Isang araw nakatanggap kami ng kahilingan para sa mga serbisyo sa cloud. Binalangkas namin sa mga pangkalahatang tuntunin kung ano ang kakailanganin sa amin at ipinadala muli ang isang listahan ng mga tanong upang linawin ang mga detalye. Pagkatapos ay sinuri namin ang mga sagot at napagtanto: gusto ng customer na maglagay ng personal na data ng pangalawang antas ng seguridad sa cloud. Sagot namin sa kanya: "Mayroon kang pangalawang antas ng personal na data, paumanhin, maaari lamang kaming lumikha ng isang pribadong ulap." At siya: "Alam mo, ngunit sa kumpanya X maaari nilang i-post ang lahat sa akin sa publiko."
Larawan ni Steve Crisp, Reuters
Kakaibang mga bagay! Pumunta kami sa website ng kumpanya X, pinag-aralan ang kanilang mga dokumento sa sertipikasyon, umiling-iling at napagtanto: maraming bukas na tanong sa paglalagay ng personal na data at dapat silang matugunan nang lubusan. Iyan ang gagawin natin sa post na ito.
Kung paano dapat gumana ang lahat
Una, alamin natin kung anong pamantayan ang ginagamit upang pag-uri-uriin ang personal na data bilang isa o ibang antas ng seguridad. Depende ito sa kategorya ng data, ang bilang ng mga paksa ng data na ito na iniimbak at pinoproseso ng operator, pati na rin ang uri ng kasalukuyang mga banta.
Ang mga uri ng kasalukuyang pagbabanta ay tinukoy sa napetsahan Nobyembre 1, 2012 "Sa pag-apruba ng mga kinakailangan para sa proteksyon ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data":
"Ang mga uri ng 1 na banta ay may kaugnayan para sa isang sistema ng impormasyon kung kasama ito kasalukuyang mga banta na nauugnay sa sa pagkakaroon ng mga hindi dokumentado (hindi idineklara) na mga kakayahan sa software ng systemginagamit sa sistema ng impormasyon.
Ang mga banta ng ika-2 uri ay may kaugnayan para sa isang sistema ng impormasyon kung para dito, kasama na kasalukuyang mga banta na nauugnay sa sa pagkakaroon ng mga hindi dokumentado (hindi idineklara) na mga kakayahan sa application softwareginagamit sa sistema ng impormasyon.
Ang mga banta ng ika-3 uri ay may kaugnayan para sa isang sistema ng impormasyon kung para dito mga banta na walang kaugnayan sa pagkakaroon ng mga hindi dokumentado (hindi idineklara) na mga kakayahan sa system at application softwareginamit sa sistema ng impormasyon."
Ang pangunahing bagay sa mga kahulugang ito ay ang pagkakaroon ng mga hindi dokumentado (hindi idineklara) na mga kakayahan. Upang kumpirmahin ang kawalan ng mga hindi dokumentadong kakayahan ng software (sa kaso ng cloud, ito ay isang hypervisor), ang sertipikasyon ay isinasagawa ng FSTEC ng Russia. Kung tinanggap ng operator ng PD na walang ganoong mga kakayahan sa software, kung gayon ang mga kaukulang banta ay hindi nauugnay. Ang mga banta ng mga uri 1 at 2 ay napakabihirang itinuturing na nauugnay ng mga operator ng PD.
Bilang karagdagan sa pagtukoy sa antas ng seguridad ng PD, dapat ding tukuyin ng operator ang mga partikular na kasalukuyang banta sa pampublikong ulap at, batay sa natukoy na antas ng seguridad ng PD at kasalukuyang mga banta, tukuyin ang mga kinakailangang hakbang at paraan ng proteksyon laban sa kanila.
Malinaw na inilista ng FSTEC ang lahat ng pangunahing banta sa (database ng pagbabanta). Ginagamit ng mga provider at tagasuri ng cloud infrastructure ang database na ito sa kanilang trabaho. Narito ang mga halimbawa ng pagbabanta:
: "Ang banta ay ang posibilidad ng paglabag sa seguridad ng data ng user ng mga program na tumatakbo sa loob ng isang virtual machine sa pamamagitan ng malisyosong software na tumatakbo sa labas ng virtual machine." Ang banta na ito ay dahil sa pagkakaroon ng mga kahinaan sa hypervisor software, na nagsisiguro na ang address space na ginagamit upang mag-imbak ng data ng user para sa mga program na tumatakbo sa loob ng virtual machine ay nakahiwalay sa hindi awtorisadong pag-access ng malisyosong software na tumatakbo sa labas ng virtual machine.
Ang pagpapatupad ng banta na ito ay posible sa kondisyon na ang malisyosong program code ay matagumpay na nalampasan ang mga hangganan ng virtual machine, hindi lamang sa pamamagitan ng pagsasamantala sa mga kahinaan ng hypervisor, kundi pati na rin sa pagsasagawa ng gayong epekto mula sa mas mababang (kamag-anak sa hypervisor) na antas ng gumagana ang sistema."
: "Ang banta ay nakasalalay sa posibilidad ng hindi awtorisadong pag-access sa protektadong impormasyon ng isang customer ng serbisyo sa cloud mula sa isa pa. Ang banta na ito ay dahil sa katotohanan na, dahil sa likas na katangian ng mga teknolohiya ng ulap, ang mga mamimili ng serbisyo sa ulap ay kailangang magbahagi ng parehong imprastraktura ng ulap. Ang banta na ito ay maaaring matanto kung may mga pagkakamali kapag naghihiwalay sa mga elemento ng imprastraktura ng cloud sa pagitan ng mga consumer ng serbisyo sa cloud, gayundin kapag ibinubukod ang kanilang mga mapagkukunan at paghihiwalay ng data sa isa't isa."
Maaari ka lamang maprotektahan laban sa mga banta na ito sa tulong ng isang hypervisor, dahil ito ang namamahala sa mga virtual na mapagkukunan. Kaya, ang hypervisor ay dapat isaalang-alang bilang isang paraan ng proteksyon.
At alinsunod sa na may petsang Pebrero 18, 2013, ang hypervisor ay dapat na sertipikado bilang hindi NDV sa antas 4, kung hindi, ang paggamit ng antas 1 at 2 na personal na data kasama nito ay magiging ilegal (“Sugnay 12. ... Upang matiyak ang antas 1 at 2 ng seguridad ng personal na data, pati na rin upang matiyak ang antas 3 ng seguridad ng personal na data sa mga sistema ng impormasyon kung saan ang uri 2 na mga banta ay inuri bilang kasalukuyang, ginagamit ang mga tool sa seguridad ng impormasyon, ang software na kung saan ay nai-classified. nasubok ng hindi bababa sa ayon sa 4 na antas ng kontrol sa kawalan ng hindi idineklara na mga kakayahan").
Isang hypervisor lamang, na binuo sa Russia, ang may kinakailangang antas ng sertipikasyon, NDV-4. . Upang ilagay ito nang mahinahon, hindi ang pinakasikat na solusyon. Ang mga komersyal na ulap, bilang panuntunan, ay binuo batay sa VMware vSphere, KVM, Microsoft Hyper-V. Wala sa mga produktong ito ang sertipikadong NDV-4. Bakit? Malamang na ang pagkuha ng naturang sertipikasyon para sa mga tagagawa ay hindi pa makatwiran sa ekonomiya.
At ang lahat na natitira para sa amin para sa antas 1 at 2 na personal na data sa pampublikong ulap ay Horizon BC. Malungkot pero totoo.
Kung paano talaga gumagana ang lahat (sa aming opinyon).
Sa unang sulyap, ang lahat ay medyo mahigpit: ang mga banta na ito ay dapat na alisin sa pamamagitan ng wastong pag-configure ng mga karaniwang mekanismo ng proteksyon ng isang hypervisor na sertipikado ayon sa NDV-4. Ngunit mayroong isang butas. Alinsunod sa FSTEC Order No. 21 (“sugnay 2 Ang seguridad ng personal na data kapag naproseso sa sistema ng impormasyon ng personal na data (mula rito ay tinutukoy bilang sistema ng impormasyon) ay sinisiguro ng operator o ng taong nagpoproseso ng personal na data sa ngalan ng operator alinsunod sa Pederasyon ng Russia"), independyenteng tinatasa ng mga provider ang kaugnayan ng mga posibleng banta at pipili ng mga hakbang sa proteksyon nang naaayon. Samakatuwid, kung hindi mo tatanggapin ang mga banta na UBI.44 at UBI.101 bilang kasalukuyang, hindi na kailangang gumamit ng hypervisor na sertipikado ayon sa NDV-4, na tiyak na dapat magbigay ng proteksyon laban sa kanila. At ito ay sapat na upang makakuha ng isang sertipiko ng pagsunod ng pampublikong ulap na may mga antas 1 at 2 ng seguridad ng personal na data, na ganap na masisiyahan ang Roskomnadzor.
Siyempre, bilang karagdagan sa Roskomnadzor, ang FSTEC ay maaaring dumating sa isang inspeksyon - at ang organisasyong ito ay mas maselan sa mga teknikal na bagay. Malamang na siya ay magiging interesado sa kung bakit eksakto ang mga banta na UBI.44 at UBI.101 ay itinuturing na walang kaugnayan? Ngunit kadalasan ang FSTEC ay nagsasagawa lamang ng inspeksyon kapag nakatanggap ito ng impormasyon tungkol sa ilang makabuluhang insidente. Sa kasong ito, ang pederal na serbisyo ay unang dumating sa personal na data operator - iyon ay, ang customer ng mga serbisyo sa cloud. Sa pinakamasamang kaso, ang operator ay tumatanggap ng maliit na multa - halimbawa, para sa Twitter sa simula ng taon sa isang katulad na kaso ay umabot sa 5000 rubles. Pagkatapos ay napupunta ang FSTEC sa cloud service provider. Na maaaring bawian ng lisensya dahil sa kabiguang sumunod sa mga kinakailangan sa regulasyon - at ito ay ganap na magkakaibang mga panganib, kapwa para sa cloud provider at para sa mga kliyente nito. Ngunit, inuulit ko, Upang suriin ang FSTEC, karaniwan mong kailangan ng malinaw na dahilan. Kaya't handang makipagsapalaran ang mga cloud provider. Hanggang sa unang seryosong insidente.
Mayroon ding grupo ng "mas responsable" na mga provider na naniniwala na posibleng isara ang lahat ng pagbabanta sa pamamagitan ng pagdaragdag ng add-on tulad ng vGate sa hypervisor. Ngunit sa isang virtual na kapaligiran na ibinahagi sa mga customer para sa ilang mga banta (halimbawa, ang UBI.101 sa itaas), ang isang epektibong mekanismo ng proteksyon ay maaari lamang ipatupad sa antas ng isang hypervisor na na-certify ayon sa NDV-4, dahil ang anumang mga add-on na sistema sa ang mga karaniwang function ng hypervisor para sa pamamahala ng mga mapagkukunan (sa partikular, RAM) ay hindi nakakaapekto.
Paano tayo nagtatrabaho
Mayroon kaming cloud segment na ipinatupad sa isang hypervisor na na-certify ng FSTEC (ngunit walang certification para sa NDV-4). Certified ang segment na ito, kaya maaaring maimbak ang personal na data sa cloud batay dito 3 at 4 na antas ng seguridad — ang mga kinakailangan para sa proteksyon laban sa hindi idineklara na mga kakayahan ay hindi kailangang sundin dito. Dito pala, ang arkitektura ng aming secure na cloud segment:
Mga sistema para sa personal na data 1 at 2 na antas ng seguridad Nagpapatupad lamang kami sa mga nakalaang kagamitan. Tanging sa kasong ito, halimbawa, ang banta ng UBI.101 ay talagang hindi nauugnay, dahil ang mga server rack na hindi pinagsama ng isang virtual na kapaligiran ay hindi makakaimpluwensya sa isa't isa kahit na matatagpuan sa parehong data center. Para sa mga ganitong kaso, nag-aalok kami ng nakalaang serbisyo sa pagpaparenta ng kagamitan (tinatawag din itong Hardware bilang isang serbisyo).
Kung hindi ka sigurado kung anong antas ng seguridad ang kinakailangan para sa iyong personal na data system, tumutulong din kami sa pag-uuri nito.
Pagbubuhos
Ang aming maliit na pananaliksik sa merkado ay nagpakita na ang ilang mga cloud operator ay medyo handang ipagsapalaran ang parehong seguridad ng data ng customer at ang kanilang sariling hinaharap upang makatanggap ng isang order. Ngunit sa mga usaping ito ay sumusunod kami sa ibang patakaran, na maikling inilarawan namin sa itaas. Ikalulugod naming sagutin ang iyong mga katanungan sa mga komento.
Pinagmulan: www.habr.com