ProHoster > blogg > administration > Hur man blir vän med GOST R 57580 och containervirtualisering. Centralbankens svar (och våra tankar i denna fråga)

Hur man blir vän med GOST R 57580 och containervirtualisering. Centralbankens svar (och våra tankar i denna fråga)

För inte så länge sedan genomförde vi ytterligare en bedömning av överensstämmelse med kraven i GOST R 57580 (nedan kallad helt enkelt GOST). Kunden är ett företag som utvecklar ett elektroniskt betalningssystem. Systemet är seriöst: mer än 3 miljoner användare, mer än 200 tusen transaktioner dagligen. Där tar de informationssäkerhet på största allvar.

Under utvärderingsprocessen meddelade klienten nonchalant att utvecklingsavdelningen, förutom virtuella maskiner, planerar att använda containrar. Men med detta, tillade klienten, finns det ett problem: i GOST finns det inte ett ord om samma Docker. Vad ska jag göra? Hur utvärderar man säkerheten för containrar?

Hur man blir vän med GOST R 57580 och containervirtualisering. Centralbankens svar (och våra tankar i denna fråga)

Det är sant, GOST skriver bara om hårdvaruvirtualisering - om hur man skyddar virtuella maskiner, en hypervisor och en server. Vi bad centralbanken om ett förtydligande. Svaret förbryllade oss.

GOST och virtualisering

Till att börja med, låt oss komma ihåg att GOST R 57580 är en ny standard som specificerar "krav för att säkerställa informationssäkerhet för finansiella organisationer" (FI). Dessa finansinstitut inkluderar operatörer och deltagare i betalningssystem, kredit- och icke-kreditorganisationer, operativa och clearingcentraler.

Från den 1 januari 2021 är FI:er skyldiga att utföra bedömning av överensstämmelse med kraven i den nya GOST. Vi, ITGLOBAL.COM, är ett revisionsföretag som gör sådana bedömningar.

GOST har ett underavsnitt dedikerat till skydd av virtualiserade miljöer - nr 7.8. Termen "virtualisering" är inte specificerad där, det finns ingen uppdelning i hårdvara och containervirtualisering. Vilken IT-specialist som helst kommer att säga att detta ur teknisk synvinkel är felaktigt: en virtuell maskin (VM) och en behållare är olika miljöer, med olika isoleringsprinciper. Ur synvinkeln av sårbarheten hos den värd som VM- och Docker-containrarna är utplacerade på är detta också en stor skillnad.

Det visar sig att bedömningen av informationssäkerheten för virtuella datorer och containrar också borde vara annorlunda.

Våra frågor till centralbanken

Vi skickade dem till centralbankens informationssäkerhetsavdelning (vi presenterar frågorna i förkortad form).

  1. Hur överväger man virtuella behållare av Docker-typ när man bedömer GOST-efterlevnad? Är det korrekt att utvärdera teknik i enlighet med underavsnitt 7.8 i GOST?
  2. Hur utvärderar man verktyg för hantering av virtuella behållare? Är det möjligt att likställa dem med servervirtualiseringskomponenter och utvärdera dem enligt samma underavsnitt av GOST?
  3. Behöver jag separat utvärdera säkerheten för information inuti Docker-behållare? Om så är fallet, vilka skyddsåtgärder bör övervägas för detta under bedömningsprocessen?
  4. Om containerisering likställs med virtuell infrastruktur och bedöms enligt underavsnitt 7.8, hur implementeras GOST-kraven för implementering av speciella informationssäkerhetsverktyg?

Centralbankens svar

Nedan följer de viktigaste utdragen.

"GOST R 57580.1-2017 fastställer krav för implementering genom tillämpning av tekniska åtgärder i förhållande till följande åtgärder ZI underavsnitt 7.8 i GOST R 57580.1-2017, som, enligt avdelningens uppfattning, kan utvidgas till fall av användning av containervirtualisering teknik, med hänsyn till följande:

  • implementeringen av åtgärder ZSV.1 - ZSV.11 för att organisera identifiering, autentisering, auktorisering (åtkomstkontroll) vid implementering av logisk åtkomst till virtuella maskiner och virtualiseringsserverkomponenter kan skilja sig från fall med användning av containervirtualiseringsteknik. Med hänsyn till detta, för att implementera ett antal åtgärder (till exempel ZVS.6 och ZVS.7), anser vi att det är möjligt att rekommendera att finansiella institutioner utvecklar kompenserande åtgärder som kommer att eftersträva samma mål;
  • genomförandet av åtgärder ZSV.13 - ZSV.22 för organisation och kontroll av informationsinteraktion av virtuella maskiner ger segmenteringen av datornätverket för en finansiell organisation för att skilja mellan informationsobjekt som implementerar virtualiseringsteknik och tillhör olika säkerhetskretsar. Med hänsyn till detta anser vi att det är tillrådligt att tillhandahålla lämplig segmentering vid användning av containervirtualiseringsteknik (både i förhållande till körbara virtuella behållare och i förhållande till virtualiseringssystem som används på operativsystemnivå);
  • Genomförandet av åtgärderna ZSV.26, ZSV.29 - ZSV.31 för att organisera skyddet av bilder av virtuella maskiner bör utföras analogt också för att skydda grundläggande och aktuella bilder av virtuella behållare;
  • implementeringen av åtgärderna ZVS.32 - ZVS.43 för att registrera informationssäkerhetshändelser relaterade till åtkomst till virtuella maskiner och servervirtualiseringskomponenter bör utföras analogt även i förhållande till delar av virtualiseringsmiljön som implementerar containervirtualiseringsteknik."

Vad betyder det

Två huvudslutsatser från svaret från centralbankens informationssäkerhetsavdelning:

  • åtgärder för att skydda behållare skiljer sig inte från åtgärder för att skydda virtuella maskiner;
  • Av detta följer att centralbanken i informationssäkerhetssammanhang likställer två typer av virtualisering - Docker-containrar och virtuella datorer.

I svaret nämns också ”kompensationsåtgärder” som behöver vidtas för att neutralisera hoten. Det är bara oklart vad dessa "kompenserande åtgärder" är och hur man mäter deras adekvathet, fullständighet och effektivitet.

Vad är det för fel på centralbankens ståndpunkt?

Om du använder centralbankens rekommendationer under bedömning (och självbedömning) måste du lösa ett antal tekniska och logiska svårigheter.

  • Varje körbar behållare kräver installation av informationsskyddsprogramvara (IP) på den: antivirus, integritetsövervakning, arbete med loggar, DLP-system (Data Leak Prevention) och så vidare. Allt detta kan installeras på en virtuell dator utan problem, men i fallet med en container är installation av informationssäkerhet ett absurt drag. Behållaren innehåller den minsta mängd "body kit" som behövs för att tjänsten ska fungera. Att installera en SZI i den motsäger dess innebörd.
  • Containerbilder bör skyddas enligt samma princip, hur detta ska implementeras är också oklart.
  • GOST kräver begränsning av åtkomst till servervirtualiseringskomponenter, d.v.s. till hypervisorn. Vad anses vara en serverkomponent när det gäller Docker? Betyder inte detta att varje behållare måste köras på en separat värd?
  • Om det för konventionell virtualisering är möjligt att avgränsa virtuella datorer med säkerhetskonturer och nätverkssegment, så är detta inte fallet i fallet med Docker-behållare inom samma värd.

I praktiken är det troligt att varje revisor kommer att bedöma containrarnas säkerhet på sitt eget sätt, baserat på sin egen kunskap och erfarenhet. Tja, eller utvärdera det inte alls, om det varken finns det ena eller det andra.

För säkerhets skull tillägger vi att från och med den 1 januari 2021 får minimipoängen inte vara lägre än 0,7.

Förresten, vi publicerar regelbundet svar och kommentarer från tillsynsmyndigheter relaterade till kraven i GOST 57580 och centralbanksföreskrifter i vår Telegram kanal.

Vad man ska göra

Enligt vår uppfattning har finansiella organisationer bara två alternativ för att lösa problemet.

1. Undvik att implementera behållare

En lösning för dig som är redo att ha råd att endast använda hårdvaruvirtualisering och samtidigt är rädd för låga betyg enligt GOST och böter från centralbanken.

Ett plus: det är lättare att följa kraven i avsnitt 7.8 i GOST.

Minus: Vi kommer att behöva överge nya utvecklingsverktyg baserade på containervirtualisering, särskilt Docker och Kubernetes.

2. Vägra att följa kraven i avsnitt 7.8 i GOST

Men tillämpa samtidigt de bästa metoderna för att säkerställa informationssäkerhet när du arbetar med containrar. Detta är en lösning för dem som värdesätter ny teknik och de möjligheter de ger. Med "bästa praxis" menar vi branschaccepterade normer och standarder för att säkerställa säkerheten för Docker-containrar:

  • säkerhet för värdoperativsystemet, korrekt konfigurerad loggning, förbud mot datautbyte mellan behållare och så vidare;
  • använda Docker Trust-funktionen för att kontrollera bildernas integritet och använda den inbyggda sårbarhetsskannern;
  • Vi får inte glömma säkerheten för fjärråtkomst och nätverksmodellen som helhet: attacker som ARP-spoofing och MAC-flooding har inte avbrutits.

Ett plus: inga tekniska restriktioner för användningen av containervirtualisering.

Minus: det finns en stor sannolikhet att regulatorn kommer att straffa för bristande efterlevnad av GOST-kraven.

Slutsats

Vår kund beslutade att inte ge upp containrar. Samtidigt var han tvungen att väsentligt ompröva arbetets omfattning och tidpunkten för övergången till Docker (de varade i sex månader). Kunden förstår riskerna mycket väl. Han förstår också att under nästa bedömning av överensstämmelse med GOST R 57580 kommer mycket att bero på revisorn.

Vad skulle du göra i den här situationen?

Källa: will.com

Lägg en kommentar