Într-o zi am primit o solicitare pentru servicii cloud. Am subliniat în termeni generali ce s-ar cere de la noi și am trimis înapoi o listă de întrebări pentru a clarifica detaliile. Apoi am analizat răspunsurile și am realizat: clientul dorește să plaseze în cloud datele personale de al doilea nivel de securitate. Îi răspundem: „Aveți un al doilea nivel de date personale, scuze, putem crea doar un cloud privat.” Și el: „Știți, dar în compania X îmi pot posta totul în mod public.”
Fotografie de Steve Crisp, Reuters
Lucruri ciudate! Am mers pe site-ul companiei X, le-am studiat documentele de certificare, am clătinat din cap și ne-am dat seama: există o mulțime de întrebări deschise în plasarea datelor cu caracter personal și ar trebui să fie abordate temeinic. Asta vom face în această postare.
Cum ar trebui să funcționeze totul
În primul rând, să ne dăm seama ce criterii sunt folosite pentru a clasifica datele personale ca unul sau altul nivel de securitate. Aceasta depinde de categoria de date, de numărul de subiecți ai acestor date pe care operatorul le stochează și prelucrează, precum și de tipul amenințărilor curente.
Tipurile de amenințări curente sunt definite în din data de 1 noiembrie 2012 „Cu privire la aprobarea cerințelor de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal”:
„Amenințările de tip 1 sunt relevante pentru un sistem informațional dacă include amenințările actuale legate de cu prezența capacităților nedocumentate (nedeclarate). în software-ul de sistemutilizate în sistemul informaţional.
Amenințările de al 2-lea tip sunt relevante pentru un sistem informațional dacă pentru acesta, inclusiv amenințările actuale legate de cu prezența capacităților nedocumentate (nedeclarate). în software-ul de aplicațieutilizate în sistemul informaţional.
Amenințările de al treilea tip sunt relevante pentru un sistem informațional dacă pentru acesta amenințări care nu au legătură cu prezența capacităților nedocumentate (nedeclarate). în software-ul de sistem și aplicațieutilizate în sistemul informațional”.
Principalul lucru în aceste definiții este prezența capacităților nedocumentate (nedeclarate). Pentru a confirma absența capabilităților software nedocumentate (în cazul cloud-ului, acesta este un hypervisor), certificarea este efectuată de FSTEC din Rusia. Dacă operatorul PD acceptă că nu există astfel de capabilități în software, atunci amenințările corespunzătoare sunt irelevante. Amenințările de tipurile 1 și 2 sunt extrem de rar considerate relevante de către operatorii PD.
Pe lângă determinarea nivelului de securitate PD, operatorul trebuie să determine și amenințările curente specifice la adresa cloud-ului public și, pe baza nivelului identificat de securitate PD și a amenințărilor actuale, să determine măsurile și mijloacele de protecție necesare împotriva acestora.
FSTEC enumeră în mod clar toate amenințările principale în (baza de date a amenințărilor). Furnizorii de infrastructură cloud și evaluatorii folosesc această bază de date în munca lor. Iată exemple de amenințări:
: „Amenințarea este posibilitatea încălcării securității datelor utilizatorului programelor care operează în interiorul unei mașini virtuale de către software rău intenționat care operează în afara mașinii virtuale.” Această amenințare se datorează prezenței unor vulnerabilități în software-ul hypervisor, care asigură că spațiul de adresă utilizat pentru stocarea datelor utilizatorului pentru programele care funcționează în interiorul mașinii virtuale este izolat de accesul neautorizat al software-ului rău intenționat care operează în afara mașinii virtuale.
Implementarea acestei amenințări este posibilă cu condiția ca codul programului rău intenționat să depășească cu succes granițele mașinii virtuale, nu numai prin exploatarea vulnerabilităților hipervizorului, ci și prin realizarea unui astfel de impact de la niveluri inferioare (față de hipervizor) funcționarea sistemului”.
: „Amenințarea constă în posibilitatea accesului neautorizat la informațiile protejate ale unui consumator de servicii cloud de la altul. Această amenințare se datorează faptului că, din cauza naturii tehnologiilor cloud, consumatorii de servicii cloud trebuie să împartă aceeași infrastructură cloud. Această amenințare poate fi realizată dacă se comit erori la separarea elementelor de infrastructură cloud între consumatorii de servicii cloud, precum și la izolarea resurselor acestora și la separarea datelor unul de celălalt.”
Vă puteți proteja împotriva acestor amenințări doar cu ajutorul unui hypervisor, deoarece acesta este cel care gestionează resursele virtuale. Astfel, hipervizorul trebuie considerat ca un mijloc de protecție.
Și în conformitate cu din 18 februarie 2013, hypervisorul trebuie să fie certificat ca non-NDV la nivelul 4, în caz contrar utilizarea datelor personale de nivel 1 și 2 cu acesta va fi ilegală („Clauza 12. ... Pentru a asigura nivelurile 1 și 2 de securitate a datelor cu caracter personal, precum și pentru a asigura nivelul 3 de securitate a datelor cu caracter personal în sistemele informaționale pentru care amenințările de tip 2 sunt clasificate ca actuale, se folosesc instrumente de securitate a informațiilor, al căror software a fost testat cel puțin conform nivelului 4 de control asupra absenței capacităților nedeclarate").
Doar un singur hypervisor, dezvoltat în Rusia, are nivelul necesar de certificare, NDV-4. . Ca să spunem ușor, nu este cea mai populară soluție. Norurile comerciale, de regulă, sunt construite pe baza VMware vSphere, KVM, Microsoft Hyper-V. Niciunul dintre aceste produse nu este certificat NDV-4. De ce? Este probabil ca obținerea unei astfel de certificări pentru producători să nu fie încă justificată din punct de vedere economic.
Și tot ceea ce ne rămâne pentru datele personale de nivel 1 și 2 din cloudul public este Horizon BC. Trist dar adevărat.
Cum funcționează cu adevărat totul (în opinia noastră).
La prima vedere, totul este destul de strict: aceste amenințări trebuie eliminate prin configurarea corectă a mecanismelor de protecție standard ale unui hypervisor certificat conform NDV-4. Dar există o singură lacună. În conformitate cu Ordinul FSTEC nr. 21 („clauza 2 Securitatea datelor cu caracter personal atunci când sunt prelucrate în sistemul informatic al datelor cu caracter personal (denumit în continuare sistemul informatic) este asigurată de operator sau de persoana care prelucrează datele cu caracter personal în numele operatorului în conformitate cu Federația Rusă"), furnizorii evaluează în mod independent relevanța posibilelor amenințări și aleg măsurile de protecție în consecință. Prin urmare, dacă nu acceptați amenințările UBI.44 și UBI.101 ca actuale, atunci nu va mai fi nevoie să folosiți un hypervisor certificat conform NDV-4, care tocmai este ceea ce ar trebui să ofere protecție împotriva lor. Și acest lucru va fi suficient pentru a obține un certificat de conformitate a cloud-ului public cu nivelurile 1 și 2 de securitate a datelor cu caracter personal, de care Roskomnadzor va fi complet mulțumit.
Desigur, pe lângă Roskomnadzor, FSTEC poate veni cu o inspecție - iar această organizație este mult mai meticuloasă în chestiuni tehnice. Probabil că va fi interesată de ce anume amenințările UBI.44 și UBI.101 au fost considerate irelevante? Dar, de obicei, FSTEC efectuează o inspecție numai atunci când primește informații despre un incident semnificativ. În acest caz, serviciul federal vine mai întâi la operatorul de date cu caracter personal - adică clientul serviciilor cloud. În cel mai rău caz, operatorul primește o mică amendă – de exemplu, pentru Twitter la începutul anului într-un caz similar s-a ridicat la 5000 de ruble. Apoi FSTEC merge mai departe la furnizorul de servicii cloud. Care poate fi lipsit de licență din cauza nerespectării cerințelor de reglementare - și acestea sunt riscuri complet diferite, atât pentru furnizorul de cloud, cât și pentru clienții săi. Dar, repet, Pentru a verifica FSTEC, de obicei aveți nevoie de un motiv clar. Deci, furnizorii de cloud sunt dispuși să își asume riscuri. Până la primul incident grav.
Există, de asemenea, un grup de furnizori „mai responsabili” care consideră că este posibil să închidă toate amenințările prin adăugarea unui supliment precum vGate la hypervisor. Dar într-un mediu virtual distribuit între clienți pentru unele amenințări (de exemplu, UBI.101 de mai sus), un mecanism de protecție eficient poate fi implementat doar la nivelul unui hypervisor certificat conform NDV-4, deoarece orice sisteme add-on la funcțiile standard ale hypervisorului pentru gestionarea resurselor (în special , RAM) nu afectează.
Cum lucrăm
Avem un segment cloud implementat pe un hypervisor certificat de FSTEC (dar fără certificare pentru NDV-4). Acest segment este certificat, astfel încât datele personale pot fi stocate în cloud pe baza acestuia 3 și 4 niveluri de securitate — cerințele de protecție împotriva capacităților nedeclarate nu trebuie respectate aici. Iată, apropo, arhitectura segmentului nostru cloud securizat:
Sisteme pentru date personale 1 și 2 niveluri de securitate Implementam doar pe echipamente dedicate. Numai în acest caz, de exemplu, amenințarea UBI.101 nu este cu adevărat relevantă, deoarece rafturile de servere care nu sunt unite de un mediu virtual nu se pot influența reciproc chiar și atunci când sunt situate în același centru de date. Pentru astfel de cazuri, oferim un serviciu dedicat de închiriere de echipamente (se mai numește și Hardware ca serviciu).
Dacă nu sunteți sigur ce nivel de securitate este necesar pentru sistemul dumneavoastră de date cu caracter personal, vă ajutăm și la clasificarea acestuia.
Producție
Micul nostru studiu de piață a arătat că unii operatori de cloud sunt destul de dispuși să riște atât securitatea datelor clienților, cât și propriul viitor pentru a primi o comandă. Dar în aceste chestiuni aderăm la o politică diferită, pe care am descris-o pe scurt mai sus. Vom fi bucuroși să vă răspundem la întrebări în comentarii.
Sursa: www.habr.com