Якось прийшла до нас заявка на послуги хмари. Ми прикинули загалом, що від нас буде потрібно, і відправили у відповідь список питань для уточнення деталей. Потім проаналізували відповіді та зрозуміли: замовник хоче розміщувати у хмарі персональні дані другого рівня захищеності. Відповідаємо йому: "У вас другий рівень перданних, вибачте, можемо тільки приватну хмару зробити". А він: «Знаєте, а от у компанії X мені можуть усі й у публічному розмістити».
Фото Steve Crisp, Reuters
Дивні справи! Ми пішли на сайт компанії X, вивчили їх атестаційні документи, похитали головами та зрозуміли: відкритих питань у розміщенні перданних дуже багато і їх варто добре провентилювати. Чим ми й займемося у цьому пості.
Як все має працювати
Спочатку розберемося, за якими ознаками персональні дані взагалі відносять до того чи іншого рівня захищеності. Це залежить від категорії даних, кількості суб'єктів цих даних, які зберігає та обробляє оператор, а також від типу актуальних загроз.
Визначення типів актуальних загроз наведено в від 1 листопада 2012 р. «Про затвердження вимог щодо захисту персональних даних при їх обробці в інформаційних системах персональних даних»:
«Загрози 1-го типу є актуальними для інформаційної системи, якщо для неї в тому числі актуальні загрози, пов'язані з наявністю недокументованих (недекларованих) можливостей у системному програмному забезпеченні, що використовується в інформаційній системі.
Загрози 2-го типу є актуальними для інформаційної системи, якщо для неї в тому числі актуальні загрози, пов'язані з наявністю недокументованих (недекларованих) можливостей у прикладному програмному забезпеченні, що використовується в інформаційній системі.
Загрози 3-го типу є актуальними для інформаційної системи, якщо для неї актуальні загрози, які не пов'язані з наявністю недокументованих (недекларованих) можливостей у системному та прикладному програмному забезпеченні, що використовується в інформаційній системі.»
Основне у цих визначеннях – наявність недокументованих (недекларованих) можливостей. Для підтвердження відсутності недокументованих можливостей ПЗ (у разі хмари це гіпервізор) проводиться сертифікація ФСТЕК Росії. Якщо оператор ПДн сприймає, що таких можливостей у ПЗ немає, то й відповідні загрози не є актуальними. Загрози 1-го та 2-го типів оператори ПДН дуже рідко приймають актуальними.
Крім визначення рівня захищеності ПДн, оператор повинен також визначити конкретні актуальні загрози для публічної хмари і, виходячи з виявленого рівня захищеності ПДн та актуальних загроз, визначити необхідні заходи та засоби захисту від них.
У ФСТЕК всі основні загрози чітко перераховані в (Банку даних загроз). Провайдери та атестатори хмарних інфраструктур у роботі використовують цю базу. Ось приклади загроз:
: «Загроза полягає у можливості порушення безпеки даних користувача програм, що функціонують усередині віртуальної машини, шкідливим програмним забезпеченням, що функціонує поза віртуальною машиною». Ця загроза обумовлена наявністю вразливостей програмного забезпечення гіпервізора, що забезпечує ізольованість адресного простору, що використовується для зберігання даних користувача програм, що функціонують усередині віртуальної машини, від несанкціонованого доступу з боку шкідливого програмного забезпечення, що функціонує поза віртуальною машиною.
Реалізація цієї загрози можлива за умови успішного подолання шкідливим програмним кодом кордонів віртуальної машини не тільки за рахунок експлуатації вразливостей гіпервізора, а й шляхом здійснення такого впливу з нижчих (стосовно гіпервізору) рівнів функціонування системи».
: «Загроза полягає у можливості здійснення несанкціонованого доступу до інформації, що захищається одного споживача хмарних послуг з боку іншого. Ця загроза обумовлена тим, що через особливості хмарних технологій споживачам хмарних послуг доводиться спільно використовувати ту саму хмарну інфраструктуру. Реалізація цієї загрози можлива у разі допущення помилок під час поділу елементів хмарної інфраструктури між споживачами хмарних послуг, а також при ізоляції їх ресурсів та відокремленні даних один від одного».
Захиститись від цих загроз можна лише за допомогою гіпервізора, оскільки саме він керує віртуальними ресурсами. Таким чином, гіпервізор слід розглядати як засіб захисту.
І відповідно до від 18 лютого 2013 р., гіпервізор має пройти сертифікацію на відсутність ПДВ за 4 рівнем, інакше використання персональних даних 1 та 2 рівня з ним буде незаконним («П.12. … Для забезпечення 1 та 2 рівнів захищеності персональних даних, а також для забезпечення 3 рівня захищеності персональних даних в інформаційних системах, для яких до актуальних віднесено загрози 2-го типу, застосовуються засоби захисту інформації, програмне забезпечення яких пройшло перевірку не нижче ніж по 4 рівнем контролю відсутності недекларованих можливостей»).
Потрібний рівень сертифікації, НДВ-4, має лише один гіпервізор, російської розробки. . М'яко кажучи, не найпопулярніше рішення. Комерційні хмари, зазвичай, будуються з урахуванням VMware vSphere, KVM, Microsoft Hyper-V. Жоден із цих продуктів немає сертифікації на НДВ-4. Чому? Ймовірно, отримання такої сертифікації для виробників поки що економічно не виправдане.
І залишається нам для перданних 1 і 2 рівня в публічній хмарі лише Горизонт НД. Sad but true.
Як усі (на наш погляд) працює насправді
На перший погляд, все досить суворо: зазначені загрози повинні усуватися правильним настроюванням штатних механізмів захисту гіпервізора, сертифікованого з НДВ-4. Але є одна лазівка. Відповідно до Наказу ФСТЕК №21 («п.2 Безпека персональних даних при їх обробці в інформаційній системі персональних даних (далі — інформаційна система) забезпечує оператор або особа, яка здійснює обробку персональних даних за дорученням оператора відповідно до Російської Федерації"), провайдери самостійно оцінюють актуальність можливих загроз та відповідно до цього обирають заходи захисту. Тому, якщо не прийняти актуальними загрози УБІ.44 та УБІ.101, то не виникне потреби використовувати сертифікований за НДВ-4 гіпервізор, який якраз і повинен забезпечувати захист від них. І цього буде достатньо для отримання атестату відповідності публічної хмари 1 та 2 рівням захищеності ПДн, яким буде цілком задоволений Роскомнагляд.
Звичайно, крім Роскомнагляду з перевіркою може прийти ФСТЕК — і ця організація набагато скрупульозніша в технічних питаннях. Її, напевно, зацікавить, чому саме загрози УБІ.44 та УБІ.101 були визнані неактуальними? Але зазвичай ФСТЕК проводить перевірку тільки коли отримує інформацію про якийсь яскравий інцидент. І тут федеральна служба спочатку приходить до оператора перданних — тобто замовнику хмарних послуг. У гіршому випадку оператор отримує невеликий штраф — наприклад, для Twitter на початку року у разі склав 5000 рублів. Потім ФСТЕК йде далі, до провайдера хмарних послуг. Якого цілком може позбавити ліцензії через невиконання нормативних вимог — це вже зовсім інші ризики, як для хмарного провайдера, так і для його клієнтів. Але, повторюю, для перевірки ФСТЕК зазвичай потрібен чіткий привід. Отже, хмарні провайдери готові йти на ризик. До першого серйозного інциденту.
Є ще група «відповідальніших» провайдерів, які вважають, що можна закрити всі загрози, доповнивши гіпервізор надбудовою типу vGate. Але в розподіленому між замовниками віртуальному середовищі для деяких загроз (наприклад, наведеному вище УБІ.101) дієвий механізм захисту можна реалізувати лише на рівні сертифікованого за НДВ-4 гіпервізора, оскільки будь-які системи надбудови на штатні функції роботи гіпервізора з управління ресурсами (зокрема , оперативною пам'яттю) не впливають.
Як працюємо ми
Ми маємо хмарний сегмент, реалізований на гіпервізорі, сертифікованому ФСТЕК (але без сертифікації на НДВ-4). Цей сегмент атестований, тому в хмарі на його основі можна розміщувати персональні дані 3 та 4 рівнів захищеності — вимог щодо захисту від недекларованих можливостей тут дотримуватися не потрібно. Ось, до речі, архітектура нашого захищеного сегмента хмари:
Системи персональних даних 1 та 2 рівнів захищеності ми реалізуємо лише на виділеному обладнанні. Лише у цьому випадку, наприклад, загроза УБИ.101 справді не актуальна, оскільки серверні стійки, не об'єднані одним віртуальним середовищем, що неспроможні впливати друг на друга навіть за розміщення одному ЦОД. Для таких випадків ми пропонуємо послугу оренди виділеного обладнання (її називають Hardware as a service, обладнання як сервіс).
Якщо ви не впевнені, який рівень захищеності потрібний для вашої системи персональних даних, ми також допомагаємо в їхній класифікації.
Висновок
Наше невелике дослідження ринку показало: деякі хмарні оператори для отримання замовлення готові ризикнути і безпекою даних клієнтів, і власним майбутнім. Але ми в цих питаннях дотримуємося іншої політики, яку коротко описали трохи вище. Будемо раді відповісти у коментарях на ваші запитання.
Джерело: habr.com