Niedawno przeprowadziliśmy kolejną ocenę zgodności z wymaganiami normy GOST R 57580 (zwanej dalej po prostu GOST). Klientem jest firma tworząca system płatności elektronicznych. System jest poważny: ponad 3 miliony użytkowników, ponad 200 tysięcy transakcji dziennie. Bardzo poważnie traktują tam bezpieczeństwo informacji.
W trakcie procesu oceny klient mimochodem oznajmił, że dział rozwoju oprócz maszyn wirtualnych planuje wykorzystanie kontenerów. Ale w związku z tym, dodał klient, jest jeden problem: w GOST nie ma ani słowa o tym samym Dockerze. Co powinienem zrobić? Jak ocenić bezpieczeństwo kontenerów?
To prawda, GOST pisze tylko o wirtualizacji sprzętu - o tym, jak chronić maszyny wirtualne, hypervisor i serwer. O wyjaśnienia poprosiliśmy Bank Centralny. Odpowiedź nas zaskoczyła.
GOST i wirtualizacja
Na początek przypomnijmy, że GOST R 57580 to nowy standard określający „wymagania dotyczące zapewnienia bezpieczeństwa informacji organizacji finansowych” (FI). Do FI zaliczają się operatorzy i uczestnicy systemów płatniczych, organizacje kredytowe i niekredytowe, centra operacyjne i rozliczeniowe.
Od 1 stycznia 2021 r. FI mają obowiązek prowadzenia
W GOST istnieje podrozdział poświęcony ochronie środowisk zwirtualizowanych - nr 7.8. Nie określono tam terminu „wirtualizacja”, nie ma podziału na wirtualizację sprzętową i kontenerową. Każdy informatyk powie, że z technicznego punktu widzenia jest to nieprawidłowe: maszyna wirtualna (VM) i kontener to różne środowiska, z różnymi zasadami izolacji. Z punktu widzenia podatności hosta, na którym wdrażana jest VM i kontenery Docker, jest to również duża różnica.
Okazuje się, że inaczej powinna wyglądać ocena bezpieczeństwa informacji maszyn wirtualnych i kontenerów.
Nasze pytania do Banku Centralnego
Przesłaliśmy je do Departamentu Bezpieczeństwa Informacji Banku Centralnego (przedstawiamy pytania w skróconej formie).
- Jak uwzględnić wirtualne kontenery typu Docker przy ocenie zgodności z GOST? Czy właściwa jest ocena technologii zgodnie z podrozdziałem 7.8 GOST?
- Jak ocenić narzędzia do zarządzania wirtualnymi kontenerami? Czy można je przyrównać do komponentów wirtualizacji serwerów i ocenić je według tego samego podrozdziału GOST?
- Czy muszę osobno oceniać bezpieczeństwo informacji w kontenerach Docker? Jeżeli tak, jakie zabezpieczenia należy uwzględnić w tym przypadku podczas procesu oceny?
- Jeżeli konteneryzację utożsamiamy z infrastrukturą wirtualną i oceniamy zgodnie z podrozdziałem 7.8, w jaki sposób wdrażane są wymagania GOST dotyczące wdrażania specjalnych narzędzi bezpieczeństwa informacji?
Odpowiedź Banku Centralnego
Poniżej znajdują się główne fragmenty.
„GOST R 57580.1-2017 ustanawia wymagania dotyczące wdrożenia poprzez zastosowanie środków technicznych w odniesieniu do następujących środków ZI podsekcja 7.8 GOST R 57580.1-2017, które zdaniem Departamentu można rozszerzyć na przypadki korzystania z wirtualizacji kontenerów technologii, biorąc pod uwagę:
- wdrożenie środków ZSV.1 - ZSV.11 służących do organizacji identyfikacji, uwierzytelniania, autoryzacji (kontroli dostępu) przy wdrażaniu dostępu logicznego do maszyn wirtualnych i komponentów serwera wirtualizacji może różnić się od przypadków wykorzystania technologii wirtualizacji kontenerów. Biorąc to pod uwagę, w celu wdrożenia szeregu działań (np. ZVS.6 i ZVS.7) uważamy, że można zalecić instytucjom finansowym opracowanie środków kompensacyjnych, które będą służyć tym samym celom;
- wdrożenie środków ZSV.13 - ZSV.22 w zakresie organizacji i kontroli interakcji informacyjnych maszyn wirtualnych przewiduje segmentację sieci komputerowej organizacji finansowej w celu rozróżnienia obiektów informatyzacji wdrażających technologię wirtualizacji i należących do różnych obwodów bezpieczeństwa. Biorąc to pod uwagę, uważamy, że wskazane jest zapewnienie odpowiedniej segmentacji przy korzystaniu z technologii wirtualizacji kontenerów (zarówno w odniesieniu do wykonywalnych kontenerów wirtualnych, jak i w odniesieniu do systemów wirtualizacji wykorzystywanych na poziomie systemu operacyjnego);
- wdrożenie środków ZSV.26, ZSV.29 - ZSV.31 w celu zorganizowania ochrony obrazów maszyn wirtualnych powinno odbywać się analogicznie również w celu ochrony podstawowych i aktualnych obrazów wirtualnych kontenerów;
- wdrożenie środków ZVS.32 - ZVS.43 służących do rejestracji zdarzeń związanych z bezpieczeństwem informacji związanych z dostępem do maszyn wirtualnych i komponentów wirtualizacji serwerów powinno odbywać się analogicznie także w odniesieniu do elementów środowiska wirtualizacyjnego realizujących technologię wirtualizacji kontenerów.”
Co to znaczy
Dwa główne wnioski z odpowiedzi Departamentu Bezpieczeństwa Informacji Banku Centralnego:
- środki ochrony kontenerów nie różnią się od środków ochrony maszyn wirtualnych;
- Wynika z tego, że w kontekście bezpieczeństwa informacji Bank Centralny utożsamia dwa rodzaje wirtualizacji – kontenery Docker i maszyny wirtualne.
W odpowiedzi wspomniano także o „środkach kompensacyjnych”, które należy zastosować w celu zneutralizowania zagrożeń. Nie jest po prostu jasne, czym są te „środki kompensujące” i jak mierzyć ich adekwatność, kompletność i skuteczność.
Co jest nie tak ze stanowiskiem Banku Centralnego?
Jeśli podczas oceny (i samooceny) skorzystasz z zaleceń Banku Centralnego, musisz rozwiązać szereg problemów technicznych i logicznych.
- Każdy wykonywalny kontener wymaga zainstalowania na nim oprogramowania do ochrony informacji (IP): antywirusa, monitorowania integralności, pracy z logami, systemów DLP (Data Leak Prevention) i tak dalej. Wszystko to można bez problemu zainstalować na maszynie wirtualnej, jednak w przypadku kontenera instalowanie zabezpieczeń informacji jest posunięciem absurdalnym. Pojemnik zawiera minimalną ilość „body kitu” jaka jest potrzebna do działania usługi. Zainstalowanie w nim SZI jest sprzeczne z jego znaczeniem.
- Obrazy kontenerów powinny być chronione na tej samej zasadzie; nie jest jasne, jak to wdrożyć.
- GOST wymaga ograniczenia dostępu do komponentów wirtualizacji serwera, czyli hiperwizora. Co jest uważane za komponent serwera w przypadku Dockera? Czy to nie oznacza, że każdy kontener musi być uruchamiany na osobnym hoście?
- Jeśli w przypadku konwencjonalnej wirtualizacji możliwe jest rozgraniczenie maszyn wirtualnych według konturów bezpieczeństwa i segmentów sieci, to w przypadku kontenerów Docker w ramach tego samego hosta tak nie jest.
W praktyce prawdopodobne jest, że każdy audytor oceni bezpieczeństwo kontenerów na swój własny sposób, bazując na własnej wiedzy i doświadczeniu. No cóż, albo w ogóle tego nie oceniaj, jeśli nie ma ani jednego, ani drugiego.
Na wszelki wypadek dodamy, że od 1 stycznia 2021 roku minimalna ocena nie może być niższa niż 0,7.
Nawiasem mówiąc, regularnie publikujemy w naszym serwisie odpowiedzi i komentarze organów regulacyjnych dotyczące wymagań GOST 57580 i Regulaminu Banku Centralnego
Co robić
Naszym zdaniem organizacje finansowe mają tylko dwie możliwości rozwiązania problemu.
1. Unikaj wdrażania kontenerów
Rozwiązanie dla tych, którzy są gotowi pozwolić sobie na korzystanie wyłącznie z wirtualizacji sprzętowej, a jednocześnie boją się niskich ocen według GOST i kar nałożonych przez Bank Centralny.
Plus: łatwiej jest spełnić wymagania podrozdziału 7.8 GOST.
Minus: Będziemy musieli porzucić nowe narzędzia programistyczne oparte na wirtualizacji kontenerów, w szczególności Docker i Kubernetes.
2. Odmówić spełnienia wymagań podsekcji 7.8 GOST
Ale jednocześnie stosuj najlepsze praktyki w zakresie zapewnienia bezpieczeństwa informacji podczas pracy z kontenerami. To rozwiązanie dla tych, którzy cenią nowe technologie i możliwości, jakie dają. Przez „najlepsze praktyki” rozumiemy przyjęte w branży normy i standardy zapewniające bezpieczeństwo kontenerów Docker:
- bezpieczeństwo systemu operacyjnego hosta, odpowiednio skonfigurowane logowanie, zakaz wymiany danych pomiędzy kontenerami i tak dalej;
- wykorzystanie funkcji Docker Trust do sprawdzenia integralności obrazów oraz wykorzystanie wbudowanego skanera podatności;
- Nie możemy zapominać o bezpieczeństwie zdalnego dostępu i modelu sieci jako całości: ataki takie jak ARP-spoofing i MAC-flood nie zostały anulowane.
Plus: brak ograniczeń technicznych w korzystaniu z wirtualizacji kontenerów.
Minus: istnieje duże prawdopodobieństwo, że organ regulacyjny ukarze za nieprzestrzeganie wymagań GOST.
wniosek
Nasz klient postanowił nie rezygnować z kontenerów. Jednocześnie musiał znacząco przemyśleć zakres prac i moment przejścia na Dockera (trwały sześć miesięcy). Klient bardzo dobrze rozumie ryzyko. Rozumie również, że podczas kolejnej oceny zgodności z GOST R 57580 wiele będzie zależeć od audytora.
Co byś zrobił w tej sytuacji?
Źródło: www.habr.com