Um dia recebemos uma solicitação de serviços em nuvem. Descrevemos em termos gerais o que seria exigido de nós e enviamos uma lista de perguntas para esclarecer os detalhes. Depois analisamos as respostas e percebemos: o cliente quer colocar dados pessoais de segundo nível de segurança na nuvem. Nós respondemos: “Você tem um segundo nível de dados pessoais, desculpe, só podemos criar uma nuvem privada”. E ele: “Sabe, mas na empresa X eles podem postar tudo para mim publicamente”.
Foto de Steve Crisp, Reuters
Coisas estranhas! Entramos no site da empresa X, estudamos seus documentos de certificação, balançamos a cabeça e percebemos: há muitas questões em aberto na colocação de dados pessoais e elas devem ser abordadas minuciosamente. É o que faremos neste post.
Como tudo deveria funcionar
Primeiro, vamos descobrir quais critérios são usados para classificar os dados pessoais como um ou outro nível de segurança. Isto depende da categoria dos dados, do número de sujeitos desses dados que o operador armazena e processa, bem como do tipo de ameaças atuais.
Os tipos de ameaças atuais são definidos em datado de 1º de novembro de 2012 “Sobre a aprovação dos requisitos para a proteção de dados pessoais durante o seu processamento em sistemas de informação de dados pessoais”:
“As ameaças do tipo 1 são relevantes para um sistema de informação se incluir ameaças atuais relacionadas com com a presença de capacidades não documentadas (não declaradas) no software do sistemautilizado no sistema de informação.
Ameaças do 2º tipo são relevantes para um sistema de informação se para ele, incluindo ameaças atuais relacionadas com com a presença de capacidades não documentadas (não declaradas) em software aplicativoutilizado no sistema de informação.
Ameaças do 3º tipo são relevantes para um sistema de informação se para ele ameaças que não estão relacionadas com a presença de capacidades não documentadas (não declaradas) em software de sistema e aplicativousado no sistema de informação."
O principal nestas definições é a presença de capacidades não documentadas (não declaradas). Para confirmar a ausência de recursos de software não documentados (no caso da nuvem, trata-se de um hipervisor), a certificação é realizada pelo FSTEC da Rússia. Se o operador do PD aceitar que não existem tais capacidades no software, então as ameaças correspondentes são irrelevantes. As ameaças dos tipos 1 e 2 raramente são consideradas relevantes pelos operadores de PD.
Além de determinar o nível de segurança da PD, o operador também deve determinar ameaças atuais específicas à nuvem pública e, com base no nível identificado de segurança da PD e nas ameaças atuais, determinar as medidas e meios de proteção necessários contra elas.
O FSTEC lista claramente todas as principais ameaças em (banco de dados de ameaças). Provedores e avaliadores de infraestrutura em nuvem usam esse banco de dados em seu trabalho. Aqui estão alguns exemplos de ameaças:
: “A ameaça é a possibilidade de violação da segurança dos dados do usuário de programas que operam dentro de uma máquina virtual por software malicioso operando fora da máquina virtual.” Essa ameaça se deve à presença de vulnerabilidades no software hipervisor, que garante que o espaço de endereço usado para armazenar dados do usuário para programas que operam dentro da máquina virtual seja isolado do acesso não autorizado por software malicioso operando fora da máquina virtual.
A implementação desta ameaça é possível desde que o código do programa malicioso ultrapasse com sucesso os limites da máquina virtual, não apenas explorando as vulnerabilidades do hipervisor, mas também realizando tal impacto a partir de níveis mais baixos (em relação ao hipervisor) de funcionamento do sistema."
: “A ameaça reside na possibilidade de acesso não autorizado às informações protegidas de um consumidor de serviços em nuvem de outro. Esta ameaça deve-se ao facto de, devido à natureza das tecnologias de nuvem, os consumidores de serviços de nuvem terem de partilhar a mesma infraestrutura de nuvem. Esta ameaça pode ser concretizada se forem cometidos erros ao separar os elementos da infraestrutura em nuvem entre os consumidores de serviços em nuvem, bem como ao isolar seus recursos e separar os dados uns dos outros.”
Você só pode se proteger contra essas ameaças com a ajuda de um hipervisor, pois é ele quem gerencia os recursos virtuais. Assim, o hipervisor deve ser considerado um meio de proteção.
E de acordo com datado de 18 de fevereiro de 2013, o hipervisor deve ser certificado como não NDV no nível 4, caso contrário o uso de dados pessoais dos níveis 1 e 2 com ele será ilegal (“Cláusula 12. ... Para garantir os níveis 1 e 2 de segurança dos dados pessoais, bem como para garantir o nível 3 de segurança dos dados pessoais nos sistemas de informação para os quais as ameaças do tipo 2 são classificadas como atuais, são utilizadas ferramentas de segurança da informação, cujo software foi testado pelo menos de acordo com o nível 4 de controle sobre a ausência de capacidades não declaradas").
Apenas um hipervisor, desenvolvido na Rússia, possui o nível de certificação exigido, NDV-4. . Para dizer o mínimo, não é a solução mais popular. As nuvens comerciais, via de regra, são construídas com base em VMware vSphere, KVM, Microsoft Hyper-V. Nenhum desses produtos possui certificação NDV-4. Por que? É provável que a obtenção de tal certificação para os fabricantes ainda não seja economicamente justificada.
E tudo o que nos resta para os dados pessoais de nível 1 e 2 na nuvem pública é o Horizon BC. Triste mas verdadeiro.
Como tudo (na nossa opinião) realmente funciona
À primeira vista, tudo é bastante rigoroso: essas ameaças devem ser eliminadas configurando corretamente os mecanismos de proteção padrão de um hipervisor certificado segundo NDV-4. Mas há uma lacuna. De acordo com o Pedido FSTEC nº 21 (“cláusula 2 A segurança dos dados pessoais quando processados no sistema de informação de dados pessoais (doravante denominado sistema de informação) é garantida pelo operador ou pela pessoa que processa os dados pessoais em nome do operador de acordo com Federação Russa"), os prestadores avaliam de forma independente a relevância de possíveis ameaças e escolhem as medidas de proteção em conformidade. Portanto, se você não aceitar as ameaças UBI.44 e UBI.101 como atuais, não haverá necessidade de utilizar um hipervisor certificado conforme NDV-4, que é justamente o que deve fornecer proteção contra elas. E isso será suficiente para obter um certificado de conformidade da nuvem pública com os níveis 1 e 2 de segurança de dados pessoais, com o qual Roskomnadzor ficará totalmente satisfeito.
Claro que, além do Roskomnadzor, o FSTEC pode vir com fiscalização - e essa organização é muito mais meticulosa em questões técnicas. Ela provavelmente estará interessada em saber por que exatamente as ameaças UBI.44 e UBI.101 foram consideradas irrelevantes? Mas normalmente o FSTEC realiza uma inspeção apenas quando recebe informações sobre algum incidente significativo. Nesse caso, o serviço federal chega primeiro ao operador de dados pessoais – ou seja, ao cliente dos serviços em nuvem. Na pior das hipóteses, a operadora recebe uma pequena multa - por exemplo, para o Twitter no início do ano em um caso semelhante foi de 5000 rublos. Em seguida, o FSTEC vai além para o provedor de serviços em nuvem. Que pode muito bem ser privado de uma licença por não cumprimento dos requisitos regulamentares - e estes são riscos completamente diferentes, tanto para o fornecedor de nuvem como para os seus clientes. Mas, repito, Para verificar o FSTEC, geralmente você precisa de um motivo claro. Portanto, os provedores de nuvem estão dispostos a correr riscos. Até o primeiro incidente grave.
Há também um grupo de fornecedores “mais responsáveis” que acreditam que é possível fechar todas as ameaças adicionando um add-on como o vGate ao hipervisor. Mas num ambiente virtual distribuído entre clientes para algumas ameaças (por exemplo, o UBI.101 acima), um mecanismo de proteção eficaz só pode ser implementado ao nível de um hipervisor certificado de acordo com NDV-4, uma vez que quaisquer sistemas complementares a as funções padrão do hipervisor para gerenciamento de recursos (em particular, RAM) não afetam.
Como trabalhamos
Temos um segmento de nuvem implementado em hipervisor certificado pela FSTEC (mas sem certificação para NDV-4). Este segmento é certificado, portanto os dados pessoais podem ser armazenados na nuvem com base nele 3 e 4 níveis de segurança — os requisitos de proteção contra capacidades não declaradas não precisam ser observados aqui. A propósito, aqui está a arquitetura do nosso segmento de nuvem segura:
Sistemas para dados pessoais 1 e 2 níveis de segurança Implementamos apenas em equipamentos dedicados. Somente neste caso, por exemplo, a ameaça do UBI.101 realmente não é relevante, pois os racks de servidores que não estão unidos por um ambiente virtual não podem influenciar-se mutuamente, mesmo quando localizados no mesmo data center. Para esses casos, oferecemos um serviço dedicado de aluguel de equipamentos (também chamado de Hardware como serviço).
Se você não tem certeza de qual nível de segurança é necessário para o seu sistema de dados pessoais, também ajudamos na classificação.
Jogar aviator online grátis: hack aviator funciona
Nossa pequena pesquisa de mercado mostrou que alguns operadores de nuvem estão bastante dispostos a arriscar tanto a segurança dos dados dos clientes quanto o seu próprio futuro para receber um pedido. Mas nestas questões aderimos a uma política diferente, que descrevemos brevemente acima. Teremos o maior prazer em responder suas perguntas nos comentários.
Fonte: habr.com