Jo shumë kohë më parë kemi kryer një vlerësim tjetër të përputhshmërisë me kërkesat e GOST R 57580 (në tekstin e mëtejmë thjesht GOST). Klienti është një kompani që zhvillon një sistem pagese elektronike. Sistemi është serioz: më shumë se 3 milion përdorues, më shumë se 200 mijë transaksione në ditë. Ata e marrin shumë seriozisht sigurinë e informacionit atje.
Gjatë procesit të vlerësimit, klienti njoftoi rastësisht se departamenti i zhvillimit, përveç makinave virtuale, planifikon të përdorë kontejnerë. Por me këtë, shtoi klienti, ekziston një problem: në GOST nuk ka asnjë fjalë për të njëjtin Docker. Cfare duhet te bej? Si të vlerësohet siguria e kontejnerëve?
Është e vërtetë, GOST shkruan vetëm për virtualizimin e harduerit - për mënyrën e mbrojtjes së makinave virtuale, një hipervizor dhe një server. Kemi kërkuar sqarime nga Banka Qendrore. Përgjigjja na hutoi.
GOST dhe virtualizimi
Për të filluar, le të kujtojmë se GOST R 57580 është një standard i ri që specifikon "kërkesat për sigurimin e sigurisë së informacionit të organizatave financiare" (FI). Këto FI përfshijnë operatorët dhe pjesëmarrësit e sistemeve të pagesave, organizatat e kreditit dhe jo-kreditit, qendrat operative dhe të kleringut.
Nga 1 janari 2021, FI-të janë të detyruar të kryejnë
GOST ka një nënseksion të dedikuar për mbrojtjen e mjediseve të virtualizuara - Nr. 7.8. Termi "virtualizim" nuk është specifikuar atje; nuk ka ndarje në virtualizimin e harduerit dhe kontejnerit. Çdo specialist IT do të thotë se nga pikëpamja teknike kjo është e gabuar: një makinë virtuale (VM) dhe një kontejner janë mjedise të ndryshme, me parime të ndryshme izolimi. Nga pikëpamja e cenueshmërisë së hostit në të cilin janë vendosur kontejnerët VM dhe Docker, ky është gjithashtu një ndryshim i madh.
Rezulton se vlerësimi i sigurisë së informacionit të VM-ve dhe kontejnerëve duhet të jetë gjithashtu i ndryshëm.
Pyetjet tona drejtuar Bankës Qendrore
I dërguam në Departamentin e Sigurisë së Informacionit të Bankës Qendrore (pyetjet i paraqesim në formë të shkurtuar).
- Si të merrni parasysh kontejnerët virtualë të tipit Docker kur vlerësoni pajtueshmërinë me GOST? A është e saktë të vlerësohet teknologjia në përputhje me nënseksionin 7.8 të GOST?
- Si të vlerësoni mjetet e menaxhimit të kontejnerëve virtualë? A është e mundur t'i barazoni ato me komponentët e virtualizimit të serverit dhe t'i vlerësoni ato sipas të njëjtit nënseksion të GOST?
- A duhet të vlerësoj veçmas sigurinë e informacionit brenda kontejnerëve Docker? Nëse po, cilat masa mbrojtëse duhet të merren parasysh për këtë gjatë procesit të vlerësimit?
- Nëse kontejnerizimi barazohet me infrastrukturën virtuale dhe vlerësohet sipas nënseksionit 7.8, si zbatohen kërkesat GOST për zbatimin e mjeteve speciale të sigurisë së informacionit?
Reagimi i Bankës Qendrore
Më poshtë janë fragmentet kryesore.
"GOST R 57580.1-2017 përcakton kërkesat për zbatim përmes aplikimit të masave teknike në lidhje me masat e mëposhtme ZI nënseksioni 7.8 i GOST R 57580.1-2017, i cili, sipas mendimit të Departamentit, mund të shtrihet në rastet e përdorimit të virtualizimit të kontejnerëve teknologjitë, duke marrë parasysh sa vijon:
- zbatimi i masave ZSV.1 - ZSV.11 për organizimin e identifikimit, vërtetimit, autorizimit (kontrollit të aksesit) gjatë zbatimit të aksesit logjik në makinat virtuale dhe komponentët e serverit të virtualizimit mund të ndryshojnë nga rastet e përdorimit të teknologjisë së virtualizimit të kontejnerëve. Duke marrë parasysh këtë, për të zbatuar një sërë masash (për shembull, ZVS.6 dhe ZVS.7), ne besojmë se është e mundur të rekomandojmë që institucionet financiare të zhvillojnë masa kompensuese që do të ndjekin të njëjtat qëllime;
- zbatimi i masave ZSV.13 - ZSV.22 për organizimin dhe kontrollin e ndërveprimit të informacionit të makinave virtuale parashikon segmentimin e rrjetit kompjuterik të një organizate financiare për të dalluar objektet e informatizimit që zbatojnë teknologjinë e virtualizimit dhe i përkasin qarqeve të ndryshme të sigurisë. Duke marrë parasysh këtë, ne besojmë se është e këshillueshme që të sigurohet segmentimi i duhur kur përdoret teknologjia e virtualizimit të kontejnerëve (si në lidhje me kontejnerët virtualë të ekzekutueshëm ashtu edhe në lidhje me sistemet e virtualizimit të përdorura në nivelin e sistemit operativ);
- zbatimi i masave ZSV.26, ZSV.29 - ZSV.31 për organizimin e mbrojtjes së imazheve të makinave virtuale duhet të kryhet në analogji edhe për të mbrojtur imazhet bazë dhe aktuale të kontejnerëve virtualë;
- zbatimi i masave ZVS.32 - ZVS.43 për regjistrimin e ngjarjeve të sigurisë së informacionit që lidhen me aksesin në makinat virtuale dhe komponentët e virtualizimit të serverëve duhet të kryhet në analogji edhe në lidhje me elementët e mjedisit të virtualizimit që zbatojnë teknologjinë e virtualizimit të kontejnerëve."
Çfarë do të thotë
Dy përfundime kryesore nga përgjigja e Departamentit të Sigurisë së Informacionit të Bankës Qendrore:
- masat për mbrojtjen e kontejnerëve nuk ndryshojnë nga masat për mbrojtjen e makinave virtuale;
- Nga kjo rezulton se, në kontekstin e sigurisë së informacionit, Banka Qendrore barazon dy lloje të virtualizimit - kontejnerët Docker dhe VM-të.
Përgjigja përmend gjithashtu “masat kompensuese” që duhen zbatuar për të neutralizuar kërcënimet. Është thjesht e paqartë se cilat janë këto "masa kompensuese" dhe si të matet përshtatshmëria, plotësia dhe efektiviteti i tyre.
Çfarë nuk shkon me qëndrimin e Bankës Qendrore?
Nëse përdorni rekomandimet e Bankës Qendrore gjatë vlerësimit (dhe vetëvlerësimit), ju duhet të zgjidhni një sërë vështirësish teknike dhe logjike.
- Çdo kontejner i ekzekutueshëm kërkon instalimin e softuerit për mbrojtjen e informacionit (IP) në të: antivirus, monitorimin e integritetit, punën me regjistrat, sistemet DLP (Data Leak Prevention) dhe kështu me radhë. E gjithë kjo mund të instalohet në një VM pa asnjë problem, por në rastin e një kontejneri, instalimi i sigurisë së informacionit është një veprim absurd. Kontejneri përmban sasinë minimale të "kompletit të trupit" që nevojitet për funksionimin e shërbimit. Instalimi i një SZI në të bie ndesh me kuptimin e tij.
- Imazhet e kontejnerëve duhet të mbrohen sipas të njëjtit parim; si të zbatohet kjo është gjithashtu e paqartë.
- GOST kërkon kufizimin e aksesit në komponentët e virtualizimit të serverit, d.m.th., te hipervizori. Çfarë konsiderohet një komponent server në rastin e Docker? A nuk do të thotë kjo se çdo kontejner duhet të përdoret në një host të veçantë?
- Nëse për virtualizimin konvencional është e mundur të kufizohen VM-të sipas kontureve të sigurisë dhe segmenteve të rrjetit, atëherë në rastin e kontejnerëve Docker brenda të njëjtit host, nuk është kështu.
Në praktikë, ka të ngjarë që çdo auditor të vlerësojë sigurinë e kontejnerëve në mënyrën e tij, bazuar në njohuritë dhe përvojën e tij. Epo, ose mos e vlerësoni fare, nëse nuk ka as njërën dhe as tjetrën.
Për çdo rast, do të shtojmë se nga 1 janari 2021, rezultati minimal nuk duhet të jetë më i ulët se 0,7.
Nga rruga, ne postojmë rregullisht përgjigje dhe komente nga rregullatorët në lidhje me kërkesat e GOST 57580 dhe Rregulloret e Bankës Qendrore në tonë
Çfarë duhet të bëni
Sipas mendimit tonë, organizatat financiare kanë vetëm dy mundësi për zgjidhjen e problemit.
1. Shmangni zbatimin e kontejnerëve
Një zgjidhje për ata që janë të gatshëm të përballojnë të përdorin vetëm virtualizimin e harduerit dhe në të njëjtën kohë kanë frikë nga vlerësimet e ulëta sipas GOST dhe gjobave nga Banka Qendrore.
Nje plus: është më e lehtë të pajtohen me kërkesat e nënseksionit 7.8 të GOST.
Minus: Ne do të duhet të braktisim mjetet e reja të zhvillimit të bazuara në virtualizimin e kontejnerëve, në veçanti Docker dhe Kubernetes.
2. Refuzoni të pajtoheni me kërkesat e nënseksionit 7.8 të GOST
Por në të njëjtën kohë, zbatoni praktikat më të mira në sigurimin e sigurisë së informacionit kur punoni me kontejnerë. Kjo është një zgjidhje për ata që vlerësojnë teknologjitë e reja dhe mundësitë që ato ofrojnë. Me "praktikat më të mira" nënkuptojmë normat dhe standardet e pranuara nga industria për të garantuar sigurinë e kontejnerëve Docker:
- siguria e sistemit operativ pritës, regjistrimi i konfiguruar siç duhet, ndalimi i shkëmbimit të të dhënave ndërmjet kontejnerëve, e kështu me radhë;
- duke përdorur funksionin Docker Trust për të kontrolluar integritetin e imazheve dhe duke përdorur skanerin e integruar të cenueshmërisë;
- Nuk duhet të harrojmë sigurinë e aksesit në distancë dhe modelin e rrjetit në tërësi: sulmet si ARP-spoofing dhe MAC-flooding nuk janë anuluar.
Nje plus: nuk ka kufizime teknike për përdorimin e virtualizimit të kontejnerëve.
Minus: ekziston një probabilitet i lartë që rregullatori të ndëshkojë për mospërputhje me kërkesat e GOST.
Përfundim
Klienti ynë vendosi të mos heqë dorë nga kontejnerët. Në të njëjtën kohë, ai duhej të rishikonte ndjeshëm fushën e punës dhe kohën e kalimit në Docker (ato zgjatën për gjashtë muaj). Klienti i kupton shumë mirë rreziqet. Ai gjithashtu e kupton se gjatë vlerësimit të ardhshëm të pajtueshmërisë me GOST R 57580, shumë do të varet nga auditori.
Çfarë do të bënit në këtë situatë?
Burimi: www.habr.com