බොහෝ කලකට පෙර අපි GOST R 57580 හි අවශ්යතා වලට අනුකූල වීම පිළිබඳ තවත් තක්සේරුවක් සිදු කළෙමු (මෙතැන් සිට සරලව GOST ලෙස හැඳින්වේ). සේවාදායකයා යනු ඉලෙක්ට්රොනික ගෙවීම් පද්ධතියක් සංවර්ධනය කරන සමාගමකි. පද්ධතිය බරපතල ය: මිලියන 3 කට වඩා භාවිතා කරන්නන්, දිනකට ගනුදෙනු 200 දහසකට වඩා. එහිදී ඔවුන් තොරතුරු ආරක්ෂාව ඉතා බැරෑරුම් ලෙස සලකයි.
ඇගයීම් ක්රියාවලියේදී, සේවාලාභියා නොසැලකිලිමත් ලෙස ප්රකාශ කළේ සංවර්ධන දෙපාර්තමේන්තුව, අතථ්ය යන්ත්රවලට අමතරව, බහාලුම් භාවිතා කිරීමට සැලසුම් කර ඇති බවයි. නමුත් මේ සමඟ, සේවාදායකයා එකතු කළේ, එක් ගැටළුවක් තිබේ: GOST හි එකම ඩොකර් ගැන වචනයක් නොමැත. මම කළ යුත්තේ කුමක් ද? බහාලුම්වල ආරක්ෂාව තක්සේරු කරන්නේ කෙසේද?
එය සත්යයකි, GOST ලියන්නේ දෘඩාංග අථත්යකරණය ගැන පමණි - අථත්ය යන්ත්ර, හයිපර්වයිසර් සහ සේවාදායකයක් ආරක්ෂා කරන්නේ කෙසේද යන්න ගැන. අපි මහ බැංකුවෙන් පැහැදිලි කිරීමක් ඉල්ලා සිටියා. පිළිතුර අපව ප්රහේලිකාවක් විය.
GOST සහ අථත්යකරණය
ආරම්භ කිරීම සඳහා, GOST R 57580 යනු "මූල්ය සංවිධානවල තොරතුරු සුරක්ෂිතභාවය සහතික කිරීම සඳහා වන අවශ්යතා" (FI) සඳහන් කරන නව ප්රමිතියක් බව අපි සිහිපත් කරමු. මෙම FIs වලට ගෙවීම් පද්ධතිවල ක්රියාකරුවන් සහ සහභාගිවන්නන්, ණය සහ ණය නොවන සංවිධාන, මෙහෙයුම් සහ නිෂ්කාශන මධ්යස්ථාන ඇතුළත් වේ.
1 ජනවාරි 2021 සිට, FIs පැවැත්වීම අවශ්ය වේ . අපි, ITGLOBAL.COM, එවැනි තක්සේරු කිරීම් සිදුකරන විගණන සමාගමකි.
GOST හි අථත්ය පරිසරය ආරක්ෂා කිරීම සඳහා කැප වූ උපවගන්තියක් ඇත - අංක 7.8. “අථත්යකරණය” යන යෙදුම එහි සඳහන් කර නැත; දෘඪාංග සහ බහාලුම් අථත්යකරණය ලෙස බෙදීමක් නොමැත. තාක්ෂණික දෘෂ්ටි කෝණයකින් මෙය වැරදි බව ඕනෑම තොරතුරු තාක්ෂණ විශේෂඥයෙක් කියනු ඇත: අතථ්ය යන්ත්රයක් (VM) සහ බහාලුමක් යනු විවිධ හුදකලා මූලධර්ම සහිත විවිධ පරිසර වේ. VM සහ Docker බහාලුම් යොදවා ඇති ධාරකයේ දුර්වලතාවයේ දෘෂ්ටි කෝණයෙන්, මෙයද විශාල වෙනසක් වේ.
වීඑම් සහ බහාලුම්වල තොරතුරු ආරක්ෂාව තක්සේරු කිරීම ද වෙනස් විය යුතු බව පෙනේ.
මහ බැංකුවට අපේ ප්රශ්න
අපි ඔවුන්ව මහ බැංකුවේ තොරතුරු ආරක්ෂණ දෙපාර්තමේන්තුවට යැව්වා (අපි ප්රශ්න කෙටි ආකාරයෙන් ඉදිරිපත් කරමු).
- GOST අනුකූලතාව තක්සේරු කිරීමේදී ඩොකර් වර්ගයේ අථත්ය බහාලුම් සලකා බලන්නේ කෙසේද? GOST හි 7.8 උපවගන්තියට අනුකූලව තාක්ෂණය ඇගයීම නිවැරදිද?
- අතථ්ය බහාලුම් කළමනාකරණ මෙවලම් ඇගයීමට ලක් කරන්නේ කෙසේද? ඒවා සේවාදායක අථත්යකරණ සංරචක වලට සමාන කර GOST හි එකම උපවගන්තියට අනුව ඒවා ඇගයීමට ලක් කළ හැකිද?
- Docker බහාලුම් තුළ ඇති තොරතුරු වල ආරක්ෂාව මට වෙන වෙනම ඇගයීමට අවශ්යද? එසේ නම්, තක්සේරු ක්රියාවලියේදී මේ සඳහා සලකා බැලිය යුතු ආරක්ෂාව මොනවාද?
- බහාලුම්කරණය අතථ්ය යටිතල ව්යුහයට සමාන කර 7.8 උපවගන්තියට අනුව තක්සේරු කර ඇත්නම්, විශේෂ තොරතුරු ආරක්ෂණ මෙවලම් ක්රියාත්මක කිරීම සඳහා GOST අවශ්යතා ක්රියාත්මක කරන්නේ කෙසේද?
මහ බැංකුවේ ප්රතිචාරය
පහත දැක්වෙන්නේ ප්රධාන උපුටා ගැනීම් ය.
GOST R 57580.1-2017 විසින් පහත සඳහන් ක්රියාමාර්ගවලට අදාළව තාක්ෂණික ක්රියාමාර්ග යෙදීම හරහා ක්රියාත්මක කිරීම සඳහා අවශ්යතා ස්ථාපිත කරයි GOST R 7.8-57580.1 හි ZI උපවගන්තිය 2017, එය දෙපාර්තමේන්තුවේ මතය අනුව බහාලුම් අථත්යකරණය භාවිතා කිරීමේ අවස්ථා දක්වා ව්යාප්ත කළ හැකිය. පහත සඳහන් කරුණු සැලකිල්ලට ගනිමින් තාක්ෂණයන්:
- අථත්ය යන්ත්ර සහ අථත්යකරණ සේවාදායක සංරචක සඳහා තාර්කික ප්රවේශය ක්රියාත්මක කිරීමේදී හඳුනාගැනීම, සත්යාපනය, අවසරය (ප්රවේශ පාලනය) සංවිධානය කිරීම සඳහා ZSV.1 - ZSV.11 පියවර ක්රියාත්මක කිරීම බහාලුම් අථත්යකරණ තාක්ෂණය භාවිතා කිරීමේ අවස්ථා වලින් වෙනස් විය හැක. මෙය සැලකිල්ලට ගනිමින්, ක්රියාමාර්ග ගණනාවක් ක්රියාත්මක කිරීම සඳහා (උදාහරණයක් ලෙස, ZVS.6 සහ ZVS.7), අපි විශ්වාස කරන්නේ මූල්ය ආයතන එකම ඉලක්ක කරා ගමන් කරන වන්දි ක්රියාමාර්ග සංවර්ධනය කරන ලෙස නිර්දේශ කළ හැකි බවයි;
- අථත්ය යන්ත්රවල තොරතුරු අන්තර්ක්රියා සංවිධානය කිරීම සහ පාලනය කිරීම සඳහා ZSV.13 - ZSV.22 පියවර ක්රියාත්මක කිරීම අථත්යකරණ තාක්ෂණය ක්රියාත්මක කරන සහ විවිධ ආරක්ෂක පරිපථවලට අයත් තොරතුරුකරණ වස්තූන් අතර වෙනස හඳුනා ගැනීම සඳහා මූල්ය සංවිධානයක පරිගණක ජාලය ඛණ්ඩනය කිරීම සඳහා සපයයි. මෙය සැලකිල්ලට ගනිමින්, බහාලුම් අථත්යකරණ තාක්ෂණය (ක්රියාත්මක කළ හැකි අතථ්ය බහාලුම් සම්බන්ධයෙන් සහ මෙහෙයුම් පද්ධති මට්ටමින් භාවිතා කරන අථත්යකරණ පද්ධති සම්බන්ධයෙන්) භාවිතා කරන විට සුදුසු ඛණ්ඩනය සඳහා සැපයීම සුදුසු යැයි අපි විශ්වාස කරමු;
- අතථ්ය යන්ත්රවල රූප ආරක්ෂා කිරීම සංවිධානය කිරීම සඳහා ZSV.26, ZSV.29 - ZSV.31 පියවර ක්රියාත්මක කිරීම අතථ්ය බහාලුම්වල මූලික සහ වර්තමාන රූප ආරක්ෂා කිරීම සඳහා ප්රතිසමයෙන් ද සිදු කළ යුතුය;
- අථත්ය යන්ත්ර සහ සේවාදායක අථත්යකරණ සංරචක වෙත ප්රවේශය සම්බන්ධ තොරතුරු ආරක්ෂණ සිදුවීම් වාර්තා කිරීම සඳහා ZVS.32 - ZVS.43 පියවර ක්රියාත්මක කිරීම බහාලුම් අථත්යකරණ තාක්ෂණය ක්රියාත්මක කරන අථත්යකරණ පරිසරයේ මූලද්රව්යවලට අදාළව ද සාදෘශ්යයෙන් සිදු කළ යුතුය.
එයින් අදහස් කරන්නේ කුමක් ද
මහ බැංකු තොරතුරු ආරක්ෂණ දෙපාර්තමේන්තුවේ ප්රතිචාරයෙන් ප්රධාන නිගමන දෙකක්:
- බහාලුම් ආරක්ෂා කිරීම සඳහා වන පියවර අථත්ය යන්ත්ර ආරක්ෂා කිරීමේ පියවරයන්ගෙන් වෙනස් නොවේ;
- තොරතුරු සුරක්ෂිතතාවයේ සන්දර්භය තුළ, මහ බැංකුව අථත්යකරණ වර්ග දෙකකට සමාන කරයි - ඩොකර් බහාලුම් සහ වීඑම්.
ප්රතිචාරයේ තර්ජන උදාසීන කිරීම සඳහා යෙදිය යුතු “වන්දි ක්රියාමාර්ග” ගැන ද සඳහන් වේ. මෙම "වන්දි ක්රියාමාර්ග" යනු කුමක්ද සහ ඒවායේ ප්රමාණවත් බව, සම්පූර්ණත්වය සහ සඵලතාවය මැනිය හැක්කේ කෙසේද යන්න පැහැදිලි නැත.
මහ බැංකුවේ ස්ථාවරයේ වරද කුමක්ද?
ඔබ තක්සේරු කිරීමේදී (සහ ස්වයං තක්සේරුව) මහ බැංකුවේ නිර්දේශ භාවිතා කරන්නේ නම්, ඔබට තාක්ෂණික හා තාර්කික දුෂ්කරතා ගණනාවක් විසඳා ගත යුතුය.
- එක් එක් ක්රියාත්මක කළ හැකි බහාලුම් සඳහා තොරතුරු ආරක්ෂණ මෘදුකාංග (IP) ස්ථාපනය කිරීම අවශ්ය වේ: ප්රති-වයිරස, අඛණ්ඩතාව අධීක්ෂණය, ලඝු-සටහන් සමඟ වැඩ කිරීම, DLP පද්ධති (දත්ත කාන්දු වීම වැළැක්වීම) සහ යනාදිය. මේ සියල්ල කිසිදු ගැටළුවක් නොමැතිව VM මත ස්ථාපනය කළ හැකිය, නමුත් බහාලුමක් සම්බන්ධයෙන්, තොරතුරු ආරක්ෂාව ස්ථාපනය කිරීම විකාර පියවරකි. සේවාව ක්රියාත්මක වීමට අවශ්ය අවම “ශරීර කට්ටලය” කන්ටේනරයේ අඩංගු වේ. එහි SZI ස්ථාපනය කිරීම එහි අර්ථයට පටහැනි වේ.
- බහාලුම් පින්තූර එකම මූලධර්මය අනුව ආරක්ෂා කළ යුතුය; මෙය ක්රියාත්මක කරන්නේ කෙසේද යන්න ද අපැහැදිලි ය.
- GOST ට සේවාදායක අථත්යකරණ සංරචක වෙත ප්රවේශය සීමා කිරීම අවශ්ය වේ, එනම්, හයිපර්වයිසර් වෙත. ඩොකර් සම්බන්ධයෙන් සේවාදායක සංරචකයක් ලෙස සලකන්නේ කුමක්ද? මෙයින් අදහස් කරන්නේ එක් එක් බහාලුම් වෙනම ධාරකයක් මත ධාවනය කළ යුතු බව නොවේද?
- සාම්ප්රදායික අථත්යකරණය සඳහා ආරක්ෂක සමෝච්ඡයන් සහ ජාල කොටස් මගින් VM සීමා කිරීමට හැකි නම්, එම සත්කාරකයේම ඇති Docker බහාලුම් සම්බන්ධයෙන්, මෙය එසේ නොවේ.
ප්රායෝගිකව, එක් එක් විගණකවරයා තමාගේම දැනුම සහ අත්දැකීම් මත පදනම්ව, තමාගේම ආකාරයෙන් බහාලුම්වල ආරක්ෂාව තක්සේරු කරනු ඇත. හොඳයි, නැතහොත් එකක් හෝ අනෙකක් නොමැති නම් එය කිසිසේත් ඇගයීමට ලක් නොකරන්න.
යම් අවස්ථාවක දී, අපි 1 ජනවාරි 2021 සිට අවම ලකුණු 0,7 ට වඩා අඩු නොවිය යුතු බව එකතු කරන්නෙමු.
මාර්ගය වන විට, අපි අපගේ GOST 57580 සහ මහ බැංකු රෙගුලාසිවල අවශ්යතාවලට අදාළ නියාමකයින්ගේ ප්රතිචාර සහ අදහස් නිතිපතා පළ කරන්නෙමු. .
කළ යුතු දේ
අපගේ මතය අනුව, මූල්ය සංවිධානවලට ගැටලුව විසඳීම සඳහා ඇත්තේ විකල්ප දෙකක් පමණි.
1. බහාලුම් ක්රියාත්මක කිරීමෙන් වළකින්න
දෘඪාංග අථත්යකරණය පමණක් භාවිතා කිරීමට සහ ඒ සමගම GOST අනුව අඩු ශ්රේණිගත කිරීම් සහ මහ බැංකුවෙන් දඩ මුදල් සඳහා බිය වන අය සඳහා විසඳුමක්.
A plus: GOST හි 7.8 උපවගන්තියේ අවශ්යතා සමග අනුකූල වීම පහසුය.
අඩු: අපට බහාලුම් අථත්යකරණය මත පදනම් වූ නව සංවර්ධන මෙවලම් අත්හැරීමට සිදුවනු ඇත, විශේෂයෙන් ඩොකර් සහ කුබර්නෙට්ස්.
2. GOST හි 7.8 උපවගන්තියේ අවශ්යතා සමග අනුකූල වීම ප්රතික්ෂේප කිරීම
නමුත් ඒ සමඟම, බහාලුම් සමඟ වැඩ කිරීමේදී තොරතුරු ආරක්ෂාව සහතික කිරීම සඳහා හොඳම භාවිතයන් යොදන්න. මෙය නව තාක්ෂණයන් සහ ඔවුන් ලබා දෙන අවස්ථාවන් අගය කරන අයට විසඳුමකි. "හොඳම භාවිතයන්" යන්නෙන් අපි අදහස් කරන්නේ ඩොකර් බහාලුම්වල ආරක්ෂාව සහතික කිරීම සඳහා කර්මාන්තය පිළිගත් සම්මතයන් සහ ප්රමිතීන් ය:
- සත්කාරක මෙහෙයුම් පද්ධතියේ ආරක්ෂාව, නිසි ලෙස වින්යාස කර ඇති ලොග් වීම, බහාලුම් අතර දත්ත හුවමාරුව තහනම් කිරීම සහ යනාදිය;
- රූපවල අඛණ්ඩතාව පරීක්ෂා කිරීම සඳහා ඩොකර් භාර ශ්රිතය භාවිතා කිරීම සහ ගොඩනඟන ලද අවදානම් ස්කෑනරය භාවිතා කිරීම;
- දුරස්ථ ප්රවේශයේ ආරක්ෂාව සහ සමස්තයක් ලෙස ජාල ආකෘතිය ගැන අප අමතක නොකළ යුතුය: ARP-spoofing සහ MAC-ගංවතුර වැනි ප්රහාර අවලංගු කර නැත.
A plus: බහාලුම් අථත්යකරණය භාවිතය පිළිබඳ තාක්ෂණික සීමාවන් නොමැත.
අඩු: GOST අවශ්යතා සමග අනුකූල නොවීම සඳහා නියාමකයා දඬුවම් කරනු ඇති බවට ඉහළ සම්භාවිතාවක් ඇත.
නිගමනය
අපගේ සේවාදායකයා කන්ටේනර් අත් නොහැරීමට තීරණය කළේය. ඒ අතරම, ඔහුට වැඩ කිරීමේ විෂය පථය සහ ඩොකර් වෙත මාරුවීමේ කාලය සැලකිය යුතු ලෙස නැවත සලකා බැලීමට සිදු විය (ඔවුන් මාස හයක් පැවතුනි). සේවාදායකයා අවදානම හොඳින් තේරුම් ගනී. GOST R 57580 සමඟ අනුකූල වීම පිළිබඳ ඊළඟ තක්සේරුවේදී, බොහෝ දේ විගණකවරයා මත රඳා පවතින බව ද ඔහු තේරුම් ගනී.
මෙම තත්වය තුළ ඔබ කරන්නේ කුමක්ද?
මූලාශ්රය: www.habr.com