ProHoster > Blog > administração > Como fazer amizade com GOST R 57580 e virtualização de contêineres. A resposta do Banco Central (e nossos pensamentos sobre este assunto)

Como fazer amizade com GOST R 57580 e virtualização de contêineres. A resposta do Banco Central (e nossos pensamentos sobre este assunto)

Não faz muito tempo, realizamos outra avaliação de conformidade com os requisitos do GOST R 57580 (doravante denominado simplesmente GOST). O cliente é uma empresa que desenvolve um sistema de pagamento eletrônico. O sistema é sério: mais de 3 milhões de usuários, mais de 200 mil transações diárias. Eles levam a segurança da informação muito a sério lá.

Durante o processo de avaliação, o cliente anunciou casualmente que o departamento de desenvolvimento, além de máquinas virtuais, planeja utilizar containers. Mas com isso, acrescentou o cliente, há um problema: no GOST não há uma palavra sobre o mesmo Docker. O que devo fazer? Como avaliar a segurança dos containers?

Como fazer amizade com GOST R 57580 e virtualização de contêineres. A resposta do Banco Central (e nossos pensamentos sobre este assunto)

É verdade, GOST escreve apenas sobre virtualização de hardware - sobre como proteger máquinas virtuais, um hipervisor e um servidor. Pedimos esclarecimentos ao Banco Central. A resposta nos intrigou.

GOST e virtualização

Para começar, lembremos que GOST R 57580 é uma nova norma que especifica “requisitos para garantir a segurança da informação das organizações financeiras” (FI). Esses IFs incluem operadores e participantes de sistemas de pagamentos, organizações de crédito e não creditícias, centros operacionais e de compensação.

A partir de 1º de janeiro de 2021, as IFs são obrigadas a realizar avaliação da conformidade com os requisitos do novo GOST. Nós, ITGLOBAL.COM, somos uma empresa de auditoria que realiza tais avaliações.

GOST possui uma subseção dedicada à proteção de ambientes virtualizados - nº 7.8. O termo “virtualização” não é especificado ali; não há divisão em hardware e virtualização de contêiner. Qualquer especialista em TI dirá que do ponto de vista técnico isso é incorreto: uma máquina virtual (VM) e um container são ambientes diferentes, com princípios de isolamento diferentes. Do ponto de vista da vulnerabilidade do host no qual os contêineres VM e Docker estão implantados, essa também é uma grande diferença.

Acontece que a avaliação da segurança da informação de VMs e containers também deve ser diferente.

Nossas perguntas ao Banco Central

Enviamos para o Departamento de Segurança da Informação do Banco Central (apresentamos as questões de forma abreviada).

  1. Como considerar os contêineres virtuais do tipo Docker ao avaliar a conformidade com GOST? É correto avaliar a tecnologia de acordo com a subseção 7.8 do GOST?
  2. Como avaliar ferramentas de gerenciamento de contêineres virtuais? É possível compará-los aos componentes de virtualização de servidores e avaliá-los de acordo com a mesma subseção do GOST?
  3. Preciso avaliar separadamente a segurança das informações dentro dos contêineres do Docker? Em caso afirmativo, que salvaguardas devem ser consideradas durante o processo de avaliação?
  4. Se a conteinerização for equiparada à infraestrutura virtual e avaliada de acordo com a subseção 7.8, como são implementados os requisitos GOST para a implementação de ferramentas especiais de segurança da informação?

Resposta do Banco Central

Abaixo estão os principais trechos.

“GOST R 57580.1-2017 estabelece requisitos para implementação por meio da aplicação de medidas técnicas em relação às seguintes medidas ZI subseção 7.8 do GOST R 57580.1-2017, que, na opinião do Departamento, pode ser estendido aos casos de utilização de virtualização de contêineres tecnologias, tendo em conta o seguinte:

  • a implementação das medidas ZSV.1 - ZSV.11 para organização de identificação, autenticação, autorização (controle de acesso) na implementação de acesso lógico a máquinas virtuais e componentes de servidores de virtualização pode diferir dos casos de utilização de tecnologia de virtualização de contêineres. Tendo isto em conta, para a implementação de um conjunto de medidas (por exemplo, ZVS.6 e ZVS.7), acreditamos ser possível recomendar que as instituições financeiras desenvolvam medidas compensatórias que prossigam os mesmos objectivos;
  • a implementação das medidas ZSV.13 - ZSV.22 para organização e controle da interação de informações de máquinas virtuais prevê a segmentação da rede de computadores de uma organização financeira para distinguir entre objetos de informatização que implementam tecnologia de virtualização e pertencem a diferentes circuitos de segurança. Levando isso em consideração, acreditamos que é aconselhável prever uma segmentação adequada ao usar a tecnologia de virtualização de contêineres (tanto em relação aos contêineres virtuais executáveis ​​quanto em relação aos sistemas de virtualização usados ​​no nível do sistema operacional);
  • a implementação das medidas ZSV.26, ZSV.29 - ZSV.31 para organizar a proteção de imagens de máquinas virtuais deverá ser realizada por analogia também para proteger imagens básicas e atuais de contêineres virtuais;
  • a implementação das medidas ZVS.32 - ZVS.43 para registro de eventos de segurança da informação relacionados ao acesso a máquinas virtuais e componentes de virtualização de servidores deverá ser realizada por analogia também em relação aos elementos do ambiente de virtualização que implementam a tecnologia de virtualização de contêineres.”

O que isso significa

Duas conclusões principais da resposta do Departamento de Segurança da Informação do Banco Central:

  • as medidas para proteger os contêineres não são diferentes das medidas para proteger as máquinas virtuais;
  • Conclui-se que, no contexto da segurança da informação, o Banco Central equipara dois tipos de virtualização – contêineres Docker e VMs.

A resposta também menciona “medidas compensatórias” que precisam ser aplicadas para neutralizar as ameaças. Não está claro o que são estas “medidas compensatórias” e como medir a sua adequação, integralidade e eficácia.

O que há de errado com a posição do Banco Central?

Se você usar as recomendações do Banco Central durante a avaliação (e autoavaliação), será necessário resolver uma série de dificuldades técnicas e lógicas.

  • Cada contêiner executável requer a instalação de software de proteção de informações (IP): antivírus, monitoramento de integridade, trabalho com logs, sistemas DLP (Data Leak Prevention) e assim por diante. Tudo isso pode ser instalado em uma VM sem problemas, mas no caso de um container instalar segurança da informação é uma jogada absurda. O contêiner contém a quantidade mínima de “body kit” necessária para o funcionamento do serviço. Instalar um SZI nele contradiz seu significado.
  • As imagens dos contêineres devem ser protegidas de acordo com o mesmo princípio; como implementar isso também não é claro.
  • GOST exige a restrição do acesso aos componentes de virtualização do servidor, ou seja, ao hipervisor. O que é considerado um componente de servidor no caso do Docker? Isso não significa que cada contêiner precisa ser executado em um host separado?
  • Se para a virtualização convencional é possível delimitar VMs por contornos de segurança e segmentos de rede, então no caso de containers Docker dentro do mesmo host, este não é o caso.

Na prática, é provável que cada auditor avalie a segurança dos contentores à sua maneira, com base no seu próprio conhecimento e experiência. Bem, ou não avalie nada, se não houver nem um nem outro.

Por precaução, acrescentaremos que a partir de 1º de janeiro de 2021 a pontuação mínima não deverá ser inferior a 0,7.

A propósito, publicamos regularmente respostas e comentários de reguladores relacionados aos requisitos do GOST 57580 e dos Regulamentos do Banco Central em nosso Canal de telegrama.

O que fazer

Em nossa opinião, as organizações financeiras têm apenas duas opções para resolver o problema.

1. Evite implementar contêineres

Uma solução para quem está disposto a usar apenas a virtualização de hardware e ao mesmo tempo tem medo de classificações baixas de acordo com GOST e multas do Banco Central.

Plus: é mais fácil cumprir os requisitos da subseção 7.8 do GOST.

Menos: Teremos que abandonar novas ferramentas de desenvolvimento baseadas na virtualização de containers, em particular Docker e Kubernetes.

2. Recusar-se a cumprir os requisitos da subseção 7.8 do GOST

Mas, ao mesmo tempo, aplique as melhores práticas para garantir a segurança da informação ao trabalhar com containers. Esta é uma solução para quem valoriza as novas tecnologias e as oportunidades que elas proporcionam. Por “melhores práticas” queremos dizer normas e padrões aceitos pela indústria para garantir a segurança dos contêineres Docker:

  • segurança do sistema operacional host, registro configurado corretamente, proibição de troca de dados entre contêineres e assim por diante;
  • usando a função Docker Trust para verificar a integridade das imagens e usando o scanner de vulnerabilidade integrado;
  • Não devemos esquecer a segurança do acesso remoto e do modelo de rede como um todo: ataques como ARP-spoofing e MAC-flooding não foram cancelados.

Plus: sem restrições técnicas ao uso da virtualização de contêineres.

Menos: há uma grande probabilidade de que o regulador punirá pelo não cumprimento dos requisitos do GOST.

Conclusão

Nosso cliente decidiu não abrir mão dos containers. Ao mesmo tempo, ele teve que reconsiderar significativamente o escopo do trabalho e o momento da transição para o Docker (duraram seis meses). O cliente entende muito bem os riscos. Ele também entende que durante a próxima avaliação de conformidade com GOST R 57580, muito dependerá do auditor.

o que você faria nesta situação?

Fonte: habr.com

Adicionar um comentário