En dag fikk vi en forespørsel om skytjenester. Vi skisserte generelt hva som ville kreves av oss og sendte tilbake en liste med spørsmål for å avklare detaljene. Så analyserte vi svarene og innså: kunden ønsker å plassere personopplysninger på det andre sikkerhetsnivået i skyen. Vi svarer ham: "Du har et andre nivå med personlige data, beklager, vi kan bare lage en privat sky." Og han: "Du vet, men i selskap X kan de legge ut alt til meg offentlig."
Foto av Steve Crisp, Reuters
Merkelige ting! Vi gikk inn på nettsiden til selskapet X, studerte sertifiseringsdokumentene deres, ristet på hodet og innså: det er mange åpne spørsmål ved plassering av personopplysninger, og de bør behandles grundig. Det er det vi skal gjøre i dette innlegget.
Hvordan alt skal fungere
Først, la oss finne ut hvilke kriterier som brukes for å klassifisere personopplysninger som et eller annet sikkerhetsnivå. Dette avhenger av kategorien av data, antall individer av disse dataene som operatøren lagrer og behandler, samt typen aktuelle trusler.
Typene aktuelle trusler er definert i datert 1. november 2012 "Ved godkjenning av krav til beskyttelse av personopplysninger under behandlingen av dem i informasjonssystemer for personopplysninger":
«Type 1-trusler er relevante for et informasjonssystem hvis det inkluderer aktuelle trusler knyttet til med tilstedeværelsen av udokumenterte (ikke-erklærte) evner i systemprogramvarenbrukes i informasjonssystemet.
Trusler av 2. type er relevante for et informasjonssystem hvis for det, inkludert aktuelle trusler knyttet til med tilstedeværelsen av udokumenterte (ikke-erklærte) evner i applikasjonsprogramvarebrukes i informasjonssystemet.
Trusler av 3. type er relevante for et informasjonssystem hvis for det trusler som ikke er relatert med tilstedeværelsen av udokumenterte (ikke-erklærte) evner i system- og applikasjonsprogramvarebrukes i informasjonssystemet."
Hovedsaken i disse definisjonene er tilstedeværelsen av udokumenterte (udeklarerte) evner. For å bekrefte fraværet av udokumenterte programvarefunksjoner (i tilfelle av skyen er dette en hypervisor), utføres sertifisering av FSTEC i Russland. Hvis PD-operatøren aksepterer at det ikke er slike muligheter i programvaren, er de tilsvarende truslene irrelevante. Trusler av type 1 og 2 anses ekstremt sjelden som relevante av PD-operatører.
I tillegg til å bestemme PD-sikkerhetsnivået, må operatøren også bestemme spesifikke aktuelle trusler mot den offentlige skyen og, basert på det identifiserte nivået av PD-sikkerhet og aktuelle trusler, bestemme nødvendige tiltak og beskyttelsesmidler mot dem.
FSTEC lister tydelig opp alle de viktigste truslene i (trusseldatabase). Skyinfrastrukturleverandører og -bedømmere bruker denne databasen i sitt arbeid. Her er eksempler på trusler:
: "Trusselen er muligheten for å krenke sikkerheten til brukerdata for programmer som opererer inne i en virtuell maskin av ondsinnet programvare som opererer utenfor den virtuelle maskinen." Denne trusselen skyldes tilstedeværelsen av sårbarheter i hypervisorprogramvaren, som sikrer at adresseplassen som brukes til å lagre brukerdata for programmer som opererer inne i den virtuelle maskinen, er isolert fra uautorisert tilgang av skadelig programvare som opererer utenfor den virtuelle maskinen.
Implementeringen av denne trusselen er mulig forutsatt at den ondsinnede programkoden overvinner grensene til den virtuelle maskinen, ikke bare ved å utnytte sårbarhetene til hypervisoren, men også ved å utføre en slik påvirkning fra lavere (i forhold til hypervisor) nivåer av systemet fungerer."
: «Trusselen ligger i muligheten for uautorisert tilgang til den beskyttede informasjonen til en skytjenesteforbruker fra en annen. Denne trusselen skyldes det faktum at skyteknologiens natur må skytjenesteforbrukere dele den samme skyinfrastrukturen. Denne trusselen kan realiseres hvis det gjøres feil når skyinfrastrukturelementer skilles mellom skytjenesteforbrukere, så vel som når ressursene deres isoleres og data skilles fra hverandre.»
Du kan kun beskytte deg mot disse truslene ved hjelp av en hypervisor, siden det er den som administrerer virtuelle ressurser. Derfor må hypervisor betraktes som et beskyttelsesmiddel.
Og i samsvar med datert 18. februar 2013, må hypervisor være sertifisert som ikke-NDV på nivå 4, ellers vil bruk av nivå 1 og 2 personopplysninger med den være ulovlig («Klausul 12. ... For å sikre nivå 1 og 2 av personopplysningssikkerhet, samt å sikre nivå 3 av personopplysningssikkerhet i informasjonssystemer der type 2-trusler er klassifisert som gjeldende, benyttes informasjonssikkerhetsverktøy, hvis programvare er blitt testet minst i henhold til 4 nivåer av kontroll over fraværet av uerklærte evner").
Bare én hypervisor, utviklet i Russland, har det nødvendige sertifiseringsnivået, NDV-4. . For å si det mildt, ikke den mest populære løsningen. Kommersielle skyer er som regel bygget på grunnlag av VMware vSphere, KVM, Microsoft Hyper-V. Ingen av disse produktene er NDV-4-sertifisert. Hvorfor? Det er sannsynlig at det ennå ikke er økonomisk forsvarlig å oppnå slik sertifisering for produsenter.
Og alt som gjenstår for oss for personopplysninger på nivå 1 og 2 i den offentlige skyen er Horizon BC. Trist men sant.
Hvordan alt (etter vår mening) egentlig fungerer
Ved første øyekast er alt ganske strengt: disse truslene må elimineres ved å riktig konfigurere standardbeskyttelsesmekanismene til en hypervisor sertifisert i henhold til NDV-4. Men det er ett smutthull. I henhold til FSTEC-ordre nr. 21 («punkt 2 Sikkerheten til personopplysninger ved behandling i personopplysningssystemet (heretter kalt informasjonssystemet) ivaretas av operatøren eller den som behandler personopplysninger på vegne av operatøren iht. Den russiske føderasjonen"), vurderer tilbydere uavhengig relevansen av mulige trusler og velger beskyttelsestiltak deretter. Derfor, hvis du ikke aksepterer truslene UBI.44 og UBI.101 som gjeldende, vil det ikke være behov for å bruke en hypervisor sertifisert i henhold til NDV-4, som er nettopp det som skal gi beskyttelse mot dem. Og dette vil være nok til å få et sertifikat for samsvar fra den offentlige skyen med nivå 1 og 2 for personlig datasikkerhet, som Roskomnadzor vil være helt fornøyd med.
I tillegg til Roskomnadzor kan selvfølgelig FSTEC komme med en befaring – og denne organisasjonen er mye mer nøye i tekniske spørsmål. Hun vil nok være interessert i hvorfor akkurat truslene UBI.44 og UBI.101 ble ansett som irrelevante? Men vanligvis foretar FSTEC en inspeksjon først når den mottar informasjon om en betydelig hendelse. I dette tilfellet kommer den føderale tjenesten først til personopplysningsoperatøren - det vil si kunden av skytjenester. I verste fall får operatøren en liten bot – for eksempel for Twitter i begynnelsen av året i et lignende tilfelle utgjorde 5000 rubler. Deretter går FSTEC videre til skytjenesteleverandøren. Som godt kan bli fratatt en lisens på grunn av manglende overholdelse av regulatoriske krav – og dette er helt andre risikoer, både for skyleverandøren og for dens klienter. Men jeg gjentar, For å sjekke FSTEC trenger du vanligvis en klar grunn. Så skyleverandører er villige til å ta risiko. Helt til den første alvorlige hendelsen.
Det er også en gruppe "mer ansvarlige" leverandører som mener at det er mulig å lukke alle trusler ved å legge til et tillegg som vGate til hypervisoren. Men i et virtuelt miljø distribuert blant kunder for enkelte trusler (for eksempel UBI.101 ovenfor), kan en effektiv beskyttelsesmekanisme bare implementeres på nivået til en hypervisor sertifisert i henhold til NDV-4, siden eventuelle tilleggssystemer til standardfunksjonene til hypervisoren for administrasjon av ressurser (spesielt RAM) påvirker ikke.
Hvordan vi jobber
Vi har et skysegment implementert på en hypervisor sertifisert av FSTEC (men uten sertifisering for NDV-4). Dette segmentet er sertifisert, så personopplysninger kan lagres i skyen basert på det 3 og 4 sikkerhetsnivåer — krav til beskyttelse mot uerklærte kapasiteter trenger ikke å overholdes her. Her er forresten arkitekturen til vårt beskyttede skysegment:
Systemer for personopplysninger 1 og 2 sikkerhetsnivåer Vi implementerer kun på dedikert utstyr. Bare i dette tilfellet, for eksempel, er trusselen fra UBI.101 egentlig ikke relevant, siden serverrack som ikke er forent av ett virtuelt miljø, ikke kan påvirke hverandre selv når de er plassert i samme datasenter. For slike tilfeller tilbyr vi en dedikert utstyrsleietjeneste (det kalles også Hardware as a service).
Hvis du ikke er sikker på hvilket sikkerhetsnivå som kreves for ditt persondatasystem, hjelper vi også med å klassifisere det.
Utgang
Vår lille markedsundersøkelse viste at noen skyoperatører er ganske villige til å risikere både sikkerheten til kundedata og sin egen fremtid for å motta en ordre. Men i disse sakene følger vi en annen politikk, som vi kort beskrevet ovenfor. Vi svarer gjerne på spørsmålene dine i kommentarene.
Kilde: www.habr.com