گهڻو وقت اڳ اسان GOST R 57580 جي ضرورتن جي تعميل جو هڪ ٻيو جائزو ورتو (هتي صرف GOST طور حوالو ڏنو ويو). ڪلائنٽ هڪ ڪمپني آهي جيڪا هڪ اليڪٽرانڪ ادائيگي سسٽم ٺاهي ٿي. سسٽم سنجيده آهي: 3 ملين کان وڌيڪ صارفين، روزانو 200 هزار کان وڌيڪ ٽرانزيڪشن. اهي معلومات جي حفاظت کي تمام سنجيده وٺن ٿا.
تشخيص جي عمل دوران، ڪلائنٽ اتفاق سان اعلان ڪيو ته ترقياتي ڊپارٽمينٽ، مجازي مشينن کان علاوه، ڪنٽينرز کي استعمال ڪرڻ جو منصوبو. پر ان سان گڏ، ڪلائنٽ شامل ڪيو، اتي ھڪڙو مسئلو آھي: GOST ۾ ھڪڙو لفظ نه آھي ھڪڙي ڊاکر بابت. مونکي ڇا ڪرڻ گهرجي؟ ڪنٽينرز جي سيڪيورٽي کي ڪيئن اندازو لڳايو؟
اهو سچ آهي، GOST صرف هارڊويئر ورچوئلائيزيشن بابت لکي ٿو - ورچوئل مشينن، هڪ هائپرائزر، ۽ سرور کي ڪيئن بچائڻ لاءِ. اسان مرڪزي بئنڪ کان وضاحت طلب ڪئي. جواب اسان کي حيران ڪري ڇڏيو.
GOST ۽ ورچوئلائيزيشن
شروع ڪرڻ سان، اچو ته ياد رکون ته GOST R 57580 هڪ نئون معيار آهي جيڪو بيان ڪري ٿو "مالي تنظيمن جي معلومات جي حفاظت کي يقيني بڻائڻ جي گهرج" (FI). انهن FIs ۾ ادائگي جي نظام جا آپريٽرز ۽ شرڪت ڪندڙ، ڪريڊٽ ۽ غير ڪريڊٽ تنظيمون، آپريشنل ۽ ڪليئرنگ سينٽر شامل آهن.
1 جنوري 2021 کان، FIs کي هلائڻو پوندو . اسان، ITGLOBAL.COM، ھڪ آڊٽ ڪمپني آھيون جيڪي اھڙيون تشخيصون سرانجام ڏين ٿيون.
GOST وٽ ھڪڙو ذيلي حصو آھي جيڪو مجازي ماحول جي تحفظ لاءِ وقف ڪيو ويو آھي - نمبر 7.8. اصطلاح "ورچوئلائيزيشن" هتي بيان نه ڪيو ويو آهي؛ هارڊويئر ۽ ڪنٽينر ورچوئلائيزيشن ۾ ڪابه تقسيم ناهي. ڪو به IT ماهر چوندو ته ٽيڪنيڪل نقطي نظر کان هي غلط آهي: هڪ ورچوئل مشين (VM) ۽ هڪ ڪنٽينر مختلف ماحول آهن، مختلف اڪيلائي جي اصولن سان. ميزبان جي ڪمزوري جي نقطي نظر کان، جنهن تي VM ۽ ڊاکر ڪنٽينرز مقرر ڪيا ويا آهن، اهو پڻ هڪ وڏو فرق آهي.
اهو ظاهر ٿئي ٿو ته VMs ۽ ڪنٽينرز جي معلومات جي حفاظت جو جائزو پڻ مختلف هجڻ گهرجي.
اسان جا سوال مرڪزي بئنڪ ڏانهن
اسان انهن کي مرڪزي بئنڪ جي انفارميشن سيڪيورٽي ڊپارٽمينٽ ڏانهن موڪليو (اسان سوالن کي مختصر فارم ۾ پيش ڪندا آهيون).
- GOST تعميل جو جائزو وٺڻ وقت ڊاڪر قسم جي ورچوئل ڪنٽينرز تي ڪيئن غور ڪجي؟ ڇا GOST جي سب سيڪشن 7.8 جي مطابق ٽيڪنالاجي جو جائزو وٺڻ صحيح آھي؟
- ورچوئل ڪنٽينر مئنيجمينٽ ٽولز جو اندازو ڪيئن ڪجي؟ ڇا اهو ممڪن آهي ته انهن کي سرور ورچوئلائيزيشن اجزاء جي برابر ڪرڻ ۽ انهن کي GOST جي ساڳئي ذيلي حصي جي مطابق اندازو لڳايو؟
- ڇا مون کي ڊاکر ڪنٽينرز جي اندر معلومات جي حفاظت جو الڳ الڳ جائزو وٺڻ جي ضرورت آهي؟ جيڪڏهن ائين آهي ته، تشخيصي عمل دوران ان لاءِ ڪهڙن حفاظتي قدمن تي غور ڪيو وڃي؟
- جيڪڏهن ڪنٽينرائيزيشن کي ورچوئل انفراسٽرڪچر جي برابر ڪيو ويو آهي ۽ سبسيڪشن 7.8 جي مطابق جائزو ورتو ويو آهي، خاص معلومات جي حفاظتي اوزارن جي عمل درآمد لاءِ GOST گهرجون ڪيئن لاڳو ڪيون وينديون آهن؟
مرڪزي بئنڪ جو جواب
هيٺيان مکيه اقتباس آهن.
"GOST R 57580.1-2017 هيٺ ڏنل قدمن جي سلسلي ۾ ٽيڪنيڪل قدمن جي ايپليڪيشن ذريعي لاڳو ڪرڻ جي گهرج کي قائم ڪري ٿو ZI سب سيڪشن 7.8 GOST R 57580.1-2017، جيڪو، ڊپارٽمينٽ جي راء ۾، ڪنٽينر ورچوئلائيزيشن استعمال ڪرڻ جي ڪيسن تائين وڌايو وڃي ٿو. ٽيڪنالاجيون، هيٺين ڳالهين کي نظر ۾ رکندي:
- قدمن تي عمل درآمد ZSV.1 - ZSV.11 کي منظم ڪرڻ لاءِ سڃاڻپ، تصديق، اختيار (رسائي ڪنٽرول) جڏهن مجازي مشينن تائين منطقي رسائي کي لاڳو ڪرڻ ۽ ورچوئلائيزيشن سرور اجزاء ڪنٽينر ورچوئلائيزيشن ٽيڪنالاجي استعمال ڪرڻ جي ڪيسن کان مختلف ٿي سگهن ٿا. ان کي نظر ۾ رکندي، ڪيترن ئي قدمن تي عمل ڪرڻ لاءِ (مثال طور، ZVS.6 ۽ ZVS.7)، اسان سمجهون ٿا ته اهو ممڪن آهي ته اها سفارش ڪريون ته مالي ادارا معاوضي وارا قدم تيار ڪن جيڪي ساڳيا مقصد حاصل ڪندا؛
- قدمن تي عمل درآمد ZSV.13 - ZSV.22 ورچوئل مشينن جي معلومات جي رابطي جي تنظيم ۽ ڪنٽرول لاءِ هڪ مالي تنظيم جي ڪمپيوٽر نيٽ ورڪ جي ورهاست لاءِ مهيا ڪري ٿي انفارميشن شين جي وچ ۾ فرق ڪرڻ لاءِ جيڪي ورچوئلائيزيشن ٽيڪنالاجي کي لاڳو ڪن ٿا ۽ مختلف سيڪيورٽي سرڪٽس سان تعلق رکن ٿا. انهي کي مدنظر رکندي، اسان سمجهون ٿا ته مناسب ڀاڱو مهيا ڪرڻ لاءِ صلاح ڏني وڃي ٿي جڏهن ڪنٽينر ورچوئلائيزيشن ٽيڪنالاجي استعمال ڪري رهيا آهيو (ٻنهي قابل عمل مجازي ڪنٽينرز جي حوالي سان ۽ آپريٽنگ سسٽم جي سطح تي استعمال ٿيندڙ ورچوئلائيزيشن سسٽم جي سلسلي ۾)؛
- ورچوئل مشينن جي تصويرن جي حفاظت کي منظم ڪرڻ لاءِ ZSV.26, ZSV.29 - ZSV.31 جي قدمن تي عمل درآمد پڻ قياس سان ڪيو وڃي ٿو ته جيئن ورچوئل ڪنٽينرز جي بنيادي ۽ موجوده تصويرن کي بچائڻ لاءِ؛
- ورچوئل مشينن ۽ سرور ورچوئلائيزيشن حصن تائين پهچ سان لاڳاپيل معلوماتي سيڪيورٽي واقعن کي رڪارڊ ڪرڻ لاءِ ZVS.32 - ZVS.43 جي قدمن تي عمل درآمد ڪنٽينر ورچوئلائيزيشن ٽيڪنالاجي کي لاڳو ڪندڙ ورچوئلائيزيشن ماحول جي عنصرن جي حوالي سان پڻ قياس سان ڪيو وڃي.
ڇا اهو مطلب آهي
مرڪزي بئنڪ انفارميشن سيڪيورٽي ڊپارٽمينٽ جي جواب مان ٻه مکيه نتيجا:
- ڪنٽينرز کي بچائڻ جا قدم ورچوئل مشينن جي حفاظت لاءِ قدمن کان مختلف نه آهن؛
- انهي جي پٺيان آهي ته، معلومات جي حفاظت جي حوالي سان، مرڪزي بئنڪ ٻن قسمن جي ورچوئلائيزيشن کي برابر ڪري ٿو - ڊاکر ڪنٽينرز ۽ وي ايم.
جواب ۾ پڻ "معاوضي جي قدمن" جو ذڪر ڪيو ويو آهي جيڪي خطرن کي غير جانبدار ڪرڻ لاء لاڳو ٿيڻ جي ضرورت آهي. اهو صرف واضح ناهي ته اهي ”معاوضي وارا قدم“ ڇا آهن ۽ انهن جي مناسبيت، مڪمليت ۽ تاثير کي ڪيئن اندازو ڪجي.
مرڪزي بئنڪ جي پوزيشن سان ڇا غلط آهي؟
جيڪڏهن توهان مرڪزي بئنڪ جي سفارشن کي استعمال ڪندي تشخيص (۽ خود تشخيص) دوران، توهان کي ڪجهه ٽيڪنيڪل ۽ منطقي مشڪلاتن کي حل ڪرڻ جي ضرورت آهي.
- هر ايگزيڪيوٽو ڪنٽينر کي ان تي انفارميشن پروٽيڪشن سافٽ ويئر (IP) جي انسٽاليشن جي ضرورت آهي: اينٽي وائرس، سالميت مانيٽرنگ، لاگز سان ڪم ڪرڻ، ڊي ايل پي سسٽم (ڊيٽا ليڪ جي روڪٿام) وغيره. اهو سڀ ڪجهه بغير ڪنهن پريشاني جي VM تي نصب ٿي سگهي ٿو، پر هڪ ڪنٽينر جي صورت ۾، انفارميشن سيڪيورٽي کي نصب ڪرڻ هڪ غير معمولي قدم آهي. ڪنٽينر ۾ گھٽ ۾ گھٽ مقدار "جسم کٽ" آھي جيڪا خدمت جي ڪم ڪرڻ لاءِ گھربل آھي. ان ۾ هڪ SZI انسٽال ڪرڻ ان جي معني جي تضاد آهي.
- ڪنٽينر تصويرن کي ساڳئي اصول جي مطابق محفوظ ڪيو وڃي؛ اهو ڪيئن لاڳو ڪجي اهو به واضح ناهي.
- GOST کي سرور جي ورچوئلائيزيشن حصن تائين رسائي کي محدود ڪرڻ جي ضرورت آهي، يعني، هائپرائزر تائين. Docker جي صورت ۾ سرور جو حصو ڇا سمجهيو ويندو آهي؟ ڇا هن جو مطلب اهو ناهي ته هر ڪنٽينر کي الڳ ميزبان تي هلائڻ جي ضرورت آهي؟
- جيڪڏهن روايتي ورچوئلائيزيشن لاءِ اهو ممڪن آهي ته وي ايمز کي سيڪيورٽي شڪلن ۽ نيٽ ورڪ حصن جي حد بندي ڪرڻ ، پوءِ ساڳي ميزبان اندر ڊاکر ڪنٽينرز جي صورت ۾ ، اهو معاملو ناهي.
عملي طور تي، اهو ممڪن آهي ته هر آڊيٽر پنهنجي پنهنجي علم ۽ تجربي جي بنياد تي، پنهنجي طريقي سان ڪنٽينرز جي حفاظت جو جائزو وٺندو. خير، يا ان جو اندازو نه ڪريو، جيڪڏهن نه ته هڪ آهي ۽ نه ئي ٻيو.
بس صورت ۾، اسان شامل ڪنداسين ته جنوري 1، 2021 کان، گهٽ ۾ گهٽ سکور 0,7 کان گهٽ نه هجڻ گهرجي.
رستي جي ذريعي، اسان باقاعدي طور تي GOST 57580 ۽ مرڪزي بئنڪ جي ضابطن جي ضرورتن سان لاڳاپيل ريگيوليٽرن کان جواب ۽ تبصرا پوسٽ ڪندا آهيون. .
ڇا ڪجي
اسان جي راء ۾، مالي تنظيمن کي صرف ٻه اختيار آهن مسئلا حل ڪرڻ لاء.
1. ڪنٽينرز تي عمل ڪرڻ کان پاسو ڪريو
انهن لاء هڪ حل جيڪي صرف هارڊويئر ورچوئلائيزيشن کي استعمال ڪرڻ جي برداشت ڪرڻ لاء تيار آهن ۽ ساڳئي وقت GOST جي مطابق گهٽ درجه بندي کان ڊڄندا آهن ۽ مرڪزي بئنڪ کان ڏنڊ.
هڪ پلس: GOST جي ذيلي سيڪشن 7.8 جي ضرورتن جي تعميل ڪرڻ آسان آھي.
منٽ: اسان کي ڪنٽينر ورچوئلائيزيشن جي بنياد تي نون ترقياتي اوزارن کي ڇڏڻو پوندو، خاص طور تي Docker ۽ Kubernetes.
2. GOST جي ذيلي سيڪشن 7.8 جي گهرجن سان عمل ڪرڻ کان انڪار ڪريو
پر ساڳئي وقت، معلومات جي حفاظت کي يقيني بڻائڻ ۾ بهترين طريقا لاڳو ڪريو جڏهن ڪنٽينرز سان ڪم ڪندي. اهو انهن لاءِ هڪ حل آهي جيڪي قدر ڪن ٿا نيون ٽيڪنالاجيون ۽ انهن جا موقعا جيڪي اهي مهيا ڪن ٿا. ”بهترين عملن“ مان اسان جو مطلب آهي صنعت جي قبول ڪيل معيارن ۽ معيارن جي حفاظت کي يقيني بڻائڻ لاءِ Docker ڪنٽينرز:
- ميزبان OS جي سيڪيورٽي، صحيح طرح سان ترتيب ڏنل لاگنگ، ڪنٽينرز جي وچ ۾ ڊيٽا مٽائڻ جي ممانعت، وغيره.
- تصويرن جي سالميت کي جانچڻ لاءِ ڊڪر ٽرسٽ فنڪشن کي استعمال ڪندي ۽ بلٽ ان ويلنريبلٽي اسڪينر استعمال ڪندي؛
- اسان کي ريموٽ رسائي جي حفاظت ۽ مجموعي طور تي نيٽ ورڪ ماڊل جي باري ۾ نه وسارڻ گهرجي: حملن جهڙوڪ ARP-spoofing ۽ MAC-flooding منسوخ نه ڪيا ويا آهن.
هڪ پلس: ڪنٽينر ورچوئلائيزيشن جي استعمال تي ڪا به ٽيڪنيڪل پابندي ناهي.
منٽ: اتي هڪ وڏو امڪان آهي ته ريگيوليٽر GOST گهرجن سان غير تعميل جي سزا ڏيندو.
ٿڪل
اسان جو گراهڪ فيصلو ڪيو ته ڪنٽينر نه ڏيو. ساڳئي وقت، هن کي ڪم جي دائري ۽ ڊاکر جي منتقلي جي وقت تي غور ڪرڻو پيو (اهي ڇهن مهينن تائين هليا). ڪلائنٽ خطرن کي چڱي طرح سمجهي ٿو. هو اهو پڻ سمجهي ٿو ته GOST R 57580 جي تعميل جي ايندڙ جائزي دوران، گهڻو ڪجهه آڊيٽر تي منحصر هوندو.
توهان هن صورتحال ۾ ڇا ڪندا؟
جو ذريعو: www.habr.com