ProHoster > Log > administrasjon > Hvordan bli venner med GOST R 57580 og containervirtualisering. Sentralbankens svar (og våre tanker om denne saken)

Hvordan bli venner med GOST R 57580 og containervirtualisering. Sentralbankens svar (og våre tanker om denne saken)

For ikke lenge siden utførte vi en ny vurdering av samsvar med kravene i GOST R 57580 (heretter kalt GOST). Oppdragsgiver er et selskap som utvikler et elektronisk betalingssystem. Systemet er seriøst: mer enn 3 millioner brukere, mer enn 200 tusen transaksjoner daglig. De tar informasjonssikkerhet veldig alvorlig der.

Under evalueringsprosessen kunngjorde klienten tilfeldig at utviklingsavdelingen, i tillegg til virtuelle maskiner, planlegger å bruke containere. Men med dette, la klienten til, er det ett problem: i GOST er det ikke et ord om den samme Docker. Hva burde jeg gjøre? Hvordan evaluere sikkerheten til containere?

Hvordan bli venner med GOST R 57580 og containervirtualisering. Sentralbankens svar (og våre tanker om denne saken)

Det er sant, GOST skriver bare om maskinvarevirtualisering - om hvordan du beskytter virtuelle maskiner, en hypervisor og en server. Vi ba sentralbanken om en avklaring. Svaret undret oss.

GOST og virtualisering

Til å begynne med, la oss huske at GOST R 57580 er en ny standard som spesifiserer "krav for å sikre informasjonssikkerhet for finansielle organisasjoner" (FI). Disse FI-ene inkluderer operatører og deltakere i betalingssystemer, kreditt- og ikke-kredittorganisasjoner, operasjonelle og avregningssentraler.

Fra 1. januar 2021 er FI-er pålagt å utføre vurdering av samsvar med kravene til den nye GOST. Vi, ITGLOBAL.COM, er et revisjonsselskap som foretar slike vurderinger.

GOST har en underseksjon dedikert til beskyttelse av virtualiserte miljøer - nr. 7.8. Begrepet "virtualisering" er ikke spesifisert der; det er ingen inndeling i maskinvare- og containervirtualisering. Enhver IT-spesialist vil si at fra et teknisk synspunkt er dette feil: en virtuell maskin (VM) og en container er forskjellige miljøer, med forskjellige isolasjonsprinsipper. Fra synspunktet om sårbarheten til verten som VM- og Docker-beholderne er utplassert på, er dette også en stor forskjell.

Det viser seg at vurderingen av informasjonssikkerheten til VM-er og containere også bør være annerledes.

Våre spørsmål til sentralbanken

Vi sendte dem til informasjonssikkerhetsavdelingen i sentralbanken (vi presenterer spørsmålene i forkortet form).

  1. Hvordan vurdere virtuelle containere av Docker-typen når man vurderer GOST-samsvar? Er det riktig å evaluere teknologi i samsvar med underavsnitt 7.8 i GOST?
  2. Hvordan evaluere virtuelle containeradministrasjonsverktøy? Er det mulig å sidestille dem med servervirtualiseringskomponenter og evaluere dem i henhold til samme underseksjon av GOST?
  3. Trenger jeg å evaluere sikkerheten til informasjon i Docker-beholdere separat? I så fall, hvilke sikkerhetstiltak bør vurderes for dette under vurderingsprosessen?
  4. Hvis containerisering er likestilt med virtuell infrastruktur og vurderes i henhold til underavsnitt 7.8, hvordan implementeres GOST-kravene for implementering av spesielle informasjonssikkerhetsverktøy?

Sentralbankens svar

Nedenfor er hovedutdragene.

"GOST R 57580.1-2017 etablerer krav til implementering gjennom anvendelse av tekniske tiltak i forhold til følgende tiltak ZI underavsnitt 7.8 i GOST R 57580.1-2017, som etter avdelingens mening kan utvides til tilfeller av bruk av containervirtualisering teknologier, som tar hensyn til følgende:

  • implementering av tiltak ZSV.1 - ZSV.11 for organisering av identifikasjon, autentisering, autorisasjon (tilgangskontroll) ved implementering av logisk tilgang til virtuelle maskiner og virtualiseringsserverkomponenter kan avvike fra tilfeller av bruk av containervirtualiseringsteknologi. Med dette i betraktning, for å iverksette en rekke tiltak (for eksempel ZVS.6 og ZVS.7), mener vi det er mulig å anbefale finansinstitusjoner å utvikle kompenserende tiltak som vil ha samme mål;
  • implementeringen av tiltak ZSV.13 - ZSV.22 for organisering og kontroll av informasjonsinteraksjon av virtuelle maskiner sørger for segmentering av datanettverket til en finansiell organisasjon for å skille mellom informatiseringsobjekter som implementerer virtualiseringsteknologi og tilhører forskjellige sikkerhetskretser. Med dette i betraktning, mener vi at det er tilrådelig å sørge for passende segmentering ved bruk av containervirtualiseringsteknologi (både i forhold til kjørbare virtuelle containere og i forhold til virtualiseringssystemer som brukes på operativsystemnivå);
  • implementeringen av tiltakene ZSV.26, ZSV.29 - ZSV.31 for å organisere beskyttelsen av bilder av virtuelle maskiner bør utføres analogt også for å beskytte grunnleggende og nåværende bilder av virtuelle beholdere;
  • implementering av tiltak ZVS.32 - ZVS.43 for registrering av informasjonssikkerhetshendelser knyttet til tilgang til virtuelle maskiner og servervirtualiseringskomponenter bør utføres analogt også i forhold til elementer av virtualiseringsmiljøet som implementerer containervirtualiseringsteknologi."

Hva betyr det

To hovedkonklusjoner fra svaret fra sentralbankens informasjonssikkerhetsavdeling:

  • tiltak for å beskytte containere er ikke forskjellig fra tiltak for å beskytte virtuelle maskiner;
  • Det følger av dette at sentralbanken i informasjonssikkerhetssammenheng setter likhetstegn mellom to typer virtualisering – Docker-containere og VM-er.

Svaret nevner også «kompenserende tiltak» som må iverksettes for å nøytralisere truslene. Det er bare uklart hva disse "kompenserende tiltakene" er og hvordan man kan måle deres tilstrekkelighet, fullstendighet og effektivitet.

Hva er galt med sentralbankens posisjon?

Hvis du bruker anbefalingene fra sentralbanken under vurdering (og egenvurdering), må du løse en rekke tekniske og logiske problemer.

  • Hver kjørbar beholder krever installasjon av informasjonsbeskyttelsesprogramvare (IP) på den: antivirus, integritetsovervåking, arbeid med logger, DLP-systemer (Data Leak Prevention), og så videre. Alt dette kan installeres på en VM uten problemer, men når det gjelder en container, er installasjon av informasjonssikkerhet et absurd grep. Beholderen inneholder minimumsmengden "kroppssett" som er nødvendig for at tjenesten skal fungere. Å installere en SZI i den motsier betydningen.
  • Containerbilder bør beskyttes etter samme prinsipp, hvordan dette implementeres er også uklart.
  • GOST krever begrenset tilgang til servervirtualiseringskomponenter, dvs. til hypervisoren. Hva anses som en serverkomponent når det gjelder Docker? Betyr ikke dette at hver container må kjøres på en egen vert?
  • Hvis det for konvensjonell virtualisering er mulig å avgrense VM-er etter sikkerhetskonturer og nettverkssegmenter, så er dette ikke tilfellet for Docker-beholdere innenfor samme vert.

I praksis er det sannsynlig at hver revisor vil vurdere sikkerheten til containere på sin måte, basert på egen kunnskap og erfaring. Vel, eller ikke evaluer det i det hele tatt, hvis det verken er det ene eller det andre.

For sikkerhets skyld legger vi til at fra 1. januar 2021 må minimumspoengsummen ikke være lavere enn 0,7.

Forresten, vi legger jevnlig ut svar og kommentarer fra regulatorer knyttet til kravene i GOST 57580 og sentralbankforskriftene våre i vår Telegram-kanal.

Hva du skal gjøre

Etter vår mening har finansielle organisasjoner kun to alternativer for å løse problemet.

1. Unngå å implementere containere

En løsning for de som er klare til å ha råd til kun å bruke maskinvarevirtualisering og samtidig er redde for lave rangeringer i henhold til GOST og bøter fra sentralbanken.

pluss: det er lettere å overholde kravene i underavsnitt 7.8 i GOST.

mindre: Vi må forlate nye utviklingsverktøy basert på containervirtualisering, spesielt Docker og Kubernetes.

2. Nekt å overholde kravene i avsnitt 7.8 i GOST

Men bruk samtidig beste praksis for å sikre informasjonssikkerhet når du arbeider med containere. Dette er en løsning for de som verdsetter nye teknologier og mulighetene de gir. Med "beste praksis" mener vi bransjeaksepterte normer og standarder for å sikre sikkerheten til Docker-containere:

  • sikkerhet for verts-OS, riktig konfigurert logging, forbud mot datautveksling mellom containere, og så videre;
  • bruke Docker Trust-funksjonen for å sjekke integriteten til bilder og bruke den innebygde sårbarhetsskanneren;
  • Vi må ikke glemme sikkerheten til ekstern tilgang og nettverksmodellen som helhet: angrep som ARP-spoofing og MAC-flooding har ikke blitt kansellert.

pluss: ingen tekniske restriksjoner på bruk av containervirtualisering.

mindre: det er stor sannsynlighet for at regulatoren vil straffe for manglende overholdelse av GOST-kravene.

Konklusjon

Vår klient bestemte seg for ikke å gi opp containere. Samtidig måtte han revurdere omfanget av arbeidet og tidspunktet for overgangen til Docker (de varte i seks måneder). Kunden forstår risikoen veldig godt. Han forstår også at under neste vurdering av samsvar med GOST R 57580, vil mye avhenge av revisor.

Hva ville du gjort i denne situasjonen?

Kilde: www.habr.com

Legg til en kommentar