Nekega dne smo prejeli zahtevo za storitve v oblaku. Na splošno smo orisali, kaj se od nas zahteva, in vrnili seznam vprašanj, da bi pojasnili podrobnosti. Nato smo odgovore analizirali in ugotovili: stranka želi osebne podatke druge stopnje varnosti postaviti v oblak. Odgovorimo mu: "Imate drugo raven osebnih podatkov, žal lahko ustvarimo samo zasebni oblak." On pa: “Veš, ampak v podjetju X mi lahko vse javno objavijo.”
Foto: Steve Crisp, Reuters
Čudne stvari! Šli smo na spletno stran podjetja X, preučili njihove certifikacijske dokumente, zmajali z glavami in ugotovili: odprtih vprašanj pri objavljanju osebnih podatkov je veliko in treba jih je temeljito obravnavati. To bomo storili v tej objavi.
Kako naj vse deluje
Najprej ugotovimo, katera merila se uporabljajo za razvrščanje osebnih podatkov na eno ali drugo raven varnosti. To je odvisno od kategorije podatkov, števila subjektov teh podatkov, ki jih operater hrani in obdeluje, ter vrste trenutnih groženj.
Vrste trenutnih groženj so opredeljene v z dne 1. novembra 2012 "O odobritvi zahtev za varstvo osebnih podatkov med njihovo obdelavo v informacijskih sistemih osebnih podatkov":
»Grožnje tipa 1 so pomembne za informacijski sistem, če vključuje aktualne grožnje, povezane z s prisotnostjo nedokumentiranih (nedeklariranih) zmogljivosti v sistemski programski opremiuporabljajo v informacijskem sistemu.
Grožnje 2. vrste so pomembne za informacijski sistem, vključno z aktualne grožnje, povezane z s prisotnostjo nedokumentiranih (nedeklariranih) zmogljivosti v aplikacijski programski opremiuporabljajo v informacijskem sistemu.
Grožnje 3. vrste so pomembne za informacijski sistem, če zanj grožnje, ki niso povezane s prisotnostjo nedokumentiranih (nedeklariranih) zmogljivosti v sistemski in aplikativni programski opremiuporablja v informacijskem sistemu."
Glavna stvar v teh definicijah je prisotnost nedokumentiranih (neprijavljenih) zmogljivosti. Za potrditev odsotnosti nedokumentiranih zmogljivosti programske opreme (v primeru oblaka je to hipervizor), certificiranje izvaja FSTEC Rusije. Če se operater PD strinja, da v programski opremi ni takih zmožnosti, potem so ustrezne grožnje nepomembne. Grožnje tipa 1 in 2 operaterji PD zelo redko obravnavajo kot pomembne.
Poleg določitve stopnje varnosti PD mora upravljavec določiti tudi konkretne aktualne grožnje javnemu oblaku ter na podlagi ugotovljene stopnje varnosti PD in aktualnih groženj določiti potrebne ukrepe in načine zaščite pred njimi.
FSTEC jasno navaja vse glavne grožnje v (baza podatkov o nevarnostih). Ponudniki in ocenjevalci infrastrukture v oblaku uporabljajo to podatkovno bazo pri svojem delu. Tukaj so primeri groženj:
: "Grožnja je možnost kršitve varnosti uporabniških podatkov programov, ki delujejo znotraj virtualnega stroja, s strani zlonamerne programske opreme, ki deluje zunaj virtualnega stroja." Ta grožnja je posledica prisotnosti ranljivosti v programski opremi hipervizorja, ki zagotavlja, da je naslovni prostor, ki se uporablja za shranjevanje uporabniških podatkov za programe, ki delujejo znotraj virtualnega stroja, izoliran od nepooblaščenega dostopa zlonamerne programske opreme, ki deluje zunaj virtualnega stroja.
Implementacija te grožnje je možna pod pogojem, da zlonamerna programska koda uspešno premaga meje virtualnega stroja, ne samo z izkoriščanjem ranljivosti hipervizorja, temveč tudi z izvajanjem tovrstnega vpliva z nižjih (glede na hipervizor) nivojev delovanje sistema."
: »Grožnja je v možnosti nepooblaščenega dostopa do zaščitenih informacij enega uporabnika storitve v oblaku od drugega. Ta grožnja je posledica dejstva, da morajo uporabniki storitev v oblaku zaradi narave tehnologij v oblaku deliti isto infrastrukturo v oblaku. Ta grožnja se lahko uresniči, če pride do napak pri ločevanju elementov infrastrukture v oblaku med porabniki storitev v oblaku, pa tudi pri izolaciji njihovih virov in ločevanju podatkov drug od drugega.«
Pred temi grožnjami se lahko zaščitite le s pomočjo hipervizorja, saj je ta tisti, ki upravlja z virtualnimi viri. Zato je treba hipervizor obravnavati kot sredstvo zaščite.
In v skladu z z dne 18. februarja 2013 mora biti hipervizor certificiran kot non-NDV na ravni 4, sicer bo uporaba osebnih podatkov ravni 1 in 2 z njim nezakonita („Klavzula 12. ... Za zagotavljanje 1. in 2. stopnje varnosti osebnih podatkov ter za zagotavljanje 3. stopnje varnosti osebnih podatkov v informacijskih sistemih, za katere so grožnje tipa 2 opredeljene kot aktualne, se uporabljajo orodja za informacijsko varnost, katerih programska oprema je bila testiran vsaj po 4 stopnji nadzora nad odsotnostjo neprijavljenih zmogljivosti").
Samo en hipervizor, razvit v Rusiji, ima zahtevano stopnjo certifikata, NDV-4. . Milo rečeno, ne najbolj priljubljena rešitev. Komercialni oblaki so praviloma zgrajeni na podlagi VMware vSphere, KVM, Microsoft Hyper-V. Noben od teh izdelkov nima certifikata NDV-4. Zakaj? Verjetno pridobitev takega certifikata za proizvajalce še ni ekonomsko upravičena.
In vse, kar nam ostane za osebne podatke ravni 1 in 2 v javnem oblaku, je Horizon BC. Žalostno ampak resnično.
Kako vse (po našem mnenju) zares deluje
Na prvi pogled je vse precej strogo: te grožnje je treba odpraviti s pravilno konfiguracijo standardnih zaščitnih mehanizmov hipervizorja, certificiranega po NDV-4. Vendar obstaja ena vrzel. V skladu z odredbo FSTEC št. 21 (»2.čl. Varnost osebnih podatkov pri obdelavi v informacijskem sistemu osebnih podatkov (v nadaljevanju informacijski sistem) zagotavlja upravljavec oziroma oseba, ki v imenu upravljavca obdeluje osebne podatke v skladu z Ruska federacija"), ponudniki samostojno ocenijo pomembnost morebitnih groženj in v skladu s tem izberejo zaščitne ukrepe. Če torej grožnji UBI.44 in UBI.101 ne sprejmete kot aktualni, potem ne bo potrebe po uporabi hipervizorja, certificiranega po NDV-4, ki naj bi prav pred njima zagotavljal zaščito. In to bo dovolj za pridobitev potrdila o skladnosti javnega oblaka s 1. in 2. stopnjo varnosti osebnih podatkov, s čimer bo Roskomnadzor popolnoma zadovoljen.
Seveda lahko poleg Roskomnadzorja FSTEC pride z inšpekcijo - in ta organizacija je v tehničnih zadevah veliko bolj natančna. Verjetno jo bo zanimalo, zakaj sta bili ravno grožnji UBI.44 in UBI.101 ocenjeni kot nepomembni? Toda FSTEC običajno opravi inšpekcijo šele, ko prejme informacije o kakšnem pomembnem incidentu. V tem primeru zvezna služba najprej pride do operaterja osebnih podatkov - torej stranke storitev v oblaku. V najslabšem primeru operater dobi majhno kazen - na primer za Twitter v začetku leta v podobnem primeru znašal 5000 rubljev. Nato gre FSTEC naprej do ponudnika storitev v oblaku. Ki jim lahko odvzamejo licenco zaradi neizpolnjevanja regulativnih zahtev - in to so povsem drugačna tveganja, tako za ponudnika oblaka kot za njegove stranke. Ampak, ponavljam, Za preverjanje FSTEC običajno potrebujete jasen razlog. Ponudniki oblakov so torej pripravljeni tvegati. Do prvega resnega incidenta.
Obstaja tudi skupina »odgovornejših« ponudnikov, ki menijo, da je možno zapreti vse grožnje z dodajanjem dodatka, kot je vGate v hipervizor. Toda v virtualnem okolju, porazdeljenem med stranke za nekatere grožnje (na primer zgornji UBI.101), je učinkovit zaščitni mehanizem mogoče implementirati le na ravni hipervizorja, certificiranega v skladu z NDV-4, saj so vsi dodatni sistemi za standardne funkcije hipervizorja za upravljanje virov (zlasti RAM) ne vplivajo.
Kako delamo
Imamo implementiran segment oblaka na hipervizorju, certificiranem s strani FSTEC (vendar brez certifikata za NDV-4). Ta segment je certificiran, zato se osebni podatki lahko na njegovi podlagi hranijo v oblaku 3 in 4 stopnje varnosti — tukaj ni treba upoštevati zahtev za zaščito pred nenajavljenimi zmogljivostmi. Mimogrede, tukaj je arhitektura našega segmenta varnega oblaka:
Sistemi za osebne podatke 1 in 2 stopnje varnosti Izvajamo samo na namenski opremi. Samo v tem primeru na primer grožnja UBI.101 res ni relevantna, saj strežniške police, ki niso združene v eno virtualno okolje, ne morejo vplivati druga na drugo, tudi če se nahajajo v istem podatkovnem centru. Za takšne primere nudimo namensko storitev najema opreme (imenujemo jo tudi strojna oprema kot storitev).
Če niste prepričani, kakšna stopnja varnosti je potrebna za vaš sistem osebnih podatkov, vam pomagamo tudi pri klasifikaciji.
Izhod
Naša majhna tržna raziskava je pokazala, da so nekateri operaterji v oblaku precej pripravljeni tvegati tako varnost podatkov strank kot lastno prihodnost, da bi prejeli naročilo. Toda v teh zadevah se držimo drugačne politike, ki smo jo na kratko opisali zgoraj. Z veseljem vam bomo odgovorili na vaša vprašanja v komentarjih.
Vir: www.habr.com