Pred kratkim smo izvedli še eno oceno skladnosti z zahtevami GOST R 57580 (v nadaljevanju samo GOST). Naročnik je podjetje, ki razvija sistem elektronskega plačevanja. Sistem je resen: več kot 3 milijone uporabnikov, več kot 200 tisoč transakcij dnevno. Tam varnost informacij jemljejo zelo resno.
Med ocenjevanjem je naročnik mimogrede napovedal, da razvojni oddelek poleg virtualnih strojev načrtuje uporabo kontejnerjev. Toda s tem, je dodal naročnik, obstaja ena težava: v GOST ni niti besede o istem Dockerju. Kaj naj naredim? Kako oceniti varnost zabojnikov?
Res je, GOST piše samo o virtualizaciji strojne opreme - o tem, kako zaščititi virtualne stroje, hipervizor in strežnik. Centralno banko smo prosili za pojasnilo. Odgovor nas je zmedel.
GOST in virtualizacija
Za začetek se spomnimo, da je GOST R 57580 nov standard, ki določa "zahteve za zagotavljanje informacijske varnosti finančnih organizacij" (FI). Te FI vključujejo operaterje in udeležence plačilnih sistemov, kreditne in nekreditne organizacije, operativne in klirinške centre.
Od 1. januarja 2021 morajo FI izvajati . Mi, ITGLOBAL.COM, smo revizijska družba, ki izvaja tovrstne ocene.
GOST ima pododdelek, namenjen zaščiti virtualiziranih okolij - št. 7.8. Izraz »virtualizacija« tam ni določen, ni delitve na strojno in vsebniško virtualizacijo. Vsak strokovnjak za informatiko bo rekel, da s tehničnega vidika to ni pravilno: virtualni stroj (VM) in vsebnik sta različni okolji z različnimi načeli izolacije. Z vidika ranljivosti gostitelja, na katerem sta nameščena vsebnika VM in Docker, je to tudi velika razlika.
Izkazalo se je, da bi morala biti tudi ocena informacijske varnosti VM in vsebnikov drugačna.
Naša vprašanja centralni banki
Poslali smo jih oddelku za informacijsko varnost centralne banke (vprašanja podajamo v skrajšani obliki).
- Kako upoštevati virtualne vsebnike tipa Docker pri ocenjevanju skladnosti z GOST? Ali je pravilno oceniti tehnologijo v skladu s pododdelkom 7.8 GOST?
- Kako oceniti orodja za upravljanje virtualnih vsebnikov? Ali jih je mogoče enačiti s komponentami za virtualizacijo strežnikov in jih oceniti v skladu z istim pododdelkom GOST?
- Ali moram posebej oceniti varnost informacij v vsebnikih Docker? Če da, katere zaščitne ukrepe je treba za to upoštevati med postopkom ocenjevanja?
- Če je kontejnerizacija enačena z virtualno infrastrukturo in se ocenjuje v skladu s pododdelkom 7.8, kako se izvajajo zahteve GOST za izvajanje posebnih orodij za varnost informacij?
Odgovor centralne banke
Spodaj so glavni odlomki.
„GOST R 57580.1-2017 določa zahteve za izvajanje z uporabo tehničnih ukrepov v zvezi z naslednjimi ukrepi ZI pododdelek 7.8 GOST R 57580.1-2017, ki se po mnenju Oddelka lahko razširijo na primere uporabe virtualizacije vsebnika. tehnologije, ob upoštevanju naslednjega:
- izvajanje ukrepov ZSV.1 - ZSV.11 za organizacijo identifikacije, avtentikacije, avtorizacije (nadzora dostopa) pri izvajanju logičnega dostopa do virtualnih strojev in komponent virtualizacijskega strežnika se lahko razlikuje od primerov uporabe tehnologije virtualizacije vsebnika. Upoštevaje navedeno, menimo, da je za izvajanje številnih ukrepov (npr. ZVS.6 in ZVS.7) možno predlagati, da finančne institucije razvijejo izravnalne ukrepe, ki bodo zasledovali enake cilje;
- izvajanje ukrepov ZSV.13 - ZSV.22 za organizacijo in nadzor informacijske interakcije virtualnih strojev predvideva segmentacijo računalniškega omrežja finančne organizacije za razlikovanje med objekti informatizacije, ki izvajajo tehnologijo virtualizacije in pripadajo različnim varnostnim vezjem. Ob upoštevanju tega menimo, da je pri uporabi tehnologije virtualizacije vsebnikov priporočljivo poskrbeti za ustrezno segmentacijo (tako v zvezi z izvršljivimi virtualnimi vsebniki kot tudi v zvezi s sistemi virtualizacije, ki se uporabljajo na ravni operacijskega sistema);
- izvajanje ukrepov ZSV.26, ZSV.29 - ZSV.31 za organizacijo varovanja slik virtualnih strojev naj poteka po analogiji tudi z namenom varovanja osnovnih in trenutnih slik virtualnih vsebnikov;
- izvajanje ukrepov ZVS.32 - ZVS.43 za evidentiranje informacijskovarnostnih dogodkov v zvezi z dostopom do virtualnih strojev in strežniških virtualizacijskih komponent naj bi se analogno izvajalo tudi v zvezi z elementi virtualizacijskega okolja, ki izvajajo tehnologijo virtualizacije vsebnikov.«
Kaj to pomeni
Dva glavna sklepa iz odgovora oddelka za informacijsko varnost centralne banke:
- ukrepi za zaščito vsebnikov se ne razlikujejo od ukrepov za zaščito virtualnih strojev;
- Iz tega izhaja, da centralna banka v okviru informacijske varnosti enači dve vrsti virtualizacije - Docker kontejnerje in VM.
Odgovor omenja tudi "kompenzacijske ukrepe", ki jih je treba uporabiti za nevtralizacijo groženj. Le nejasno je, kaj so ti "kompenzacijski ukrepi" in kako meriti njihovo ustreznost, popolnost in učinkovitost.
Kaj je narobe s stališčem centralne banke?
Če pri ocenjevanju (in samoocenjevanju) uporabljate priporočila centralne banke, morate rešiti številne tehnične in logične težave.
- Vsak izvedljiv vsebnik zahteva namestitev programske opreme za zaščito informacij (IP): protivirusni program, nadzor integritete, delo z dnevniki, sistemi DLP (Data Leak Prevention) itd. Vse to je mogoče brez težav namestiti na VM, v primeru kontejnerja pa je namestitev informacijske varnosti absurdna poteza. Posoda vsebuje najmanjšo količino "body kit", ki je potrebna za delovanje storitve. Namestitev SZI vanj je v nasprotju z njegovim pomenom.
- Po istem principu bi morale biti zaščitene slike vsebnikov, prav tako ni jasno, kako to izvesti.
- GOST zahteva omejitev dostopa do komponent virtualizacije strežnika, tj. do hipervizorja. Kaj se šteje za strežniško komponento v primeru Dockerja? Ali to ne pomeni, da je treba vsak vsebnik izvajati na ločenem gostitelju?
- Če je za običajno virtualizacijo mogoče razmejiti VM z varnostnimi obrisi in omrežnimi segmenti, potem v primeru vsebnikov Docker znotraj istega gostitelja temu ni tako.
V praksi je verjetno, da bo vsak revizor ocenjeval varnost zabojnikov po svoje, na podlagi lastnega znanja in izkušenj. No, ali pa ga sploh ne ocenite, če ni ne enega ne drugega.
Za vsak slučaj dodamo, da od 1. januarja 2021 minimalna ocena ne sme biti nižja od 0,7.
Mimogrede, redno objavljamo odgovore in komentarje regulatorjev v zvezi z zahtevami GOST 57580 in predpisi centralne banke v našem .
Kaj storiti
Po našem mnenju imajo finančne organizacije le dve možnosti za rešitev problema.
1. Izogibajte se izvajanju vsebnikov
Rešitev za tiste, ki so si pripravljeni privoščiti uporabo samo virtualizacije strojne opreme in se hkrati bojijo nizkih ocen po GOST in glob Centralne banke.
Plus: lažje je izpolnjevati zahteve pododdelka 7.8 GOST.
Minus: Opustiti bomo morali nova razvojna orodja, ki temeljijo na virtualizaciji kontejnerjev, predvsem Docker in Kubernetes.
2. Zavrnite izpolnjevanje zahtev pododdelka 7.8 GOST
Hkrati pa uporabite najboljše prakse pri zagotavljanju informacijske varnosti pri delu z vsebniki. To je rešitev za tiste, ki cenijo nove tehnologije in priložnosti, ki jih ponujajo. Z »najboljšimi praksami« mislimo na industrijsko sprejete norme in standarde za zagotavljanje varnosti vsebnikov Docker:
- varnost gostiteljskega OS, pravilno konfigurirano beleženje, prepoved izmenjave podatkov med vsebniki itd.;
- uporaba funkcije Docker Trust za preverjanje celovitosti slik in uporaba vgrajenega skenerja ranljivosti;
- Ne smemo pozabiti na varnost oddaljenega dostopa in omrežnega modela kot celote: napadi, kot sta ARP-spoofing in MAC-flooding, niso bili preklicani.
Plus: ni tehničnih omejitev za uporabo virtualizacije vsebnika.
Minus: obstaja velika verjetnost, da bo regulator kaznoval neupoštevanje zahtev GOST.
Zaključek
Naša stranka se je odločila, da kontejnerjem ne bo opustila. Hkrati je moral bistveno pretehtati obseg dela in čas prehoda na Docker (trajal je šest mesecev). Stranka zelo dobro razume tveganja. Razume tudi, da bo med naslednjo oceno skladnosti z GOST R 57580 veliko odvisno od revizorja.
Kaj bi naredili v tej situaciji?
Vir: www.habr.com