有一天,我們收到了一份雲端服務請求。 我們概括地概述了我們的要求,並發回了一系列問題以澄清細節。 然後我們分析了答案並意識到:客戶希望將二級安全的個人資料放在雲端。 我們回答他:“你有第二層個人數據,抱歉,我們只能打造私有雲。” 他:“你知道,但在 X 公司,他們可以公開向我發布所有內容。”
路透社史蒂夫克里斯普攝
奇怪的東西! 我們去了X公司的網站,研究了他們的證明文件,搖頭後意識到:個人資料的放置有許多懸而未決的問題,應該徹底解決。 這就是我們在這篇文章中要做的事情。
一切應該如何運作
首先,讓我們弄清楚使用什麼標準將個人資料分類為一個或另一個安全等級。 這取決於資料的類別、運營商儲存和處理的資料主題的數量以及當前威脅的類型。
當前威脅的類型定義在
「第一類威脅與資訊系統相關,如果它包括 當前的威脅相關 存在未記錄(未聲明)的功能 在系統軟體中用於資訊系統。
第二類威脅與資訊系統相關(如果適用),包括 當前的威脅相關 存在未記錄(未聲明)的功能 在應用軟體中用於資訊系統。
第三類威脅與資訊系統相關(如果對於資訊系統而言) 不相關的威脅 存在未記錄(未聲明)的功能 在系統和應用軟體中用於資訊系統。”
這些定義中的主要內容是存在未記錄(未聲明)的功能。 為了確認不存在未記錄的軟體功能(在雲端中,這是一個虛擬機器管理程式),由俄羅斯 FSTEC 進行認證。 如果 PD 操作員承認軟體中不存在此類功能,則相應的威脅就無關緊要。 PD 業者極少認為 1 類和 2 類威脅具有相關性。
營運商除了確定PD安全等級外,還必須確定公有雲目前面臨的具體威脅,並根據識別出的PD安全等級和當前威脅,確定必要的防護措施和手段。
FSTEC 明確列出了所有主要威脅
全民基本收入.44 :“威脅是虛擬機器外部運行的惡意軟體可能會侵犯虛擬機器內部運行的程式的用戶資料的安全。” 這種威脅是由於虛擬機器管理程式軟體中存在漏洞造成的,該軟體可確保用於儲存虛擬機器內部運行的程式的用戶資料的位址空間與虛擬機器外部運行的惡意軟體的未經授權的存取隔離。如果惡意程式程式碼成功地克服了虛擬機器的邊界,那麼這種威脅的實施是可能的,不僅透過利用虛擬機器管理程式的漏洞,而且還透過從較低(相對於虛擬機器管理程式)層級進行這種影響。系統運作。”
全民基本收入.101 :「威脅在於一個雲端服務消費者可能會未經授權存取另一個消費者的受保護資訊。 這種威脅是由於雲端技術的本質,雲端服務消費者必須共享相同的雲端基礎架構。 如果在雲端服務消費者之間分離雲端基礎設施元素以及隔離其資源和彼此分離資料時出現錯誤,就會出現這種威脅。”
您只能在虛擬機器管理程式的幫助下防範這些威脅,因為它是管理虛擬資源的。 因此,必須將虛擬機器管理程序視為一種保護手段。
並根據
只有俄羅斯開發的一個虛擬機器管理程序具有所需的認證等級:NDV-4。
對於我們在公有雲中的 1 級和 2 級個人資料來說,剩下的就是 Horizon BC。 悲傷但真實。
(在我們看來)一切是如何運作的
乍一看,一切都非常嚴格:必須透過正確配置根據 NDV-4 認證的虛擬機器管理程序的標準保護機制來消除這些威脅。 但有一個漏洞。 根據 FSTEC 第 21 號命令(第二條 個人資料在個人資料資訊系統(以下簡稱資訊系統)中處理時的安全,由操作者或代表業者處理個人資料的人依下列規定確保:
當然,除了Roskomnadzor之外,FSTEC也可能會進行檢查——而且這個組織在技術問題上要細緻得多。 她可能會感興趣為什麼威脅 UBI.44 和 UBI.101 被認為是無關緊要的? 但通常 FSTEC 僅在收到重大事件的資訊時才會進行檢查。 在這種情況下,聯邦服務首先來到個人資料營運商——即雲端服務的客戶。 在最壞的情況下,運營商會收到小額罰款 - 例如,年初的 Twitter
還有一群「更負責任」的供應商認為,透過向虛擬機器管理程式添加 vGate 之類的附加元件,可以消除所有威脅。 但在分佈於客戶之間的虛擬環境中,對於某些威脅(例如上述的 UBI.101),有效的保護機制只能在根據 NDV-4 認證的虛擬機器管理程序層級上實施,因為任何附加系統虛擬機器管理程式用於管理資源(特別是RAM)的標準功能不受影響。
我們如何工作
我們有一個雲端部分在經過 FSTEC 認證的虛擬機器管理程式上實作(但沒有 NDV-4 認證)。 該段經過認證,因此個人資料可以基於它儲存在雲端 3 級和 4 級安全性 — 這裡不需要遵守針對未聲明能力的保護要求。 順便說一句,這是我們安全雲端部分的架構:
個人資料系統 1 級和 2 級安全性 我們僅在專用設備上實施。 僅在這種情況下,例如,UBI.101的威脅實際上並不相關,因為不由一個虛擬環境統一的伺服器機架即使位於同一資料中心也無法相互影響。 對於這種情況,我們提供專門的設備租賃服務(也稱為硬體即服務)。
如果您不確定您的個人資料系統需要什麼程度的安全性,我們也可以協助對其進行分類。
產量
我們的小型市場研究表明,一些雲端營運商非常願意冒著客戶資料安全和自身未來的風險來接收訂單。 但在這些問題上,我們堅持不同的政策,我們在上面簡單描述了這一點。 我們很樂意在評論中回答您的問題。
來源: www.habr.com