ProHoster > Blog > yönetim > GOST R 57580 ve konteyner sanallaştırma ile nasıl arkadaş olunur? Merkez Bankasının cevabı (ve bu konudaki düşüncelerimiz)

GOST R 57580 ve konteyner sanallaştırma ile nasıl arkadaş olunur? Merkez Bankasının cevabı (ve bu konudaki düşüncelerimiz)

Kısa bir süre önce GOST R 57580'in (bundan sonra sadece GOST olarak anılacaktır) gerekliliklerine uygunluk konusunda başka bir değerlendirme gerçekleştirdik. Müşteri, elektronik ödeme sistemi geliştiren bir şirkettir. Sistem ciddi: 3 milyondan fazla kullanıcı, günlük 200 binden fazla işlem. Orada bilgi güvenliğini çok ciddiye alıyorlar.

Değerlendirme süreci sırasında müşteri, geliştirme departmanının sanal makinelerin yanı sıra konteynerleri de kullanmayı planladığını rastgele duyurdu. Ancak müşteri bununla birlikte bir sorun olduğunu da ekledi: GOST'ta aynı Docker hakkında tek bir kelime yok. Ne yapmalıyım? Konteynerlerin güvenliği nasıl değerlendirilir?

GOST R 57580 ve konteyner sanallaştırma ile nasıl arkadaş olunur? Merkez Bankasının cevabı (ve bu konudaki düşüncelerimiz)

Doğru, GOST yalnızca donanım sanallaştırma hakkında - sanal makinelerin, hipervizörün ve sunucunun nasıl korunacağı hakkında yazıyor. Merkez Bankası'ndan açıklama istedik. Cevap bizi şaşırttı.

GOST ve sanallaştırma

Başlangıç ​​​​olarak, GOST R 57580'in "finansal kuruluşların bilgi güvenliğinin sağlanmasına yönelik gereklilikleri" (FI) belirleyen yeni bir standart olduğunu hatırlayalım. Bu tür FI'lar, ödeme sistemleri operatörlerini ve katılımcılarını, kredi ve kredi dışı kuruluşları, operasyonel ve takas merkezlerini içerir.

1 Ocak 2021'den itibaren finansal kuruluşların aşağıdaki işlemleri yapması gerekmektedir: yeni GOST gerekliliklerine uygunluğun değerlendirilmesi. Biz ITGLOBAL.COM olarak bu tür değerlendirmeleri yapan bir denetim şirketiyiz.

GOST'un sanallaştırılmış ortamların korunmasına ayrılmış bir alt bölümü vardır - No. 7.8. Burada "sanallaştırma" terimi belirtilmemiştir; donanım ve konteyner sanallaştırması diye bir ayrım yoktur. Herhangi bir BT uzmanı, teknik açıdan bunun yanlış olduğunu söyleyecektir: sanal makine (VM) ve konteyner, farklı izolasyon ilkelerine sahip farklı ortamlardır. VM ve Docker konteynerlerinin konuşlandırıldığı ana bilgisayarın güvenlik açığı açısından bakıldığında bu da büyük bir farktır.

VM'lerin ve konteynerlerin bilgi güvenliği değerlendirmesinin de farklı olması gerektiği ortaya çıktı.

Merkez Bankasına Sorularımız

Merkez Bankası Bilgi Güvenliği Müdürlüğü'ne gönderdik (soruları kısaltılmış olarak sunuyoruz).

  1. GOST uyumluluğunu değerlendirirken Docker tipi sanal konteynerler nasıl dikkate alınır? Teknolojiyi GOST'un 7.8 alt bölümüne göre değerlendirmek doğru mudur?
  2. Sanal konteyner yönetimi araçları nasıl değerlendirilir? Bunları sunucu sanallaştırma bileşenlerine eşitleyip GOST'un aynı alt bölümüne göre değerlendirmek mümkün müdür?
  3. Docker kapsayıcılarındaki bilgilerin güvenliğini ayrıca değerlendirmem gerekiyor mu? Eğer öyleyse, değerlendirme sürecinde bunun için ne gibi önlemler dikkate alınmalıdır?
  4. Konteynerizasyon sanal altyapıya eşitleniyorsa ve alt bölüm 7.8'e göre değerlendiriliyorsa, özel bilgi güvenliği araçlarının uygulanmasına yönelik GOST gereklilikleri nasıl uygulanmaktadır?

Merkez Bankası'nın yanıtı

Aşağıda ana alıntıları bulacaksınız.

“GOST R 57580.1-2017, Bakanlığın görüşüne göre konteyner sanallaştırmanın kullanıldığı durumlara genişletilebilecek olan GOST R 7.8-57580.1'nin ZI alt bölümü 2017'e ilişkin aşağıdaki önlemlerle ilgili teknik önlemlerin uygulanması yoluyla uygulama gerekliliklerini belirler. Aşağıdakileri dikkate alarak teknolojiler:

  • sanal makinelere ve sanallaştırma sunucusu bileşenlerine mantıksal erişimi uygularken tanımlama, kimlik doğrulama, yetkilendirme (erişim kontrolü) düzenlemek için ZSV.1 - ZSV.11 önlemlerinin uygulanması, konteyner sanallaştırma teknolojisinin kullanıldığı durumlardan farklı olabilir. Bunu dikkate alarak, bir dizi önlemi (örneğin, ZVS.6 ve ZVS.7) uygulamak için, finansal kuruluşların aynı hedefleri takip edecek telafi edici önlemler geliştirmelerini tavsiye etmenin mümkün olduğuna inanıyoruz;
  • sanal makinelerin bilgi etkileşiminin organizasyonu ve kontrolü için ZSV.13 - ZSV.22 önlemlerinin uygulanması, sanallaştırma teknolojisini uygulayan ve farklı güvenlik devrelerine ait olan bilişim nesneleri arasında ayrım yapmak için bir finansal kuruluşun bilgisayar ağının bölümlere ayrılmasını sağlar. Bunu dikkate alarak, konteyner sanallaştırma teknolojisini kullanırken (hem çalıştırılabilir sanal konteynerlerle hem de işletim sistemi düzeyinde kullanılan sanallaştırma sistemleriyle ilgili olarak) uygun segmentasyonun sağlanmasının tavsiye edilebilir olduğuna inanıyoruz;
  • sanal makinelerin görüntülerinin korunmasını düzenlemek için ZSV.26, ZSV.29 - ZSV.31 önlemlerinin uygulanması, sanal kapların temel ve güncel görüntülerinin korunması için de benzer şekilde gerçekleştirilmelidir;
  • sanal makinelere ve sunucu sanallaştırma bileşenlerine erişimle ilgili bilgi güvenliği olaylarının kaydedilmesine yönelik ZVS.32 - ZVS.43 önlemlerinin uygulanması, konteyner sanallaştırma teknolojisini uygulayan sanallaştırma ortamının unsurlarıyla ilgili olarak da analoji yoluyla gerçekleştirilmelidir.

Bunun anlamı ne

Merkez Bankası Bilgi Güvenliği Dairesi Başkanlığı'nın yanıtından iki ana sonuç:

  • Konteynerleri korumaya yönelik tedbirler, sanal makineleri korumaya yönelik tedbirlerden farklı değildir;
  • Bundan, bilgi güvenliği bağlamında Merkez Bankası'nın iki tür sanallaştırmayı - Docker konteynerleri ve VM'leri - eşitlediği sonucu çıkmaktadır.

Cevapta ayrıca tehditleri etkisiz hale getirmek için uygulanması gereken “telafi edici tedbirlerden” de bahsediliyor. Bu “telafi edici önlemlerin” ne olduğu ve bunların yeterliliğinin, eksiksizliğinin ve etkililiğinin nasıl ölçüleceği henüz belli değil.

Merkez Bankası'nın tutumunda yanlış olan ne?

Değerlendirme (ve öz değerlendirme) sırasında Merkez Bankası'nın tavsiyelerini kullanırsanız, bir takım teknik ve mantıksal zorlukları çözmeniz gerekir.

  • Her yürütülebilir konteyner, üzerine bilgi koruma yazılımının (IP) kurulmasını gerektirir: antivirüs, bütünlük izleme, günlüklerle çalışma, DLP sistemleri (Veri Sızıntısını Önleme) vb. Tüm bunlar bir VM'ye sorunsuz bir şekilde kurulabilir, ancak bir konteyner söz konusu olduğunda bilgi güvenliğinin kurulması saçma bir harekettir. Kap, hizmetin çalışması için gereken minimum miktarda "gövde kitini" içerir. İçine bir SZI kurmak anlamı ile çelişiyor.
  • Konteyner görüntülerinin de aynı prensibe göre korunması gerekir; bunun nasıl uygulanacağı da belirsizdir.
  • GOST, sunucu sanallaştırma bileşenlerine, yani hipervizöre erişimin kısıtlanmasını gerektirir. Docker durumunda sunucu bileşeni olarak kabul edilen şey nedir? Bu, her konteynerin ayrı bir ana bilgisayarda çalıştırılması gerektiği anlamına gelmiyor mu?
  • Geleneksel sanallaştırma için VM'leri güvenlik hatlarına ve ağ bölümlerine göre sınırlamak mümkünse, aynı ana bilgisayardaki Docker kapsayıcıları durumunda durum böyle değildir.

Uygulamada her denetçinin konteynerlerin güvenliğini kendi bilgi ve deneyimine dayanarak kendi yöntemiyle değerlendirmesi muhtemeldir. Peki, ya biri ya da diğeri yoksa, hiç değerlendirmeyin.

Her ihtimale karşı, 1 Ocak 2021'den itibaren minimum puanın 0,7'den düşük olmaması gerektiğini de ekleyelim.

Bu arada, GOST 57580 ve Merkez Bankası Düzenlemelerinin gereklilikleri ile ilgili olarak düzenleyicilerden gelen yanıtları ve yorumları düzenli olarak yayınlıyoruz. Telgraf kanalı.

Ne yapmalı

Bize göre finansal kuruluşların sorunu çözmek için yalnızca iki seçeneği var.

1. Konteynerleri uygulamaktan kaçının

Yalnızca donanım sanallaştırmasını kullanmaya gücü yeten ve aynı zamanda GOST'a göre düşük derecelendirmelerden ve Merkez Bankası'nın cezalarından korkanlar için bir çözüm.

artı: GOST'un 7.8 alt bölümünün gerekliliklerine uymak daha kolaydır.

Eksi: Docker ve Kubernetes başta olmak üzere konteyner sanallaştırmasına dayalı yeni geliştirme araçlarından vazgeçmemiz gerekecek.

2. GOST'un 7.8 numaralı alt bölümünün gerekliliklerine uymayı reddetmek

Ancak aynı zamanda konteynerlerle çalışırken bilgi güvenliğini sağlama konusunda en iyi uygulamaları uygulayın. Bu, yeni teknolojilere ve bunların sağladığı fırsatlara değer verenler için bir çözümdür. "En iyi uygulamalar" derken, Docker konteynerlerinin güvenliğini sağlamaya yönelik endüstri tarafından kabul edilen normları ve standartları kastediyoruz:

  • ana bilgisayar işletim sisteminin güvenliği, uygun şekilde yapılandırılmış günlük kaydı, kapsayıcılar arasında veri alışverişinin yasaklanması vb.
  • görüntülerin bütünlüğünü kontrol etmek için Docker Trust işlevinin kullanılması ve yerleşik güvenlik açığı tarayıcısının kullanılması;
  • Uzaktan erişimin ve bir bütün olarak ağ modelinin güvenliğini unutmamalıyız: ARP sahtekarlığı ve MAC taşması gibi saldırılar iptal edilmedi.

artı: Konteyner sanallaştırmasının kullanımına ilişkin teknik kısıtlama yoktur.

Eksi: düzenleyicinin GOST gerekliliklerine uyulmamasından dolayı cezalandırma olasılığı yüksektir.

Sonuç

Müşterimiz konteynerlerden vazgeçmemeye karar verdi. Aynı zamanda, işin kapsamını ve Docker'a geçişin zamanlamasını önemli ölçüde yeniden gözden geçirmek zorunda kaldı (bunlar altı ay sürdü). Müşteri riskleri çok iyi anlıyor. Ayrıca GOST R 57580'e uygunluğun bir sonraki değerlendirmesinde birçok şeyin denetçiye bağlı olacağının da farkındadır.

Bu durumda ne yapardınız?

Kaynak: habr.com

Yorum ekle