ProHoster > Blog > Pangangasiwa > Paano makipagkaibigan sa GOST R 57580 at virtualization ng container. Ang tugon ng Bangko Sentral (at ang aming mga saloobin sa bagay na ito)

Paano makipagkaibigan sa GOST R 57580 at virtualization ng container. Ang tugon ng Bangko Sentral (at ang aming mga saloobin sa bagay na ito)

Hindi pa katagal nagsagawa kami ng isa pang pagtatasa ng pagsunod sa mga kinakailangan ng GOST R 57580 (simula dito ay tinutukoy bilang simpleng GOST). Ang kliyente ay isang kumpanya na bumubuo ng isang elektronikong sistema ng pagbabayad. Ang sistema ay seryoso: higit sa 3 milyong mga gumagamit, higit sa 200 libong mga transaksyon araw-araw. Sineseryoso nila ang seguridad ng impormasyon doon.

Sa panahon ng proseso ng pagsusuri, kaswal na inihayag ng kliyente na ang departamento ng pag-unlad, bilang karagdagan sa mga virtual machine, ay nagpaplano na gumamit ng mga lalagyan. Ngunit kasama nito, idinagdag ng kliyente, mayroong isang problema: sa GOST walang salita tungkol sa parehong Docker. Anong gagawin ko? Paano suriin ang seguridad ng mga lalagyan?

Paano makipagkaibigan sa GOST R 57580 at virtualization ng container. Ang tugon ng Bangko Sentral (at ang aming mga saloobin sa bagay na ito)

Totoo, nagsusulat lang ang GOST tungkol sa virtualization ng hardware - tungkol sa kung paano protektahan ang mga virtual machine, isang hypervisor, at isang server. Humingi kami ng paglilinaw sa Bangko Sentral. Ang sagot ay nagtaka sa amin.

GOST at virtualization

Upang magsimula, tandaan natin na ang GOST R 57580 ay isang bagong pamantayan na tumutukoy sa "mga kinakailangan para sa pagtiyak ng seguridad ng impormasyon ng mga organisasyong pinansyal" (FI). Kabilang sa mga FI na ito ang mga operator at kalahok ng mga sistema ng pagbabayad, credit at non-credit na organisasyon, operational at clearing centers.

Mula Enero 1, 2021, ang mga FI ay kinakailangang magsagawa pagtatasa ng pagsunod sa mga kinakailangan ng bagong GOST. Kami, ang ITGLOBAL.COM, ay isang kumpanya ng pag-audit na nagsasagawa ng mga naturang pagtatasa.

Ang GOST ay may subsection na nakatuon sa proteksyon ng mga virtualized na kapaligiran - No. 7.8. Ang terminong "virtualization" ay hindi tinukoy doon; walang dibisyon sa hardware at container virtualization. Sasabihin ng sinumang espesyalista sa IT na mula sa isang teknikal na pananaw ay hindi ito tama: ang isang virtual machine (VM) at isang lalagyan ay magkaibang mga kapaligiran, na may iba't ibang mga prinsipyo ng paghihiwalay. Mula sa punto ng view ng kahinaan ng host kung saan naka-deploy ang mga container ng VM at Docker, isa rin itong malaking pagkakaiba.

Ito ay lumalabas na ang pagtatasa ng seguridad ng impormasyon ng mga VM at container ay dapat ding iba.

Ang aming mga katanungan sa Bangko Sentral

Ipinadala namin sila sa Information Security Department ng Central Bank (ipinaiiral namin ang mga tanong sa pinaikling anyo).

  1. Paano isaalang-alang ang Docker-type na mga virtual na lalagyan kapag tinatasa ang pagsunod sa GOST? Tama bang suriin ang teknolohiya alinsunod sa subsection 7.8 ng GOST?
  2. Paano suriin ang mga tool sa pamamahala ng virtual na lalagyan? Posible bang i-equate ang mga ito sa mga bahagi ng virtualization ng server at suriin ang mga ito ayon sa parehong subsection ng GOST?
  3. Kailangan ko bang hiwalay na suriin ang seguridad ng impormasyon sa loob ng mga lalagyan ng Docker? Kung gayon, anong mga pananggalang ang dapat isaalang-alang para dito sa panahon ng proseso ng pagtatasa?
  4. Kung ang containerization ay tinutumbas sa virtual na imprastraktura at tinasa ayon sa subsection 7.8, paano ipinatupad ang mga kinakailangan ng GOST para sa pagpapatupad ng mga espesyal na tool sa seguridad ng impormasyon?

Tugon ng Bangko Sentral

Nasa ibaba ang mga pangunahing sipi.

"Ang GOST R 57580.1-2017 ay nagtatatag ng mga kinakailangan para sa pagpapatupad sa pamamagitan ng aplikasyon ng mga teknikal na hakbang na may kaugnayan sa mga sumusunod na hakbang ZI subsection 7.8 ng GOST R 57580.1-2017, na, sa opinyon ng Departamento, ay maaaring mapalawak sa mga kaso ng paggamit ng container virtualization teknolohiya, isinasaalang-alang ang mga sumusunod:

  • ang pagpapatupad ng mga panukalang ZSV.1 - ZSV.11 para sa pag-aayos ng pagkakakilanlan, pagpapatunay, awtorisasyon (kontrol sa pag-access) kapag nagpapatupad ng lohikal na pag-access sa mga virtual machine at mga bahagi ng virtualization server ay maaaring naiiba sa mga kaso ng paggamit ng teknolohiya ng virtualization ng container. Isinasaalang-alang ito, upang maipatupad ang ilang mga hakbang (halimbawa, ZVS.6 at ZVS.7), naniniwala kami na posibleng irekomenda na ang mga institusyong pampinansyal ay bumuo ng mga compensatory measure na tutuparin ang parehong mga layunin;
  • ang pagpapatupad ng mga hakbang ZSV.13 - ZSV.22 para sa organisasyon at kontrol ng pakikipag-ugnayan ng impormasyon ng mga virtual machine ay nagbibigay para sa segmentation ng network ng computer ng isang pinansyal na organisasyon upang makilala sa pagitan ng mga bagay sa impormasyon na nagpapatupad ng teknolohiya ng virtualization at nabibilang sa iba't ibang mga circuit ng seguridad. Isinasaalang-alang ito, naniniwala kami na ipinapayong magbigay ng naaangkop na pagse-segment kapag gumagamit ng teknolohiya ng virtualization ng container (kapwa may kaugnayan sa mga executable na virtual na lalagyan at kaugnay ng mga virtualization system na ginagamit sa antas ng operating system);
  • ang pagpapatupad ng mga hakbang ZSV.26, ZSV.29 - ZSV.31 upang ayusin ang proteksyon ng mga imahe ng mga virtual machine ay dapat na isagawa sa pamamagitan ng pagkakatulad din upang maprotektahan ang mga pangunahing at kasalukuyang mga imahe ng mga virtual na lalagyan;
  • ang pagpapatupad ng mga hakbang na ZVS.32 - ZVS.43 para sa pagtatala ng mga kaganapan sa seguridad ng impormasyon na may kaugnayan sa pag-access sa mga virtual machine at mga bahagi ng virtualization ng server ay dapat isagawa sa pamamagitan ng pagkakatulad din na may kaugnayan sa mga elemento ng kapaligiran ng virtualization na nagpapatupad ng teknolohiya ng virtualization ng container."

Ano ang ibig sabihin

Dalawang pangunahing konklusyon mula sa tugon ng Central Bank Information Security Department:

  • ang mga hakbang upang protektahan ang mga lalagyan ay hindi naiiba sa mga hakbang upang protektahan ang mga virtual machine;
  • Ito ay sumusunod mula dito na, sa konteksto ng seguridad ng impormasyon, ang Central Bank ay katumbas ng dalawang uri ng virtualization - mga lalagyan ng Docker at mga VM.

Binanggit din ng tugon ang "mga hakbang sa pagbabayad" na kailangang ilapat upang neutralisahin ang mga banta. Hindi lang malinaw kung ano ang mga "compensatory measure" na ito at kung paano sukatin ang kanilang kasapatan, pagkakumpleto at pagiging epektibo.

Ano ang mali sa posisyon ng Bangko Sentral?

Kung gagamitin mo ang mga rekomendasyon ng Bangko Sentral sa panahon ng pagtatasa (at pagtatasa sa sarili), kailangan mong lutasin ang isang bilang ng mga teknikal at lohikal na paghihirap.

  • Ang bawat executable container ay nangangailangan ng pag-install ng information protection software (IP) dito: antivirus, integrity monitoring, working with logs, DLP system (Data Leak Prevention), at iba pa. Ang lahat ng ito ay maaaring mai-install sa isang VM nang walang anumang mga problema, ngunit sa kaso ng isang lalagyan, ang pag-install ng seguridad ng impormasyon ay isang walang katotohanan na hakbang. Ang lalagyan ay naglalaman ng pinakamababang halaga ng "body kit" na kailangan para gumana ang serbisyo. Ang pag-install ng isang SZI dito ay sumasalungat sa kahulugan nito.
  • Dapat protektahan ang mga imahe ng container ayon sa parehong prinsipyo; hindi rin malinaw kung paano ito ipatupad.
  • Ang GOST ay nangangailangan ng paghihigpit sa pag-access sa mga bahagi ng virtualization ng server, ibig sabihin, sa hypervisor. Ano ang itinuturing na bahagi ng server sa kaso ng Docker? Hindi ba ito nangangahulugan na ang bawat lalagyan ay kailangang patakbuhin sa isang hiwalay na host?
  • Kung para sa maginoo na virtualization posibleng i-delimitahan ang mga VM sa pamamagitan ng mga contour ng seguridad at mga segment ng network, kung gayon sa kaso ng mga container ng Docker sa loob ng parehong host, hindi ito ang kaso.

Sa pagsasagawa, malamang na susuriin ng bawat auditor ang seguridad ng mga lalagyan sa kanyang sariling paraan, batay sa kanyang sariling kaalaman at karanasan. Buweno, o huwag mong suriin ito, kung wala ang isa o ang isa pa.

Kung sakali, idaragdag namin na mula Enero 1, 2021, ang minimum na marka ay hindi dapat mas mababa sa 0,7.

Sa pamamagitan ng paraan, regular kaming nagpo-post ng mga tugon at komento mula sa mga regulator na may kaugnayan sa mga kinakailangan ng GOST 57580 at Central Bank Regulations sa aming Channel ng Telegram.

Ano ang dapat gawin

Sa aming opinyon, ang mga organisasyong pampinansyal ay mayroon lamang dalawang pagpipilian para sa paglutas ng problema.

1. Iwasan ang pagpapatupad ng mga lalagyan

Isang solusyon para sa mga handang kayang gumamit lamang ng virtualization ng hardware at sa parehong oras ay natatakot sa mababang rating ayon sa GOST at mga multa mula sa Central Bank.

Dagdag pa: mas madaling sumunod sa mga kinakailangan ng subsection 7.8 ng GOST.

Minus: Kakailanganin nating talikuran ang mga bagong tool sa pag-develop batay sa virtualization ng container, sa partikular na Docker at Kubernetes.

2. Tumangging sumunod sa mga kinakailangan ng subsection 7.8 ng GOST

Ngunit sa parehong oras, ilapat ang pinakamahusay na kagawian sa pagtiyak ng seguridad ng impormasyon kapag nagtatrabaho sa mga lalagyan. Ito ay isang solusyon para sa mga taong pinahahalagahan ang mga bagong teknolohiya at ang mga pagkakataong ibinibigay nila. Sa pamamagitan ng "pinakamahuhusay na kagawian" ang ibig naming sabihin ay mga pamantayan at pamantayan na tinatanggap ng industriya para sa pagtiyak ng seguridad ng mga container ng Docker:

  • seguridad ng host OS, maayos na naka-configure na pag-log, pagbabawal ng pagpapalitan ng data sa pagitan ng mga lalagyan, at iba pa;
  • gamit ang function ng Docker Trust upang suriin ang integridad ng mga larawan at gamit ang built-in na vulnerability scanner;
  • Hindi natin dapat kalimutan ang tungkol sa seguridad ng malayuang pag-access at ang modelo ng network sa kabuuan: ang mga pag-atake tulad ng ARP-spoofing at MAC-flooding ay hindi nakansela.

Dagdag pa: walang teknikal na paghihigpit sa paggamit ng container virtualization.

Minus: may mataas na posibilidad na parusahan ng regulator ang hindi pagsunod sa mga kinakailangan ng GOST.

Konklusyon

Nagpasya ang aming kliyente na huwag ibigay ang mga lalagyan. Kasabay nito, kailangan niyang muling isaalang-alang ang saklaw ng trabaho at ang tiyempo ng paglipat sa Docker (nagtagal sila ng anim na buwan). Naiintindihan ng kliyente ang mga panganib. Nauunawaan din niya na sa susunod na pagtatasa ng pagsunod sa GOST R 57580, marami ang nakasalalay sa auditor.

Ano ang gagawin mo sa sitwasyong ito?

Pinagmulan: www.habr.com

Magdagdag ng komento