Нещодавно ми проводили чергову оцінку відповідності вимогам ГОСТ Р 57580 (далі - просто ГОСТ). Клієнт – компанія, яка розробляє систему електронних платежів. Система серйозна: понад 3 млн. користувачів, понад 200 тис. транзакцій щодня. До інформаційної безпеки там ставляться дуже відповідально.
У процесі оцінки клієнт між справою повідомив, що відділ розробки, окрім віртуальних машин, планує використовувати контейнери. Але з цим, додав клієнт, є одна проблема: у ГОСТ про той самий Docker — жодного слова. Як бути? Як оцінювати безпеку контейнерів?
Правда, в ГОСТ написано лише про апаратну віртуалізацію — про те, як потрібно захищати віртуальні машини, гіпервізор, сервер. Ми звернулися за роз'ясненням до Центробанку. Відповідь нас спантеличила.
ГОСТ та віртуалізація
Для початку нагадаємо, що ГОСТ Р 57580 – новий стандарт, у якому прописані «вимоги щодо забезпечення інформаційної безпеки фінансових організацій» (ФІ). Серед таких ФІ — оператори та учасники платіжних систем, кредитні та некредитні організації, операційні та клірингові центри.
З 1 січня 2021 року ФІ раз на два роки зобов'язані проводити . Ми, ITGLOBAL.COM — аудиторська компанія, яка проводить таку оцінку.
У ГОСТ є підрозділ, присвячений захисту віртуалізованих середовищ, - № 7.8. Термін «віртуалізація» там не уточнюється, поділу на апаратну та контейнерну віртуалізацію немає. Будь-який айтішник скаже, що з технічної точки зору це некоректно: віртуальна машина (ВМ) і контейнер — різні середовища, з принципом ізолювання. З точки зору вразливості хоста, на якому розгортаються ВМ та Docker-контейнери, — це також велика різниця.
Виходить, оцінка інформаційної безпеки ВМ та контейнерів теж має відрізнятися.
Наші питання ЦП
Ми надіслали їх до Департаменту інформаційної безпеки Центробанку (питання наводимо у скороченому вигляді).
- Як під час оцінки відповідності ГОСТ розглядати віртуальні контейнери типу Docker? Чи правильно оцінювати технологію відповідно до підрозділу 7.8 ГОСТ?
- Як оцінювати засоби керування віртуальними контейнерами? Чи можна прирівнювати їх до серверних компонентів віртуалізації та оцінювати за тим самим підрозділом ГОСТ?
- Чи потрібно окремо оцінювати захищеність інформації в контейнерах Docker? Якщо так, які заходи захисту слід для цього враховувати в процесі оцінки?
- Якщо контейнеризація дорівнює віртуальній інфраструктурі та оцінюється відповідно до підрозділу 7.8 — як реалізуються вимоги ГОСТ щодо впровадження спеціальних засобів захисту інформації?
Відповідь ЦП
Нижче основні витримки.
«ГОСТ Р 57580.1-2017 встановлює вимоги до реалізації шляхом застосування технічних заходів щодо наступних заходів ЗІ підрозділу 7.8 ДЕРЖСТАНДАРТ Р 57580.1-2017, які, на думку Департаменту, можна поширити і на випадки використання технологій контейнерної віртуалізації з урахуванням наступного:
- реалізація заходів ЗСВ.1 – ЗСВ.11 щодо організації ідентифікації, аутентифікації, авторизації (розмежування доступу) при здійсненні логічного доступу до віртуальних машин та серверних компонентів віртуалізації може відрізнятись від випадків використання технології контейнерної віртуалізації. З огляду на це для реалізації низки заходів (наприклад, ЗВС.6 і ЗВС.7) вважаємо за можливе рекомендувати фінансовим організаціям розробити компенсуючі заходи, які переслідуватимуть ті самі цілі;
- реалізація заходів ЗСВ.13 – ЗСВ.22 щодо організації та контролю інформаційної взаємодії віртуальних машин передбачає сегментацію обчислювальної мережі фінансової організації для розмежування об'єктів інформатизації, що реалізують технологію віртуалізації, що належать до різних контурів безпеки. З огляду на це вважаємо за доцільне передбачити відповідну сегментацію і при використанні технології контейнерної віртуалізації (як щодо виконуваних віртуальних контейнерів, так і стосовно систем віртуалізації, що використовуються на рівні операційної системи);
- реалізація заходів ЗСВ.26, ЗСВ.29 – ЗСВ.31 щодо організації захисту образів віртуальних машин має бути здійснена за аналогією також і з метою захисту базових та поточних образів віртуальних контейнерів;
- реалізація заходів ЗВС.32 – ЗВС.43 щодо реєстрації подій захисту інформації, пов'язаних з доступом до віртуальних машин та серверних компонентів віртуалізації, має бути здійснена за аналогією також щодо елементів середовища віртуалізації, що реалізують технологію контейнерної віртуалізації».
Що це означає
Два головні висновки з відповіді Департаменту ІБ Центробанку:
- заходи захисту контейнерів не відрізняються від заходів захисту віртуальних машин;
- з цього випливає, що в контексті інформаційної безпеки ЦП ставить знак рівності між двома типами віртуалізації – Docker-контейнерами та ВМ.
У відповіді також згадані «компенсуючі заходи», які слід застосовувати для нейтралізації загроз. Ось тільки неясно, що це за «компенсуючі заходи», як вимірювати їхню адекватність, повноту та ефективність.
Що не так із позицією ЦБ
Якщо при оцінці (і самооцінці) користуватися рекомендаціями Центробанку, потрібно вирішити низку технічних та логічних труднощів.
- Кожен виконуваний контейнер вимагає встановлення на нього програмних засобів захисту інформації (СЗІ): антивіруса, контроль цілісності, робота з логами, DLP-системи (Data Leak Prevention) тощо. Все це без проблем встановлюється на ВМ, але у випадку з контейнером установка СЗІ є абсурдним ходом. Контейнер несе в собі мінімальну кількість «обважування», яка потрібна для функціонування сервісу. Встановлення у нього СЗІ суперечить його змісту.
- За тим же принципом слід захищати образи контейнерів — як це реалізувати, теж незрозуміло.
- ГОСТ вимагає обмежувати доступом до серверним компонентам віртуалізації, т. е. до гипервизору. Що вважати серверною компонентою у випадку з Docker? Чи це не означає, що кожен контейнер потрібно запускати на окремому хості?
- Якщо для звичайної віртуалізації можна розмежувати ВМ за контурами безпеки та мережевими сегментами, то у випадку з Docker-контейнерами в рамках одного хоста – ні.
На практиці, швидше за все, кожен аудитор оцінюватиме безпеку контейнерів на свій лад, спираючись на свої знання та досвід. Ну, чи взагалі не оцінювати, якщо ні того, ні іншого немає.
Про всяк випадок додамо, що з 1 січня 2021 мінімальна оцінка повинна бути не нижче 0,7.
До речі, відповіді та коментарі регуляторів, пов'язані з вимогами ГОСТ 57580 та Положень ЦП, ми регулярно викладаємо у нашому .
Що робити
На наш погляд, фінансові організації мають лише два варіанти вирішення проблеми.
1. Відмовитись від впровадження контейнерів
Рішення для тих, хто готовий дозволити собі використовувати тільки апаратну віртуалізацію і в той же час побоюється низьких оцінок ГОСТу та штрафів ЦП.
плюс: Легше виконати вимоги підрозділу 7.8 ГОСТ.
мінус: доведеться відмовитись від нових засобів розробки на основі контейнерної віртуалізації, зокрема від Docker та Kubernetes.
2. Відмовитися від виконання вимог підрозділу 7.8 ГОСТ
Але при цьому застосовувати кращі практики в забезпеченні ІБ при роботі з контейнерами. Це рішення для тих, кому важливіші нові технології та можливості, які вони надають. Під «найкращими практиками» ми тут розуміємо прийняті в галузі норми та стандарти щодо забезпечення безпеки Doсker-контейнерів:
- безпека ОС хоста, правильно налаштоване логування, заборона обміну даними між контейнерами тощо;
- застосування функції Docker Trust для перевірки цілісності образів та використання вбудованого сканера вразливостей;
- не можна забувати про безпеку віддаленого доступу та мережевої моделі в цілому: атаки типу ARP-spoofing та MAC-flooding ніхто не скасовував.
плюс: ніяких технічних обмежень використання контейнерної віртуалізації.
мінус: високою є ймовірність того, що регулятор покарає за недотримання вимог ГОСТ.
Висновок
Наш клієнт вирішив не відмовлятися від контейнерів. При цьому йому довелося значно переглянути обсяг робіт і терміни переходу на Docker (вони розтяглися на півроку). Клієнт чудово розуміє ризики. Розуміє і те, що при проведенні наступної оцінки відповідності ГОСТ Р 57580 багато залежатиме від аудитора.
А як би ви надійшли в цій ситуації?
Джерело: habr.com