ProHoster > Blog > Ma'muriyat > GOST R 57580 va konteyner virtualizatsiyasi bilan qanday do'stlashish mumkin. Markaziy bankning javobi (va bu boradagi fikrlarimiz)

GOST R 57580 va konteyner virtualizatsiyasi bilan qanday do'stlashish mumkin. Markaziy bankning javobi (va bu boradagi fikrlarimiz)

Yaqinda biz GOST R 57580 (bundan buyon matnda GOST deb yuritiladi) talablariga muvofiqligini yana bir baholashni amalga oshirdik. Mijoz elektron to'lov tizimini ishlab chiquvchi kompaniya hisoblanadi. Tizim jiddiy: 3 milliondan ortiq foydalanuvchi, kuniga 200 mingdan ortiq tranzaksiya. Ular u yerda axborot xavfsizligiga jiddiy yondashadi.

Baholash jarayonida mijoz beparvolik bilan ishlab chiqish bo'limi virtual mashinalardan tashqari konteynerlardan foydalanishni rejalashtirayotganini e'lon qildi. Ammo mijozning qo'shimcha qilishicha, bitta muammo bor: GOSTda xuddi shu Docker haqida bir so'z yo'q. Nima qilishim kerak? Konteynerlarning xavfsizligini qanday baholash mumkin?

GOST R 57580 va konteyner virtualizatsiyasi bilan qanday do'stlashish mumkin. Markaziy bankning javobi (va bu boradagi fikrlarimiz)

To'g'ri, GOST faqat apparat virtualizatsiyasi haqida yozadi - virtual mashinalarni, gipervisorni va serverni qanday himoya qilish haqida. Biz Markaziy bankdan tushuntirish so‘radik. Javob bizni hayratda qoldirdi.

GOST va virtualizatsiya

Avvalo, GOST R 57580 "moliyaviy tashkilotlarning axborot xavfsizligini ta'minlashga qo'yiladigan talablarni" (FI) belgilaydigan yangi standart ekanligini eslaylik. Bu FIlarga to'lov tizimlarining operatorlari va ishtirokchilari, kredit va kredit bo'lmagan tashkilotlar, operativ va kliring markazlari kiradi.

1-yil 2021-yanvardan boshlab FI oʻtkazishi shart yangi GOST talablariga muvofiqligini baholash. Biz, ITGLOBAL.COM, bunday baholashlarni amalga oshiradigan auditorlik kompaniyasimiz.

GOST virtuallashtirilgan muhitlarni himoya qilishga bag'ishlangan kichik bo'limga ega - 7.8-son. U erda "virtualizatsiya" atamasi ko'rsatilmagan, apparat va konteyner virtualizatsiyasiga bo'linish yo'q. Har qanday IT mutaxassisi texnik nuqtai nazardan bu noto'g'ri ekanligini aytadi: virtual mashina (VM) va konteyner turli xil izolyatsiya tamoyillariga ega bo'lgan turli muhitlardir. VM va Docker konteynerlari joylashtirilgan xostning zaifligi nuqtai nazaridan, bu ham katta farqdir.

Ma'lum bo'lishicha, VM va konteynerlarning axborot xavfsizligini baholash ham har xil bo'lishi kerak.

Markaziy bankka savollarimiz

Biz ularni Markaziy bankning Axborot xavfsizligi boshqarmasiga yubordik (savollarni qisqartirilgan holda taqdim etamiz).

  1. GOST muvofiqligini baholashda Docker tipidagi virtual konteynerlarni qanday hisobga olish kerak? GOSTning 7.8-bo'limiga muvofiq texnologiyani baholash to'g'rimi?
  2. Virtual konteynerni boshqarish vositalarini qanday baholash mumkin? Ularni serverni virtualizatsiya qilish komponentlariga tenglashtirish va ularni GOSTning bir xil bo'limiga muvofiq baholash mumkinmi?
  3. Docker konteynerlari ichidagi ma'lumotlar xavfsizligini alohida baholashim kerakmi? Agar shunday bo'lsa, baholash jarayonida buning uchun qanday himoya choralarini ko'rish kerak?
  4. Agar konteynerlashtirish virtual infratuzilmaga tenglashtirilsa va 7.8-kichik bo'limga muvofiq baholansa, maxsus axborot xavfsizligi vositalarini joriy qilish uchun GOST talablari qanday amalga oshiriladi?

Markaziy bankning javobi

Quyida asosiy parchalar keltirilgan.

"GOST R 57580.1-2017 GOST R 7.8-57580.1 ning 2017-bandi ZI quyidagi chora-tadbirlarga nisbatan texnik chora-tadbirlarni qo'llash orqali amalga oshirish uchun talablarni belgilaydi, bu bo'limning fikriga ko'ra, konteyner virtualizatsiyasidan foydalanish holatlariga ham kengaytirilishi mumkin. texnologiyalarni hisobga olgan holda:

  • virtual mashinalar va virtualizatsiya server komponentlariga mantiqiy kirishni amalga oshirishda identifikatsiyani, autentifikatsiyani, avtorizatsiyani (kirishni boshqarish) tashkil etish bo'yicha ZSV.1 - ZSV.11 chora-tadbirlarini amalga oshirish konteyner virtualizatsiya texnologiyasidan foydalanish holatlaridan farq qilishi mumkin. Shuni hisobga olgan holda, bir qator chora-tadbirlarni (masalan, ZVS.6 va ZVS.7) amalga oshirish uchun moliya institutlariga bir xil maqsadlarni ko'zlaydigan kompensatsiya choralarini ishlab chiqishni tavsiya etish mumkin, deb hisoblaymiz;
  • virtual mashinalarning axborot o'zaro ta'sirini tashkil etish va nazorat qilish bo'yicha ZSV.13 - ZSV.22 chora-tadbirlarini amalga oshirish virtualizatsiya texnologiyasini amalga oshiradigan va turli xil xavfsizlik sxemalariga tegishli bo'lgan axborotlashtirish ob'ektlarini ajratish uchun moliyaviy tashkilotning kompyuter tarmog'ini segmentatsiyalashni nazarda tutadi. Buni hisobga olgan holda, biz konteyner virtualizatsiya texnologiyasidan foydalanganda tegishli segmentatsiyani ta'minlash maqsadga muvofiq deb hisoblaymiz (bajariladigan virtual konteynerlarga nisbatan ham, operatsion tizim darajasida foydalaniladigan virtualizatsiya tizimlariga nisbatan);
  • virtual mashinalar tasvirlarini himoya qilishni tashkil etish bo'yicha ZSV.26, ZSV.29 - ZSV.31 chora-tadbirlarini amalga oshirish virtual konteynerlarning asosiy va joriy tasvirlarini himoya qilish uchun ham analogiya bo'yicha amalga oshirilishi kerak;
  • virtual mashinalar va serverni virtualizatsiya komponentlariga kirish bilan bog'liq axborot xavfsizligi hodisalarini qayd etish bo'yicha ZVS.32 - ZVS.43 chora-tadbirlarini amalga oshirish konteyner virtualizatsiya texnologiyasini amalga oshiradigan virtualizatsiya muhiti elementlariga nisbatan ham analogiya bo'yicha amalga oshirilishi kerak.

Bu nimani anglatadi?

Markaziy bank Axborot xavfsizligi departamentining javobidan ikkita asosiy xulosa:

  • konteynerlarni himoya qilish choralari virtual mashinalarni himoya qilish choralaridan farq qilmaydi;
  • Bundan kelib chiqadiki, axborot xavfsizligi nuqtai nazaridan Markaziy bank virtualizatsiyaning ikki turini – Docker konteynerlari va VMlarni tenglashtiradi.

Javobda, shuningdek, tahdidlarni zararsizlantirish uchun qo'llanilishi kerak bo'lgan "kompensatsiya choralari" haqida so'z boradi. Ushbu "kompensatsiya choralari" nima ekanligi va ularning etarliligi, to'liqligi va samaradorligini qanday o'lchash mumkinligi aniq emas.

Markaziy bankning pozitsiyasida nima yomon?

Agar siz baholash (va o'z-o'zini baholash) paytida Markaziy bankning tavsiyalaridan foydalansangiz, bir qator texnik va mantiqiy qiyinchiliklarni hal qilishingiz kerak.

  • Har bir bajariladigan konteyner unga ma'lumotni himoya qilish dasturini (IP) o'rnatishni talab qiladi: antivirus, yaxlitlik monitoringi, jurnallar bilan ishlash, DLP tizimlari (Ma'lumotlar oqishini oldini olish) va boshqalar. Bularning barchasini VM-ga hech qanday muammosiz o'rnatish mumkin, ammo konteynerda axborot xavfsizligini o'rnatish absurd harakatdir. Idishda xizmat ishlashi uchun zarur bo'lgan minimal miqdordagi "tana to'plami" mavjud. Unda SZI ni o'rnatish uning ma'nosiga zid keladi.
  • Konteyner tasvirlari xuddi shu printsip bo'yicha himoyalangan bo'lishi kerak; buni qanday amalga oshirish ham noaniq.
  • GOST server virtualizatsiya komponentlariga, ya'ni gipervisorga kirishni cheklashni talab qiladi. Docker misolida nima server komponenti hisoblanadi? Bu har bir konteyner alohida xostda ishlashi kerakligini anglatmaydimi?
  • Agar an'anaviy virtualizatsiya uchun VM-larni xavfsizlik konturlari va tarmoq segmentlari bo'yicha chegaralash mumkin bo'lsa, u holda bir xil xost ichidagi Docker konteynerlarida bunday emas.

Amalda, ehtimol, har bir auditor o'z bilimi va tajribasiga asoslanib, konteynerlarning xavfsizligini o'ziga xos tarzda baholaydi. Xo'sh, yoki uni umuman baholamang, agar u yoki boshqasi bo'lmasa.

Har holda, 1-yil 2021-yanvardan boshlab minimal ball 0,7 dan past bo‘lmasligi kerakligini qo‘shamiz.

Aytgancha, biz regulyatorlarning GOST 57580 va Markaziy bank qoidalari talablari bilan bog'liq javoblari va sharhlarini muntazam ravishda o'z sahifamizda joylashtiramiz. Telegram kanali.

Nima qilish kerak

Bizning fikrimizcha, moliyaviy tashkilotlar muammoni hal qilish uchun faqat ikkita variantga ega.

1. Konteynerlarni amalga oshirishdan saqlaning

Faqatgina apparat virtualizatsiyasidan foydalanishga tayyor bo'lgan va shu bilan birga GOST bo'yicha past reytinglar va Markaziy bankning jarimalaridan qo'rqqanlar uchun yechim.

Plyus: GOSTning 7.8-bo'limi talablariga rioya qilish osonroq.

Yo'q: Biz konteyner virtualizatsiyasiga asoslangan yangi ishlab chiqish vositalaridan, xususan Docker va Kubernetesdan voz kechishimiz kerak.

2. GOSTning 7.8-kichik bo'limi talablariga rioya qilishni rad etish

Shu bilan birga, konteynerlar bilan ishlashda axborot xavfsizligini ta'minlashning eng yaxshi amaliyotlarini qo'llang. Bu yangi texnologiyalar va ular taqdim etadigan imkoniyatlarni qadrlaydiganlar uchun yechim. "Eng yaxshi amaliyotlar" deganda biz Docker konteynerlarining xavfsizligini ta'minlash bo'yicha sanoat tomonidan qabul qilingan normalar va standartlarni nazarda tutamiz:

  • xost operatsion tizimining xavfsizligi, to'g'ri tuzilgan jurnallar, konteynerlar o'rtasida ma'lumotlar almashinuvini taqiqlash va boshqalar;
  • tasvirlarning yaxlitligini tekshirish uchun Docker Trust funksiyasidan foydalanish va o'rnatilgan zaiflik skaneridan foydalanish;
  • Masofaviy kirish xavfsizligi va umuman tarmoq modeli haqida unutmasligimiz kerak: ARP-spoofing va MAC-flooding kabi hujumlar bekor qilinmagan.

Plyus: konteyner virtualizatsiyasidan foydalanishda texnik cheklovlar yo'q.

Yo'q: regulyatorning GOST talablariga rioya qilmaslik uchun jazolash ehtimoli yuqori.

xulosa

Bizning mijozimiz konteynerlardan voz kechmaslikka qaror qildi. Shu bilan birga, u ish hajmini va Docker-ga o'tish vaqtini sezilarli darajada qayta ko'rib chiqishi kerak edi (ular olti oy davom etdi). Mijoz xavflarni juda yaxshi tushunadi. Shuningdek, u GOST R 57580 ga muvofiqlikni keyingi baholashda ko'p narsa auditorga bog'liq bo'lishini tushunadi.

Bunday vaziyatda nima qilgan bo'lardingiz?

Manba: www.habr.com

a Izoh qo'shish