Bei der Bewertung sagte der Kunde beiläufig, dass die Entwicklungsabteilung zusätzlich zu den virtuellen Maschinen die Verwendung von Containern plant. Damit, fügte der Client hinzu, gibt es jedoch ein Problem: In GOST gibt es kein Wort über denselben Docker. Wie soll ich sein? Wie beurteilt man die Sicherheit von Containern?
Es ist wahr, GOST sagt nur über Hardware-Virtualisierung - darüber, wie virtuelle Maschinen, Hypervisor, Server geschützt werden können. Wir haben uns an die Zentralbank gewandt, um eine Erklärung zu erhalten. Die Antwort verwirrte uns.
GOST und Virtualisierung
Lassen Sie uns zunächst daran erinnern, dass GOST R 57580 ein neuer Standard ist, in dem die "Anforderungen zur Gewährleistung der Informationssicherheit von Finanzorganisationen" (FO) dargelegt sind. Zu diesen Finanzinstituten gehören Betreiber und Teilnehmer von Zahlungssystemen, Kredit- und Nichtkreditinstituten sowie Betriebs- und Clearingzentren.
Ab dem 1. Januar 2021 müssen FDs alle zwei Jahre die Einhaltung der neuen GOST-Anforderungen bewerten . Wir, ITGLOBAL.COM, sind eine Prüfungsgesellschaft, die eine solche Bewertung durchführt.
GOST hat einen Unterabschnitt zum Schutz virtualisierter Umgebungen - Nr. 7.8. Der Begriff "Virtualisierung" ist dort nicht angegeben, es gibt keine Unterteilung in Hardware- und Containervirtualisierung. Jeder IT-Spezialist wird sagen, dass dies aus technischer Sicht falsch ist: Eine virtuelle Maschine (VM) und ein Container sind unterschiedliche Umgebungen mit einem unterschiedlichen Isolationsprinzip. Unter dem Gesichtspunkt der Sicherheitsanfälligkeit des Hosts, auf dem VMs und Docker-Container bereitgestellt werden, ist dies ebenfalls ein großer Unterschied.
Es stellt sich heraus, dass die Bewertung der Informationssicherheit von VMs und Containern ebenfalls unterschiedlich sein sollte.
Unsere Fragen Zentralbank
Wir haben sie an die Abteilung für Informationssicherheit der Zentralbank gesendet (die Fragen werden in Kurzform angegeben).
- Wie sind virtuelle Container vom Typ Docker bei der Durchführung der GOST-Konformitätsbewertung zu berücksichtigen? Ist es richtig, die Technologie gemäß Unterabschnitt 7.8 von GOST zu bewerten?
- Wie bewerte ich virtuelle Containersteuerelemente? Ist es möglich, sie mit den Serverkomponenten der Virtualisierung gleichzusetzen und nach demselben GOST-Unterabschnitt auszuwerten?
- Muss ich die Sicherheit von Informationen in Docker-Containern separat bewerten? Wenn ja, welche Schutzmaßnahmen sollten bei der Bewertung berücksichtigt werden?
- Wenn Containerisierung mit virtueller Infrastruktur gleichgesetzt und gemäß Unterabschnitt 7.8 bewertet wird - wie werden die GOST-Anforderungen für die Implementierung spezieller Informationsschutz-Tools implementiert?
Antwort der Zentralbank
Nachfolgend finden Sie die wichtigsten Auszüge.
„GOST R 57580.1-2017 legt Anforderungen für die Umsetzung fest, indem technische Maßnahmen in Bezug auf die folgenden Maßnahmen von ZI in Unterabschnitt 7.8 von GOST R 57580.1-2017 angewendet werden, die nach Angaben der Abteilung auf Fälle des Einsatzes von Containervirtualisierungstechnologien ausgedehnt werden können, wobei Folgendes berücksichtigt wird:
- .1 – .11 , , ( ) . (, .6 .7) , ;
- .13 – .22 , , . ( , );
- .26, .29 – .31 ;
- Die Umsetzung der Maßnahmen ZVS.32 - ZVS.43 zur Registrierung von Informationssicherheitsereignissen im Zusammenhang mit dem Zugriff auf virtuelle Maschinen und Serverkomponenten der Virtualisierung sollte analog in Bezug auf Elemente der Virtualisierungsumgebung erfolgen, die die Technologie der Containervirtualisierung implementieren. "
Was bedeutet das
Zwei wichtige Schlussfolgerungen aus der Antwort der Abteilung für Informationssicherheit der Zentralbank:
- Maßnahmen zum Schutz von Containern sind dieselben wie Maßnahmen zum Schutz virtueller Maschinen.
- Daraus folgt, dass die Zentralbank im Kontext der Informationssicherheit zwei Arten der Virtualisierung gleichsetzt - Docker-Container und VMs.
In der Antwort werden auch "Ausgleichsmaßnahmen" erwähnt, die angewendet werden müssen, um Bedrohungen zu neutralisieren. Es ist jedoch nicht klar, was diese „Ausgleichsmaßnahmen“ sind, wie ihre Angemessenheit, Vollständigkeit und Wirksamkeit zu messen sind.
Was ist los mit der Position der Zentralbank
Wenn Sie die Empfehlungen der Zentralbank bei der Bewertung (und Selbstbewertung) verwenden, müssen Sie eine Reihe technischer und logischer Schwierigkeiten lösen.
- Auf jedem ausführbaren Container muss eine Informationssicherheitssoftware (SSS) installiert sein: Antivirus, Integritätskontrolle, Arbeiten mit Protokollen, DLP-Systeme (Data Leak Prevention) usw. All dies kann problemlos auf einer VM installiert werden, aber im Fall eines Containers ist die Installation eines SZI ein absurder Schritt. Der Behälter enthält die Mindestmenge an "Bodykit", die für die Funktion des Dienstes erforderlich ist. Die Installation eines Informationssicherheitssystems widerspricht seiner Bedeutung.
- Nach dem gleichen Prinzip sollten Container-Images geschützt werden - wie dies implementiert werden kann, ist ebenfalls nicht klar.
- , . . . Docker? , ?
- , Docker- — .
In der Praxis ist es wahrscheinlich, dass jeder Prüfer die Sicherheit von Containern auf seine eigene Weise anhand seiner Kenntnisse und Erfahrungen beurteilt. Gut oder gar nicht, wenn es weder das eine noch das andere gibt.
Nur für den Fall, wir fügen hinzu, dass ab dem 1. Januar 2021 die Mindestschätzung mindestens 0,7 betragen muss.
Übrigens veröffentlichen wir regelmäßig die Antworten und Kommentare der Aufsichtsbehörden zu den Anforderungen von GOST 57580 und den Vorschriften der Zentralbank in unserem Telegrammkanal .
Was zu tun ist
Nach unserer Meinung haben Finanzorganisationen nur zwei Möglichkeiten, das Problem zu lösen.
1. Weigern Sie sich, Container zu implementieren
Eine Lösung für diejenigen, die es sich leisten möchten, nur Hardwarevirtualisierung zu verwenden und gleichzeitig Angst vor niedrigen GOST-Ratings und Geldbußen der Zentralbank haben.
Plus: Es ist einfacher, die Anforderungen von Unterabschnitt 7.8 von GOST zu erfüllen.
Nachteil: Sie müssen auf neue Entwicklungstools verzichten, die auf Containervirtualisierung basieren, insbesondere Docker und Kubernetes.
2. Weigern Sie sich, die Anforderungen von Abschnitt 7.8 von GOST zu erfüllen
Gleichzeitig sollten die Best Practices zur Gewährleistung der Informationssicherheit bei der Arbeit mit Containern angewendet werden. Dies ist eine Lösung für diejenigen, die sich mehr für neue Technologien und die damit verbundenen Möglichkeiten interessieren. Mit "Best Practices" sind hier die in der Branche geltenden Normen und Standards zur Gewährleistung der Sicherheit von Docker-Containern gemeint:
- Sicherheit des Host-Betriebssystems, ordnungsgemäß konfigurierte Protokollierung, Verbot des Datenaustauschs zwischen Containern usw.
- Verwenden der Docker Trust-Funktion zum Überprüfen der Integrität von Bildern und Verwenden des integrierten Schwachstellenscanners;
- Wir dürfen die Sicherheit des Fernzugriffs und das Netzwerkmodell im Allgemeinen nicht vergessen: Niemand hat Angriffe wie ARP-Spoofing und MAC-Flooding abgebrochen.
Plus: Keine technischen Einschränkungen bei der Verwendung der Containervirtualisierung.
Minus: Es besteht eine hohe Wahrscheinlichkeit, dass die Regulierungsbehörde für die Nichteinhaltung der GOST-Anforderungen bestraft wird.
Fazit
Unser Kunde hat beschlossen, Container nicht aufzugeben. Gleichzeitig musste er den Arbeitsumfang und den Zeitpunkt des Übergangs zu Docker erheblich überarbeiten (sie erstreckten sich über sechs Monate). Der Kunde ist sich der Risiken bewusst. Er versteht auch, dass bei der nächsten Konformitätsbewertung mit GOST R 57580 viel vom Prüfer abhängen wird.
Was würden Sie in dieser Situation tun?