కొంతకాలం క్రితం మేము GOST R 57580 (ఇకపై కేవలం GOST గా సూచిస్తారు) యొక్క అవసరాలకు అనుగుణంగా మరొక అంచనాను నిర్వహించాము. క్లయింట్ అనేది ఎలక్ట్రానిక్ చెల్లింపు వ్యవస్థను అభివృద్ధి చేసే సంస్థ. సిస్టమ్ తీవ్రమైనది: 3 మిలియన్లకు పైగా వినియోగదారులు, రోజువారీ 200 వేలకు పైగా లావాదేవీలు. వారు అక్కడ సమాచార భద్రతను చాలా సీరియస్గా తీసుకుంటారు.
మూల్యాంకన ప్రక్రియలో, క్లయింట్ సాధారణంగా అభివృద్ధి విభాగం, వర్చువల్ మెషీన్లతో పాటు, కంటైనర్లను ఉపయోగించాలని యోచిస్తున్నట్లు ప్రకటించారు. కానీ దీనితో, క్లయింట్ జోడించారు, ఒక సమస్య ఉంది: GOST లో అదే డాకర్ గురించి ఒక పదం లేదు. నేనేం చేయాలి? కంటైనర్ల భద్రతను ఎలా అంచనా వేయాలి?
ఇది నిజం, GOST హార్డ్వేర్ వర్చువలైజేషన్ గురించి మాత్రమే వ్రాస్తుంది - వర్చువల్ మెషీన్లు, హైపర్వైజర్ మరియు సర్వర్ను ఎలా రక్షించాలి అనే దాని గురించి. మేము స్పష్టత కోసం సెంట్రల్ బ్యాంక్ని అడిగాము. సమాధానం మమ్మల్ని కలవరపరిచింది.
GOST మరియు వర్చువలైజేషన్
ప్రారంభించడానికి, GOST R 57580 అనేది "ఆర్థిక సంస్థల సమాచార భద్రతను నిర్ధారించే అవసరాలు" (FI)ని నిర్దేశించే కొత్త ప్రమాణం అని గుర్తుచేసుకుందాం. ఈ FIలలో చెల్లింపు వ్యవస్థలు, క్రెడిట్ మరియు నాన్-క్రెడిట్ సంస్థలు, కార్యాచరణ మరియు క్లియరింగ్ కేంద్రాల ఆపరేటర్లు మరియు పాల్గొనేవారు ఉన్నారు.
జనవరి 1, 2021 నుండి, FIలు నిర్వహించాల్సి ఉంటుంది . మేము, ITGLOBAL.COM, అటువంటి అసెస్మెంట్లను నిర్వహించే ఆడిట్ కంపెనీ.
GOST వర్చువలైజ్డ్ ఎన్విరాన్మెంట్ల రక్షణకు అంకితమైన ఉపవిభాగాన్ని కలిగి ఉంది - నం. 7.8. "వర్చువలైజేషన్" అనే పదం అక్కడ పేర్కొనబడలేదు; హార్డ్వేర్ మరియు కంటైనర్ వర్చువలైజేషన్గా విభజన లేదు. ఏదైనా IT నిపుణుడు సాంకేతిక కోణం నుండి ఇది తప్పు అని చెబుతారు: వర్చువల్ మెషీన్ (VM) మరియు కంటైనర్ వేర్వేరు పరిసరాలలో, విభిన్న ఐసోలేషన్ సూత్రాలతో ఉంటాయి. VM మరియు డాకర్ కంటైనర్లు అమర్చబడిన హోస్ట్ యొక్క దుర్బలత్వం దృష్ట్యా, ఇది కూడా పెద్ద తేడా.
VMలు మరియు కంటైనర్ల సమాచార భద్రత యొక్క అంచనా కూడా భిన్నంగా ఉండాలని ఇది మారుతుంది.
సెంట్రల్ బ్యాంక్కి మా ప్రశ్నలు
మేము వాటిని సెంట్రల్ బ్యాంక్ యొక్క సమాచార భద్రతా విభాగానికి పంపాము (మేము సంక్షిప్త రూపంలో ప్రశ్నలను అందజేస్తాము).
- GOST సమ్మతిని అంచనా వేసేటప్పుడు డాకర్-రకం వర్చువల్ కంటైనర్లను ఎలా పరిగణించాలి? GOST యొక్క ఉపవిభాగం 7.8 ప్రకారం సాంకేతికతను మూల్యాంకనం చేయడం సరైనదేనా?
- వర్చువల్ కంటైనర్ నిర్వహణ సాధనాలను ఎలా అంచనా వేయాలి? వాటిని సర్వర్ వర్చువలైజేషన్ భాగాలకు సమం చేయడం మరియు GOST యొక్క అదే ఉపవిభాగం ప్రకారం వాటిని మూల్యాంకనం చేయడం సాధ్యమేనా?
- డాకర్ కంటైనర్లలోని సమాచార భద్రతను నేను విడిగా మూల్యాంకనం చేయాలా? అలా అయితే, మూల్యాంకన ప్రక్రియలో దీని కోసం ఏ రక్షణలను పరిగణించాలి?
- కంటెయినరైజేషన్ అనేది వర్చువల్ ఇన్ఫ్రాస్ట్రక్చర్తో సమానంగా ఉంటే మరియు సబ్సెక్షన్ 7.8 ప్రకారం అంచనా వేయబడితే, ప్రత్యేక సమాచార భద్రతా సాధనాల అమలు కోసం GOST అవసరాలు ఎలా అమలు చేయబడతాయి?
సెంట్రల్ బ్యాంక్ ప్రతిస్పందన
క్రింద ప్రధాన సారాంశాలు ఉన్నాయి.
“GOST R 57580.1-2017 కింది చర్యలకు సంబంధించి సాంకేతిక చర్యలను ఉపయోగించడం ద్వారా అమలు కోసం అవసరాలను ఏర్పాటు చేస్తుంది GOST R 7.8-57580.1 యొక్క ZI సబ్సెక్షన్ 2017, ఇది డిపార్ట్మెంట్ అభిప్రాయం ప్రకారం, కంటైనర్ వర్చువలైజేషన్ను ఉపయోగించే కేసులకు విస్తరించవచ్చు. సాంకేతికతలు, కింది వాటిని పరిగణనలోకి తీసుకుంటాయి:
- వర్చువల్ మిషన్లు మరియు వర్చువలైజేషన్ సర్వర్ భాగాలకు తార్కిక ప్రాప్యతను అమలు చేస్తున్నప్పుడు గుర్తింపు, ప్రామాణీకరణ, అధికార (యాక్సెస్ నియంత్రణ) నిర్వహించడం కోసం ZSV.1 - ZSV.11 చర్యల అమలు కంటైనర్ వర్చువలైజేషన్ టెక్నాలజీని ఉపయోగించే సందర్భాల నుండి భిన్నంగా ఉండవచ్చు. దీన్ని పరిగణనలోకి తీసుకుంటే, అనేక చర్యలను అమలు చేయడానికి (ఉదాహరణకు, ZVS.6 మరియు ZVS.7), ఆర్థిక సంస్థలు అదే లక్ష్యాలను కొనసాగించే నష్టపరిహార చర్యలను అభివృద్ధి చేయాలని సిఫార్సు చేయడం సాధ్యమవుతుందని మేము విశ్వసిస్తున్నాము;
- వర్చువల్ మిషన్ల యొక్క సమాచార పరస్పర చర్య యొక్క సంస్థ మరియు నియంత్రణ కోసం ZSV.13 - ZSV.22 చర్యల అమలు, వర్చువలైజేషన్ టెక్నాలజీని అమలు చేసే మరియు వివిధ భద్రతా సర్క్యూట్లకు చెందిన ఇన్ఫర్మేటైజేషన్ వస్తువుల మధ్య తేడాను గుర్తించడానికి ఆర్థిక సంస్థ యొక్క కంప్యూటర్ నెట్వర్క్ యొక్క విభజనను అందిస్తుంది. దీనిని పరిగణనలోకి తీసుకుంటే, కంటైనర్ వర్చువలైజేషన్ టెక్నాలజీని (ఎక్జిక్యూటబుల్ వర్చువల్ కంటైనర్లకు సంబంధించి మరియు ఆపరేటింగ్ సిస్టమ్ స్థాయిలో ఉపయోగించే వర్చువలైజేషన్ సిస్టమ్లకు సంబంధించి) ఉపయోగిస్తున్నప్పుడు తగిన విభజనను అందించడం మంచిది అని మేము విశ్వసిస్తున్నాము;
- వర్చువల్ మెషీన్ల చిత్రాల రక్షణను నిర్వహించడానికి ZSV.26, ZSV.29 - ZSV.31 చర్యలను అమలు చేయడం సారూప్యతతో కూడా వర్చువల్ కంటైనర్ల యొక్క ప్రాథమిక మరియు ప్రస్తుత చిత్రాలను రక్షించడానికి;
- వర్చువల్ మెషీన్లు మరియు సర్వర్ వర్చువలైజేషన్ కాంపోనెంట్లకు యాక్సెస్కు సంబంధించిన సమాచార భద్రతా ఈవెంట్లను రికార్డ్ చేయడానికి ZVS.32 - ZVS.43 చర్యల అమలు, కంటైనర్ వర్చువలైజేషన్ టెక్నాలజీని అమలు చేసే వర్చువలైజేషన్ ఎన్విరాన్మెంట్ అంశాలకు సంబంధించి కూడా సారూప్యతతో నిర్వహించాలి.
దాని అర్థం ఏమిటి
సెంట్రల్ బ్యాంక్ ఇన్ఫర్మేషన్ సెక్యూరిటీ డిపార్ట్మెంట్ ప్రతిస్పందన నుండి రెండు ప్రధాన తీర్మానాలు:
- కంటైనర్లను రక్షించే చర్యలు వర్చువల్ మిషన్లను రక్షించే చర్యల నుండి భిన్నంగా లేవు;
- దీని నుండి, సమాచార భద్రత సందర్భంలో, సెంట్రల్ బ్యాంక్ రెండు రకాల వర్చువలైజేషన్లను సమానం చేస్తుంది - డాకర్ కంటైనర్లు మరియు VMలు.
ప్రతిస్పందనలో బెదిరింపులను తటస్తం చేయడానికి వర్తించాల్సిన "పరిహార చర్యలు" కూడా ప్రస్తావించబడ్డాయి. ఈ "పరిహార చర్యలు" ఏమిటో మరియు వాటి సమర్ధత, సంపూర్ణత మరియు ప్రభావాన్ని ఎలా కొలవాలో అస్పష్టంగా ఉంది.
సెంట్రల్ బ్యాంక్ స్థానంతో తప్పు ఏమిటి?
మీరు మూల్యాంకనం (మరియు స్వీయ-అంచనా) సమయంలో సెంట్రల్ బ్యాంక్ యొక్క సిఫార్సులను ఉపయోగిస్తే, మీరు అనేక సాంకేతిక మరియు తార్కిక సమస్యలను పరిష్కరించాలి.
- ప్రతి ఎక్జిక్యూటబుల్ కంటైనర్కు దానిపై ఇన్ఫర్మేషన్ ప్రొటెక్షన్ సాఫ్ట్వేర్ (IP) ఇన్స్టాలేషన్ అవసరం: యాంటీవైరస్, సమగ్రత పర్యవేక్షణ, లాగ్లతో పని చేయడం, DLP సిస్టమ్లు (డేటా లీక్ ప్రివెన్షన్) మరియు మొదలైనవి. వీటన్నింటినీ ఎటువంటి సమస్యలు లేకుండా VMలో ఇన్స్టాల్ చేయవచ్చు, కానీ కంటైనర్ విషయంలో, సమాచార భద్రతను ఇన్స్టాల్ చేయడం అసంబద్ధమైన చర్య. కంటైనర్లో సేవ పని చేయడానికి అవసరమైన కనీస మొత్తంలో "బాడీ కిట్" ఉంటుంది. దానిలో SZIని ఇన్స్టాల్ చేయడం దాని అర్థానికి విరుద్ధంగా ఉంది.
- కంటైనర్ చిత్రాలు అదే సూత్రం ప్రకారం రక్షించబడాలి; దీన్ని ఎలా అమలు చేయాలో కూడా అస్పష్టంగా ఉంది.
- GOSTకి సర్వర్ వర్చువలైజేషన్ భాగాలకు, అంటే, హైపర్వైజర్కు యాక్సెస్ని పరిమితం చేయడం అవసరం. డాకర్ విషయంలో సర్వర్ కాంపోనెంట్గా ఏది పరిగణించబడుతుంది? ప్రతి కంటైనర్ను ప్రత్యేక హోస్ట్లో అమలు చేయాలని దీని అర్థం కాదా?
- సాంప్రదాయిక వర్చువలైజేషన్ కోసం భద్రతా ఆకృతులు మరియు నెట్వర్క్ విభాగాల ద్వారా VMలను డీలిమిట్ చేయడం సాధ్యమైతే, అదే హోస్ట్లోని డాకర్ కంటైనర్ల విషయంలో, ఇది అలా కాదు.
ఆచరణలో, ప్రతి ఆడిటర్ తన స్వంత జ్ఞానం మరియు అనుభవం ఆధారంగా కంటైనర్ల భద్రతను తన స్వంత మార్గంలో అంచనా వేసే అవకాశం ఉంది. సరే, ఒకటి లేదా మరొకటి లేనట్లయితే, దానిని అస్సలు మూల్యాంకనం చేయవద్దు.
ఒకవేళ, మేము జనవరి 1, 2021 నుండి కనిష్ట స్కోర్ 0,7 కంటే తక్కువగా ఉండకూడదు.
మార్గం ద్వారా, మేము మాలో GOST 57580 మరియు సెంట్రల్ బ్యాంక్ నిబంధనలకు సంబంధించిన అవసరాలకు సంబంధించిన రెగ్యులేటర్ల నుండి ప్రతిస్పందనలు మరియు వ్యాఖ్యలను క్రమం తప్పకుండా పోస్ట్ చేస్తాము .
ఏమి చేయాలో
మా అభిప్రాయం ప్రకారం, సమస్యను పరిష్కరించడానికి ఆర్థిక సంస్థలకు కేవలం రెండు ఎంపికలు మాత్రమే ఉన్నాయి.
1. కంటైనర్లను అమలు చేయడం మానుకోండి
హార్డ్వేర్ వర్చువలైజేషన్ను మాత్రమే ఉపయోగించుకోవడానికి సిద్ధంగా ఉన్నవారికి మరియు అదే సమయంలో సెంట్రల్ బ్యాంక్ నుండి GOST మరియు జరిమానాల ప్రకారం తక్కువ రేటింగ్లకు భయపడే వారికి ఒక పరిష్కారం.
ఒక ప్లస్: GOST యొక్క ఉపవిభాగం 7.8 యొక్క అవసరాలకు అనుగుణంగా ఉండటం సులభం.
మైనస్: మేము కంటైనర్ వర్చువలైజేషన్ ఆధారంగా కొత్త డెవలప్మెంట్ సాధనాలను వదిలివేయవలసి ఉంటుంది, ప్రత్యేకించి డాకర్ మరియు కుబెర్నెట్స్.
2. GOST యొక్క ఉపవిభాగం 7.8 యొక్క అవసరాలకు అనుగుణంగా తిరస్కరించండి
కానీ అదే సమయంలో, కంటైనర్లతో పనిచేసేటప్పుడు సమాచార భద్రతను నిర్ధారించడంలో ఉత్తమ పద్ధతులను వర్తింపజేయండి. కొత్త సాంకేతికతలను మరియు అవి అందించే అవకాశాలను విలువైన వారికి ఇది ఒక పరిష్కారం. "ఉత్తమ పద్ధతులు" అంటే డాకర్ కంటైనర్ల భద్రతను నిర్ధారించడానికి పరిశ్రమ ఆమోదించిన నిబంధనలు మరియు ప్రమాణాలు:
- హోస్ట్ OS యొక్క భద్రత, సరిగ్గా కాన్ఫిగర్ చేయబడిన లాగింగ్, కంటైనర్ల మధ్య డేటా మార్పిడిని నిషేధించడం మరియు మొదలైనవి;
- చిత్రాల సమగ్రతను తనిఖీ చేయడానికి డాకర్ ట్రస్ట్ ఫంక్షన్ని ఉపయోగించడం మరియు అంతర్నిర్మిత దుర్బలత్వ స్కానర్ని ఉపయోగించడం;
- రిమోట్ యాక్సెస్ యొక్క భద్రత మరియు మొత్తం నెట్వర్క్ మోడల్ గురించి మనం మరచిపోకూడదు: ARP-స్పూఫింగ్ మరియు MAC-ఫ్లూడింగ్ వంటి దాడులు రద్దు చేయబడలేదు.
ఒక ప్లస్: కంటైనర్ వర్చువలైజేషన్ వాడకంపై సాంకేతిక పరిమితులు లేవు.
మైనస్: GOST అవసరాలను పాటించనందుకు రెగ్యులేటర్ శిక్షించే అధిక సంభావ్యత ఉంది.
తీర్మానం
మా క్లయింట్ కంటైనర్లను వదులుకోకూడదని నిర్ణయించుకున్నాడు. అదే సమయంలో, అతను పని యొక్క పరిధిని మరియు డాకర్కు మారే సమయాన్ని గణనీయంగా పునఃపరిశీలించవలసి వచ్చింది (అవి ఆరు నెలల పాటు కొనసాగాయి). క్లయింట్ రిస్క్లను బాగా అర్థం చేసుకుంటాడు. GOST R 57580కి అనుగుణంగా తదుపరి అంచనా సమయంలో, ఆడిటర్పై చాలా ఆధారపడి ఉంటుందని కూడా అతను అర్థం చేసుకున్నాడు.
ఈ పరిస్థితిలో మీరు ఏమి చేస్తారు?
మూలం: www.habr.com