Op een dag kregen we een verzoek voor clouddiensten. We schetsten in algemene termen wat er van ons zou worden verlangd en stuurden een lijst met vragen terug om de details te verduidelijken. Vervolgens hebben we de antwoorden geanalyseerd en beseften we: de klant wil persoonlijke gegevens van het tweede beveiligingsniveau in de cloud plaatsen. Wij antwoorden hem: “Je hebt een tweede niveau aan persoonlijke gegevens, sorry, we kunnen alleen een privécloud creëren.” En hij: “Weet je, maar in bedrijf X kunnen ze alles publiekelijk op mij posten.”
Foto door Steve Crisp, Reuters
Vreemde dingen! We gingen naar de website van bedrijf X, bestudeerden hun certificeringsdocumenten, schudden ons hoofd en realiseerden ons: er zijn veel open vragen bij het plaatsen van persoonlijke gegevens en deze moeten grondig worden aangepakt. Dat is wat we in dit bericht gaan doen.
Hoe alles zou moeten werken
Laten we eerst eens kijken welke criteria worden gebruikt om persoonlijke gegevens als een of ander beveiligingsniveau te classificeren. Dit is afhankelijk van de categorie gegevens, het aantal onderwerpen van deze gegevens dat de exploitant opslaat en verwerkt, evenals het type actuele dreigingen.
De soorten huidige dreigingen worden gedefinieerd in d.d. 1 november 2012 “Over de goedkeuring van vereisten voor de bescherming van persoonsgegevens tijdens de verwerking ervan in informatiesystemen voor persoonsgegevens”:
“Type 1-bedreigingen zijn relevant voor een informatiesysteem als het huidige bedreigingen die verband houden met met de aanwezigheid van ongedocumenteerde (niet-aangegeven) capaciteiten op het gebied van systeemsoftwaregebruikt in het informatiesysteem.
Bedreigingen van het tweede type zijn relevant voor een informatiesysteem, inclusief huidige bedreigingen die verband houden met met de aanwezigheid van ongedocumenteerde (niet-aangegeven) capaciteiten op het gebied van applicatiesoftwaregebruikt in het informatiesysteem.
Bedreigingen van het derde type zijn relevant voor een informatiesysteem bedreigingen die niets met elkaar te maken hebben met de aanwezigheid van ongedocumenteerde (niet-aangegeven) capaciteiten in systeem- en applicatiesoftwaregebruikt in het informatiesysteem."
Het belangrijkste in deze definities is de aanwezigheid van ongedocumenteerde (niet-aangegeven) capaciteiten. Om de afwezigheid van ongedocumenteerde softwaremogelijkheden te bevestigen (in het geval van de cloud is dit een hypervisor), wordt de certificering uitgevoerd door FSTEC uit Rusland. Als de PD-operator accepteert dat dergelijke mogelijkheden niet in de software aanwezig zijn, zijn de bijbehorende bedreigingen niet relevant. Bedreigingen van type 1 en 2 worden door PD-operatoren uiterst zelden als relevant beschouwd.
Naast het bepalen van het niveau van PD-beveiliging moet de exploitant ook specifieke actuele dreigingen voor de publieke cloud vaststellen en op basis van het geïdentificeerde PD-beveiligingsniveau en actuele dreigingen de noodzakelijke maatregelen en beschermingsmiddelen hiertegen bepalen.
FSTEC somt duidelijk alle belangrijke bedreigingen op (bedreigingsdatabase). Aanbieders en beoordelaars van cloudinfrastructuur gebruiken deze database bij hun werk. Hier zijn voorbeelden van bedreigingen:
: “De dreiging is de mogelijkheid om de veiligheid van gebruikersgegevens van programma’s die binnen een virtuele machine werken te schenden door kwaadaardige software die buiten de virtuele machine werkt.” Deze bedreiging is te wijten aan de aanwezigheid van kwetsbaarheden in de hypervisorsoftware, die ervoor zorgt dat de adresruimte die wordt gebruikt om gebruikersgegevens op te slaan voor programma's die binnen de virtuele machine draaien, wordt geïsoleerd van ongeautoriseerde toegang door kwaadaardige software die buiten de virtuele machine werkt.
De implementatie van deze dreiging is mogelijk op voorwaarde dat de kwaadaardige programmacode met succes de grenzen van de virtuele machine overwint, niet alleen door misbruik te maken van de kwetsbaarheden van de hypervisor, maar ook door een dergelijke impact uit te voeren vanaf lagere (ten opzichte van de hypervisor) niveaus van de virtuele machine. systeem functioneert."
: “De dreiging schuilt in de mogelijkheid van ongeoorloofde toegang tot de beschermde informatie van de ene clouddienstconsument vanuit de andere. Deze dreiging is te wijten aan het feit dat consumenten van clouddiensten, vanwege de aard van cloudtechnologieën, dezelfde cloudinfrastructuur moeten delen. Deze dreiging kan zich realiseren als er fouten worden gemaakt bij het scheiden van cloudinfrastructuurelementen tussen cloudserviceconsumenten, maar ook bij het isoleren van hun bronnen en het scheiden van gegevens van elkaar.”
U kunt zich alleen tegen deze bedreigingen beschermen met behulp van een hypervisor, aangezien deze de virtuele bronnen beheert. De hypervisor moet dus worden beschouwd als een beschermingsmiddel.
En in overeenstemming met d.d. 18 februari 2013 moet de hypervisor gecertificeerd zijn als niet-NDV op niveau 4, anders is het gebruik van niveau 1 en 2 persoonsgegevens ermee illegaal (“Artikel 12. ... Om niveau 1 en 2 van de beveiliging van persoonsgegevens te garanderen, en om niveau 3 van de beveiliging van persoonsgegevens te garanderen in informatiesystemen waarvoor type 2-bedreigingen als actueel worden geclassificeerd, worden informatiebeveiligingsinstrumenten gebruikt waarvan de software is minstens getest volgens 4 niveaus van controle over de afwezigheid van niet-aangegeven capaciteiten").
Slechts één hypervisor, ontwikkeld in Rusland, beschikt over het vereiste certificeringsniveau, NDV-4. . Op zijn zachtst gezegd niet de meest populaire oplossing. Commerciële clouds zijn in de regel gebouwd op basis van VMware vSphere, KVM, Microsoft Hyper-V. Geen van deze producten is NDV-4 gecertificeerd. Waarom? Het is waarschijnlijk dat het verkrijgen van een dergelijke certificering voor fabrikanten nog niet economisch verantwoord is.
En het enige dat voor ons overblijft voor persoonlijke gegevens van niveau 1 en 2 in de publieke cloud is Horizon BC. Triest maar waar.
Hoe alles (naar onze mening) echt werkt
Op het eerste gezicht is alles vrij streng: deze bedreigingen moeten worden geëlimineerd door de standaard beschermingsmechanismen van een volgens NDV-4 gecertificeerde hypervisor correct te configureren. Maar er is één maas in de wet. In overeenstemming met FSTEC-bestelnr. 21 (“clausule 2 De veiligheid van persoonsgegevens bij verwerking in het persoonsgegevensinformatiesysteem (hierna het informatiesysteem genoemd) wordt gewaarborgd door de exploitant of de persoon die namens de exploitant persoonsgegevens verwerkt in overeenstemming met Russische Federatie"), beoordelen aanbieders onafhankelijk de relevantie van mogelijke bedreigingen en kiezen dienovereenkomstig beschermingsmaatregelen. Als u de bedreigingen UBI.44 en UBI.101 niet als actueel accepteert, is het dus niet nodig om een hypervisor te gebruiken die is gecertificeerd volgens NDV-4, wat precies bescherming tegen deze bedreigingen zou moeten bieden. En dit zal voldoende zijn om een certificaat te verkrijgen van overeenstemming van de publieke cloud met niveau 1 en 2 van beveiliging van persoonlijke gegevens, waar Roskomnadzor volledig tevreden mee zal zijn.
Natuurlijk kan FSTEC, naast Roskomnadzor, met een inspectie komen - en deze organisatie is op technisch gebied veel nauwgezeter. Ze zal waarschijnlijk geïnteresseerd zijn in waarom precies de bedreigingen UBI.44 en UBI.101 als irrelevant werden beschouwd? Maar meestal voert FSTEC alleen een inspectie uit als het informatie ontvangt over een belangrijk incident. In dit geval komt de federale dienst eerst terecht bij de exploitant van persoonlijke gegevens, dat wil zeggen de klant van clouddiensten. In het ergste geval krijgt de operator een kleine boete, bijvoorbeeld voor Twitter aan het begin van het jaar in een soortgelijk geval bedroeg 5000 roebel. Vervolgens gaat FSTEC verder naar de clouddienstverlener. Die mogelijk van een licentie worden beroofd omdat ze niet aan de wettelijke vereisten voldoen - en dit zijn totaal verschillende risico's, zowel voor de cloudprovider als voor zijn klanten. Maar ik herhaal, Om FSTEC te controleren, heeft u meestal een duidelijke reden nodig. Cloudproviders zijn dus bereid risico’s te nemen. Tot het eerste ernstige incident.
Er is ook een groep ‘meer verantwoordelijke’ providers die geloven dat het mogelijk is om alle bedreigingen af te sluiten door een add-on als vGate aan de hypervisor toe te voegen. Maar in een virtuele omgeving die voor bepaalde bedreigingen onder klanten wordt verdeeld (bijvoorbeeld de bovenstaande UBI.101), kan een effectief beschermingsmechanisme alleen worden geïmplementeerd op het niveau van een hypervisor die is gecertificeerd volgens NDV-4, aangezien eventuele add-onsystemen de standaardfuncties van de hypervisor voor het beheren van bronnen (in het bijzonder RAM) hebben geen invloed.
Hoe wij werken
We hebben een cloudsegment geïmplementeerd op een door FSTEC gecertificeerde hypervisor (maar zonder certificering voor NDV-4). Dit segment is gecertificeerd, waardoor op basis daarvan persoonsgegevens in de cloud kunnen worden opgeslagen 3 en 4 beveiligingsniveaus — vereisten voor bescherming tegen niet-aangegeven capaciteiten hoeven hier niet in acht te worden genomen. Hier is trouwens de architectuur van ons beschermde cloudsegment:
Systemen voor persoonsgegevens 1 en 2 beveiligingsniveaus Wij implementeren uitsluitend op speciale apparatuur. Alleen in dit geval is de dreiging van UBI.101 bijvoorbeeld echt niet relevant, omdat serverracks die niet verenigd zijn door één virtuele omgeving elkaar niet kunnen beïnvloeden, zelfs niet als ze zich in hetzelfde datacenter bevinden. Voor dergelijke gevallen bieden wij een speciale verhuurservice voor apparatuur (ook wel Hardware as a service genoemd).
Als u niet zeker weet welk beveiligingsniveau vereist is voor uw persoonlijke gegevenssysteem, helpen wij u ook bij het classificeren ervan.
Uitgang
Uit ons kleine marktonderzoek bleek dat sommige cloudoperators best bereid zijn om zowel de veiligheid van klantgegevens als hun eigen toekomst op het spel te zetten om een bestelling te ontvangen. Maar in deze zaken hanteren wij een ander beleid, dat we hierboven kort hebben beschreven. Wij beantwoorden uw vragen graag in de reacties.
Bron: www.habr.com