Jedného dňa sme dostali požiadavku na cloudové služby. Vo všeobecnosti sme načrtli, čo sa od nás bude vyžadovať, a poslali sme späť zoznam otázok, aby sme objasnili podrobnosti. Potom sme analyzovali odpovede a uvedomili sme si: zákazník chce umiestniť osobné údaje druhého stupňa zabezpečenia do cloudu. Odpovedáme mu: „Máte druhú úroveň osobných údajov, prepáčte, môžeme vytvoriť iba súkromný cloud.“ A on: "Vieš, ale v spoločnosti X mi môžu všetko zverejniť."
Autor fotografie: Steve Crisp, Reuters
Zvláštne veci! Išli sme na webovú stránku spoločnosti X, preštudovali sme ich certifikačné dokumenty, pokrútili hlavami a uvedomili sme si: v umiestňovaní osobných údajov je veľa otvorených otázok a mali by sme ich dôkladne riešiť. To je to, čo urobíme v tomto príspevku.
Ako by malo všetko fungovať
Po prvé, poďme zistiť, aké kritériá sa používajú na klasifikáciu osobných údajov ako jednej alebo druhej úrovne zabezpečenia. To závisí od kategórie údajov, počtu subjektov týchto údajov, ktoré prevádzkovateľ uchováva a spracúva, ako aj od typu aktuálnych hrozieb.
Typy aktuálnych hrozieb sú definované v zo dňa 1 „O schválení požiadaviek na ochranu osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“:
„Hrozby 1. typu sú relevantné pre informačný systém, ak obsahuje aktuálne hrozby súvisiace s s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v systémovom softvéripoužívané v informačnom systéme.
Hrozby 2. typu sú relevantné pre informačný systém, ak preň, vrátane aktuálne hrozby súvisiace s s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v aplikačnom softvéripoužívané v informačnom systéme.
Hrozby 3. typu sú relevantné pre informačný systém, ak preň hrozby, ktoré spolu nesúvisia s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v systémovom a aplikačnom softvéripoužívané v informačnom systéme“.
Hlavná vec v týchto definíciách je prítomnosť nezdokumentovaných (nedeklarovaných) schopností. Na potvrdenie absencie nezdokumentovaných softvérových schopností (v prípade cloudu ide o hypervízor) certifikáciu vykonáva ruský FSTEC. Ak operátor PD akceptuje, že v softvéri nie sú žiadne takéto schopnosti, potom sú príslušné hrozby irelevantné. Hrozby typu 1 a 2 považujú operátori PD za relevantné veľmi zriedkavo.
Okrem stanovenia úrovne zabezpečenia PD musí prevádzkovateľ určiť aj konkrétne aktuálne hrozby pre verejný cloud a na základe zistenej úrovne zabezpečenia PD a aktuálnych hrozieb určiť potrebné opatrenia a prostriedky ochrany pred nimi.
FSTEC jasne uvádza všetky hlavné hrozby v (databáza hrozieb). Poskytovatelia cloudovej infraštruktúry a hodnotitelia využívajú túto databázu pri svojej práci. Tu sú príklady hrozieb:
: „Hrozbou je možnosť narušenia bezpečnosti používateľských údajov programov fungujúcich vo virtuálnom stroji škodlivým softvérom pôsobiacim mimo virtuálneho stroja.“ Táto hrozba je spôsobená prítomnosťou zraniteľností v softvéri hypervízora, ktorý zaisťuje, že adresný priestor používaný na ukladanie používateľských údajov pre programy fungujúce vo virtuálnom stroji je izolovaný od neoprávneného prístupu škodlivého softvéru pôsobiaceho mimo virtuálneho stroja.
Implementácia tejto hrozby je možná za predpokladu, že škodlivý programový kód úspešne prekoná hranice virtuálneho stroja, a to nielen využitím zraniteľností hypervízora, ale aj vykonaním takéhoto zásahu z nižších (vo vzťahu k hypervízoru) úrovní fungovanie systému."
: „Hrozba spočíva v možnosti neoprávneného prístupu k chráneným informáciám jedného spotrebiteľa cloudovej služby od druhého. Táto hrozba je spôsobená skutočnosťou, že v dôsledku povahy cloudových technológií musia spotrebitelia cloudových služieb zdieľať rovnakú cloudovú infraštruktúru. Túto hrozbu je možné realizovať, ak dôjde k chybám pri oddeľovaní prvkov cloudovej infraštruktúry medzi spotrebiteľmi cloudových služieb, ako aj pri izolácii ich zdrojov a oddeľovaní údajov od seba navzájom.“
Proti týmto hrozbám sa môžete chrániť iba pomocou hypervízora, keďže práve on spravuje virtuálne zdroje. Hypervízor sa teda musí považovať za prostriedok ochrany.
A v súlade s zo dňa 18. februára 2013 musí byť hypervízor certifikovaný ako non-NDV na úrovni 4, inak bude používanie osobných údajov úrovne 1 a 2 s ním nezákonné ("Ustanovenie 12. ... Na zabezpečenie 1. a 2. úrovne bezpečnosti osobných údajov, ako aj na zabezpečenie 3. úrovne bezpečnosti osobných údajov v informačných systémoch, pre ktoré sú hrozby 2. typu klasifikované ako aktuálne, sa používajú nástroje informačnej bezpečnosti, ktorých programové vybavenie bolo testované aspoň podľa 4 úrovní kontroly absencie nedeklarovaných schopností“).
Iba jeden hypervízor, vyvinutý v Rusku, má požadovanú úroveň certifikácie, NDV-4. . Mierne povedané, nie najobľúbenejšie riešenie. Komerčné cloudy sú spravidla postavené na báze VMware vSphere, KVM, Microsoft Hyper-V. Žiadny z týchto produktov nemá certifikát NDV-4. prečo? Je pravdepodobné, že získanie takejto certifikácie pre výrobcov zatiaľ nie je ekonomicky opodstatnené.
A pre osobné údaje úrovne 1 a 2 vo verejnom cloude nám ostáva už len Horizon BC. Smutné ale pravdivé.
Ako všetko (podľa nás) naozaj funguje
Na prvý pohľad je všetko dosť prísne: tieto hrozby je potrebné eliminovať správnou konfiguráciou štandardných ochranných mechanizmov hypervízora certifikovaného podľa NDV-4. Je tu však jedna medzera. V súlade s príkazom FSTEC č. 21 („bod 2 Bezpečnosť osobných údajov pri spracúvaní v informačnom systéme osobných údajov (ďalej len informačný systém) zabezpečuje prevádzkovateľ alebo osoba spracúvajúca osobné údaje v mene prevádzkovateľa v súlade s ust. Ruská federácia"), poskytovatelia nezávisle posudzujú relevantnosť možných hrozieb a podľa toho volia ochranné opatrenia. Ak teda neakceptujete hrozby UBI.44 a UBI.101 ako aktuálne, potom nebude potrebné používať hypervízor certifikovaný podľa NDV-4, čo je práve to, čo by malo poskytnúť ochranu proti nim. A to bude stačiť na získanie certifikátu o súlade verejného cloudu s 1. a 2. úrovňou zabezpečenia osobných údajov, s čím bude Roskomnadzor úplne spokojný.
Samozrejme, že okrem Roskomnadzoru môže prísť s kontrolou aj FSTEC – a táto organizácia je v technických záležitostiach oveľa pedantnejšia. Asi ju bude zaujímať, prečo práve hrozby UBI.44 a UBI.101 považovali za irelevantné? FSTEC však zvyčajne vykoná kontrolu iba vtedy, keď dostane informácie o nejakom významnom incidente. V tomto prípade federálna služba prichádza najskôr k prevádzkovateľovi osobných údajov – teda zákazníkovi cloudových služieb. V horšom prípade dostane operátor malú pokutu – napríklad za Twitter na začiatku roka v podobnom prípade predstavoval 5000 XNUMX rubľov. Potom FSTEC ide ďalej k poskytovateľovi cloudových služieb. Ktoré môžu byť zbavené licencie z dôvodu nedodržania regulačných požiadaviek – a to sú úplne iné riziká, ako pre poskytovateľa cloudu, tak aj pre jeho klientov. Ale opakujem, Na kontrolu FSTEC zvyčajne potrebujete jasný dôvod. Poskytovatelia cloudu sú teda ochotní riskovať. Až do prvého vážneho incidentu.
Existuje aj skupina „zodpovednejších“ poskytovateľov, ktorí veria, že je možné ukončiť všetky hrozby pridaním doplnku ako vGate do hypervízora. Ale vo virtuálnom prostredí distribuovanom medzi zákazníkov pre niektoré hrozby (napríklad vyššie uvedený UBI.101) je možné efektívny ochranný mechanizmus implementovať len na úrovni hypervízora certifikovaného podľa NDV-4, keďže akékoľvek prídavné systémy na štandardné funkcie hypervízora na správu zdrojov (najmä RAM) neovplyvňujú.
Ako pracujeme
Cloudový segment máme implementovaný na hypervízore certifikovanom FSTEC (ale bez certifikácie pre NDV-4). Tento segment je certifikovaný, takže na jeho základe môžu byť osobné údaje uložené v cloude 3 a 4 úrovne zabezpečenia — tu nie je potrebné dodržiavať požiadavky na ochranu pred nedeklarovanými schopnosťami. Tu je, mimochodom, architektúra nášho bezpečného cloudového segmentu:
Systémy pre osobné údaje 1 a 2 úrovne zabezpečenia Realizujeme len na vyhradených zariadeniach. Napríklad len v tomto prípade nie je hrozba UBI.101 skutočne relevantná, pretože serverové racky, ktoré nie sú spojené jedným virtuálnym prostredím, sa nemôžu navzájom ovplyvňovať, ani keď sú umiestnené v rovnakom dátovom centre. Pre takéto prípady ponúkame službu prenájmu špeciálneho vybavenia (nazýva sa aj Hardware ako služba).
Ak si nie ste istí, aká úroveň zabezpečenia sa vyžaduje pre váš systém osobných údajov, pomáhame aj pri jeho klasifikácii.
Výkon
Náš malý prieskum trhu ukázal, že niektorí cloudoví operátori sú ochotní riskovať bezpečnosť zákazníckych dát aj vlastnú budúcnosť, aby dostali objednávku. Ale v týchto veciach sa držíme inej politiky, ktorú sme stručne opísali vyššie. Na vaše otázky radi odpovieme v komentároch.
Zdroj: hab.com