Clever Geek Handbook

Cara berteman dengan GOST R 57580 dan virtualisasi kontainer. Tanggapan Bank Sentral (dan Pertimbangan Kami)

Belum lama ini, kami melakukan penilaian kepatuhan lainnya dengan persyaratan GOST R 57580 (selanjutnya disebut GOST). Klien - perusahaan yang mengembangkan sistem pembayaran elektronik. Sistemnya serius: lebih dari 3 juta pengguna, lebih dari 200 ribu transaksi setiap hari. Mereka memperlakukan keamanan informasi dengan sangat bertanggung jawab.



Selama proses evaluasi, klien dengan santai mengatakan bahwa departemen pengembangan, selain mesin virtual, berencana untuk menggunakan container. Tetapi dengan ini, klien menambahkan, ada satu masalah: di GOST tidak ada kata tentang Docker yang sama. Bagaimana menjadi? Bagaimana cara menilai keamanan wadah?







Memang benar, GOST hanya mengatakan tentang virtualisasi perangkat keras - tentang cara melindungi mesin virtual, hypervisor, server. Kami meminta penjelasan dari Bank Sentral. Jawabannya membuat kami bingung.



GOST dan virtualisasi



Sebagai permulaan, mari kita ingat bahwa GOST R 57580 adalah standar baru, yang menjelaskan "persyaratan untuk memastikan keamanan informasi organisasi keuangan" (FO). LK ini termasuk operator dan peserta sistem pembayaran, lembaga kredit dan non-kredit, pusat operasional dan kliring.



Mulai 1 Januari 2021, FD diharuskan menilai kepatuhan dengan persyaratan GOST baru setiap dua tahun . Kami, ITGLOBAL.COM, adalah perusahaan audit yang melakukan penilaian tersebut.



GOST memiliki subbagian yang didedikasikan untuk perlindungan lingkungan virtual - No. 7.8. Istilah "virtualisasi" tidak ditentukan di sana, tidak ada pembagian ke dalam perangkat keras dan virtualisasi kontainer. Setiap spesialis TI akan mengatakan bahwa dari sudut pandang teknis, ini tidak benar: mesin virtual (VM) dan wadah adalah lingkungan yang berbeda, dengan prinsip isolasi yang berbeda. Dari sudut pandang kerentanan host tempat VM dan container Docker diterapkan, ini juga merupakan perbedaan besar.



Ternyata penilaian keamanan informasi VM dan container juga harus berbeda.



Pertanyaan kami Bank Sentral



Kami mengirimnya ke Departemen Keamanan Informasi Bank Sentral (pertanyaan diberikan dalam bentuk singkat).



  1. Bagaimana cara mempertimbangkan kontainer virtual tipe Docker saat melakukan penilaian kepatuhan GOST? Apakah benar mengevaluasi teknologi sesuai dengan ayat 7.8 GOST?
  2. Bagaimana cara mengevaluasi kontrol wadah virtual? Bisakah mereka disamakan dengan komponen server virtualisasi dan dievaluasi menurut sub-bagian GOST yang sama?
  3. Apakah saya perlu menilai keamanan informasi di dalam kontainer Docker secara terpisah? Jika ya, pengamanan apa yang harus dipertimbangkan dalam proses penilaian?
  4. Jika containerization disamakan dengan infrastruktur virtual dan dinilai sesuai dengan sub-bagian 7.8 - bagaimana persyaratan GOST untuk implementasi alat keamanan informasi khusus diterapkan?


Tanggapan Bank Sentral



Di bawah ini adalah kutipan utamanya.



“GOST R 57580.1-2017 menetapkan persyaratan untuk implementasi dengan menerapkan langkah-langkah teknis sehubungan dengan langkah-langkah ZI berikut dari sub-bagian 7.8 dari GOST R 57580.1-2017, yang, menurut Departemen, dapat diperluas ke kasus-kasus penggunaan teknologi virtualisasi kontainer, dengan mempertimbangkan hal-hal berikut:



  • .1 – .11 , , ( ) . (, .6 .7) , ;
  • .13 – .22 , , . ( , );
  • .26, .29 – .31 ;
  • pelaksanaan tindakan ZVS.32 - ZVS.43 untuk mendaftarkan peristiwa keamanan informasi yang terkait dengan akses ke mesin virtual dan komponen server virtualisasi harus dilakukan dengan analogi juga berkaitan dengan elemen lingkungan virtualisasi yang menerapkan teknologi virtualisasi kontainer. "


Apa artinya



Dua kesimpulan utama dari jawaban Departemen Keamanan Informasi Bank Sentral:



  • tindakan untuk melindungi kontainer sama dengan tindakan untuk melindungi mesin virtual;
  • Dari sini dapat disimpulkan bahwa dalam konteks keamanan informasi, Bank Sentral menyamakan dua jenis virtualisasi - kontainer Docker dan VM.


Tanggapan tersebut juga menyebutkan "tindakan kompensasi" yang perlu diterapkan untuk menetralkan ancaman. Namun, tidak jelas apa “langkah-langkah kompensasi” ini, bagaimana mengukur kecukupan, kelengkapan dan keefektifannya.



Apa yang salah dengan posisi Bank Sentral



Jika Anda menggunakan rekomendasi Bank Sentral dalam menilai (dan menilai sendiri), Anda perlu mengatasi sejumlah kesulitan teknis dan logis.



  • Setiap wadah yang dapat dijalankan memerlukan penginstalan perangkat lunak keamanan informasi (SSS) di atasnya: antivirus, kontrol integritas, bekerja dengan log, sistem DLP (Pencegahan Kebocoran Data), dan seterusnya. Semua ini dapat diinstal pada VM tanpa masalah, tetapi dalam kasus container, menginstal SZI adalah langkah yang tidak masuk akal. Kontainer tersebut membawa "body kit" dalam jumlah minimum yang diperlukan agar layanan berfungsi. Menginstal sistem keamanan informasi di dalamnya bertentangan dengan maknanya.
  • Dengan prinsip yang sama, gambar kontainer harus dilindungi - bagaimana menerapkannya juga tidak jelas.
  • , . . . Docker? , ?
  • , Docker- — .


Dalam praktiknya, kemungkinan besar setiap auditor akan menilai keamanan wadah dengan caranya sendiri, berdasarkan pengetahuan dan pengalaman mereka. Baik, atau tidak sama sekali, jika tidak ada yang satu atau yang lainnya.



Untuk berjaga-jaga, kami menambahkan bahwa mulai 1 Januari 2021, perkiraan minimum harus setidaknya 0,7.



Ngomong-ngomong, kami secara rutin memposting jawaban dan komentar regulator terkait persyaratan GOST 57580 dan Peraturan Bank Sentral di saluran Telegram kami .



Apa yang harus dilakukan



Menurut kami, lembaga keuangan hanya memiliki dua opsi untuk menyelesaikan masalah.



1. Menolak untuk menerapkan kontainer



Solusi bagi mereka yang siap untuk hanya menggunakan virtualisasi perangkat keras dan pada saat yang sama takut akan peringkat GOST yang rendah dan denda Bank Sentral.



Plus: lebih mudah untuk memenuhi persyaratan sub-bagian 7.8 dari GOST.



Kekurangan: Anda harus meninggalkan alat pengembangan baru berdasarkan virtualisasi kontainer, khususnya Docker dan Kubernetes.



2. Menolak untuk memenuhi persyaratan ayat 7.8 GOST



Tetapi pada saat yang sama - untuk menerapkan praktik terbaik dalam memastikan keamanan informasi saat bekerja dengan kontainer. Ini adalah solusi bagi mereka yang lebih penting tentang teknologi baru dan peluang yang mereka berikan. Yang kami maksud dengan "praktik terbaik" di sini adalah norma dan standar yang diadopsi di industri untuk memastikan keamanan kontainer Docker:



  • keamanan OS host, logging yang dikonfigurasi dengan benar, larangan pertukaran data antar container, dan sebagainya;
  • menggunakan fitur Docker Trust untuk memeriksa integritas gambar dan menggunakan pemindai kerentanan internal;
  • kita tidak boleh melupakan keamanan akses jarak jauh dan model jaringan secara umum: tidak ada yang membatalkan serangan seperti ARP-spoofing dan MAC-flooding.


Plus: tidak ada batasan teknis dalam penggunaan virtualisasi kontainer.



Minus: ada kemungkinan besar bahwa regulator akan menghukum karena ketidakpatuhan terhadap persyaratan GOST.



Kesimpulan



Klien kami memutuskan untuk tidak menyerahkan kontainer. Pada saat yang sama, dia harus secara signifikan merevisi cakupan pekerjaan dan waktu transisi ke Docker (berlangsung selama enam bulan). Klien sangat menyadari risikonya. Dia juga memahami bahwa selama penilaian kesesuaian berikutnya dengan GOST R 57580, banyak hal akan bergantung pada auditor.



Apa yang akan Anda lakukan dalam situasi ini?


More articles:


All Articles