ПроХостер > блог > Администрација > Како се спријатељити са ГОСТ Р 57580 и виртуелизацијом контејнера. Одговор Централне банке (и наша размишљања о овом питању)

Како се спријатељити са ГОСТ Р 57580 и виртуелизацијом контејнера. Одговор Централне банке (и наша размишљања о овом питању)

Недавно смо извршили још једну процену усаглашености са захтевима ГОСТ Р 57580 (у даљем тексту једноставно ГОСТ). Клијент је компанија која развија електронски систем плаћања. Систем је озбиљан: више од 3 милиона корисника, више од 200 хиљада трансакција дневно. Сигурност информација тамо схватају веома озбиљно.

Током процеса евалуације, клијент је успутно најавио да развојно одељење, поред виртуелних машина, планира да користи и контејнере. Али са овим, додао је клијент, постоји један проблем: у ГОСТ-у нема ни речи о истом Доцкеру. Шта бих требао да урадим? Како проценити безбедност контејнера?

Како се спријатељити са ГОСТ Р 57580 и виртуелизацијом контејнера. Одговор Централне банке (и наша размишљања о овом питању)

Истина је, ГОСТ пише само о виртуелизацији хардвера - о томе како заштитити виртуелне машине, хипервизор и сервер. Тражили смо појашњење од Централне банке. Одговор нас је збунио.

ГОСТ и виртуелизација

За почетак, подсетимо се да је ГОСТ Р 57580 нови стандард који одређује „захтеве за обезбеђивање информационе безбедности финансијских организација“ (ФИ). Ове ФИ укључују оператере и учеснике платних система, кредитне и некредитне организације, оперативне и клириншке центре.

Од 1. јануара 2021. ФИ су обавезне да спроводе процена усаглашености са захтевима новог ГОСТ-а. Ми, ИТГЛОБАЛ.ЦОМ, смо ревизорска компанија која врши такве процене.

ГОСТ има пододељак посвећен заштити виртуелизованих окружења - бр. 7.8. Термин „виртуализација“ тамо није прецизиран; нема поделе на хардверску и виртуелизацију контејнера. Сваки ИТ стручњак ће рећи да је са техничке тачке гледишта ово нетачно: виртуелна машина (ВМ) и контејнер су различита окружења, са различитим принципима изолације. Са становишта рањивости хоста на коме су распоређени ВМ и Доцкер контејнери, ово је такође велика разлика.

Испоставља се да би процена безбедности информација ВМ-а и контејнера такође требало да буде другачија.

Наша питања Централној банци

Послали смо их Сектору за информациону безбедност Централне банке (питања износимо у скраћеном облику).

  1. Како узети у обзир виртуелне контејнере типа Доцкер приликом процене усаглашености са ГОСТ-ом? Да ли је исправно проценити технологију у складу са пододељком 7.8 ГОСТ-а?
  2. Како проценити алате за управљање виртуелним контејнерима? Да ли је могуће изједначити их са компонентама виртуелизације сервера и проценити их према истом пододељку ГОСТ-а?
  3. Да ли треба да посебно проценим безбедност информација унутар Доцкер контејнера? Ако јесте, које мере заштите треба узети у обзир за ово током процеса процене?
  4. Ако се контејнеризација изједначава са виртуелном инфраструктуром и процењује се према пододељку 7.8, како се примењују ГОСТ захтеви за имплементацију специјалних алата за безбедност информација?

Одговор Централне банке

Испод су главни изводи.

„ГОСТ Р 57580.1-2017 утврђује захтеве за имплементацију кроз примену техничких мера у вези са следећим мерама ЗИ пододељак 7.8 ГОСТ Р 57580.1-2017, који се, по мишљењу Одељења, могу проширити на случајеве коришћења виртуелизације контејнера. технологије, узимајући у обзир следеће:

  • имплементација мера ЗСВ.1 - ЗСВ.11 за организовање идентификације, аутентификације, ауторизације (контроле приступа) при имплементацији логичког приступа виртуелним машинама и компонентама сервера виртуелизације може се разликовати од случајева коришћења технологије виртуелизације контејнера. Узимајући ово у обзир, у циљу спровођења низа мера (на пример, ЗВС.6 и ЗВС.7), сматрамо да је могуће препоручити да финансијске институције развију компензационе мере које ће тежити истим циљевима;
  • имплементација мера ЗСВ.13 ​​– ЗСВ.22 за организацију и контролу информационе интеракције виртуелних машина предвиђа сегментацију рачунарске мреже финансијске организације ради разликовања објеката информатизације који имплементирају технологију виртуелизације и припадају различитим безбедносним колима. Узимајући ово у обзир, сматрамо да је препоручљиво обезбедити одговарајућу сегментацију када се користи технологија виртуелизације контејнера (како у односу на извршне виртуелне контејнере тако и у односу на виртуелизоване системе који се користе на нивоу оперативног система);
  • имплементацију мера ЗСВ.26, ЗСВ.29 - ЗСВ.31 за организовање заштите слика виртуелних машина треба спровести по аналогији иу циљу заштите основних и актуелних слика виртуелних контејнера;
  • имплементацију мера ЗВС.32 – ЗВС.43 за евидентирање догађаја безбедности информација у вези са приступом виртуелним машинама и компонентама виртуелизације сервера треба извршити по аналогији и у односу на елементе виртуелизационог окружења који имплементирају технологију виртуелизације контејнера.”

Шта то значи

Два главна закључка из одговора Одељења за безбедност информација Централне банке:

  • мере заштите контејнера се не разликују од мера заштите виртуелних машина;
  • Из овога произилази да, у контексту информационе безбедности, Централна банка изједначава две врсте виртуелизације – Доцкер контејнере и ВМ.

У одговору се помињу и „компензационе мере“ које је потребно применити да би се претње неутралисале. Само је нејасно шта су ове „компензаторне мере“ и како измерити њихову адекватност, потпуност и делотворност.

Шта није у реду са ставом Централне банке?

Ако приликом процене (и самопроцене) користите препоруке Централне банке, потребно је да решите низ техничких и логичких потешкоћа.

  • Сваки извршни контејнер захтева инсталацију софтвера за заштиту информација (ИП) на њему: антивирус, праћење интегритета, рад са евиденцијама, ДЛП системи (Дата Леак Превентион) и тако даље. Све ово се без проблема може инсталирати на ВМ, али у случају контејнера, инсталирање информационе безбедности је апсурдан потез. Контејнер садржи минималну количину „боди кита“ која је потребна да би услуга функционисала. Инсталирање СЗИ у њему је у супротности са његовим значењем.
  • Слике контејнера треба да буду заштићене по истом принципу; такође је нејасно како то применити.
  • ГОСТ захтева ограничавање приступа компонентама виртуелизације сервера, тј. хипервизору. Шта се сматра серверском компонентом у случају Доцкер-а? Зар то не значи да сваки контејнер треба да се покреће на посебном хосту?
  • Ако је за конвенционалну виртуелизацију могуће разграничити ВМ по безбедносним контурама и мрежним сегментима, онда у случају Доцкер контејнера унутар истог хоста, то није случај.

У пракси је вероватно да ће сваки ревизор на свој начин проценити безбедност контејнера, на основу сопственог знања и искуства. Па, или га уопште не оцењуј, ако нема ни једног ни другог.

За сваки случај, додаћемо да од 1. јануара 2021. минимални резултат не сме бити нижи од 0,7.

Иначе, ми редовно објављујемо одговоре и коментаре регулатора у вези са захтевима ГОСТ 57580 и прописа Централне банке у нашем Телеграм канал.

Шта да се ради

По нашем мишљењу, финансијске организације имају само две могућности за решавање проблема.

1. Избегавајте примену контејнера

Решење за оне који су спремни да приуште само виртуелизацију хардвера и истовремено се плаше ниских оцена према ГОСТ-у и казни Централне банке.

Плус: лакше је испунити захтеве пододељка 7.8 ГОСТ-а.

minus: Мораћемо да напустимо нове развојне алате засноване на виртуелизацији контејнера, посебно Доцкер и Кубернетес.

2. Одбијте да се придржавате захтева пододељка 7.8 ГОСТ-а

Али у исто време, примените најбоље праксе у обезбеђивању безбедности информација када радите са контејнерима. Ово је решење за оне који цене нове технологије и могућности које пружају. Под „најбољим праксама“ подразумевамо индустријско прихваћене норме и стандарде за обезбеђивање безбедности Доцкер контејнера:

  • сигурност хост ОС-а, правилно конфигурисано евидентирање, забрана размене података између контејнера и тако даље;
  • коришћење функције Доцкер Труст за проверу интегритета слика и коришћење уграђеног скенера рањивости;
  • Не смемо заборавити на безбедност даљинског приступа и мрежни модел у целини: напади као што су АРП-споофинг и МАЦ-флоодинг нису отказани.

Плус: нема техничких ограничења за коришћење виртуелизације контејнера.

minus: постоји велика вероватноћа да ће регулатор казнити за непоштовање захтева ГОСТ-а.

Закључак

Наш клијент је одлучио да не одустане од контејнера. Истовремено, морао је значајно да преиспита обим посла и време преласка на Доцкер (трајали су шест месеци). Клијент веома добро разуме ризике. Такође разуме да ће током следеће процене усаглашености са ГОСТ Р 57580 много зависити од ревизора.

Шта бисте урадили у овој ситуацији?

Извор: ввв.хабр.цом

Додај коментар