有一天,我們收到了一份雲端服務請求。 我們概括地概述了我們的要求,並發回了一系列問題以澄清細節。 然後我們分析了答案並意識到:客戶希望將二級安全的個人資料放在雲端。 我們回答他:“你有第二層個人數據,抱歉,我們只能打造私有雲。” 他:“你知道,但在 X 公司,他們可以公開向我發布所有內容。”
路透社史蒂夫克里斯普攝
奇怪的東西! 我們去了X公司的網站,研究了他們的證明文件,搖頭後意識到:個人資料的放置有許多懸而未決的問題,應該徹底解決。 這就是我們在這篇文章中要做的事情。
一切應該如何運作
首先,讓我們弄清楚使用什麼標準將個人資料分類為一個或另一個安全等級。 這取決於資料的類別、運營商儲存和處理的資料主題的數量以及當前威脅的類型。
當前威脅的類型定義在 1 年 2012 月 XNUMX 日「關於批准個人資料在個人資料資訊系統處理過程中的保護要求」:
「第一類威脅與資訊系統相關,如果它包括 當前的威脅相關 存在未記錄(未聲明)的功能 在系統軟體中用於資訊系統。
第二類威脅與資訊系統相關(如果適用),包括 當前的威脅相關 存在未記錄(未聲明)的功能 在應用軟體中用於資訊系統。
第三類威脅與資訊系統相關(如果對於資訊系統而言) 不相關的威脅 存在未記錄(未聲明)的功能 在系統和應用軟體中用於資訊系統。”
這些定義中的主要內容是存在未記錄(未聲明)的功能。 為了確認不存在未記錄的軟體功能(在雲端中,這是一個虛擬機器管理程式),由俄羅斯 FSTEC 進行認證。 如果 PD 操作員承認軟體中不存在此類功能,則相應的威脅就無關緊要。 PD 業者極少認為 1 類和 2 類威脅具有相關性。
營運商除了確定PD安全等級外,還必須確定公有雲目前面臨的具體威脅,並根據識別出的PD安全等級和當前威脅,確定必要的防護措施和手段。
FSTEC 明確列出了所有主要威脅 (威脅資料庫)。 雲端基礎設施提供者和評估人員在工作中使用此資料庫。 以下是威脅範例:
:“威脅是虛擬機器外部運行的惡意軟體可能會侵犯虛擬機器內部運行的程式的用戶資料的安全。” 這種威脅是由於虛擬機器管理程式軟體中存在漏洞造成的,該軟體可確保用於儲存虛擬機器內部運行的程式的用戶資料的位址空間與虛擬機器外部運行的惡意軟體的未經授權的存取隔離。
如果惡意程式程式碼成功地克服了虛擬機器的邊界,那麼這種威脅的實施是可能的,不僅透過利用虛擬機器管理程式的漏洞,而且還透過從較低(相對於虛擬機器管理程式)層級進行這種影響。系統運作。”
:「威脅在於一個雲端服務消費者可能會未經授權存取另一個消費者的受保護資訊。 這種威脅是由於雲端技術的本質,雲端服務消費者必須共享相同的雲端基礎架構。 如果在雲端服務消費者之間分離雲端基礎設施元素以及隔離其資源和彼此分離資料時出現錯誤,就會出現這種威脅。”
您只能在虛擬機器管理程式的幫助下防範這些威脅,因為它是管理虛擬資源的。 因此,必須將虛擬機器管理程序視為一種保護手段。
並根據 自 18 年 2013 月 4 日起,虛擬機器管理程序必須獲得 1 級非 NDV 認證,否則使用 2 級和 XNUMX 級個人資料將是非法的(「第 12 條。 ……為了確保第 1 級和第 2 級個人資料安全,以及確保第 3 類威脅被列為當前資訊系統中的個人資料安全第 2 級,使用了資訊安全工具,其軟體已通過至少根據4級控制對不存在未聲明能力的情況進行測試”).
只有俄羅斯開發的一個虛擬機器管理程序具有所需的認證等級:NDV-4。 。 溫和地說,這不是最受歡迎的解決方案。 商業雲通常是基於 VMware vSphere、KVM、Microsoft Hyper-V 建構的。 這些產品均未經過 NDV-4 認證。 為什麼? 製造商獲得此類認證可能在經濟上還不合理。
對於我們在公有雲中的 1 級和 2 級個人資料來說,剩下的就是 Horizon BC。 悲傷但真實。
(在我們看來)一切是如何運作的
乍一看,一切都非常嚴格:必須透過正確配置根據 NDV-4 認證的虛擬機器管理程序的標準保護機制來消除這些威脅。 但有一個漏洞。 根據 FSTEC 第 21 號命令(第二條 個人資料在個人資料資訊系統(以下簡稱資訊系統)中處理時的安全,由操作者或代表業者處理個人資料的人依下列規定確保: 俄羅斯聯邦”),提供者獨立評估可能威脅的相關性並相應地選擇保護措施。 因此,如果您不接受目前威脅 UBI.44 和 UBI.101,則無需使用根據 NDV-4 認證的虛擬機器管理程序,而這正是應該提供這些威脅的保護。 這足以獲得公有雲個人資料安全等級 1 和 2 的合規證書,Roskomnadzor 對此將完全滿意。
當然,除了Roskomnadzor之外,FSTEC也可能會進行檢查——而且這個組織在技術問題上要細緻得多。 她可能會感興趣為什麼威脅 UBI.44 和 UBI.101 被認為是無關緊要的? 但通常 FSTEC 僅在收到重大事件的資訊時才會進行檢查。 在這種情況下,聯邦服務首先來到個人資料營運商——即雲端服務的客戶。 在最壞的情況下,運營商會收到小額罰款 - 例如,年初的 Twitter 在類似的情況下,金額為 5000 盧布。 然後FSTEC進一步走向雲端服務供應商。 由於不遵守監管要求,很可能會被剝奪許可證 - 對於雲端提供者及其客戶來說,這些都是完全不同的風險。 但是,我再說一遍, 要檢查 FSTEC,您通常需要一個明確的理由。 因此雲端提供者願意承擔風險。 直到第一次嚴重事件發生。
還有一群「更負責任」的供應商認為,透過向虛擬機器管理程式添加 vGate 之類的附加元件,可以消除所有威脅。 但在分佈於客戶之間的虛擬環境中,對於某些威脅(例如上述的 UBI.101),有效的保護機制只能在根據 NDV-4 認證的虛擬機器管理程序層級上實施,因為任何附加系統虛擬機器管理程式用於管理資源(特別是RAM)的標準功能不受影響。
我們如何工作
我們有一個雲端部分在經過 FSTEC 認證的虛擬機器管理程式上實作(但沒有 NDV-4 認證)。 該段經過認證,因此個人資料可以基於它儲存在雲端 3 級和 4 級安全性 — 這裡不需要遵守針對未聲明能力的保護要求。 順便說一句,這是我們安全雲端部分的架構:
個人資料系統 1 級和 2 級安全性 我們僅在專用設備上實施。 僅在這種情況下,例如,UBI.101的威脅實際上並不相關,因為不由一個虛擬環境統一的伺服器機架即使位於同一資料中心也無法相互影響。 對於這種情況,我們提供專門的設備租賃服務(也稱為硬體即服務)。
如果您不確定您的個人資料系統需要什麼程度的安全性,我們也可以協助對其進行分類。
產量
我們的小型市場研究表明,一些雲端營運商非常願意冒著客戶資料安全和自身未來的風險來接收訂單。 但在這些問題上,我們堅持不同的政策,我們在上面簡單描述了這一點。 我們很樂意在評論中回答您的問題。
來源: www.habr.com