်းခွဲပိုင်းကို ပံ့ပိုးပေးရန် အကြံပြုလိုပါသည် (executable virtual containers နှင့် operating system အဆင့်တွင်သုံးသော virtualization စနစ်များနှင့် ဆက်စပ်၍)
- virtual machines များ၏ရုပ်ပုံများကိုကာကွယ်မှုစုစည်းရန် ZSV.26၊ ZSV.29 - ZSV.31 အစီအမံများကိုအကောင်အထည်ဖော်ရာတွင် virtual machines များ၏အခြေခံနှင့်လက်ရှိပုံများကိုကာကွယ်ရန်အလို့ငှာ၊
- virtual machines များနှင့် server virtualization အစိတ်အပိုင်းများသို့ဝင်ရောက်ခြင်းဆိုင်ရာအချက်အလက်လုံခြုံရေးဖြစ်ရပ်များကိုမှတ်တမ်းတင်ရန်အတွက် ZVS.32 - ZVS.43 အစီအမံများကိုအကောင်အထည်ဖော်ခြင်းအား container virtualization နည်းပညာကိုဖော်ဆောင်သည့် virtualization ပတ်ဝန်းကျင်၏ဒြပ်စင်များနှင့်ဆက်စပ်နေသောဥပမာအားဖြင့်လုပ်ဆောင်သင့်သည်။
ဘာကိုဆိုလိုတာလဲ
ဗဟိုဘဏ် သတင်းအချက်အလက် လုံခြုံရေးဌာန၏ တုံ့ပြန်မှုမှ အဓိက ကောက်ချက် နှစ်ခု
- ကွန်တိန်နာများကို ကာကွယ်သည့်အစီအမံများသည် virtual machines များကို ကာကွယ်သည့်အစီအမံများနှင့် ကွဲပြားခြင်းမရှိပါ။
- အချက်အလက်လုံခြုံရေးအခြေအနေတွင် ဗဟိုဘဏ်သည် virtualization အမျိုးအစားနှစ်မျိုးဖြစ်သည့် Docker containers နှင့် VMs တို့ကို ညီမျှစေသည်။
တုံ့ပြန်ချက်တွင် ခြိမ်းခြောက်မှုများကို ပြေပျောက်စေရန် အသုံးချရန် လိုအပ်သည့် “လျော်ကြေးအစီအမံများ” ကိုလည်း ဖော်ပြထားပါသည်။ ဤ "လျော်ကြေးပေးချေမှုအစီအမံများ" သည် အဘယ်အရာဖြစ်ပြီး ၎င်းတို့၏ လုံလောက်မှု၊ ပြည့်စုံမှုနှင့် ထိရောက်မှုကို မည်သို့တိုင်းတာရမည်ကို မရှင်းလင်းပါ။
ဗဟိုဘဏ်ရဲ့ ရပ်တည်ချက်က ဘာတွေမှားနေလဲ။
အကယ်၍ သင်သည် အကဲဖြတ်ခြင်း (နှင့် ကိုယ်တိုင်အကဲဖြတ်ခြင်း) တွင် ဗဟိုဘဏ်၏ အကြံပြုချက်များကို အသုံးပြုပါက နည်းပညာနှင့် ယုတ္တိဆိုင်ရာ အခက်အခဲများစွာကို သင်ဖြေရှင်းရန် လိုအပ်ပါသည်။
- စီမံလုပ်ဆောင်နိုင်သော ကွန်တိန်နာတစ်ခုစီသည် ၎င်းတွင် သတင်းအချက်အလက်ကာကွယ်ရေးဆော့ဖ်ဝဲ (IP) ကို တပ်ဆင်ရန် လိုအပ်သည်- ဗိုင်းရပ်စ်နှိမ်နင်းရေး၊ သမာဓိစောင့်ကြပ်ကြည့်ရှုမှု၊ မှတ်တမ်းများနှင့် လုပ်ဆောင်မှု၊ DLP စနစ်များ (ဒေတာယိုစိမ့်မှုကာကွယ်ခြင်း) စသည်တို့ဖြစ်သည်။ ဤအရာအားလုံးကို VM တွင် မည်သည့်ပြဿနာမျှမရှိဘဲ ထည့်သွင်းနိုင်သော်လည်း ကွန်တိန်နာတစ်ခုတွင်၊ အချက်အလက်လုံခြုံရေးကို ထည့်သွင်းခြင်းသည် အဓိပ္ပါယ်မဲ့သောအပြောင်းအရွှေ့တစ်ခုဖြစ်သည်။ ကွန်တိန်နာတွင် ဝန်ဆောင်မှုလုပ်ဆောင်ရန်အတွက် လိုအပ်သော အနည်းဆုံး "ကိုယ်ထည်ကိရိယာ" ပမာဏ ပါဝင်ပါသည်။ ၎င်းတွင် SZI ထည့်သွင်းခြင်းသည် ၎င်း၏အဓိပ္ပာယ်နှင့် ဆန့်ကျင်ဘက်ဖြစ်သည်။
- ကွန်တိန်နာပုံများကို တူညီသောနိယာမအရ ကာကွယ်ထားသင့်ပြီး ၎င်းကို မည်သို့အကောင်အထည်ဖော်ရမည်ကိုလည်း မသိရသေးပါ။
- GOST သည် ဆာဗာ virtualization အစိတ်အပိုင်းများသို့ ဝင်ရောက်ခွင့်ကို ကန့်သတ်ရန် လိုအပ်သည်၊ ဆိုလိုသည်မှာ၊ hypervisor သို့ဖြစ်သည်။ Docker ၏ ကိစ္စတွင် ဆာဗာ အစိတ်အပိုင်းတစ်ခုအဖြစ် ဘာကိုယူဆသနည်း။ ကွန်တိန်နာတစ်ခုစီကို သီးခြား host တစ်ခုတွင် လုပ်ဆောင်ရန် လိုအပ်သည်ဟု ဆိုလိုခြင်းမဟုတ်လော။
- သမားရိုးကျ virtualization အတွက် အကယ်၍ လုံခြုံရေးပုံစံများနှင့် ကွန်ရက်အပိုင်းများအားဖြင့် VM များကို ပိုင်းခြားနိုင်သည်ဆိုလျှင် တူညီသော host အတွင်းရှိ Docker ကွန်တိန်နာများတွင်၊ ထိုသို့မဟုတ်ပါ။
လက်တွေ့တွင်၊ စာရင်းစစ်တစ်ဦးစီသည် ၎င်း၏ကိုယ်ပိုင်အသိပညာနှင့် အတွေ့အကြုံများအပေါ်အခြေခံ၍ ကွန်တိန်နာများ၏လုံခြုံရေးကို သူ့နည်းသူ့ဟန်ဖြင့် အကဲဖြတ်နိုင်ဖွယ်ရှိသည်။ တစ်ခုမဟုတ် တစ်ခုမရှိလျှင် သို့မဟုတ် လုံးဝမအကဲဖြတ်ပါနှင့်။
အခြေအနေအရ၊ 1 ခုနှစ် ဇန်နဝါရီလ 2021 ရက်နေ့မှ စ၍ အနိမ့်ဆုံးရမှတ်သည် 0,7 ထက်မနိမ့်ရပါ။
စကားမစပ်၊ ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ GOST 57580 နှင့် ဗဟိုဘဏ်စည်းမျဉ်းများဆိုင်ရာ စည်းကမ်းထိန်းသိမ်းရေးအဖွဲ့များမှ တုံ့ပြန်မှုများနှင့် မှတ်ချက်များကို ပုံမှန်တင်ပါသည်။ .
အဘယ်သို့ပြုရပါဖို့
ကျွန်ုပ်တို့၏အမြင်အရ၊ ငွေကြေးအဖွဲ့အစည်းများသည် ပြဿနာကိုဖြေရှင်းရန်အတွက် ရွေးချယ်စရာနှစ်ခုသာရှိသည်။
1. ကွန်တိန်နာများ အကောင်အထည်ဖော်ခြင်းကို ရှောင်ကြဉ်ပါ။
Hardware Virtualization ကိုသာ အသုံးပြုရန် အဆင်သင့်ဖြစ်နေကြသူများအတွက် GOST အရ အဆင့်သတ်မှတ်ချက်များနှင့် ဗဟိုဘဏ်မှ ဒဏ်ကြေးများ နိမ့်ကျမည်ကို ကြောက်ရွံ့နေသူများအတွက် ဖြေရှင်းချက်တစ်ခု။
အပေါင်း- GOST ပုဒ်မခွဲ 7.8 ပါ လိုအပ်ချက်များကို လိုက်နာရန် ပိုမိုလွယ်ကူသည်။
အနှုတ်- အထူးသဖြင့် Docker နှင့် Kubernetes တို့ကို အခြေခံ၍ ကွန်တိန်နာ virtualization ကိုအခြေခံ၍ ဖွံ့ဖြိုးတိုးတက်ရေးကိရိယာအသစ်များကို စွန့်လွှတ်ရမည်ဖြစ်ပါသည်။
2. GOST ၏ ပုဒ်မခွဲ 7.8 ပါ လိုအပ်ချက်များကို လိုက်နာရန် ငြင်းဆိုခြင်း။
သို့သော် တစ်ချိန်တည်းတွင်၊ ကွန်တိန်နာများနှင့် အလုပ်လုပ်သည့်အခါ သတင်းအချက်အလက်လုံခြုံရေးကို သေချာစေရန် အကောင်းဆုံးအလေ့အကျင့်များကို ကျင့်သုံးပါ။ ဤသည်မှာ နည်းပညာအသစ်များနှင့် ၎င်းတို့ပေးဆောင်သည့် အခွင့်အလမ်းများကို တန်ဖိုးထားသူများအတွက် အဖြေတစ်ခုဖြစ်သည်။ "အကောင်းဆုံးအလေ့အကျင့်များ" အားဖြင့် ကျွန်ုပ်တို့သည် Docker ကွန်တိန်နာများ၏ လုံခြုံရေးကို သေချာစေရန် စက်မှုလုပ်ငန်းမှ လက်ခံထားသော စံနှုန်းများနှင့် စံနှုန်းများကို ဆိုလိုသည်-
- host OS ၏လုံခြုံရေး၊ မှန်ကန်စွာပြင်ဆင်ထားသော သစ်ခုတ်ခြင်း၊ ကွန်တိန်နာများကြား ဒေတာဖလှယ်ခြင်းကို တားမြစ်ခြင်းစသည်ဖြင့်၊
- ပုံများ၏ခိုင်မာမှုကိုစစ်ဆေးရန်နှင့် built-in အားနည်းချက်စကင်နာကိုအသုံးပြုရန် Docker Trust လုပ်ဆောင်ချက်ကိုအသုံးပြုခြင်း။
- အဝေးမှဝင်ရောက်ခွင့်နှင့် ကွန်ရက်မော်ဒယ်တစ်ခုလုံး၏ လုံခြုံရေးကို ကျွန်ုပ်တို့ မမေ့သင့်ပါ- ARP-spoofing နှင့် MAC-flooding ကဲ့သို့သော တိုက်ခိုက်မှုများကို မဖျက်သိမ်းရသေးပါ။
အပေါင်း- container virtualization အသုံးပြုမှုအပေါ် နည်းပညာဆိုင်ရာ ကန့်သတ်ချက်များ မရှိပါ။
အနှုတ်- GOST သတ်မှတ်ချက်များကို မလိုက်နာပါက စည်းကမ်းထိန်းသိမ်းရေးအဖွဲ့မှ အပြစ်ပေးမည့် ဖြစ်နိုင်ခြေ မြင့်မားသည်။
ကောက်ချက်
ကျွန်ုပ်တို့၏ဖောက်သည်သည် ကွန်တိန်နာများကို စွန့်လွှတ်ရန် ဆုံးဖြတ်ခဲ့သည်။ တစ်ချိန်တည်းမှာပင်၊ သူသည် အလုပ်နယ်ပယ်နှင့် Docker သို့ ကူးပြောင်းချိန်ကို သိသိသာသာ ပြန်လည်သုံးသပ်ရန် လိုအပ်သည် (၎င်းတို့သည် ခြောက်လကြာသည်)။ ဖောက်သည်သည် အန္တရာယ်များကို ကောင်းစွာနားလည်သည်။ GOST R 57580 နှင့် လိုက်လျောညီထွေမှုဆိုင်ရာ အကဲဖြတ်မှုတွင် စာရင်းစစ်အပေါ် များစွာမူတည်မည်ဟုလည်း ၎င်းက နားလည်သည်။
ဒီအခြေအနေမှာ မင်းဘာလုပ်မလဲ။
source: www.habr.com