புரோஹோஸ்டர் > Блог > நிர்வாகம் > GOST R 57580 மற்றும் கன்டெய்னர் மெய்நிகராக்கம் மூலம் நண்பர்களை உருவாக்குவது எப்படி. மத்திய வங்கியின் பதில் (மற்றும் இந்த விடயத்தில் எமது எண்ணங்கள்)

GOST R 57580 மற்றும் கன்டெய்னர் மெய்நிகராக்கம் மூலம் நண்பர்களை உருவாக்குவது எப்படி. மத்திய வங்கியின் பதில் (மற்றும் இந்த விடயத்தில் எமது எண்ணங்கள்)

நீண்ட காலத்திற்கு முன்பு GOST R 57580 இன் தேவைகளுக்கு இணங்குவதற்கான மற்றொரு மதிப்பீட்டை நாங்கள் மேற்கொண்டோம் (இனி GOST என குறிப்பிடப்படுகிறது). வாடிக்கையாளர் என்பது மின்னணு கட்டண முறையை உருவாக்கும் ஒரு நிறுவனம். அமைப்பு தீவிரமானது: 3 மில்லியனுக்கும் அதிகமான பயனர்கள், தினசரி 200 ஆயிரத்துக்கும் மேற்பட்ட பரிவர்த்தனைகள். அவர்கள் அங்கு தகவல் பாதுகாப்பை மிகவும் தீவிரமாக எடுத்துக்கொள்கிறார்கள்.

மதிப்பீட்டுச் செயல்பாட்டின் போது, ​​வாடிக்கையாளர் சாதாரணமாக, மேம்பாட்டுத் துறை, மெய்நிகர் இயந்திரங்களுக்கு கூடுதலாக, கொள்கலன்களைப் பயன்படுத்த திட்டமிட்டுள்ளதாக அறிவித்தார். ஆனால் இதனுடன், கிளையன்ட் கூறினார், ஒரு சிக்கல் உள்ளது: GOST இல் அதே டோக்கரைப் பற்றி ஒரு வார்த்தை இல்லை. நான் என்ன செய்ய வேண்டும்? கொள்கலன்களின் பாதுகாப்பை எவ்வாறு மதிப்பிடுவது?

GOST R 57580 மற்றும் கன்டெய்னர் மெய்நிகராக்கம் மூலம் நண்பர்களை உருவாக்குவது எப்படி. மத்திய வங்கியின் பதில் (மற்றும் இந்த விடயத்தில் எமது எண்ணங்கள்)

மெய்நிகர் இயந்திரங்கள், ஹைப்பர்வைசர் மற்றும் சேவையகத்தை எவ்வாறு பாதுகாப்பது என்பது பற்றி - வன்பொருள் மெய்நிகராக்கத்தைப் பற்றி மட்டுமே GOST எழுதுகிறது என்பது உண்மைதான். மத்திய வங்கியிடம் விளக்கம் கேட்டோம். பதில் எங்களை குழப்பியது.

GOST மற்றும் மெய்நிகராக்கம்

தொடங்குவதற்கு, GOST R 57580 என்பது "நிதி நிறுவனங்களின் தகவல் பாதுகாப்பை உறுதி செய்வதற்கான தேவைகளை" (FI) குறிப்பிடும் ஒரு புதிய தரநிலை என்பதை நினைவுபடுத்துவோம். இந்த FI களில் கட்டண முறைகள், கடன் மற்றும் கடன் அல்லாத நிறுவனங்கள், செயல்பாட்டு மற்றும் தீர்வு மையங்களின் ஆபரேட்டர்கள் மற்றும் பங்கேற்பாளர்கள் உள்ளனர்.

ஜனவரி 1, 2021 முதல், FIs நடத்த வேண்டும் புதிய GOST இன் தேவைகளுக்கு இணங்குவதற்கான மதிப்பீடு. நாங்கள், ITGLOBAL.COM, அத்தகைய மதிப்பீடுகளை நடத்தும் ஒரு தணிக்கை நிறுவனம்.

GOST ஆனது மெய்நிகராக்கப்பட்ட சூழல்களின் பாதுகாப்பிற்காக அர்ப்பணிக்கப்பட்ட ஒரு துணைப்பிரிவைக் கொண்டுள்ளது - எண் 7.8. "மெய்நிகராக்கம்" என்ற சொல் அங்கு குறிப்பிடப்படவில்லை; வன்பொருள் மற்றும் கொள்கலன் மெய்நிகராக்கம் என எந்தப் பிரிவும் இல்லை. எந்தவொரு தகவல் தொழில்நுட்ப நிபுணரும் தொழில்நுட்பக் கண்ணோட்டத்தில் இது தவறானது என்று கூறுவார்: ஒரு மெய்நிகர் இயந்திரம் (VM) மற்றும் ஒரு கொள்கலன் வெவ்வேறு சூழல்கள், வெவ்வேறு தனிமைப்படுத்தல் கொள்கைகள். VM மற்றும் Docker கண்டெய்னர்கள் பயன்படுத்தப்படும் ஹோஸ்ட்டின் பாதிப்பின் பார்வையில், இதுவும் ஒரு பெரிய வித்தியாசம்.

VMகள் மற்றும் கொள்கலன்களின் தகவல் பாதுகாப்பின் மதிப்பீடு வேறுபட்டதாக இருக்க வேண்டும் என்று மாறிவிடும்.

மத்திய வங்கியிடம் எமது கேள்விகள்

நாங்கள் அவற்றை மத்திய வங்கியின் தகவல் பாதுகாப்புத் துறைக்கு அனுப்பினோம் (கேள்விகளை சுருக்கமான வடிவத்தில் முன்வைக்கிறோம்).

  1. GOST இணக்கத்தை மதிப்பிடும்போது டோக்கர் வகை மெய்நிகர் கொள்கலன்களை எவ்வாறு கருத்தில் கொள்வது? GOST இன் துணைப்பிரிவு 7.8 இன் படி தொழில்நுட்பத்தை மதிப்பிடுவது சரியானதா?
  2. மெய்நிகர் கொள்கலன் மேலாண்மை கருவிகளை எவ்வாறு மதிப்பிடுவது? அவற்றை சர்வர் மெய்நிகராக்க கூறுகளுடன் சமன் செய்து GOST இன் அதே துணைப்பிரிவின் படி மதிப்பீடு செய்ய முடியுமா?
  3. டோக்கர் கொள்கலன்களில் உள்ள தகவலின் பாதுகாப்பை நான் தனித்தனியாக மதிப்பிட வேண்டுமா? அப்படியானால், மதிப்பீட்டுச் செயல்பாட்டின் போது இதற்கு என்ன பாதுகாப்புகளைக் கருத்தில் கொள்ள வேண்டும்?
  4. கன்டெய்னரைசேஷன் என்பது மெய்நிகர் உள்கட்டமைப்புக்கு சமமாக இருந்தால் மற்றும் துணைப்பிரிவு 7.8 இன் படி மதிப்பிடப்பட்டால், சிறப்பு தகவல் பாதுகாப்பு கருவிகளை செயல்படுத்துவதற்கான GOST தேவைகள் எவ்வாறு செயல்படுத்தப்படுகின்றன?

மத்திய வங்கியின் பதில்

முக்கிய பகுதிகள் கீழே உள்ளன.

GOST R 57580.1-2017 பின்வரும் நடவடிக்கைகள் தொடர்பாக தொழில்நுட்ப நடவடிக்கைகளைப் பயன்படுத்துவதன் மூலம் செயல்படுத்துவதற்கான தேவைகளை நிறுவுகிறது GOST R 7.8-57580.1 இன் ZI துணைப்பிரிவு 2017, இது திணைக்களத்தின் கருத்துப்படி, கொள்கலன் மெய்நிகராக்கத்தைப் பயன்படுத்துவதற்கான வழக்குகளுக்கு நீட்டிக்கப்படலாம். தொழில்நுட்பங்கள், பின்வருவனவற்றைக் கருத்தில் கொண்டு:

  • மெய்நிகர் இயந்திரங்கள் மற்றும் மெய்நிகராக்க சேவையகக் கூறுகளுக்கான தருக்க அணுகலைச் செயல்படுத்தும்போது, ​​கண்டெய்னர் மெய்நிகராக்கத் தொழில்நுட்பத்தைப் பயன்படுத்தும் நிகழ்வுகளிலிருந்து வேறுபடலாம். இதை கணக்கில் எடுத்துக்கொண்டு, பல நடவடிக்கைகளை (உதாரணமாக, ZVS.1 மற்றும் ZVS.11) செயல்படுத்த, நிதி நிறுவனங்கள் அதே இலக்குகளைத் தொடரும் இழப்பீட்டு நடவடிக்கைகளை உருவாக்க பரிந்துரைக்க முடியும் என்று நாங்கள் நம்புகிறோம்;
  • மெய்நிகர் இயந்திரங்களின் தகவல் தொடர்புகளின் அமைப்பு மற்றும் கட்டுப்பாடுக்கான ZSV.13 - ZSV.22 நடவடிக்கைகளை செயல்படுத்துவது, மெய்நிகராக்க தொழில்நுட்பத்தை செயல்படுத்தும் மற்றும் வெவ்வேறு பாதுகாப்பு சுற்றுகளுக்குச் சொந்தமான தகவல்மயமாக்கல் பொருள்களை வேறுபடுத்துவதற்கு நிதி அமைப்பின் கணினி நெட்வொர்க்கின் பிரிவை வழங்குகிறது. இதைக் கருத்தில் கொண்டு, கொள்கலன் மெய்நிகராக்கத் தொழில்நுட்பத்தைப் பயன்படுத்தும் போது பொருத்தமான பிரிவை வழங்குவது நல்லது என்று நாங்கள் நம்புகிறோம் (இரண்டும் இயங்கக்கூடிய மெய்நிகர் கொள்கலன்கள் மற்றும் இயக்க முறைமை மட்டத்தில் பயன்படுத்தப்படும் மெய்நிகராக்க அமைப்புகள் தொடர்பாக);
  • மெய்நிகர் இயந்திரங்களின் படங்களின் பாதுகாப்பை ஒழுங்கமைக்க ZSV.26, ZSV.29 - ZSV.31 நடவடிக்கைகளை செயல்படுத்துவது மெய்நிகர் கொள்கலன்களின் அடிப்படை மற்றும் தற்போதைய படங்களைப் பாதுகாப்பதற்காக ஒப்புமை மூலம் மேற்கொள்ளப்பட வேண்டும்;
  • விர்ச்சுவல் மெஷின்கள் மற்றும் சர்வர் மெய்நிகராக்க கூறுகளுக்கான அணுகல் தொடர்பான தகவல் பாதுகாப்பு நிகழ்வுகளை பதிவு செய்வதற்கான ZVS.32 - ZVS.43 நடவடிக்கைகளை செயல்படுத்துவது, கொள்கலன் மெய்நிகராக்க தொழில்நுட்பத்தை செயல்படுத்தும் மெய்நிகராக்க சூழலின் கூறுகள் தொடர்பாக ஒப்புமை மூலம் மேற்கொள்ளப்பட வேண்டும்.

அது என்ன அர்த்தம்

மத்திய வங்கியின் தகவல் பாதுகாப்புத் துறையின் பதிலில் இருந்து இரண்டு முக்கிய முடிவுகள்:

  • கொள்கலன்களைப் பாதுகாப்பதற்கான நடவடிக்கைகள் மெய்நிகர் இயந்திரங்களைப் பாதுகாப்பதற்கான நடவடிக்கைகளிலிருந்து வேறுபட்டவை அல்ல;
  • இதிலிருந்து, தகவல் பாதுகாப்பின் பின்னணியில், மத்திய வங்கி இரண்டு வகையான மெய்நிகராக்கத்தை சமன் செய்கிறது - டோக்கர் கொள்கலன்கள் மற்றும் விஎம்கள்.

அச்சுறுத்தல்களை நடுநிலையாக்கப் பயன்படுத்த வேண்டிய "இழப்பீட்டு நடவடிக்கைகள்" குறித்தும் பதிலில் குறிப்பிடப்பட்டுள்ளது. இந்த "இழப்பீட்டு நடவடிக்கைகள்" என்ன, அவற்றின் போதுமான தன்மை, முழுமை மற்றும் செயல்திறனை எவ்வாறு அளவிடுவது என்பது தெளிவாகத் தெரியவில்லை.

மத்திய வங்கியின் நிலைப்பாட்டில் என்ன தவறு?

மதிப்பீட்டின் போது (மற்றும் சுய மதிப்பீடு) மத்திய வங்கியின் பரிந்துரைகளைப் பயன்படுத்தினால், நீங்கள் பல தொழில்நுட்ப மற்றும் தர்க்கரீதியான சிக்கல்களைத் தீர்க்க வேண்டும்.

  • ஒவ்வொரு இயங்கக்கூடிய கொள்கலனுக்கும் தகவல் பாதுகாப்பு மென்பொருளை (ஐபி) நிறுவ வேண்டும்: வைரஸ் தடுப்பு, ஒருமைப்பாடு கண்காணிப்பு, பதிவுகளுடன் பணிபுரிதல், டிஎல்பி அமைப்புகள் (தரவு கசிவு தடுப்பு) மற்றும் பல. இவை அனைத்தும் எந்த பிரச்சனையும் இல்லாமல் VM இல் நிறுவப்படலாம், ஆனால் ஒரு கொள்கலனில், தகவல் பாதுகாப்பை நிறுவுவது ஒரு அபத்தமான நடவடிக்கையாகும். கன்டெய்னரில் சேவை செயல்படுவதற்கு தேவையான குறைந்தபட்ச அளவு "பாடி கிட்" உள்ளது. அதில் ஒரு SZI ஐ நிறுவுவது அதன் அர்த்தத்திற்கு முரணானது.
  • கொள்கலன் படங்கள் அதே கொள்கையின்படி பாதுகாக்கப்பட வேண்டும்; இதை எவ்வாறு செயல்படுத்துவது என்பதும் தெளிவாக இல்லை.
  • GOST க்கு சேவையக மெய்நிகராக்க கூறுகளுக்கான அணுகலை கட்டுப்படுத்த வேண்டும், அதாவது ஹைப்பர்வைசருக்கு. டோக்கரின் விஷயத்தில் சர்வர் கூறு எதுவாக கருதப்படுகிறது? ஒவ்வொரு கொள்கலனையும் தனித்தனி ஹோஸ்டில் இயக்க வேண்டும் என்று இது அர்த்தப்படுத்துகிறது அல்லவா?
  • வழக்கமான மெய்நிகராக்கத்திற்கு VMகளை பாதுகாப்பு வரையறைகள் மற்றும் பிணையப் பிரிவுகள் மூலம் வரையறுக்க முடியும் என்றால், அதே ஹோஸ்டுக்குள் இருக்கும் டோக்கர் கண்டெய்னர்களின் விஷயத்தில், இது அப்படியல்ல.

நடைமுறையில், ஒவ்வொரு தணிக்கையாளரும் தனது சொந்த அறிவு மற்றும் அனுபவத்தின் அடிப்படையில் தனது சொந்த வழியில் கொள்கலன்களின் பாதுகாப்பை மதிப்பிடுவார். சரி, அல்லது ஒன்று அல்லது மற்றொன்று இல்லை என்றால், அதை மதிப்பீடு செய்ய வேண்டாம்.

ஒரு வேளை, ஜனவரி 1, 2021 முதல் குறைந்தபட்ச மதிப்பெண் 0,7க்குக் குறையாமல் இருக்க வேண்டும் என்று சேர்ப்போம்.

மேலும், GOST 57580 மற்றும் மத்திய வங்கி விதிமுறைகளின் தேவைகள் தொடர்பான கட்டுப்பாட்டாளர்களின் பதில்கள் மற்றும் கருத்துகளை நாங்கள் தொடர்ந்து இடுகையிடுகிறோம். டெலிகிராம் சேனல்.

என்ன செய்வது

எங்கள் கருத்துப்படி, சிக்கலைத் தீர்ப்பதற்கு நிதி நிறுவனங்களுக்கு இரண்டு விருப்பங்கள் மட்டுமே உள்ளன.

1. கொள்கலன்களை செயல்படுத்துவதை தவிர்க்கவும்

வன்பொருள் மெய்நிகராக்கத்தை மட்டுமே பயன்படுத்தத் தயாராக இருப்பவர்களுக்கும், அதே நேரத்தில் GOST இன் படி குறைந்த மதிப்பீடுகள் மற்றும் மத்திய வங்கியின் அபராதங்களுக்கும் பயப்படுபவர்களுக்கு ஒரு தீர்வு.

ஒரு கூட்டல்: GOST இன் துணைப்பிரிவு 7.8 இன் தேவைகளுக்கு இணங்குவது எளிது.

கழித்தல்: கொள்கலன் மெய்நிகராக்கத்தின் அடிப்படையில் புதிய மேம்பாட்டுக் கருவிகளை நாம் கைவிட வேண்டும், குறிப்பாக டோக்கர் மற்றும் குபெர்னெட்ஸ்.

2. GOST இன் துணைப்பிரிவு 7.8 இன் தேவைகளுக்கு இணங்க மறுக்கவும்

ஆனால் அதே நேரத்தில், கொள்கலன்களுடன் பணிபுரியும் போது தகவல் பாதுகாப்பை உறுதி செய்வதில் சிறந்த நடைமுறைகளைப் பயன்படுத்தவும். புதிய தொழில்நுட்பங்கள் மற்றும் அவை வழங்கும் வாய்ப்புகளை மதிப்பவர்களுக்கு இது ஒரு தீர்வாகும். "சிறந்த நடைமுறைகள்" என்பதன் மூலம், டோக்கர் கொள்கலன்களின் பாதுகாப்பை உறுதி செய்வதற்கான தொழில்துறை ஏற்றுக்கொள்ளப்பட்ட விதிமுறைகள் மற்றும் தரநிலைகளை நாங்கள் குறிக்கிறோம்:

  • ஹோஸ்ட் OS இன் பாதுகாப்பு, ஒழுங்காக கட்டமைக்கப்பட்ட பதிவு, கொள்கலன்களுக்கு இடையில் தரவு பரிமாற்றத்தை தடை செய்தல் மற்றும் பல;
  • படங்களின் ஒருமைப்பாட்டை சரிபார்க்க டோக்கர் டிரஸ்ட் செயல்பாட்டைப் பயன்படுத்துதல் மற்றும் உள்ளமைக்கப்பட்ட பாதிப்பு ஸ்கேனரைப் பயன்படுத்துதல்;
  • தொலைநிலை அணுகலின் பாதுகாப்பு மற்றும் ஒட்டுமொத்த நெட்வொர்க் மாதிரியைப் பற்றி நாம் மறந்துவிடக் கூடாது: ARP- ஸ்பூஃபிங் மற்றும் MAC- வெள்ளம் போன்ற தாக்குதல்கள் ரத்து செய்யப்படவில்லை.

ஒரு கூட்டல்: கொள்கலன் மெய்நிகராக்கத்தைப் பயன்படுத்துவதில் தொழில்நுட்ப கட்டுப்பாடுகள் இல்லை.

கழித்தல்: GOST தேவைகளுக்கு இணங்காததற்காக சீராக்கி தண்டிக்கும் அதிக நிகழ்தகவு உள்ளது.

முடிவுக்கு

எங்கள் வாடிக்கையாளர் கொள்கலன்களை கொடுக்க வேண்டாம் என்று முடிவு செய்தார். அதே நேரத்தில், அவர் பணியின் நோக்கம் மற்றும் டோக்கருக்கு மாறுவதற்கான நேரத்தை கணிசமாக மறுபரிசீலனை செய்ய வேண்டியிருந்தது (அவை ஆறு மாதங்கள் நீடித்தன). வாடிக்கையாளர் அபாயங்களை நன்கு புரிந்துகொள்கிறார். GOST R 57580 உடன் இணங்குவதற்கான அடுத்த மதிப்பீட்டின் போது, ​​தணிக்கையாளரைப் பொறுத்தது என்பதையும் அவர் புரிந்துகொள்கிறார்.

இந்த சூழ்நிலையில் நீங்கள் என்ன செய்வீர்கள்?

ஆதாரம்: www.habr.com

கருத்தைச் சேர்