ไม่นานมานี้ เราได้ทำการประเมินการปฏิบัติตามข้อกำหนดของ GOST R 57580 อีกครั้ง (ต่อไปนี้จะเรียกว่า GOST) ลูกค้าเป็นบริษัทที่พัฒนาระบบการชำระเงินทางอิเล็กทรอนิกส์ ระบบมีความร้ายแรง: ผู้ใช้มากกว่า 3 ล้านคน ธุรกรรมมากกว่า 200 รายการต่อวัน พวกเขาให้ความสำคัญกับความปลอดภัยของข้อมูลเป็นอย่างมาก
ในระหว่างขั้นตอนการประเมิน ลูกค้าได้ประกาศอย่างไม่ได้ตั้งใจว่าแผนกพัฒนา นอกเหนือจากเครื่องเสมือนแล้ว มีแผนจะใช้คอนเทนเนอร์ด้วย แต่ด้วยสิ่งนี้ลูกค้ากล่าวเสริมว่ามีปัญหาหนึ่ง: ใน GOST ไม่มีคำเกี่ยวกับ Docker คนเดียวกัน ฉันควรทำอย่างไรดี? จะประเมินความปลอดภัยของคอนเทนเนอร์ได้อย่างไร?
เป็นเรื่องจริง GOST เขียนเฉพาะเกี่ยวกับการจำลองเสมือนของฮาร์ดแวร์ - เกี่ยวกับวิธีการปกป้องเครื่องเสมือน ไฮเปอร์ไวเซอร์ และเซิร์ฟเวอร์ เราขอให้ธนาคารกลางชี้แจง คำตอบนั้นทำให้เรางง
GOST และการจำลองเสมือน
ขั้นแรกให้เราจำไว้ว่า GOST R 57580 เป็นมาตรฐานใหม่ที่ระบุ "ข้อกำหนดในการรับรองความปลอดภัยของข้อมูลขององค์กรทางการเงิน" (FI) FI เหล่านี้รวมถึงผู้ดำเนินการและผู้เข้าร่วมระบบการชำระเงิน องค์กรสินเชื่อและไม่ใช่สินเชื่อ ศูนย์ปฏิบัติการและสำนักหักบัญชี
ตั้งแต่วันที่ 1 มกราคม 2021 FIs จะต้องดำเนินการ
GOST มีส่วนย่อยสำหรับการปกป้องสภาพแวดล้อมเสมือนจริง - หมายเลข 7.8 ไม่ได้ระบุคำว่า “การจำลองเสมือน” ในที่นี้ ไม่มีการแบ่งออกเป็นการจำลองเสมือนสำหรับฮาร์ดแวร์และคอนเทนเนอร์ ผู้เชี่ยวชาญด้านไอทีคนใดก็ตามจะบอกว่าจากมุมมองทางเทคนิค สิ่งนี้ไม่ถูกต้อง: เครื่องเสมือน (VM) และคอนเทนเนอร์มีสภาพแวดล้อมที่แตกต่างกัน โดยมีหลักการแยกที่แตกต่างกัน จากมุมมองของช่องโหว่ของโฮสต์ที่มีการปรับใช้คอนเทนเนอร์ VM และ Docker นี่เป็นข้อแตกต่างที่ยิ่งใหญ่เช่นกัน
ปรากฎว่าการประเมินความปลอดภัยของข้อมูลของ VM และคอนเทนเนอร์ก็ควรแตกต่างกันเช่นกัน
คำถามของเราถึงธนาคารกลาง
เราส่งพวกเขาไปที่แผนกรักษาความปลอดภัยข้อมูลของธนาคารกลาง (เรานำเสนอคำถามในรูปแบบย่อ)
- จะพิจารณาคอนเทนเนอร์เสมือนประเภท Docker เมื่อประเมินการปฏิบัติตาม GOST ได้อย่างไร การประเมินเทคโนโลยีตามหัวข้อย่อย 7.8 ของ GOST ถูกต้องหรือไม่
- จะประเมินเครื่องมือการจัดการคอนเทนเนอร์เสมือนได้อย่างไร เป็นไปได้หรือไม่ที่จะเทียบเคียงพวกมันกับส่วนประกอบการจำลองเสมือนของเซิร์ฟเวอร์และประเมินตามส่วนย่อยเดียวกันของ GOST
- ฉันจำเป็นต้องประเมินความปลอดภัยของข้อมูลภายในคอนเทนเนอร์ Docker แยกกันหรือไม่ หากเป็นเช่นนั้น ควรพิจารณามาตรการป้องกันอะไรบ้างในระหว่างกระบวนการประเมิน
- หากการบรรจุคอนเทนเนอร์นั้นเทียบเท่ากับโครงสร้างพื้นฐานเสมือนและได้รับการประเมินตามส่วนย่อย 7.8 ข้อกำหนด GOST สำหรับการใช้เครื่องมือรักษาความปลอดภัยข้อมูลพิเศษจะถูกนำไปใช้อย่างไร
การตอบสนองของธนาคารกลาง
ด้านล่างนี้เป็นข้อความที่ตัดตอนมาหลัก
“ GOST R 57580.1-2017 กำหนดข้อกำหนดสำหรับการดำเนินการผ่านการใช้มาตรการทางเทคนิคที่เกี่ยวข้องกับมาตรการ ZI หัวข้อย่อย 7.8 ต่อไปนี้ของ GOST R 57580.1-2017 ซึ่งตามความเห็นของแผนกสามารถขยายไปยังกรณีของการใช้คอนเทนเนอร์เสมือนจริง เทคโนโลยีโดยคำนึงถึงสิ่งต่อไปนี้:
- การดำเนินการตามมาตรการ ZSV.1 - ZSV.11 สำหรับการจัดระเบียบการระบุ การรับรองความถูกต้อง การอนุญาต (การควบคุมการเข้าถึง) เมื่อใช้การเข้าถึงแบบลอจิคัลกับเครื่องเสมือนและส่วนประกอบเซิร์ฟเวอร์การจำลองเสมือน อาจแตกต่างจากกรณีของการใช้เทคโนโลยีการจำลองเสมือนของคอนเทนเนอร์ เมื่อคำนึงถึงเรื่องนี้ เพื่อที่จะใช้มาตรการหลายอย่าง (เช่น ZVS.6 และ ZVS.7) เราเชื่อว่ามีความเป็นไปได้ที่จะแนะนำให้สถาบันการเงินพัฒนามาตรการชดเชยที่จะบรรลุเป้าหมายเดียวกัน
- การดำเนินการตามมาตรการ ZSV.13 - ZSV.22 สำหรับองค์กรและการควบคุมการโต้ตอบข้อมูลของเครื่องเสมือนจัดให้มีการแบ่งส่วนเครือข่ายคอมพิวเตอร์ขององค์กรทางการเงินเพื่อแยกความแตกต่างระหว่างวัตถุสารสนเทศที่ใช้เทคโนโลยีการจำลองเสมือนและเป็นของวงจรความปลอดภัยที่แตกต่างกัน เมื่อคำนึงถึงสิ่งนี้ เราเชื่อว่าขอแนะนำให้จัดให้มีการแบ่งส่วนที่เหมาะสมเมื่อใช้เทคโนโลยีการจำลองเสมือนของคอนเทนเนอร์ (ทั้งที่เกี่ยวข้องกับคอนเทนเนอร์เสมือนที่ปฏิบัติการได้ และที่เกี่ยวข้องกับระบบการจำลองเสมือนที่ใช้ในระดับระบบปฏิบัติการ)
- การดำเนินการตามมาตรการ ZSV.26, ZSV.29 - ZSV.31 เพื่อจัดระเบียบการป้องกันภาพของเครื่องเสมือนควรดำเนินการโดยการเปรียบเทียบเพื่อปกป้องรูปภาพพื้นฐานและปัจจุบันของคอนเทนเนอร์เสมือน
- การใช้มาตรการ ZVS.32 - ZVS.43 สำหรับการบันทึกเหตุการณ์ความปลอดภัยของข้อมูลที่เกี่ยวข้องกับการเข้าถึงเครื่องเสมือนและส่วนประกอบการจำลองเสมือนของเซิร์ฟเวอร์ควรดำเนินการโดยการเปรียบเทียบที่เกี่ยวข้องกับองค์ประกอบของสภาพแวดล้อมการจำลองเสมือนที่ใช้เทคโนโลยีการจำลองเสมือนของคอนเทนเนอร์”
มันหมายความว่าอะไร
ข้อสรุปหลักสองประการจากการตอบสนองของฝ่ายรักษาความปลอดภัยข้อมูลของธนาคารกลาง:
- มาตรการป้องกันคอนเทนเนอร์ไม่แตกต่างจากมาตรการป้องกันเครื่องเสมือน
- จากนี้ไปในบริบทของความปลอดภัยของข้อมูล ธนาคารกลางจะเทียบเท่าการจำลองเสมือนสองประเภท - คอนเทนเนอร์นักเทียบท่าและ VM
คำตอบยังกล่าวถึง “มาตรการชดเชย” ที่จำเป็นต้องใช้เพื่อต่อต้านภัยคุกคาม ยังไม่ชัดเจนว่า "มาตรการชดเชย" เหล่านี้คืออะไร และจะวัดความเพียงพอ ความสมบูรณ์ และประสิทธิผลได้อย่างไร
เกิดอะไรขึ้นกับจุดยืนของธนาคารกลาง?
หากคุณใช้คำแนะนำของธนาคารกลางในระหว่างการประเมิน (และการประเมินตนเอง) คุณจะต้องแก้ไขปัญหาทางเทคนิคและตรรกะหลายประการ
- คอนเทนเนอร์ปฏิบัติการแต่ละคอนเทนเนอร์ต้องมีการติดตั้งซอฟต์แวร์ป้องกันข้อมูล (IP) ในคอนเทนเนอร์ เช่น โปรแกรมป้องกันไวรัส การตรวจสอบความสมบูรณ์ การทำงานกับบันทึก ระบบ DLP (การป้องกันข้อมูลรั่วไหล) และอื่นๆ ทั้งหมดนี้สามารถติดตั้งบน VM ได้โดยไม่มีปัญหาใด ๆ แต่ในกรณีของคอนเทนเนอร์การติดตั้งความปลอดภัยของข้อมูลถือเป็นการเคลื่อนไหวที่ไร้สาระ คอนเทนเนอร์ประกอบด้วย "ชุดแต่งรอบคัน" ในปริมาณขั้นต่ำที่จำเป็นสำหรับการให้บริการ การติดตั้ง SZI ขัดแย้งกับความหมายของมัน
- อิมเมจคอนเทนเนอร์ควรได้รับการปกป้องตามหลักการเดียวกัน วิธีนำไปใช้ก็ยังไม่ชัดเจนเช่นกัน
- GOST ต้องการการจำกัดการเข้าถึงส่วนประกอบการจำลองเสมือนของเซิร์ฟเวอร์ เช่น ไฮเปอร์ไวเซอร์ สิ่งที่ถือเป็นส่วนประกอบเซิร์ฟเวอร์ในกรณีของ Docker นี่ไม่ได้หมายความว่าแต่ละคอนเทนเนอร์จำเป็นต้องทำงานบนโฮสต์ที่แยกจากกันใช่หรือไม่
- หากสำหรับการจำลองเสมือนแบบทั่วไป คุณสามารถกำหนดขอบเขต VM ตามโครงร่างการรักษาความปลอดภัยและเซ็กเมนต์เครือข่ายได้ ดังนั้น ในกรณีของคอนเทนเนอร์ Docker ภายในโฮสต์เดียวกัน จะไม่เป็นเช่นนั้น
ในทางปฏิบัติ มีแนวโน้มว่าผู้ตรวจสอบแต่ละคนจะประเมินความปลอดภัยของคอนเทนเนอร์ด้วยวิธีของตนเอง โดยพิจารณาจากความรู้และประสบการณ์ของตนเอง หรืออย่าประเมินเลยหากไม่มีอย่างใดอย่างหนึ่ง
เผื่อเราจะเพิ่มว่าตั้งแต่วันที่ 1 มกราคม 2021 คะแนนขั้นต่ำจะต้องไม่ต่ำกว่า 0,7
อย่างไรก็ตาม เราโพสต์คำตอบและความคิดเห็นจากหน่วยงานกำกับดูแลที่เกี่ยวข้องกับข้อกำหนดของ GOST 57580 และกฎระเบียบของธนาคารกลางในของเราเป็นประจำ
สิ่งที่ต้องทำ
ในความเห็นของเรา องค์กรทางการเงินมีเพียงสองทางเลือกในการแก้ปัญหา
1. หลีกเลี่ยงการใช้คอนเทนเนอร์
โซลูชันสำหรับผู้ที่พร้อมที่จะใช้เฉพาะการจำลองเสมือนสำหรับฮาร์ดแวร์และในขณะเดียวกันก็กลัวเรตติ้งต่ำตาม GOST และค่าปรับจากธนาคารกลาง
เป็นบวก: ง่ายต่อการปฏิบัติตามข้อกำหนดของหมวดย่อย 7.8 ของ GOST
ลบ: เราจะต้องละทิ้งเครื่องมือการพัฒนาใหม่ๆ ที่อิงจากการจำลองเสมือนของคอนเทนเนอร์ โดยเฉพาะ Docker และ Kubernetes
2. ปฏิเสธที่จะปฏิบัติตามข้อกำหนดของหมวดย่อย 7.8 ของ GOST
แต่ในขณะเดียวกัน ให้ใช้แนวทางปฏิบัติที่ดีที่สุดในการรับรองความปลอดภัยของข้อมูลเมื่อทำงานกับคอนเทนเนอร์ นี่เป็นโซลูชันสำหรับผู้ที่เห็นคุณค่าของเทคโนโลยีใหม่และโอกาสที่พวกเขามอบให้ “แนวทางปฏิบัติที่ดีที่สุด” เราหมายถึงบรรทัดฐานและมาตรฐานที่เป็นที่ยอมรับในอุตสาหกรรมสำหรับการรับรองความปลอดภัยของคอนเทนเนอร์ Docker:
- ความปลอดภัยของระบบปฏิบัติการโฮสต์ การบันทึกที่กำหนดค่าอย่างเหมาะสม การห้ามการแลกเปลี่ยนข้อมูลระหว่างคอนเทนเนอร์ และอื่นๆ
- การใช้ฟังก์ชัน Docker Trust เพื่อตรวจสอบความสมบูรณ์ของรูปภาพและใช้เครื่องสแกนช่องโหว่ในตัว
- เราต้องไม่ลืมเกี่ยวกับความปลอดภัยของการเข้าถึงระยะไกลและโมเดลเครือข่ายโดยรวม: การโจมตี เช่น การปลอมแปลง ARP และการโจมตีแบบน้ำท่วมของ MAC ไม่ได้ถูกยกเลิก
เป็นบวก: ไม่มีข้อจำกัดทางเทคนิคในการใช้คอนเทนเนอร์เวอร์ช่วลไลเซชั่น
ลบ: มีความเป็นไปได้สูงที่หน่วยงานกำกับดูแลจะลงโทษสำหรับการไม่ปฏิบัติตามข้อกำหนด GOST
ข้อสรุป
ลูกค้าของเราตัดสินใจที่จะไม่ทิ้งคอนเทนเนอร์ ในเวลาเดียวกันเขาต้องพิจารณาขอบเขตของงานและระยะเวลาในการเปลี่ยนไปใช้ Docker อีกครั้งอย่างมีนัยสำคัญ (ใช้เวลาหกเดือน) ลูกค้าเข้าใจความเสี่ยงเป็นอย่างดี นอกจากนี้เขายังเข้าใจด้วยว่าในระหว่างการประเมินการปฏิบัติตาม GOST R 57580 ครั้งต่อไปนั้นจะขึ้นอยู่กับผู้ตรวจสอบบัญชีมาก
คุณจะทำอย่างไรในสถานการณ์เช่นนี้?
ที่มา: will.com