วันหนึ่งเราได้รับคำขอบริการคลาวด์ เราสรุปเงื่อนไขทั่วไปว่าเราต้องการอะไร และส่งรายการคำถามกลับมาเพื่อชี้แจงรายละเอียด จากนั้นเราวิเคราะห์คำตอบและพบว่า: ลูกค้าต้องการวางข้อมูลส่วนบุคคลของการรักษาความปลอดภัยระดับที่สองในระบบคลาวด์ เราตอบเขาว่า: “คุณมีข้อมูลส่วนบุคคลระดับที่สอง ขออภัย เราสร้างได้เพียงคลาวด์ส่วนตัวเท่านั้น” และเขา: “คุณก็รู้ แต่ในบริษัท X พวกเขาสามารถโพสต์ทุกอย่างให้ฉันแบบสาธารณะได้”
ภาพถ่ายโดย สตีฟ คริสป์ สำนักข่าวรอยเตอร์
สิ่งแปลก ๆ! เราไปที่เว็บไซต์ของบริษัท X ศึกษาเอกสารการรับรอง ส่ายหัว และตระหนักว่า: มีคำถามเปิดมากมายเกี่ยวกับการวางข้อมูลส่วนบุคคล และควรได้รับการแก้ไขอย่างละเอียด นั่นคือสิ่งที่เราจะทำในโพสต์นี้
ทุกอย่างควรทำงานอย่างไร
ขั้นแรก เรามาดูกันว่าเกณฑ์ใดที่ใช้ในการจัดประเภทข้อมูลส่วนบุคคลให้เป็นระดับความปลอดภัยหนึ่งหรืออีกระดับหนึ่ง ขึ้นอยู่กับหมวดหมู่ของข้อมูล จำนวนหัวข้อของข้อมูลที่ผู้ปฏิบัติงานจัดเก็บและประมวลผล รวมถึงประเภทของภัยคุกคามในปัจจุบัน
ประเภทของภัยคุกคามในปัจจุบันมีการกำหนดไว้ใน ลงวันที่ 1 พฤศจิกายน 2012 “เมื่อได้รับอนุมัติข้อกำหนดสำหรับการปกป้องข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลส่วนบุคคล”:
“ภัยคุกคามประเภท 1 มีความเกี่ยวข้องกับระบบข้อมูลหากมี ภัยคุกคามปัจจุบันที่เกี่ยวข้องกับ ด้วยการมีความสามารถที่ไม่มีเอกสาร (ไม่ได้ประกาศ) ในซอฟต์แวร์ระบบมาใช้ในระบบสารสนเทศ
ภัยคุกคามประเภทที่ 2 มีความเกี่ยวข้องกับระบบข้อมูล รวมถึง ภัยคุกคามปัจจุบันที่เกี่ยวข้องกับ ด้วยการมีความสามารถที่ไม่มีเอกสาร (ไม่ได้ประกาศ) ในแอพพลิเคชั่นซอฟต์แวร์มาใช้ในระบบสารสนเทศ
ภัยคุกคามประเภทที่ 3 มีความเกี่ยวข้องกับระบบข้อมูลหากเป็นเช่นนั้น ภัยคุกคามที่ไม่เกี่ยวข้อง ด้วยการมีความสามารถที่ไม่มีเอกสาร (ไม่ได้ประกาศ) ในระบบและซอฟต์แวร์ประยุกต์มาใช้ในระบบสารสนเทศ”
สิ่งสำคัญในคำจำกัดความเหล่านี้คือการมีความสามารถที่ไม่มีเอกสาร (ไม่ได้ประกาศ) เพื่อยืนยันว่าไม่มีความสามารถของซอฟต์แวร์ที่ไม่มีเอกสาร (ในกรณีของระบบคลาวด์ นี่คือไฮเปอร์ไวเซอร์) การรับรองจะดำเนินการโดย FSTEC ของรัสเซีย หากผู้ปฏิบัติงาน PD ยอมรับว่าไม่มีความสามารถดังกล่าวในซอฟต์แวร์ ภัยคุกคามที่เกี่ยวข้องนั้นจะไม่เกี่ยวข้อง ภัยคุกคามประเภท 1 และ 2 ไม่ค่อยได้รับการพิจารณาว่าเกี่ยวข้องโดยผู้ปฏิบัติงาน PD
นอกเหนือจากการกำหนดระดับความปลอดภัยของ PD แล้ว ผู้ปฏิบัติงานยังต้องระบุภัยคุกคามในปัจจุบันที่เฉพาะเจาะจงต่อคลาวด์สาธารณะ และกำหนดมาตรการที่จำเป็นและวิธีการป้องกันตามระดับความปลอดภัยของ PD ที่ระบุ
FSTEC แสดงรายการภัยคุกคามหลักทั้งหมดอย่างชัดเจน (ฐานข้อมูลภัยคุกคาม) ผู้ให้บริการโครงสร้างพื้นฐานคลาวด์และผู้ประเมินใช้ฐานข้อมูลนี้ในการทำงาน นี่คือตัวอย่างของภัยคุกคาม:
: “ภัยคุกคามคือความเป็นไปได้ที่จะละเมิดความปลอดภัยของข้อมูลผู้ใช้ของโปรแกรมที่ทำงานภายในเครื่องเสมือนโดยซอฟต์แวร์ที่เป็นอันตรายซึ่งทำงานนอกเครื่องเสมือน” ภัยคุกคามนี้เกิดจากการมีช่องโหว่ในซอฟต์แวร์ไฮเปอร์ไวเซอร์ ซึ่งช่วยให้มั่นใจได้ว่าพื้นที่ที่อยู่ที่ใช้ในการจัดเก็บข้อมูลผู้ใช้สำหรับโปรแกรมที่ทำงานภายในเครื่องเสมือนนั้นจะถูกแยกออกจากการเข้าถึงโดยไม่ได้รับอนุญาตโดยซอฟต์แวร์ที่เป็นอันตรายซึ่งทำงานนอกเครื่องเสมือน
การดำเนินการคุกคามนี้เป็นไปได้โดยมีเงื่อนไขว่าโค้ดโปรแกรมที่เป็นอันตรายสามารถเอาชนะขอบเขตของเครื่องเสมือนได้สำเร็จ ไม่เพียงแต่โดยการใช้ประโยชน์จากช่องโหว่ของไฮเปอร์ไวเซอร์เท่านั้น แต่ยังรวมถึงการดำเนินการผลกระทบดังกล่าวจากระดับที่ต่ำกว่า (สัมพันธ์กับไฮเปอร์ไวเซอร์) ของ การทำงานของระบบ”
: “ภัยคุกคามอยู่ที่ความเป็นไปได้ในการเข้าถึงข้อมูลที่ได้รับการป้องกันของผู้ใช้บริการคลาวด์รายหนึ่งจากอีกรายหนึ่งโดยไม่ได้รับอนุญาต ภัยคุกคามนี้มีสาเหตุมาจากธรรมชาติของเทคโนโลยีคลาวด์ ผู้ใช้บริการคลาวด์จึงต้องแชร์โครงสร้างพื้นฐานคลาวด์เดียวกัน ภัยคุกคามนี้สามารถรับรู้ได้หากมีข้อผิดพลาดเกิดขึ้นเมื่อแยกองค์ประกอบโครงสร้างพื้นฐานคลาวด์ระหว่างผู้ใช้บริการคลาวด์ รวมถึงเมื่อแยกทรัพยากรและแยกข้อมูลออกจากกัน”
คุณสามารถป้องกันภัยคุกคามเหล่านี้ได้ด้วยความช่วยเหลือของไฮเปอร์ไวเซอร์เท่านั้น เนื่องจากเป็นไฮเปอร์ไวเซอร์ที่จัดการทรัพยากรเสมือน ดังนั้นไฮเปอร์ไวเซอร์จะต้องถือเป็นวิธีการป้องกัน
และเป็นไปตาม ลงวันที่ 18 กุมภาพันธ์ 2013 ไฮเปอร์ไวเซอร์จะต้องได้รับการรับรองว่าไม่ใช่ NDV ในระดับ 4 มิฉะนั้นการใช้ข้อมูลส่วนบุคคลระดับ 1 และ 2 ด้วยจะผิดกฎหมาย (“ข้อ 12. ... เพื่อให้มั่นใจในความปลอดภัยของข้อมูลส่วนบุคคลระดับ 1 และ 2 ตลอดจนเพื่อให้มั่นใจในความปลอดภัยของข้อมูลส่วนบุคคลระดับ 3 ในระบบข้อมูลที่ภัยคุกคามประเภท 2 จัดอยู่ในประเภทปัจจุบันใช้เครื่องมือรักษาความปลอดภัยข้อมูลซอฟต์แวร์ที่ได้รับ ทดสอบอย่างน้อยตามระดับการควบคุมการไม่มีความสามารถที่ไม่ได้ประกาศ 4 ระดับ").
ไฮเปอร์ไวเซอร์เพียงตัวเดียวที่พัฒนาในรัสเซียเท่านั้นที่มีระดับการรับรองที่กำหนด NDV-4 . พูดง่ายๆ ก็คือไม่ใช่วิธีแก้ปัญหาที่ได้รับความนิยมมากที่สุด ตามกฎแล้วคลาวด์เชิงพาณิชย์ถูกสร้างขึ้นบนพื้นฐานของ VMware vSphere, KVM, Microsoft Hyper-V ผลิตภัณฑ์เหล่านี้ไม่ได้รับการรับรอง NDV-4 ทำไม มีแนวโน้มว่าการได้รับการรับรองดังกล่าวสำหรับผู้ผลิตยังไม่สมเหตุสมผลในเชิงเศรษฐกิจ
และสิ่งที่เหลืออยู่สำหรับเราสำหรับข้อมูลส่วนบุคคลระดับ 1 และ 2 ในระบบคลาวด์สาธารณะก็คือ Horizon BC เศร้าแต่เป็นเรื่องจริง
ทุกอย่าง (ในความคิดของเรา) ใช้งานได้จริงอย่างไร
เมื่อมองแวบแรก ทุกอย่างค่อนข้างเข้มงวด: ภัยคุกคามเหล่านี้จะต้องถูกกำจัดโดยการกำหนดค่ากลไกการป้องกันมาตรฐานของไฮเปอร์ไวเซอร์ที่ได้รับการรับรองตาม NDV-4 อย่างถูกต้อง แต่มีช่องโหว่อยู่หนึ่งช่องโหว่ ตามคำสั่ง FSTEC เลขที่ 21 (“ข้อ 2 ความปลอดภัยของข้อมูลส่วนบุคคลเมื่อประมวลผลในระบบข้อมูลส่วนบุคคล (ต่อไปนี้จะเรียกว่าระบบสารสนเทศ) จะได้รับการคุ้มครองโดยผู้ดำเนินการหรือผู้ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ดำเนินการตาม สหพันธรัฐรัสเซีย") ผู้ให้บริการจะประเมินความเกี่ยวข้องของภัยคุกคามที่เป็นไปได้อย่างอิสระและเลือกมาตรการป้องกันตามนั้น ดังนั้น หากคุณไม่ยอมรับภัยคุกคาม UBI.44 และ UBI.101 ในปัจจุบัน ก็ไม่จำเป็นต้องใช้ไฮเปอร์ไวเซอร์ที่ได้รับการรับรองตาม NDV-4 ซึ่งเป็นสิ่งที่ควรป้องกันอย่างแน่นอน และนี่จะเพียงพอสำหรับการได้รับใบรับรองการปฏิบัติตามระบบคลาวด์สาธารณะด้วยความปลอดภัยของข้อมูลส่วนบุคคลระดับ 1 และ 2 ซึ่ง Roskomnadzor จะพึงพอใจอย่างยิ่ง
แน่นอนว่านอกเหนือจาก Roskomnadzor แล้ว FSTEC อาจมาพร้อมกับการตรวจสอบ - และองค์กรนี้มีความพิถีพิถันในเรื่องทางเทคนิคมากกว่ามาก เธออาจจะสนใจว่าทำไมภัยคุกคาม UBI.44 และ UBI.101 จึงถือว่าไม่เกี่ยวข้อง แต่โดยปกติแล้ว FSTEC จะดำเนินการตรวจสอบเฉพาะเมื่อได้รับข้อมูลเกี่ยวกับเหตุการณ์สำคัญบางอย่างเท่านั้น ในกรณีนี้ บริการของรัฐบาลกลางจะถูกส่งไปยังผู้ให้บริการข้อมูลส่วนบุคคลก่อน นั่นคือ ลูกค้าของบริการคลาวด์ ในกรณีที่เลวร้ายที่สุด ผู้ดำเนินการจะได้รับค่าปรับเล็กน้อย เช่น สำหรับ Twitter เมื่อต้นปี ในกรณีที่คล้ายกันมีจำนวน 5000 รูเบิล จากนั้น FSTEC ก้าวไปสู่ผู้ให้บริการคลาวด์เพิ่มเติม ซึ่งอาจถูกตัดสิทธิ์การใช้งานเนื่องจากการไม่ปฏิบัติตามข้อกำหนดด้านกฎระเบียบ และสิ่งเหล่านี้เป็นความเสี่ยงที่แตกต่างอย่างสิ้นเชิง ทั้งสำหรับผู้ให้บริการคลาวด์และสำหรับลูกค้า แต่ฉันขอย้ำว่า หากต้องการตรวจสอบ FSTEC คุณมักจะต้องมีเหตุผลที่ชัดเจน ผู้ให้บริการคลาวด์จึงเต็มใจที่จะรับความเสี่ยง จนเกิดเหตุการณ์ร้ายแรงครั้งแรก
นอกจากนี้ยังมีกลุ่มผู้ให้บริการที่ “มีความรับผิดชอบมากกว่า” ที่เชื่อว่าเป็นไปได้ที่จะปิดภัยคุกคามทั้งหมดโดยการเพิ่มส่วนเสริม เช่น vGate ให้กับไฮเปอร์ไวเซอร์ แต่ในสภาพแวดล้อมเสมือนที่กระจายไปยังลูกค้าสำหรับภัยคุกคามบางอย่าง (เช่น UBI.101 ข้างต้น) กลไกการป้องกันที่มีประสิทธิภาพสามารถนำไปใช้ได้เฉพาะในระดับไฮเปอร์ไวเซอร์ที่ได้รับการรับรองตาม NDV-4 เท่านั้น เนื่องจากระบบเสริมใดๆ ที่จะ ฟังก์ชันมาตรฐานของไฮเปอร์ไวเซอร์สำหรับจัดการทรัพยากร (โดยเฉพาะ RAM) จะไม่ส่งผลกระทบ
เราทำงานอย่างไร
เรามีเซ็กเมนต์คลาวด์ที่ใช้งานบนไฮเปอร์ไวเซอร์ที่ได้รับการรับรองโดย FSTEC (แต่ไม่มีการรับรองสำหรับ NDV-4) ส่วนนี้ได้รับการรับรอง ดังนั้นข้อมูลส่วนบุคคลจึงสามารถจัดเก็บไว้ในระบบคลาวด์ได้ ความปลอดภัย 3 และ 4 ระดับ — ไม่จำเป็นต้องปฏิบัติตามข้อกำหนดสำหรับการป้องกันความสามารถที่ไม่ได้ประกาศที่นี่ นี่คือสถาปัตยกรรมของกลุ่มคลาวด์ที่ปลอดภัยของเรา:
ระบบสำหรับข้อมูลส่วนบุคคล ความปลอดภัย 1 และ 2 ระดับ เราใช้งานเฉพาะกับอุปกรณ์เฉพาะเท่านั้น ตัวอย่างเช่นในกรณีนี้เท่านั้น ภัยคุกคามของ UBI.101 นั้นไม่เกี่ยวข้องเลย เนื่องจากชั้นวางเซิร์ฟเวอร์ที่ไม่ได้รวมเป็นหนึ่งเดียวโดยสภาพแวดล้อมเสมือนเดียวไม่สามารถมีอิทธิพลต่อกันและกันได้แม้ว่าจะอยู่ในศูนย์ข้อมูลเดียวกันก็ตาม ในกรณีเช่นนี้ เราเสนอบริการเช่าอุปกรณ์โดยเฉพาะ (หรือที่เรียกว่าบริการด้านฮาร์ดแวร์)
หากคุณไม่แน่ใจว่าระบบข้อมูลส่วนบุคคลของคุณจำเป็นต้องมีการรักษาความปลอดภัยระดับใด เราก็ช่วยในการจำแนกประเภทด้วยเช่นกัน
เอาท์พุต
การวิจัยตลาดขนาดเล็กของเราแสดงให้เห็นว่าผู้ให้บริการระบบคลาวด์บางรายค่อนข้างเต็มใจที่จะเสี่ยงทั้งความปลอดภัยของข้อมูลลูกค้าและอนาคตของตนเองในการรับคำสั่งซื้อ แต่ในเรื่องเหล่านี้ เราปฏิบัติตามนโยบายอื่น ซึ่งเราได้อธิบายไว้ข้างต้นโดยย่อ เรายินดีที่จะตอบคำถามของคุณในความคิดเห็น
ที่มา: will.com