ProHoster > Blog > Administrácia > Ako sa spriateliť s GOST R 57580 a virtualizáciou kontajnerov. Reakcia centrálnej banky (a naše myšlienky na túto záležitosť)

Ako sa spriateliť s GOST R 57580 a virtualizáciou kontajnerov. Reakcia centrálnej banky (a naše myšlienky na túto záležitosť)

Nedávno sme vykonali ďalšie posúdenie zhody s požiadavkami GOST R 57580 (ďalej len jednoducho GOST). Klientom je spoločnosť, ktorá vyvíja elektronický platobný systém. Systém je vážny: viac ako 3 milióny používateľov, viac ako 200 tisíc transakcií denne. Tam berú informačnú bezpečnosť veľmi vážne.

Počas procesu hodnotenia klient len ​​tak mimochodom oznámil, že vývojové oddelenie plánuje okrem virtuálnych strojov využívať aj kontajnery. Ale s týmto, dodal klient, je tu jeden problém: v GOST nie je ani slovo o rovnakom Dockerovi. Čo mám robiť? Ako vyhodnotiť bezpečnosť kontajnerov?

Ako sa spriateliť s GOST R 57580 a virtualizáciou kontajnerov. Reakcia centrálnej banky (a naše myšlienky na túto záležitosť)

Je pravda, že GOST píše iba o virtualizácii hardvéru - o tom, ako chrániť virtuálne stroje, hypervízor a server. Požiadali sme centrálnu banku o vysvetlenie. Odpoveď nás zaskočila.

GOST a virtualizácia

Na začiatok si pripomeňme, že GOST R 57580 je nový štandard, ktorý špecifikuje „požiadavky na zaistenie informačnej bezpečnosti finančných organizácií“ (FI). Tieto FI zahŕňajú prevádzkovateľov a účastníkov platobných systémov, úverové a neúverové organizácie, operačné a zúčtovacie strediská.

Od 1. januára 2021 sú FI povinní vykonávať posúdenie súladu s požiadavkami novej GOST. My, ITGLOBAL.COM, sme audítorská spoločnosť, ktorá vykonáva takéto hodnotenia.

GOST má podsekciu venovanú ochrane virtualizovaných prostredí - č. 7.8. Pojem „virtualizácia“ tam nie je špecifikovaný, neexistuje rozdelenie na virtualizáciu hardvéru a kontajnerov. Každý IT špecialista povie, že z technického hľadiska je to nesprávne: virtuálny stroj (VM) a kontajner sú rôzne prostredia s rôznymi princípmi izolácie. Z pohľadu zraniteľnosti hostiteľa, na ktorom sú nasadené kontajnery VM a Docker, je to tiež veľký rozdiel.

Ukazuje sa, že aj hodnotenie informačnej bezpečnosti VM a kontajnerov by malo byť odlišné.

Naše otázky centrálnej banke

Poslali sme ich na odbor informačnej bezpečnosti centrálnej banky (otázky uvádzame v skrátenej forme).

  1. Ako zvážiť virtuálne kontajnery typu Docker pri posudzovaní súladu s GOST? Je správne hodnotiť technológiu v súlade s pododdielom 7.8 GOST?
  2. Ako hodnotiť nástroje na správu virtuálnych kontajnerov? Je možné ich prirovnať k komponentom virtualizácie serverov a hodnotiť ich podľa rovnakej podsekcie GOST?
  3. Musím samostatne vyhodnotiť bezpečnosť informácií v kontajneroch Docker? Ak áno, aké záruky by sa v tomto prípade mali zvážiť počas procesu posudzovania?
  4. Ak sa kontajnerizácia rovná virtuálnej infraštruktúre a posudzuje sa podľa pododdielu 7.8, ako sú implementované požiadavky GOST na implementáciu špeciálnych nástrojov informačnej bezpečnosti?

Reakcia centrálnej banky

Nižšie sú uvedené hlavné úryvky.

„GOST R 57580.1-2017 stanovuje požiadavky na implementáciu aplikáciou technických opatrení vo vzťahu k nasledujúcim opatreniam ZI pododdiel 7.8 GOST R 57580.1-2017, ktoré je podľa názoru rezortu možné rozšíriť aj na prípady použitia virtualizácie kontajnerov technológie, berúc do úvahy nasledovné:

  • implementácia opatrení ZSV.1 - ZSV.11 na organizáciu identifikácie, autentifikácie, autorizácie (riadenie prístupu) pri implementácii logického prístupu k virtuálnym strojom a komponentom virtualizačného servera sa môže líšiť od prípadov použitia technológie kontajnerovej virtualizácie. Berúc do úvahy túto skutočnosť, za účelom implementácie viacerých opatrení (napr. ZVS.6 a ZVS.7) sa domnievame, že je možné odporučiť, aby finančné inštitúcie vypracovali kompenzačné opatrenia, ktoré budú sledovať rovnaké ciele;
  • implementácia opatrení ZSV.13 - ZSV.22 na organizáciu a riadenie interakcie informácií virtuálnych strojov zabezpečuje segmentáciu počítačovej siete finančnej organizácie na rozlíšenie informačných objektov, ktoré implementujú virtualizačnú technológiu a patria do rôznych bezpečnostných okruhov. Berúc do úvahy túto skutočnosť považujeme za vhodné zabezpečiť vhodnú segmentáciu pri použití technológie virtualizácie kontajnerov (vo vzťahu k spustiteľným virtuálnym kontajnerom, ako aj vo vzťahu k virtualizačným systémom používaným na úrovni operačného systému);
  • implementácia opatrení ZSV.26, ZSV.29 - ZSV.31 na organizáciu ochrany obrazov virtuálnych strojov by sa mala vykonávať analogicky aj za účelom ochrany základných a aktuálnych obrazov virtuálnych kontajnerov;
  • implementácia opatrení ZVS.32 - ZVS.43 na zaznamenávanie udalostí informačnej bezpečnosti súvisiacich s prístupom k virtuálnym strojom a komponentom virtualizácie serverov by sa mala vykonávať analogicky aj vo vzťahu k prvkom virtualizačného prostredia, ktoré implementujú technológiu kontajnerovej virtualizácie.“

Čo to znamená

Dva hlavné závery z odpovede oddelenia informačnej bezpečnosti centrálnej banky:

  • opatrenia na ochranu kontajnerov sa nelíšia od opatrení na ochranu virtuálnych strojov;
  • Z toho vyplýva, že centrálna banka v rámci informačnej bezpečnosti stotožňuje dva typy virtualizácie – kontajnery Docker a VM.

V odpovedi sa spomínajú aj „kompenzačné opatrenia“, ktoré je potrebné uplatniť na neutralizáciu hrozieb. Nie je jasné, čo sú tieto „kompenzačné opatrenia“ a ako merať ich primeranosť, úplnosť a účinnosť.

Čo je zlé na pozícii centrálnej banky?

Ak pri hodnotení (a sebahodnotení) využijete odporúčania centrálnej banky, musíte vyriešiť množstvo technických a logických ťažkostí.

  • Každý spustiteľný kontajner vyžaduje inštaláciu softvéru na ochranu informácií (IP): antivírus, monitorovanie integrity, práca s protokolmi, systémy DLP (prevencia úniku údajov) atď. To všetko sa dá bez problémov nainštalovať na VM, no v prípade kontajnera je inštalácia informačnej bezpečnosti absurdný ťah. Nádoba obsahuje minimálne množstvo „body kit“, ktoré je potrebné na fungovanie služby. Inštalácia SZI v ňom odporuje jeho významu.
  • Obrázky kontajnerov by mali byť chránené podľa rovnakého princípu; nie je tiež jasné, ako to implementovať.
  • GOST vyžaduje obmedzenie prístupu ku komponentom virtualizácie servera, t. j. k hypervízoru. Čo sa považuje za serverový komponent v prípade Docker? Neznamená to, že každý kontajner musí byť spustený na samostatnom hostiteľovi?
  • Ak je pre konvenčnú virtualizáciu možné vymedziť VM bezpečnostnými obrysmi a segmentmi siete, potom v prípade kontajnerov Docker v rámci toho istého hostiteľa to neplatí.

V praxi je pravdepodobné, že každý audítor posúdi bezpečnosť kontajnerov po svojom, na základe vlastných vedomostí a skúseností. No, alebo to vôbec nehodnotiť, ak neexistuje ani jedno, ani druhé.

Pre každý prípad dodáme, že od 1. januára 2021 nesmie byť minimálne skóre nižšie ako 0,7.

Mimochodom, pravidelne uverejňujeme odpovede a komentáre regulačných orgánov týkajúce sa požiadaviek GOST 57580 a nariadení centrálnej banky v našom Telegramový kanál.

Čo robiť

Podľa nášho názoru majú finančné organizácie len dve možnosti riešenia problému.

1. Vyhnite sa implementácii kontajnerov

Riešenie pre tých, ktorí sú pripravení dovoliť si používať iba hardvérovú virtualizáciu a zároveň sa obávajú nízkeho hodnotenia podľa GOST a pokút od centrálnej banky.

a navyše: je jednoduchšie splniť požiadavky pododdielu 7.8 GOST.

mínus: Budeme musieť opustiť nové vývojové nástroje založené na virtualizácii kontajnerov, najmä Docker a Kubernetes.

2. Odmietnite splniť požiadavky pododdielu 7.8 GOST

Zároveň však pri práci s kontajnermi aplikujte osvedčené postupy pri zabezpečovaní informačnej bezpečnosti. Toto je riešenie pre tých, ktorí si cenia nové technológie a príležitosti, ktoré poskytujú. „Osvedčenými postupmi“ rozumieme priemyselne akceptované normy a štandardy na zaistenie bezpečnosti kontajnerov Docker:

  • bezpečnosť hostiteľského OS, správne nakonfigurované protokolovanie, zákaz výmeny údajov medzi kontajnermi atď.;
  • používanie funkcie Docker Trust na kontrolu integrity obrázkov a používanie vstavaného skenera zraniteľnosti;
  • Nesmieme zabudnúť ani na bezpečnosť vzdialeného prístupu a sieťový model ako celok: útoky ako ARP-spoofing a MAC-flooding neboli zrušené.

a navyše: žiadne technické obmedzenia pri používaní virtualizácie kontajnerov.

mínus: existuje vysoká pravdepodobnosť, že regulátor potrestá za nedodržanie požiadaviek GOST.

Záver

Náš klient sa rozhodol nevzdať kontajnerov. Zároveň musel výrazne prehodnotiť rozsah prác a načasovanie prechodu na Docker (trvali šesť mesiacov). Klient veľmi dobre rozumie rizikám. Tiež chápe, že pri ďalšom posudzovaní súladu s GOST R 57580 bude veľa závisieť od audítora.

Čo by ste robili v tejto situácii?

Zdroj: hab.com

Pridať komentár