Clever Geek Handbook

如何通过GOST R 57580和容器虚拟化结识朋友。中央银行的回应(以及我们的考虑)

不久前,我们对GOST R 57580(以下简称GOST)的要求进行了另一次评估。客户-开发电子支付系统的公司。该系统很严重:超过300万用户,每天超过20万笔交易。他们非常负责地对待信息安全。



客户在评估过程中随意地说,开发部门除虚拟机外,还计划使用容器。但是客户端添加了一个问题:在GOST中,关于同一个Docker的问题一言不发。怎样成为?如何评估集装箱的安全性?







没错,GOST只是谈到硬件虚拟化-关于如何保护虚拟机,系统管理程序和服务器。我们转向中央银行进行解释。答案使我们感到困惑。



GOST和虚拟化



首先,让我们回想一下GOST R 57580是一项新标准,其中阐明了“确保金融机构信息安全的要求”。这些金融机构包括支付系统的运营商和参与者,信贷和非信贷机构,运营和清算中心。



从2021年1月1日起,FD必须每两年评估是否符合新的GOST要求。我们ITGLOBAL.COM是一家进行此类评估的审计公司。



GOST有一个专门保护虚拟化环境的小节-第7.8节。此处未指定术语“虚拟化”,没有将其划分为硬件和容器虚拟化。任何IT专家都会说,从技术角度来看,这是不正确的:虚拟机(VM)和容器是不同的环境,具有不同的隔离原则。从部署VM和Docker容器的主机的漏洞的角度来看,这也是一个很大的差异。



事实证明,VM和容器的信息安全性评估也应该有所不同。



我们的问题中央银行



我们将它们发送到中央银行的信息安全部门(问题以缩写形式给出)。



  1. 进行GOST合规性评估时如何考虑Docker型虚拟容器?按照GOST 7.8小节评估技术是否正确?
  2. 如何评估虚拟容器控件?是否可以将它们等同于虚拟化的服务器组件并根据同一GOST小节进行评估?
  3. 我需要分别评估Docker容器内信息的安全性吗?如果是这样,在评估过程中应考虑哪些保障措施?
  4. 如果将容器化等同于虚拟基础架构,并根据第7.8小节进行评估-如何实施特殊信息安全工具的GOST要求?


中央银行的回应



以下是主要摘录。



“ GOST R 57580.1-2017通过应用与GOST R 57580.1-2017 7.8小节的ZI措施有关的技术措施来确定实施要求,根据美国商务部的说法,考虑到以下因素,可以扩展到使用容器虚拟化技术的情况:



  • .1 – .11 , , ( ) . (, .6 .7) , ;
  • .13 – .22 , , . ( , );
  • .26, .29 – .31 ;
  • ZVS.32-ZVS.43措施的实施,以注册与访问虚拟机和服务器组件有关的信息安全事件,应该类似地实施容器虚拟化技术的虚拟化环境要素。


这是什么意思



中央银行信息安全部的回答得出两个主要结论:



  • 保护容器的措施与保护虚拟机的措施相同;
  • 由此可见,在信息安全的背景下,中央银行将虚拟化等同于两种类型-Docker容器和VM。


答复中还提到需要采取“补偿措施”来消除威胁。但是,尚不清楚这些“补偿措施”是什么,如何衡量其充分性,完整性和有效性。



中央银行的立场有什么问题



如果您使用中央银行的建议进行评估(和自我评估),则需要解决许多技术和逻辑上的困难。



  • 每个可执行容器都需要在其上安装信息安全软件(SSS):防病毒,完整性控制,使用日志,DLP系统(数据泄漏防护)等等。所有这些都可以毫无问题地安装在VM上,但是对于容器而言,安装SZI是荒唐的举动。该容器装有服务正常运行所需的最少“车身套件”。在其中安装信息安全系统有悖其含义。
  • 按照相同的原则,容器映​​像应该受到保护-不清楚如何实现。
  • , . . . Docker? , ?
  • , Docker- — .


实际上,每个审核员可能会根据自己的知识和经验,以自己的方式评估容器的安全性。好吧,或者根本没有,如果两者都不存在。



以防万一,我们补充说,从2021年1月1日起,最低估算值必须至少为0.7。



顺便说一下,我们会定期在我们的电报频道中发布与GOST 57580要求和《中央银行规章》有关的监管机构的答案和评论



该怎么办



我们认为,金融机构只有两种解决方案。



1.拒绝实施容器



对于那些只准备使用硬件虚拟化并且同时又担心GOST评级和中央银行罚款的人来说,这是一个解决方案。



加:更容易满足GOST 7.8小节的要求。



缺点:您将不得不放弃基于容器虚拟化的新开发工具,尤其是Docker和Kubernetes。



2.拒绝满足GOST 7.8小节的要求



但同时-在使用容器时应用最佳实践来确保信息安全。对于那些对新技术及其提供的机会更感兴趣的人来说,这是一个解决方案。我们所说的“最佳实践”是指业界为确保Docker容器的安全而采用的规范和标准:



  • 主机操作系统安全性,正确配置的日志记录,禁止容器之间的数据交换等;
  • 使用Docker Trust功能检查映像的完整性,并使用内置的漏洞扫描程序;
  • 我们一般都不要忘记远程访问的安全性和网络模型:没有人能够消除ARP欺骗和MAC泛洪等攻击。


加:容器虚拟化的使用没有技术限制。



减:监管者极有可能因不遵守GOST要求而受到惩罚。



结论



我们的客户决定不放弃容器。同时,他必须极大地修改工作范围和过渡到Docker的时间(它们长达六个月)。客户非常了解风险。他还了解到,在下一次使用GOST R 57580进行的合格评定中,很多情况将取决于审核员。



在这个情况下,你会怎么做?


More articles:


All Articles