ProHoster > Blog > administracja > Jak zaprzyjaźnić się z GOST R 57580 i wirtualizacją kontenerów. Odpowiedź Banku Centralnego (i nasze przemyślenia na ten temat)

Jak zaprzyjaźnić się z GOST R 57580 i wirtualizacją kontenerów. Odpowiedź Banku Centralnego (i nasze przemyślenia na ten temat)

Niedawno przeprowadziliśmy kolejną ocenę zgodności z wymaganiami normy GOST R 57580 (zwanej dalej po prostu GOST). Klientem jest firma tworząca system płatności elektronicznych. System jest poważny: ponad 3 miliony użytkowników, ponad 200 tysięcy transakcji dziennie. Bardzo poważnie traktują tam bezpieczeństwo informacji.

W trakcie procesu oceny klient mimochodem oznajmił, że dział rozwoju oprócz maszyn wirtualnych planuje wykorzystanie kontenerów. Ale w związku z tym, dodał klient, jest jeden problem: w GOST nie ma ani słowa o tym samym Dockerze. Co powinienem zrobić? Jak ocenić bezpieczeństwo kontenerów?

Jak zaprzyjaźnić się z GOST R 57580 i wirtualizacją kontenerów. Odpowiedź Banku Centralnego (i nasze przemyślenia na ten temat)

To prawda, GOST pisze tylko o wirtualizacji sprzętu - o tym, jak chronić maszyny wirtualne, hypervisor i serwer. O wyjaśnienia poprosiliśmy Bank Centralny. Odpowiedź nas zaskoczyła.

GOST i wirtualizacja

Na początek przypomnijmy, że GOST R 57580 to nowy standard określający „wymagania dotyczące zapewnienia bezpieczeństwa informacji organizacji finansowych” (FI). Do FI zaliczają się operatorzy i uczestnicy systemów płatniczych, organizacje kredytowe i niekredytowe, centra operacyjne i rozliczeniowe.

Od 1 stycznia 2021 r. FI mają obowiązek prowadzenia ocena zgodności z wymaganiami nowego GOST. My, ITGLOBAL.COM, jesteśmy firmą audytorską przeprowadzającą takie oceny.

W GOST istnieje podrozdział poświęcony ochronie środowisk zwirtualizowanych - nr 7.8. Nie określono tam terminu „wirtualizacja”, nie ma podziału na wirtualizację sprzętową i kontenerową. Każdy informatyk powie, że z technicznego punktu widzenia jest to nieprawidłowe: maszyna wirtualna (VM) i kontener to różne środowiska, z różnymi zasadami izolacji. Z punktu widzenia podatności hosta, na którym wdrażana jest VM i kontenery Docker, jest to również duża różnica.

Okazuje się, że inaczej powinna wyglądać ocena bezpieczeństwa informacji maszyn wirtualnych i kontenerów.

Nasze pytania do Banku Centralnego

Przesłaliśmy je do Departamentu Bezpieczeństwa Informacji Banku Centralnego (przedstawiamy pytania w skróconej formie).

  1. Jak uwzględnić wirtualne kontenery typu Docker przy ocenie zgodności z GOST? Czy właściwa jest ocena technologii zgodnie z podrozdziałem 7.8 GOST?
  2. Jak ocenić narzędzia do zarządzania wirtualnymi kontenerami? Czy można je przyrównać do komponentów wirtualizacji serwerów i ocenić je według tego samego podrozdziału GOST?
  3. Czy muszę osobno oceniać bezpieczeństwo informacji w kontenerach Docker? Jeżeli tak, jakie zabezpieczenia należy uwzględnić w tym przypadku podczas procesu oceny?
  4. Jeżeli konteneryzację utożsamiamy z infrastrukturą wirtualną i oceniamy zgodnie z podrozdziałem 7.8, w jaki sposób wdrażane są wymagania GOST dotyczące wdrażania specjalnych narzędzi bezpieczeństwa informacji?

Odpowiedź Banku Centralnego

Poniżej znajdują się główne fragmenty.

„GOST R 57580.1-2017 ustanawia wymagania dotyczące wdrożenia poprzez zastosowanie środków technicznych w odniesieniu do następujących środków ZI podsekcja 7.8 GOST R 57580.1-2017, które zdaniem Departamentu można rozszerzyć na przypadki korzystania z wirtualizacji kontenerów technologii, biorąc pod uwagę:

  • wdrożenie środków ZSV.1 - ZSV.11 służących do organizacji identyfikacji, uwierzytelniania, autoryzacji (kontroli dostępu) przy wdrażaniu dostępu logicznego do maszyn wirtualnych i komponentów serwera wirtualizacji może różnić się od przypadków wykorzystania technologii wirtualizacji kontenerów. Biorąc to pod uwagę, w celu wdrożenia szeregu działań (np. ZVS.6 i ZVS.7) uważamy, że można zalecić instytucjom finansowym opracowanie środków kompensacyjnych, które będą służyć tym samym celom;
  • wdrożenie środków ZSV.13 - ZSV.22 w zakresie organizacji i kontroli interakcji informacyjnych maszyn wirtualnych przewiduje segmentację sieci komputerowej organizacji finansowej w celu rozróżnienia obiektów informatyzacji wdrażających technologię wirtualizacji i należących do różnych obwodów bezpieczeństwa. Biorąc to pod uwagę, uważamy, że wskazane jest zapewnienie odpowiedniej segmentacji przy korzystaniu z technologii wirtualizacji kontenerów (zarówno w odniesieniu do wykonywalnych kontenerów wirtualnych, jak i w odniesieniu do systemów wirtualizacji wykorzystywanych na poziomie systemu operacyjnego);
  • wdrożenie środków ZSV.26, ZSV.29 - ZSV.31 w celu zorganizowania ochrony obrazów maszyn wirtualnych powinno odbywać się analogicznie również w celu ochrony podstawowych i aktualnych obrazów wirtualnych kontenerów;
  • wdrożenie środków ZVS.32 - ZVS.43 służących do rejestracji zdarzeń związanych z bezpieczeństwem informacji związanych z dostępem do maszyn wirtualnych i komponentów wirtualizacji serwerów powinno odbywać się analogicznie także w odniesieniu do elementów środowiska wirtualizacyjnego realizujących technologię wirtualizacji kontenerów.”

Co to znaczy

Dwa główne wnioski z odpowiedzi Departamentu Bezpieczeństwa Informacji Banku Centralnego:

  • środki ochrony kontenerów nie różnią się od środków ochrony maszyn wirtualnych;
  • Wynika z tego, że w kontekście bezpieczeństwa informacji Bank Centralny utożsamia dwa rodzaje wirtualizacji – kontenery Docker i maszyny wirtualne.

W odpowiedzi wspomniano także o „środkach kompensacyjnych”, które należy zastosować w celu zneutralizowania zagrożeń. Nie jest po prostu jasne, czym są te „środki kompensujące” i jak mierzyć ich adekwatność, kompletność i skuteczność.

Co jest nie tak ze stanowiskiem Banku Centralnego?

Jeśli podczas oceny (i samooceny) skorzystasz z zaleceń Banku Centralnego, musisz rozwiązać szereg problemów technicznych i logicznych.

  • Każdy wykonywalny kontener wymaga zainstalowania na nim oprogramowania do ochrony informacji (IP): antywirusa, monitorowania integralności, pracy z logami, systemów DLP (Data Leak Prevention) i tak dalej. Wszystko to można bez problemu zainstalować na maszynie wirtualnej, jednak w przypadku kontenera instalowanie zabezpieczeń informacji jest posunięciem absurdalnym. Pojemnik zawiera minimalną ilość „body kitu” jaka jest potrzebna do działania usługi. Zainstalowanie w nim SZI jest sprzeczne z jego znaczeniem.
  • Obrazy kontenerów powinny być chronione na tej samej zasadzie; nie jest jasne, jak to wdrożyć.
  • GOST wymaga ograniczenia dostępu do komponentów wirtualizacji serwera, czyli hiperwizora. Co jest uważane za komponent serwera w przypadku Dockera? Czy to nie oznacza, że ​​każdy kontener musi być uruchamiany na osobnym hoście?
  • Jeśli w przypadku konwencjonalnej wirtualizacji możliwe jest rozgraniczenie maszyn wirtualnych według konturów bezpieczeństwa i segmentów sieci, to w przypadku kontenerów Docker w ramach tego samego hosta tak nie jest.

W praktyce prawdopodobne jest, że każdy audytor oceni bezpieczeństwo kontenerów na swój własny sposób, bazując na własnej wiedzy i doświadczeniu. No cóż, albo w ogóle tego nie oceniaj, jeśli nie ma ani jednego, ani drugiego.

Na wszelki wypadek dodamy, że od 1 stycznia 2021 roku minimalna ocena nie może być niższa niż 0,7.

Nawiasem mówiąc, regularnie publikujemy w naszym serwisie odpowiedzi i komentarze organów regulacyjnych dotyczące wymagań GOST 57580 i Regulaminu Banku Centralnego Kanał telegramu.

Co robić

Naszym zdaniem organizacje finansowe mają tylko dwie możliwości rozwiązania problemu.

1. Unikaj wdrażania kontenerów

Rozwiązanie dla tych, którzy są gotowi pozwolić sobie na korzystanie wyłącznie z wirtualizacji sprzętowej, a jednocześnie boją się niskich ocen według GOST i kar nałożonych przez Bank Centralny.

Plus: łatwiej jest spełnić wymagania podrozdziału 7.8 GOST.

Minus: Będziemy musieli porzucić nowe narzędzia programistyczne oparte na wirtualizacji kontenerów, w szczególności Docker i Kubernetes.

2. Odmówić spełnienia wymagań podsekcji 7.8 GOST

Ale jednocześnie stosuj najlepsze praktyki w zakresie zapewnienia bezpieczeństwa informacji podczas pracy z kontenerami. To rozwiązanie dla tych, którzy cenią nowe technologie i możliwości, jakie dają. Przez „najlepsze praktyki” rozumiemy przyjęte w branży normy i standardy zapewniające bezpieczeństwo kontenerów Docker:

  • bezpieczeństwo systemu operacyjnego hosta, odpowiednio skonfigurowane logowanie, zakaz wymiany danych pomiędzy kontenerami i tak dalej;
  • wykorzystanie funkcji Docker Trust do sprawdzenia integralności obrazów oraz wykorzystanie wbudowanego skanera podatności;
  • Nie możemy zapominać o bezpieczeństwie zdalnego dostępu i modelu sieci jako całości: ataki takie jak ARP-spoofing i MAC-flood nie zostały anulowane.

Plus: brak ograniczeń technicznych w korzystaniu z wirtualizacji kontenerów.

Minus: istnieje duże prawdopodobieństwo, że organ regulacyjny ukarze za nieprzestrzeganie wymagań GOST.

wniosek

Nasz klient postanowił nie rezygnować z kontenerów. Jednocześnie musiał znacząco przemyśleć zakres prac i moment przejścia na Dockera (trwały sześć miesięcy). Klient bardzo dobrze rozumie ryzyko. Rozumie również, że podczas kolejnej oceny zgodności z GOST R 57580 wiele będzie zależeć od audytora.

Co byś zrobił w tej sytuacji?

Źródło: www.habr.com

Dodaj komentarz