Prohoster > Blog > quản lý > Cách kết bạn với GOST R 57580 và ảo hóa container. Phản hồi của Ngân hàng Trung ương (và suy nghĩ của chúng tôi về vấn đề này)

Cách kết bạn với GOST R 57580 và ảo hóa container. Phản hồi của Ngân hàng Trung ương (và suy nghĩ của chúng tôi về vấn đề này)

Cách đây không lâu, chúng tôi đã thực hiện một đánh giá khác về việc tuân thủ các yêu cầu của GOST R 57580 (sau đây gọi đơn giản là GOST). Khách hàng là một công ty phát triển hệ thống thanh toán điện tử. Hệ thống này rất nghiêm túc: hơn 3 triệu người dùng, hơn 200 nghìn giao dịch hàng ngày. Họ rất coi trọng vấn đề bảo mật thông tin ở đó.

Trong quá trình đánh giá, khách hàng tình cờ thông báo rằng bộ phận phát triển, ngoài máy ảo, còn có kế hoạch sử dụng container. Nhưng với điều này, khách hàng nói thêm, có một vấn đề: trong GOST không có từ nào về cùng một Docker. Tôi nên làm gì? Làm thế nào để đánh giá tính bảo mật của container?

Cách kết bạn với GOST R 57580 và ảo hóa container. Phản hồi của Ngân hàng Trung ương (và suy nghĩ của chúng tôi về vấn đề này)

Đúng là GOST chỉ viết về ảo hóa phần cứng - về cách bảo vệ máy ảo, bộ ảo hóa và máy chủ. Chúng tôi đã yêu cầu Ngân hàng Trung ương làm rõ. Câu trả lời làm chúng tôi bối rối.

GOST và ảo hóa

Để bắt đầu, chúng ta hãy nhớ lại rằng GOST R 57580 là một tiêu chuẩn mới quy định “các yêu cầu về đảm bảo an ninh thông tin của các tổ chức tài chính” (FI). Các tổ chức tài chính này bao gồm các nhà điều hành và người tham gia hệ thống thanh toán, các tổ chức tín dụng và phi tín dụng, các trung tâm điều hành và thanh toán bù trừ.

Từ ngày 1 tháng 2021 năm XNUMX, các tổ chức tài chính phải tiến hành đánh giá việc tuân thủ các yêu cầu của GOST mới. Chúng tôi, ITGLOBAL.COM, là công ty kiểm toán thực hiện các đánh giá như vậy.

GOST có một tiểu mục dành riêng cho việc bảo vệ môi trường ảo hóa - Số 7.8. Thuật ngữ “ảo hóa” không được chỉ định ở đó; không có sự phân chia thành ảo hóa phần cứng và vùng chứa. Bất kỳ chuyên gia CNTT nào cũng sẽ nói rằng từ quan điểm kỹ thuật, điều này không chính xác: máy ảo (VM) và vùng chứa là các môi trường khác nhau, với các nguyên tắc cách ly khác nhau. Từ quan điểm về lỗ hổng bảo mật của máy chủ nơi triển khai các thùng chứa VM và Docker, đây cũng là một sự khác biệt lớn.

Hóa ra việc đánh giá tính bảo mật thông tin của VM và container cũng phải khác nhau.

Câu hỏi của chúng tôi gửi đến Ngân hàng Trung ương

Chúng tôi đã gửi chúng đến Cục An toàn thông tin của Ngân hàng Trung ương (chúng tôi trình bày các câu hỏi dưới dạng viết tắt).

  1. Làm cách nào để xem xét các vùng chứa ảo loại Docker khi đánh giá việc tuân thủ GOST? Đánh giá công nghệ theo tiểu mục 7.8 của GOST có đúng không?
  2. Làm thế nào để đánh giá các công cụ quản lý container ảo? Có thể đánh đồng chúng với các thành phần ảo hóa máy chủ và đánh giá chúng theo cùng một tiểu mục của GOST không?
  3. Tôi có cần đánh giá riêng tính bảo mật của thông tin bên trong vùng chứa Docker không? Nếu vậy, những biện pháp bảo vệ nào cần được xem xét cho vấn đề này trong quá trình đánh giá?
  4. Nếu việc đóng gói được coi là cơ sở hạ tầng ảo và được đánh giá theo tiểu mục 7.8, thì các yêu cầu GOST đối với việc triển khai các công cụ bảo mật thông tin đặc biệt được triển khai như thế nào?

Phản ứng của Ngân hàng Trung ương

Dưới đây là những trích đoạn chính.

“GOST R 57580.1-2017 thiết lập các yêu cầu thực hiện thông qua việc áp dụng các biện pháp kỹ thuật liên quan đến các biện pháp sau ZI tiểu mục 7.8 của GOST R 57580.1-2017, theo quan điểm của Bộ, có thể mở rộng cho các trường hợp sử dụng ảo hóa container công nghệ, có tính đến các vấn đề sau:

  • việc thực hiện các biện pháp ZSV.1 - ZSV.11 để tổ chức nhận dạng, xác thực, ủy quyền (kiểm soát truy cập) khi thực hiện truy cập logic vào máy ảo và các thành phần máy chủ ảo hóa có thể khác với các trường hợp sử dụng công nghệ ảo hóa container. Khi tính đến điều này, để thực hiện một số biện pháp (ví dụ: ZVS.6 và ZVS.7), chúng tôi tin rằng có thể khuyến nghị các tổ chức tài chính phát triển các biện pháp đền bù nhằm theo đuổi các mục tiêu tương tự;
  • Việc triển khai các biện pháp ZSV.13 - ZSV.22 để tổ chức và kiểm soát tương tác thông tin của các máy ảo cung cấp khả năng phân đoạn mạng máy tính của một tổ chức tài chính để phân biệt giữa các đối tượng thông tin hóa thực hiện công nghệ ảo hóa và thuộc các mạch bảo mật khác nhau. Khi tính đến điều này, chúng tôi tin rằng nên cung cấp phân khúc phù hợp khi sử dụng công nghệ ảo hóa vùng chứa (cả liên quan đến vùng chứa ảo thực thi và liên quan đến hệ thống ảo hóa được sử dụng ở cấp hệ điều hành);
  • việc thực hiện các biện pháp ZSV.26, ZSV.29 - ZSV.31 để tổ chức bảo vệ hình ảnh của máy ảo cũng cần được thực hiện theo phương pháp tương tự nhằm bảo vệ hình ảnh cơ bản và hiện tại của các thùng chứa ảo;
  • việc thực hiện các biện pháp ZVS.32 - ZVS.43 để ghi lại các sự kiện bảo mật thông tin liên quan đến quyền truy cập vào máy ảo và các thành phần ảo hóa máy chủ cũng phải được thực hiện theo cách tương tự đối với các thành phần của môi trường ảo hóa triển khai công nghệ ảo hóa container.”

Nó có nghĩa là gì

Hai kết luận chính từ phản hồi của Cục An toàn Thông tin Ngân hàng Trung ương:

  • biện pháp bảo vệ container không khác gì biện pháp bảo vệ máy ảo;
  • Từ đó, trong bối cảnh bảo mật thông tin, Ngân hàng Trung ương đánh đồng hai loại ảo hóa - vùng chứa Docker và máy ảo.

Phản hồi cũng đề cập đến “các biện pháp đền bù” cần được áp dụng để vô hiệu hóa các mối đe dọa. Hiện vẫn chưa rõ “các biện pháp đền bù” này là gì và làm thế nào để đo lường tính đầy đủ, đầy đủ và hiệu quả của chúng.

Có gì sai với quan điểm của Ngân hàng Trung ương?

Nếu bạn sử dụng các khuyến nghị của Ngân hàng Trung ương trong quá trình đánh giá (và tự đánh giá), bạn cần giải quyết một số khó khăn về kỹ thuật và logic.

  • Mỗi vùng chứa thực thi yêu cầu cài đặt phần mềm bảo vệ thông tin (IP) trên đó: chống vi-rút, giám sát tính toàn vẹn, làm việc với nhật ký, hệ thống DLP (Ngăn chặn rò rỉ dữ liệu), v.v. Tất cả điều này có thể được cài đặt trên VM mà không gặp vấn đề gì, nhưng trong trường hợp một container, việc cài đặt bảo mật thông tin là một động thái vô lý. Thùng chứa chứa lượng “bộ body kit” tối thiểu cần thiết để dịch vụ hoạt động. Việc cài đặt SZI trong đó mâu thuẫn với ý nghĩa của nó.
  • Hình ảnh container cần được bảo vệ theo nguyên tắc tương tự, cách thực hiện điều này cũng chưa rõ ràng.
  • GOST yêu cầu hạn chế quyền truy cập vào các thành phần ảo hóa máy chủ, tức là vào bộ ảo hóa. Điều gì được coi là thành phần máy chủ trong trường hợp Docker? Điều này không có nghĩa là mỗi container cần được chạy trên một máy chủ riêng biệt phải không?
  • Nếu đối với ảo hóa thông thường, có thể phân định VM theo các đường viền bảo mật và phân đoạn mạng, thì trong trường hợp các bộ chứa Docker trong cùng một máy chủ, điều này không xảy ra.

Trong thực tế, có thể mỗi kiểm toán viên sẽ đánh giá tính an toàn của container theo cách riêng của mình, dựa trên kiến ​​thức và kinh nghiệm của chính mình. Chà, hoặc đừng đánh giá nó chút nào, nếu không có cái này cũng như cái kia.

Để đề phòng, chúng tôi sẽ bổ sung rằng từ ngày 1 tháng 2021 năm 0,7, điểm tối thiểu không được thấp hơn XNUMX.

Nhân tiện, chúng tôi thường xuyên đăng phản hồi và nhận xét từ các cơ quan quản lý liên quan đến các yêu cầu của GOST 57580 và Quy định của Ngân hàng Trung ương trong trang của chúng tôi. Kênh Telegram.

Phải làm gì

Theo chúng tôi, các tổ chức tài chính chỉ có hai phương án để giải quyết vấn đề.

1. Tránh triển khai vùng chứa

Một giải pháp dành cho những người sẵn sàng đủ khả năng chỉ sử dụng ảo hóa phần cứng, đồng thời sợ xếp hạng thấp theo GOST và tiền phạt từ Ngân hàng Trung ương.

Cộng: việc tuân thủ các yêu cầu của tiểu mục 7.8 của GOST sẽ dễ dàng hơn.

Trừ đi: Chúng tôi sẽ phải từ bỏ các công cụ phát triển mới dựa trên ảo hóa vùng chứa, đặc biệt là Docker và Kubernetes.

2. Từ chối tuân thủ các yêu cầu của tiểu mục 7.8 của GOST

Nhưng đồng thời, áp dụng những biện pháp tốt nhất trong việc đảm bảo an toàn thông tin khi làm việc với container. Đây là giải pháp dành cho những người coi trọng công nghệ mới và những cơ hội mà chúng mang lại. Khi nói “các phương pháp thực hành tốt nhất”, chúng tôi muốn nói đến các quy tắc và tiêu chuẩn được ngành chấp nhận để đảm bảo tính bảo mật của vùng chứa Docker:

  • bảo mật của hệ điều hành máy chủ, ghi nhật ký được cấu hình đúng cách, cấm trao đổi dữ liệu giữa các vùng chứa, v.v.;
  • sử dụng chức năng Docker Trust để kiểm tra tính toàn vẹn của hình ảnh và sử dụng trình quét lỗ hổng tích hợp;
  • Chúng ta không được quên tính bảo mật của truy cập từ xa và toàn bộ mô hình mạng: các cuộc tấn công như giả mạo ARP và tràn MAC vẫn chưa bị hủy bỏ.

Cộng: không có hạn chế kỹ thuật đối với việc sử dụng ảo hóa vùng chứa.

Trừ đi: có khả năng cao là cơ quan quản lý sẽ trừng phạt nếu không tuân thủ các yêu cầu GOST.

Kết luận

Khách hàng của chúng tôi quyết định không từ bỏ container. Đồng thời, anh phải xem xét lại đáng kể phạm vi công việc và thời điểm chuyển đổi sang Docker (chúng kéo dài trong sáu tháng). Khách hàng hiểu rất rõ rủi ro. Ông cũng hiểu rằng trong lần đánh giá tiếp theo về việc tuân thủ GOST R 57580, phần lớn sẽ phụ thuộc vào kiểm toán viên.

bạn sẽ làm gì trong tình huống này?

Nguồn: www.habr.com

Thêm một lời nhận xét