Clever Geek Handbook

Como fazer amizade com GOST R 57580 e virtualização de contêiner. Resposta do Banco Central (e nossas considerações)

Não há muito tempo, realizamos outra avaliação de conformidade com os requisitos do GOST R 57580 (doravante simplesmente GOST). Cliente - empresa que desenvolve sistema de pagamento eletrônico. O sistema é sério: mais de 3 milhões de usuários, mais de 200 mil transações diárias. Eles tratam a segurança da informação com muita responsabilidade.



Durante o processo de avaliação, o cliente casualmente disse que o departamento de desenvolvimento, além das máquinas virtuais, planeja usar containers. Mas com isso, acrescentou o cliente, há um problema: no GOST não há uma palavra sobre o mesmo Docker. Como ser? Como avaliar a segurança dos recipientes?







É verdade, GOST diz apenas sobre virtualização de hardware - sobre como proteger máquinas virtuais, hipervisor, servidor. Pedimos uma explicação ao Banco Central. A resposta nos intrigou.



GOST e virtualização



Para começar, lembremos que GOST R 57580 é um novo padrão, que enuncia os "requisitos para garantir a segurança da informação das organizações financeiras" (FO). Essas IFs incluem operadores e participantes de sistemas de pagamento, instituições de crédito e não de crédito, centros operacionais e de compensação.



A partir de 1º de janeiro de 2021, os FDs devem avaliar a conformidade com os novos requisitos GOST a cada dois anos . Nós, ITGLOBAL.COM, somos uma empresa de auditoria que realiza essa avaliação.



GOST tem uma subseção dedicada à proteção de ambientes virtualizados - No. 7.8. O termo "virtualização" não é especificado lá, não há divisão em hardware e virtualização de contêiner. Qualquer especialista em TI dirá que do ponto de vista técnico, isso é incorreto: uma máquina virtual (VM) e um contêiner são ambientes diferentes, com um princípio de isolamento diferente. Do ponto de vista da vulnerabilidade do host no qual VMs e contêineres Docker são implantados, essa também é uma grande diferença.



Acontece que a avaliação da segurança da informação de VMs e contêineres também deve ser diferente.



Nossas dúvidas Banco Central



Encaminhamos para o Departamento de Segurança da Informação do Banco Central (as perguntas são apresentadas de forma abreviada).



  1. Como considerar contêineres virtuais do tipo Docker ao conduzir uma avaliação de conformidade GOST? É correto avaliar a tecnologia de acordo com a subseção 7.8 do GOST?
  2. Como avalio os controles do contêiner virtual? Eles podem ser comparados com os componentes do servidor de virtualização e avaliados de acordo com a mesma subseção GOST?
  3. Preciso avaliar separadamente a segurança das informações dentro dos contêineres Docker? Em caso afirmativo, quais salvaguardas devem ser consideradas no processo de avaliação?
  4. Se a conteinerização é equiparada à infraestrutura virtual e é avaliada de acordo com a subseção 7.8 - como são implementados os requisitos GOST para a implementação de ferramentas especiais de segurança da informação?


Resposta do Banco Central



Abaixo estão os principais trechos.



“GOST R 57580.1-2017 estabelece requisitos para implementação através da aplicação de medidas técnicas em relação às seguintes medidas de ZI da subseção 7.8 de GOST R 57580.1-2017, que, de acordo com o Departamento, pode ser estendido para casos de uso de tecnologias de virtualização de contêiner, levando em consideração o seguinte:



  • .1 – .11 , , ( ) . (, .6 .7) , ;
  • .13 – .22 , , . ( , );
  • .26, .29 – .31 ;
  • a implementação das medidas ZVS.32 - ZVS.43 para registrar eventos de segurança da informação relacionados ao acesso a máquinas virtuais e componentes de servidor de virtualização deve ser realizada por analogia com relação aos elementos do ambiente de virtualização que implementam a tecnologia de virtualização de contêiner. "


O que isso significa



Duas conclusões principais da resposta do Departamento de Segurança da Informação do Banco Central:



  • as medidas para proteger os contêineres são iguais às medidas para proteger as máquinas virtuais;
  • Disto se segue que, no contexto da segurança da informação, o Banco Central equaciona dois tipos de virtualização - contêineres Docker e VMs.


A resposta também menciona "medidas compensatórias" que precisam ser aplicadas para neutralizar as ameaças. No entanto, não está claro o que são essas “medidas compensatórias”, como medir sua adequação, integralidade e eficácia.



O que há de errado com a posição do Banco Central



Se você usar as recomendações do Banco Central na avaliação (e na autoavaliação), precisará resolver uma série de dificuldades técnicas e lógicas.



  • Cada contêiner executável requer a instalação de software de segurança da informação (SSS): antivírus, controle de integridade, trabalho com logs, sistemas DLP (Prevenção de vazamento de dados) e assim por diante. Tudo isso pode ser instalado em uma VM sem problemas, mas no caso de um contêiner, instalar um SZI é uma jogada absurda. O contêiner carrega a quantidade mínima de "kit corporal" necessária para o funcionamento do serviço. Instalar um sistema de segurança da informação nele contradiz seu significado.
  • Pelo mesmo princípio, as imagens de contêiner devem ser protegidas - como implementar isso também não está claro.
  • , . . . Docker? , ?
  • , Docker- — .


Na prática, é provável que cada auditor avalie a segurança dos contêineres de sua própria maneira, com base em seu conhecimento e experiência. Bem, ou de jeito nenhum, se não houver nem um nem outro.



Por precaução, acrescentamos que a partir de 1º de janeiro de 2021, a estimativa mínima deve ser de pelo menos 0,7.



A propósito, publicamos regularmente as respostas e comentários dos reguladores relacionados aos requisitos do GOST 57580 e aos Regulamentos do Banco Central em nosso canal Telegram .



O que fazer



Em nossa opinião, as instituições financeiras têm apenas duas opções para resolver o problema.



1. Recuse-se a implementar contêineres



Uma solução para quem está pronto para usar apenas a virtualização de hardware e, ao mesmo tempo, tem medo de baixas classificações de GOST e multas do Banco Central.



Mais: é mais fácil cumprir os requisitos da subseção 7.8 do GOST.



Contras: você terá que abandonar novas ferramentas de desenvolvimento baseadas na virtualização de contêineres, em particular, Docker e Kubernetes.



2. Recusar-se a cumprir os requisitos da subseção 7.8 do GOST



Mas, ao mesmo tempo - para aplicar as melhores práticas para garantir a segurança da informação ao trabalhar com contêineres. Esta é uma solução para quem está mais interessado nas novas tecnologias e nas oportunidades que elas oferecem. Por "melhores práticas", aqui queremos dizer as normas e padrões adotados na indústria para garantir a segurança dos contêineres Docker:



  • segurança do sistema operacional do host, registro devidamente configurado, proibição de troca de dados entre contêineres e assim por diante;
  • usando o recurso Docker Trust para verificar a integridade das imagens e usando o scanner de vulnerabilidade integrado;
  • não devemos esquecer a segurança do acesso remoto e o modelo de rede em geral: ninguém cancelou ataques como ARP-spoofing e MAC-flooding.


Mais: sem restrições técnicas ao uso da virtualização de contêiner.



Menos: há uma grande probabilidade de o regulador punir por não conformidade com os requisitos do GOST.



Conclusão



Nosso cliente decidiu não desistir dos containers. Ao mesmo tempo, ele teve que revisar significativamente o escopo do trabalho e o momento da transição para o Docker (eles se estenderam por seis meses). O cliente está bem ciente dos riscos. Ele também entende que durante a próxima avaliação de conformidade com GOST R 57580, muito dependerá do auditor.



o que você faria nesta situação?


More articles:


All Articles