ProHoster > blog > Utawala > Jinsi ya kufanya urafiki na GOST R 57580 na uboreshaji wa chombo. Majibu ya Benki Kuu (na mawazo yetu kuhusu jambo hili)

Jinsi ya kufanya urafiki na GOST R 57580 na uboreshaji wa chombo. Majibu ya Benki Kuu (na mawazo yetu kuhusu jambo hili)

Si muda mrefu uliopita tulifanya tathmini nyingine ya kufuata mahitaji ya GOST R 57580 (hapa inajulikana kama GOST kwa urahisi). Mteja ni kampuni inayotengeneza mfumo wa malipo wa kielektroniki. Mfumo huo ni mbaya: zaidi ya watumiaji milioni 3, zaidi ya shughuli elfu 200 kila siku. Wanachukulia usalama wa habari kwa umakini sana huko.

Wakati wa mchakato wa tathmini, mteja alitangaza kwa kawaida kuwa idara ya maendeleo, pamoja na mashine za kawaida, inapanga kutumia vyombo. Lakini kwa hili, mteja aliongeza, kuna tatizo moja: katika GOST hakuna neno kuhusu Docker sawa. Nifanye nini? Jinsi ya kutathmini usalama wa vyombo?

Jinsi ya kufanya urafiki na GOST R 57580 na uboreshaji wa chombo. Majibu ya Benki Kuu (na mawazo yetu kuhusu jambo hili)

Ni kweli, GOST inaandika tu juu ya uboreshaji wa vifaa - juu ya jinsi ya kulinda mashine za kawaida, hypervisor, na seva. Tuliomba Benki Kuu itoe ufafanuzi. Jibu lilitushangaza.

GOST na virtualization

Kuanza, hebu tukumbuke kwamba GOST R 57580 ni kiwango kipya ambacho kinataja "mahitaji ya kuhakikisha usalama wa habari wa mashirika ya kifedha" (FI). FIs hizi ni pamoja na waendeshaji na washiriki wa mifumo ya malipo, mashirika ya mikopo na yasiyo ya mikopo, vituo vya uendeshaji na kusafisha.

Kuanzia Januari 1, 2021, FIs zinahitajika kufanya tathmini ya kufuata mahitaji ya GOST mpya. Sisi, ITGLOBAL.COM, ni kampuni ya ukaguzi inayofanya tathmini kama hizo.

GOST ina kifungu kinachojitolea kwa ulinzi wa mazingira ya virtualized - No 7.8. Neno "virtualization" halijabainishwa hapo; hakuna mgawanyiko katika uboreshaji wa maunzi na kontena. Mtaalamu yeyote wa IT atasema kwamba kutoka kwa mtazamo wa kiufundi hii si sahihi: mashine ya kawaida (VM) na chombo ni mazingira tofauti, na kanuni tofauti za kutengwa. Kwa mtazamo wa mazingira magumu ya seva pangishi ambayo vyombo vya VM na Docker hutumwa, hii pia ni tofauti kubwa.

Inabadilika kuwa tathmini ya usalama wa habari wa VM na kontena inapaswa pia kuwa tofauti.

Maswali yetu kwa Benki Kuu

Tuliwatuma kwa Idara ya Usalama wa Habari ya Benki Kuu (tunawasilisha maswali kwa fomu ya kifupi).

  1. Jinsi ya kuzingatia vyombo vya kawaida vya aina ya Docker wakati wa kutathmini kufuata kwa GOST? Je, ni sahihi kutathmini teknolojia kwa mujibu wa kifungu cha 7.8 cha GOST?
  2. Jinsi ya kutathmini zana za usimamizi wa kontena halisi? Inawezekana kuzilinganisha na vifaa vya uboreshaji wa seva na kutathmini kulingana na kifungu kidogo cha GOST?
  3. Je! ninahitaji kutathmini kando usalama wa habari ndani ya vyombo vya Docker? Ikiwa ndivyo, ni ulinzi gani unapaswa kuzingatiwa kwa hili wakati wa mchakato wa tathmini?
  4. Ikiwa uwekaji vyombo ni sawa na miundombinu ya mtandaoni na kutathminiwa kulingana na kifungu kidogo cha 7.8, mahitaji ya GOST ya utekelezaji wa zana maalum za usalama wa habari hutekelezwa vipi?

Majibu ya Benki Kuu

Chini ni dondoo kuu.

GOST R 57580.1-2017 inaweka mahitaji ya utekelezaji kupitia utumiaji wa hatua za kiufundi kuhusiana na hatua zifuatazo za kifungu cha 7.8 cha GOST R 57580.1-2017, ambayo, kwa maoni ya Idara, inaweza kupanuliwa kwa kesi za kutumia uboreshaji wa chombo. teknolojia, kwa kuzingatia yafuatayo:

  • utekelezaji wa hatua ZSV.1 - ZSV.11 za kuandaa kitambulisho, uthibitishaji, uidhinishaji (udhibiti wa ufikiaji) wakati wa kutekeleza ufikiaji wa kimantiki kwa mashine pepe na vipengee vya seva ya uboreshaji vinaweza kutofautiana na kesi za kutumia teknolojia ya uboreshaji wa chombo. Kwa kuzingatia hili, ili kutekeleza hatua kadhaa (kwa mfano, ZVS.6 na ZVS.7), tunaamini kuwa inawezekana kupendekeza kwamba taasisi za fedha ziandae hatua za fidia ambazo zitatekeleza malengo sawa;
  • utekelezaji wa hatua ZSV.13 - ZSV.22 kwa ajili ya shirika na udhibiti wa mwingiliano wa habari wa mashine virtual hutoa kwa segmentation ya mtandao wa kompyuta wa shirika la fedha ili kutofautisha kati ya vitu habari kwamba kutekeleza virtualization teknolojia na mali ya nyaya mbalimbali za usalama. Kwa kuzingatia hili, tunaamini kuwa ni vyema kutoa sehemu zinazofaa wakati wa kutumia teknolojia ya uboreshaji wa kontena (zote mbili kuhusiana na kontena pepe zinazotekelezeka na kuhusiana na mifumo ya uboreshaji inayotumika katika kiwango cha mfumo wa uendeshaji);
  • utekelezaji wa hatua ZSV.26, ZSV.29 - ZSV.31 kuandaa ulinzi wa picha za mashine virtual inapaswa kufanyika kwa mlinganisho pia ili kulinda picha ya msingi na ya sasa ya vyombo virtual;
  • utekelezaji wa hatua ZVS.32 - ZVS.43 za kurekodi matukio ya usalama wa habari zinazohusiana na ufikiaji wa mashine pepe na vipengee vya uboreshaji wa seva unapaswa kutekelezwa kwa mlinganisho pia kuhusiana na vipengele vya mazingira ya uboreshaji vinavyotekeleza teknolojia ya uboreshaji wa vyombo.”

Hii inamaanisha nini

Hitimisho kuu mbili kutoka kwa majibu ya Idara ya Usalama wa Habari ya Benki Kuu:

  • hatua za kulinda vyombo sio tofauti na hatua za kulinda mashine za kawaida;
  • Inafuata kutoka kwa hili kwamba, katika muktadha wa usalama wa habari, Benki Kuu inalinganisha aina mbili za uboreshaji - vyombo vya Docker na VM.

Jibu pia linataja "hatua za fidia" ambazo zinahitaji kutumika ili kupunguza vitisho. Haijulikani ni nini "hatua hizi za fidia" na jinsi ya kupima utoshelevu wao, ukamilifu na ufanisi.

Je, msimamo wa Benki Kuu una tatizo gani?

Ikiwa unatumia mapendekezo ya Benki Kuu wakati wa tathmini (na kujitathmini), unahitaji kutatua matatizo kadhaa ya kiufundi na mantiki.

  • Kila chombo kinachoweza kutekelezwa kinahitaji usakinishaji wa programu ya ulinzi wa habari (IP) juu yake: antivirus, ufuatiliaji wa uadilifu, kufanya kazi na kumbukumbu, mifumo ya DLP (Kuzuia Uvujaji wa Data), na kadhalika. Yote hii inaweza kusanikishwa kwenye VM bila shida yoyote, lakini katika kesi ya kontena, kusanikisha usalama wa habari ni hoja ya upuuzi. Chombo kina kiwango cha chini cha "seti ya mwili" ambayo inahitajika ili huduma kufanya kazi. Kuweka SZI ndani yake kunapingana na maana yake.
  • Picha za chombo zinapaswa kulindwa kulingana na kanuni hiyo hiyo; jinsi ya kutekeleza hii pia haijulikani.
  • GOST inahitaji kuzuia upatikanaji wa vipengele vya virtualization ya seva, yaani, kwa hypervisor. Ni nini kinachukuliwa kuwa sehemu ya seva katika kesi ya Docker? Je, hii haimaanishi kwamba kila chombo kinahitaji kuendeshwa kwa mwenyeji tofauti?
  • Ikiwa kwa uboreshaji wa kawaida inawezekana kuweka mipaka ya VM kwa njia za usalama na sehemu za mtandao, basi katika kesi ya vyombo vya Docker ndani ya mwenyeji sawa, sivyo ilivyo.

Kwa vitendo, kuna uwezekano kwamba kila mkaguzi atatathmini usalama wa vyombo kwa njia yake mwenyewe, kulingana na ujuzi na uzoefu wake mwenyewe. Naam, au usiitathmini kabisa, ikiwa hakuna moja au nyingine.

Ikiwezekana, tutaongeza kuwa kuanzia tarehe 1 Januari 2021, alama za chini lazima ziwe chini ya 0,7.

Kwa njia, tunachapisha mara kwa mara majibu na maoni kutoka kwa wasimamizi kuhusiana na mahitaji ya GOST 57580 na Kanuni za Benki Kuu katika yetu. Kituo cha Telegraph.

Nini cha kufanya

Kwa maoni yetu, mashirika ya kifedha yana chaguzi mbili tu za kutatua shida.

1. Epuka kutekeleza vyombo

Suluhisho kwa wale ambao wako tayari kumudu kutumia virtualization ya vifaa tu na wakati huo huo wanaogopa viwango vya chini kulingana na GOST na faini kutoka Benki Kuu.

A plus: ni rahisi kuzingatia mahitaji ya kifungu cha 7.8 cha GOST.

Ondoa: Tutalazimika kuachana na zana mpya za ukuzaji kulingana na uboreshaji wa kontena, haswa Docker na Kubernetes.

2. Kukataa kuzingatia mahitaji ya kifungu cha 7.8 cha GOST

Lakini wakati huo huo, tumia mbinu bora katika kuhakikisha usalama wa habari wakati wa kufanya kazi na vyombo. Hili ni suluhisho kwa wale wanaothamini teknolojia mpya na fursa wanazotoa. Kwa "mbinu bora" tunamaanisha kanuni na viwango vinavyokubaliwa na tasnia ili kuhakikisha usalama wa makontena ya Docker:

  • usalama wa OS mwenyeji, ukataji miti uliosanidiwa vizuri, marufuku ya kubadilishana data kati ya vyombo, na kadhalika;
  • kutumia kipengele cha kukokotoa cha Docker Trust ili kuangalia uadilifu wa picha na kutumia kichanganuzi cha hatari kilichojengewa ndani;
  • Hatupaswi kusahau kuhusu usalama wa ufikiaji wa mbali na mtindo wa mtandao kwa ujumla: mashambulizi kama vile ARP-spoofing na MAC-flooding hayajaghairiwa.

A plus: hakuna vikwazo vya kiufundi juu ya matumizi ya uboreshaji wa chombo.

Ondoa: kuna uwezekano mkubwa kwamba mdhibiti ataadhibu kwa kutofuata mahitaji ya GOST.

Hitimisho

Mteja wetu aliamua kutotoa vyombo. Wakati huo huo, ilibidi afikirie kwa kiasi kikubwa wigo wa kazi na wakati wa mpito kwa Docker (walidumu kwa miezi sita). Mteja anaelewa hatari hizo vizuri. Pia anaelewa kuwa wakati wa tathmini inayofuata ya kufuata GOST R 57580, mengi itategemea mkaguzi.

Ungefanya nini katika hali hii?

Chanzo: mapenzi.com

Kuongeza maoni