ProHoster > Blog > Administrasi > Kumaha carana ngadamel babaturan sareng GOST R 57580 sareng virtualisasi wadahna. Tanggapan Bank Séntral (sareng pamikiran urang ngeunaan masalah ieu)

Kumaha carana ngadamel babaturan sareng GOST R 57580 sareng virtualisasi wadahna. Tanggapan Bank Séntral (sareng pamikiran urang ngeunaan masalah ieu)

Teu lami pisan urang ngalaksanakeun penilaian anu sanés pikeun patuh kana sarat GOST R 57580 (saterusna disebut GOST). Klién mangrupikeun perusahaan anu ngembangkeun sistem pamayaran éléktronik. Sistemna serius: langkung ti 3 juta pangguna, langkung ti 200 rébu transaksi sapopoé. Aranjeunna nyandak kaamanan inpormasi sacara serius di dinya.

Salila prosés evaluasi, klien nu casually ngumumkeun yén departemen ngembangkeun, sajaba mesin virtual, ngarencanakeun ngagunakeun peti. Tapi kalayan ieu, klien nu ditambahkeun, aya hiji masalah: dina GOST euweuh kecap ngeunaan Docker sarua. Naon anu kedah abdi lakukeun? Kumaha evaluate kaamanan peti?

Kumaha carana ngadamel babaturan sareng GOST R 57580 sareng virtualisasi wadahna. Tanggapan Bank Séntral (sareng pamikiran urang ngeunaan masalah ieu)

Leres, GOST ngan ukur nyerat ngeunaan virtualisasi hardware - ngeunaan cara ngajagaan mesin virtual, hypervisor, sareng server. Kami naroskeun ka Bank Séntral pikeun klarifikasi. Waleran ngabingungkeun urang.

GOST sareng virtualisasi

Pikeun mimitian, hayu urang émut yén GOST R 57580 mangrupikeun standar énggal anu netepkeun "sarat pikeun mastikeun kaamanan inpormasi organisasi kauangan" (FI). FI ieu kalebet operator sareng pamilon sistem pamayaran, organisasi kiridit sareng non-kiridit, pusat operasional sareng clearing.

Ti 1 Januari 2021, FI diwajibkeun ngalaksanakeun assessment tina minuhan sarat tina GOST anyar. Kami, ITGLOBAL.COM, mangrupikeun perusahaan audit anu ngalaksanakeun penilaian sapertos kitu.

GOST boga subsection dedicated ka panyalindungan lingkungan virtualized - No 7.8. Istilah "virtualisasi" teu dieusian di dinya; euweuh division kana hardware jeung wadah virtualization. Sakur spesialis IT bakal nyarios yén tina sudut pandang téknis ieu henteu leres: mesin virtual (VM) sareng wadahna mangrupikeun lingkungan anu béda, kalayan prinsip isolasi anu béda. Tina sudut pandang kerentanan host dimana wadah VM sareng Docker disebarkeun, ieu ogé bédana ageung.

Tétéla yén penilaian kaamanan inpormasi VM sareng wadahna ogé kedah béda.

Patarosan urang ka Bank Séntral

Urang dikirim ka Departemen Kaamanan Émbaran Bank Séntral (urang nampilkeun patarosan dina formulir disingget).

  1. Kumaha mertimbangkeun wadah maya Docker-tipe nalika nganilai patuh GOST? Naha leres pikeun meunteun téknologi saluyu sareng subseksi 7.8 GOST?
  2. Kumaha meunteun alat manajemén wadah virtual? Éta mungkin mun equate aranjeunna komponén virtualization server na evaluate aranjeunna nurutkeun subsection sarua GOST?
  3. Naha kuring kedah ngevaluasi sacara misah kaamanan inpormasi dina wadah Docker? Lamun kitu, safeguards naon kudu dianggap keur ieu salila prosés assessment?
  4. Upami containerization disaruakeun sareng infrastruktur virtual sareng ditaksir dumasar kana subsection 7.8, kumaha syarat GOST pikeun palaksanaan alat kaamanan inpormasi khusus dilaksanakeun?

respon Bank Séntral urang

Di handap ieu aya petikan utama.

"GOST R 57580.1-2017 netepkeun syarat pikeun palaksanaan ngaliwatan aplikasi ukuran téknis anu aya hubunganana sareng ukuran ZI subsection 7.8 tina GOST R 57580.1-2017, anu, dina pendapat Departemen, tiasa diperpanjang kana kasus ngagunakeun virtualisasi wadahna. téknologi, kalayan nganggap hal-hal ieu:

  • palaksanaan ukuran ZSV.1 - ZSV.11 pikeun pangatur idéntifikasi, auténtikasi, otorisasina (kontrol aksés) nalika ngalaksanakeun aksés logis kana mesin virtual sareng komponenana server virtualization bisa béda ti kasus ngagunakeun téhnologi virtualization wadahna. Nyandak ieu kana rekening, guna nerapkeun sababaraha ukuran (contona, ZVS.6 na ZVS.7), kami yakin kasebut nyaéta dimungkinkeun pikeun nyarankeun yén lembaga keuangan ngamekarkeun ukuran compensatory anu bakal ngudag tujuan anu sarua;
  • palaksanaan ukuran ZSV.13 - ZSV.22 pikeun organisasi jeung kontrol interaksi informasi tina mesin virtual nyadiakeun keur segmentation tina jaringan komputer organisasi finansial pikeun ngabedakeun antara objék informatization nu nerapkeun téhnologi virtualization sarta milik sirkuit kaamanan béda. Nyandak ieu kana akun, kami yakin éta sasaena nyadiakeun keur segmentation luyu lamun ngagunakeun téhnologi virtualization wadahna (duanana dina hubungan peti maya laksana tur dina hubungan sistem virtualization dipaké dina tingkat sistem operasi);
  • palaksanaan ukuran ZSV.26, ZSV.29 - ZSV.31 pikeun ngatur panangtayungan gambar tina mesin virtual kudu dilaksanakeun ku analogi ogé dina raraga ngajaga gambar dasar jeung ayeuna peti virtual;
  • palaksanaan ukuran ZVS.32 - ZVS.43 pikeun ngarékam acara kaamanan inpormasi anu aya hubunganana sareng aksés ka mesin virtual sareng komponén virtualisasi server kedah dilakukeun ku analogi ogé aya hubunganana sareng unsur lingkungan virtualisasi anu ngalaksanakeun téknologi virtualisasi wadahna.

Naon éta hartosna

Dua kacindekan utama tina réspon Departemen Kaamanan Émbaran Bank Séntral:

  • ukuran ngajaga peti teu béda ti ukuran ngajaga mesin virtual;
  • Ti dinya éta, dina konteks kaamanan inpormasi, Bank Séntral nyaruakeun dua jinis virtualisasi - wadah Docker sareng VM.

Responna ogé nyebatkeun "ukuran kompensasi" anu kedah diterapkeun pikeun nétralisasi ancaman. Henteu écés naon ieu "ukuran kompensasi" sareng kumaha ngukur kacukupan, kasampurnaan sareng efektivitasna.

Naon salahna posisi Bank Sentral?

Lamun make saran ti Bank Séntral salila assessment (jeung timer assessment), Anjeun kudu ngajawab sababaraha kasusah teknis jeung logis.

  • Unggal wadah laksana merlukeun pamasangan software panyalindungan informasi (IP) dina eta: antipirus, monitoring integritas, gawé bareng log, sistem DLP (Data Leak Pencegahan), jeung saterusna. Sadaya ieu tiasa dipasang dina VM tanpa masalah, tapi dina kasus wadahna, masang kaamanan inpormasi mangrupikeun gerakan anu absurd. Wadahna ngandung jumlah minimum "body kit" anu dipikabutuh pikeun fungsina jasa. Masang hiji SZI di dinya contradicts hartina.
  • Gambar wadahna kedah dijagi dumasar kana prinsip anu sami; kumaha cara ngalaksanakeun ieu ogé teu jelas.
  • GOST merlukeun ngawatesan aksés ka komponén virtualization server, i.e., mun hypervisor nu. Naon anu dianggap komponén server dina kasus Docker? Naha ieu henteu hartosna yén unggal wadah kedah dijalankeun dina host anu misah?
  • Upami pikeun virtualisasi konvensional mungkin pikeun ngawatesan VM ku kontur kaamanan sareng bagéan jaringan, maka dina kasus wadah Docker dina host anu sami, ieu sanés masalahna.

Dina prakna, kamungkinan unggal auditor bakal meunteun kaamanan wadahna ku cara sorangan, dumasar kana pangaweruh sareng pangalaman sorangan. Muhun, atawa teu evaluate eta sakabehna, lamun aya euweuh hiji atawa lianna.

Bisi wae, urang bakal nambahan yén ti 1 Januari 2021, skor minimum kudu teu leuwih handap 0,7.

Ku jalan kitu, kami rutin ngirimkeun réspon sareng koméntar ti régulator anu aya hubunganana sareng sarat GOST 57580 sareng Peraturan Bank Séntral kami. Saluran Telegram.

Naon anu kudu dipigawé

Dina pamadegan urang, organisasi finansial boga ukur dua pilihan pikeun ngarengsekeun masalah.

1. Hindarkeun wadah palaksanaan

Solusi pikeun jalma anu siap mampuh ngan ukur nganggo virtualisasi hardware sareng dina waktos anu sami sieun rating anu handap dumasar kana GOST sareng denda ti Bank Séntral.

A plus: leuwih gampang pikeun sasuai jeung sarat subsection 7.8 GOST.

Minus: Urang kedah ngantunkeun alat pangembangan énggal dumasar kana virtualisasi wadahna, khususna Docker sareng Kubernetes.

2. Nolak sasuai jeung sarat tina subsection 7.8 GOST

Tapi dina waktos anu sami, nerapkeun prakték pangsaéna dina mastikeun kaamanan inpormasi nalika damel sareng wadah. Ieu mangrupikeun solusi pikeun anu ngahargaan téknologi anyar sareng kasempetan anu disayogikeun. Ku "prakték pangsaéna" kami hartosna norma sareng standar anu ditampi industri pikeun mastikeun kasalametan wadah Docker:

  • kaamanan OS host, logging dikonpigurasi leres, larangan bursa data antara peti, jeung saterusna;
  • ngagunakeun fungsi Docker Trust pikeun mariksa integritas gambar sareng nganggo scanner kerentanan anu diwangun;
  • Urang teu kudu poho ngeunaan kaamanan aksés jauh jeung model jaringan sakabéhna: serangan saperti ARP-spoofing jeung MAC-ngabahekeun teu acan dibatalkeun.

A plus: euweuh larangan teknis dina pamakéan virtualization wadahna.

Minus: Aya kamungkinan luhur yén régulator bakal ngahukum pikeun henteu patuh kana syarat GOST.

kacindekan

Klién kami mutuskeun henteu nyerah wadahna. Dina waktos anu sami, anjeunna kedah nimbangkeun deui ruang lingkup padamelan sareng waktos transisi ka Docker (aranjeunna salami genep bulan). Klién ngartos résiko pisan. Anjeunna oge understands yén salila assessment saterusna patuh GOST R 57580, loba bakal gumantung kana auditor publik.

Naon anu anjeun laksanakeun dina kaayaan ieu?

sumber: www.habr.com

Tambahkeun komentar