ProHoster > Blog > administratë > Si të bëni miq me GOST R 57580 dhe virtualizimin e kontejnerëve. Përgjigja e Bankës Qendrore (dhe mendimet tona për këtë çështje)

Si të bëni miq me GOST R 57580 dhe virtualizimin e kontejnerëve. Përgjigja e Bankës Qendrore (dhe mendimet tona për këtë çështje)

Jo shumë kohë më parë kemi kryer një vlerësim tjetër të përputhshmërisë me kërkesat e GOST R 57580 (në tekstin e mëtejmë thjesht GOST). Klienti është një kompani që zhvillon një sistem pagese elektronike. Sistemi është serioz: më shumë se 3 milion përdorues, më shumë se 200 mijë transaksione në ditë. Ata e marrin shumë seriozisht sigurinë e informacionit atje.

Gjatë procesit të vlerësimit, klienti njoftoi rastësisht se departamenti i zhvillimit, përveç makinave virtuale, planifikon të përdorë kontejnerë. Por me këtë, shtoi klienti, ekziston një problem: në GOST nuk ka asnjë fjalë për të njëjtin Docker. Cfare duhet te bej? Si të vlerësohet siguria e kontejnerëve?

Si të bëni miq me GOST R 57580 dhe virtualizimin e kontejnerëve. Përgjigja e Bankës Qendrore (dhe mendimet tona për këtë çështje)

Është e vërtetë, GOST shkruan vetëm për virtualizimin e harduerit - për mënyrën e mbrojtjes së makinave virtuale, një hipervizor dhe një server. Kemi kërkuar sqarime nga Banka Qendrore. Përgjigjja na hutoi.

GOST dhe virtualizimi

Për të filluar, le të kujtojmë se GOST R 57580 është një standard i ri që specifikon "kërkesat për sigurimin e sigurisë së informacionit të organizatave financiare" (FI). Këto FI përfshijnë operatorët dhe pjesëmarrësit e sistemeve të pagesave, organizatat e kreditit dhe jo-kreditit, qendrat operative dhe të kleringut.

Nga 1 janari 2021, FI-të janë të detyruar të kryejnë vlerësimi i pajtueshmërisë me kërkesat e GOST-it të ri. Ne, ITGLOBAL.COM, jemi një kompani auditimi që kryen vlerësime të tilla.

GOST ka një nënseksion të dedikuar për mbrojtjen e mjediseve të virtualizuara - Nr. 7.8. Termi "virtualizim" nuk është specifikuar atje; nuk ka ndarje në virtualizimin e harduerit dhe kontejnerit. Çdo specialist IT do të thotë se nga pikëpamja teknike kjo është e gabuar: një makinë virtuale (VM) dhe një kontejner janë mjedise të ndryshme, me parime të ndryshme izolimi. Nga pikëpamja e cenueshmërisë së hostit në të cilin janë vendosur kontejnerët VM dhe Docker, ky është gjithashtu një ndryshim i madh.

Rezulton se vlerësimi i sigurisë së informacionit të VM-ve dhe kontejnerëve duhet të jetë gjithashtu i ndryshëm.

Pyetjet tona drejtuar Bankës Qendrore

I dërguam në Departamentin e Sigurisë së Informacionit të Bankës Qendrore (pyetjet i paraqesim në formë të shkurtuar).

  1. Si të merrni parasysh kontejnerët virtualë të tipit Docker kur vlerësoni pajtueshmërinë me GOST? A është e saktë të vlerësohet teknologjia në përputhje me nënseksionin 7.8 të GOST?
  2. Si të vlerësoni mjetet e menaxhimit të kontejnerëve virtualë? A është e mundur t'i barazoni ato me komponentët e virtualizimit të serverit dhe t'i vlerësoni ato sipas të njëjtit nënseksion të GOST?
  3. A duhet të vlerësoj veçmas sigurinë e informacionit brenda kontejnerëve Docker? Nëse po, cilat masa mbrojtëse duhet të merren parasysh për këtë gjatë procesit të vlerësimit?
  4. Nëse kontejnerizimi barazohet me infrastrukturën virtuale dhe vlerësohet sipas nënseksionit 7.8, si zbatohen kërkesat GOST për zbatimin e mjeteve speciale të sigurisë së informacionit?

Reagimi i Bankës Qendrore

Më poshtë janë fragmentet kryesore.

"GOST R 57580.1-2017 përcakton kërkesat për zbatim përmes aplikimit të masave teknike në lidhje me masat e mëposhtme ZI nënseksioni 7.8 i GOST R 57580.1-2017, i cili, sipas mendimit të Departamentit, mund të shtrihet në rastet e përdorimit të virtualizimit të kontejnerëve teknologjitë, duke marrë parasysh sa vijon:

  • zbatimi i masave ZSV.1 - ZSV.11 për organizimin e identifikimit, vërtetimit, autorizimit (kontrollit të aksesit) gjatë zbatimit të aksesit logjik në makinat virtuale dhe komponentët e serverit të virtualizimit mund të ndryshojnë nga rastet e përdorimit të teknologjisë së virtualizimit të kontejnerëve. Duke marrë parasysh këtë, për të zbatuar një sërë masash (për shembull, ZVS.6 dhe ZVS.7), ne besojmë se është e mundur të rekomandojmë që institucionet financiare të zhvillojnë masa kompensuese që do të ndjekin të njëjtat qëllime;
  • zbatimi i masave ZSV.13 - ZSV.22 për organizimin dhe kontrollin e ndërveprimit të informacionit të makinave virtuale parashikon segmentimin e rrjetit kompjuterik të një organizate financiare për të dalluar objektet e informatizimit që zbatojnë teknologjinë e virtualizimit dhe i përkasin qarqeve të ndryshme të sigurisë. Duke marrë parasysh këtë, ne besojmë se është e këshillueshme që të sigurohet segmentimi i duhur kur përdoret teknologjia e virtualizimit të kontejnerëve (si në lidhje me kontejnerët virtualë të ekzekutueshëm ashtu edhe në lidhje me sistemet e virtualizimit të përdorura në nivelin e sistemit operativ);
  • zbatimi i masave ZSV.26, ZSV.29 - ZSV.31 për organizimin e mbrojtjes së imazheve të makinave virtuale duhet të kryhet në analogji edhe për të mbrojtur imazhet bazë dhe aktuale të kontejnerëve virtualë;
  • zbatimi i masave ZVS.32 - ZVS.43 për regjistrimin e ngjarjeve të sigurisë së informacionit që lidhen me aksesin në makinat virtuale dhe komponentët e virtualizimit të serverëve duhet të kryhet në analogji edhe në lidhje me elementët e mjedisit të virtualizimit që zbatojnë teknologjinë e virtualizimit të kontejnerëve."

Çfarë do të thotë

Dy përfundime kryesore nga përgjigja e Departamentit të Sigurisë së Informacionit të Bankës Qendrore:

  • masat për mbrojtjen e kontejnerëve nuk ndryshojnë nga masat për mbrojtjen e makinave virtuale;
  • Nga kjo rezulton se, në kontekstin e sigurisë së informacionit, Banka Qendrore barazon dy lloje të virtualizimit - kontejnerët Docker dhe VM-të.

Përgjigja përmend gjithashtu “masat kompensuese” që duhen zbatuar për të neutralizuar kërcënimet. Është thjesht e paqartë se cilat janë këto "masa kompensuese" dhe si të matet përshtatshmëria, plotësia dhe efektiviteti i tyre.

Çfarë nuk shkon me qëndrimin e Bankës Qendrore?

Nëse përdorni rekomandimet e Bankës Qendrore gjatë vlerësimit (dhe vetëvlerësimit), ju duhet të zgjidhni një sërë vështirësish teknike dhe logjike.

  • Çdo kontejner i ekzekutueshëm kërkon instalimin e softuerit për mbrojtjen e informacionit (IP) në të: antivirus, monitorimin e integritetit, punën me regjistrat, sistemet DLP (Data Leak Prevention) dhe kështu me radhë. E gjithë kjo mund të instalohet në një VM pa asnjë problem, por në rastin e një kontejneri, instalimi i sigurisë së informacionit është një veprim absurd. Kontejneri përmban sasinë minimale të "kompletit të trupit" që nevojitet për funksionimin e shërbimit. Instalimi i një SZI në të bie ndesh me kuptimin e tij.
  • Imazhet e kontejnerëve duhet të mbrohen sipas të njëjtit parim; si të zbatohet kjo është gjithashtu e paqartë.
  • GOST kërkon kufizimin e aksesit në komponentët e virtualizimit të serverit, d.m.th., te hipervizori. Çfarë konsiderohet një komponent server në rastin e Docker? A nuk do të thotë kjo se çdo kontejner duhet të përdoret në një host të veçantë?
  • Nëse për virtualizimin konvencional është e mundur të kufizohen VM-të sipas kontureve të sigurisë dhe segmenteve të rrjetit, atëherë në rastin e kontejnerëve Docker brenda të njëjtit host, nuk është kështu.

Në praktikë, ka të ngjarë që çdo auditor të vlerësojë sigurinë e kontejnerëve në mënyrën e tij, bazuar në njohuritë dhe përvojën e tij. Epo, ose mos e vlerësoni fare, nëse nuk ka as njërën dhe as tjetrën.

Për çdo rast, do të shtojmë se nga 1 janari 2021, rezultati minimal nuk duhet të jetë më i ulët se 0,7.

Nga rruga, ne postojmë rregullisht përgjigje dhe komente nga rregullatorët në lidhje me kërkesat e GOST 57580 dhe Rregulloret e Bankës Qendrore në tonë Kanali i telegramit.

Çfarë duhet të bëni

Sipas mendimit tonë, organizatat financiare kanë vetëm dy mundësi për zgjidhjen e problemit.

1. Shmangni zbatimin e kontejnerëve

Një zgjidhje për ata që janë të gatshëm të përballojnë të përdorin vetëm virtualizimin e harduerit dhe në të njëjtën kohë kanë frikë nga vlerësimet e ulëta sipas GOST dhe gjobave nga Banka Qendrore.

Nje plus: është më e lehtë të pajtohen me kërkesat e nënseksionit 7.8 të GOST.

Minus: Ne do të duhet të braktisim mjetet e reja të zhvillimit të bazuara në virtualizimin e kontejnerëve, në veçanti Docker dhe Kubernetes.

2. Refuzoni të pajtoheni me kërkesat e nënseksionit 7.8 të GOST

Por në të njëjtën kohë, zbatoni praktikat më të mira në sigurimin e sigurisë së informacionit kur punoni me kontejnerë. Kjo është një zgjidhje për ata që vlerësojnë teknologjitë e reja dhe mundësitë që ato ofrojnë. Me "praktikat më të mira" nënkuptojmë normat dhe standardet e pranuara nga industria për të garantuar sigurinë e kontejnerëve Docker:

  • siguria e sistemit operativ pritës, regjistrimi i konfiguruar siç duhet, ndalimi i shkëmbimit të të dhënave ndërmjet kontejnerëve, e kështu me radhë;
  • duke përdorur funksionin Docker Trust për të kontrolluar integritetin e imazheve dhe duke përdorur skanerin e integruar të cenueshmërisë;
  • Nuk duhet të harrojmë sigurinë e aksesit në distancë dhe modelin e rrjetit në tërësi: sulmet si ARP-spoofing dhe MAC-flooding nuk janë anuluar.

Nje plus: nuk ka kufizime teknike për përdorimin e virtualizimit të kontejnerëve.

Minus: ekziston një probabilitet i lartë që rregullatori të ndëshkojë për mospërputhje me kërkesat e GOST.

Përfundim

Klienti ynë vendosi të mos heqë dorë nga kontejnerët. Në të njëjtën kohë, ai duhej të rishikonte ndjeshëm fushën e punës dhe kohën e kalimit në Docker (ato zgjatën për gjashtë muaj). Klienti i kupton shumë mirë rreziqet. Ai gjithashtu e kupton se gjatë vlerësimit të ardhshëm të pajtueshmërisë me GOST R 57580, shumë do të varet nga auditori.

Çfarë do të bënit në këtë situatë?

Burimi: www.habr.com

Shto një koment