Au cours du processus d'évaluation, le client a déclaré avec désinvolture que le service de développement, en plus des machines virtuelles, prévoyait d'utiliser des conteneurs. Mais avec cela, a ajouté le client, il y a un problème: dans GOST, il n'y a pas un mot sur le même Docker. Comment être? Comment évaluer la sécurité des conteneurs?
C'est vrai, GOST ne parle que de la virtualisation matérielle - comment protéger les machines virtuelles, un hyperviseur, un serveur. Nous nous sommes tournés vers la Banque centrale pour une explication. La réponse nous a intrigués.
GOST et virtualisation
Pour commencer, rappelons que GOST R 57580 est une nouvelle norme, qui précise les «exigences pour assurer la sécurité de l'information des organismes financiers» (FO). Ces IF comprennent les opérateurs et les participants des systèmes de paiement, des établissements de crédit et autres que de crédit, des centres opérationnels et de compensation.
À compter du 1er janvier 2021, les FD sont tenus d' évaluer la conformité aux nouvelles exigences GOST tous les deux ans . Nous, ITGLOBAL.COM, sommes une société d'audit qui mène une telle évaluation.
GOST a une sous-section consacrée à la protection des environnements virtualisés - n ° 7.8. Le terme «virtualisation» n'y est pas précisé, il n'y a pas de division en virtualisation matérielle et conteneur. Tout informaticien dira que d'un point de vue technique, c'est incorrect: une machine virtuelle (VM) et un conteneur sont des environnements différents, avec un principe d'isolation différent. Du point de vue de la vulnérabilité de l'hôte sur lequel les VM et les conteneurs Docker sont déployés, c'est aussi une grande différence.
Il s'avère que l'évaluation de la sécurité des informations des machines virtuelles et des conteneurs doit également être différente.
Nos questions Banque centrale
Nous les avons envoyés au service de sécurité de l'information de la Banque centrale (les questions sont données sous forme abrégée).
- Comment prendre en compte les conteneurs virtuels de type Docker lors de l'évaluation de la conformité GOST? Est-il correct d'évaluer la technologie conformément à la sous-section 7.8 de GOST?
- Comment évaluer les contrôles de conteneurs virtuels? Est-il possible de les assimiler aux composants serveur de la virtualisation et de les évaluer selon la même sous-section GOST?
- Dois-je évaluer séparément la sécurité des informations à l'intérieur des conteneurs Docker? Dans l'affirmative, quelles sauvegardes devraient être envisagées dans le processus d'évaluation?
- Si la conteneurisation est assimilée à une infrastructure virtuelle et est évaluée conformément à la sous-section 7.8 - comment les exigences du GOST pour la mise en œuvre d'outils spéciaux de sécurité de l'information sont-elles mises en œuvre?
Réponse de la banque centrale
Voici les principaux extraits.
«GOST R 57580.1-2017 établit les exigences de mise en œuvre en appliquant des mesures techniques en relation avec les mesures suivantes de ZI de la sous-section 7.8 de GOST R 57580.1-2017, qui, selon le Département, peuvent être étendues aux cas d'utilisation de technologies de virtualisation de conteneurs, en tenant compte des éléments suivants:
- .1 – .11 , , ( ) . (, .6 .7) , ;
- .13 – .22 , , . ( , );
- .26, .29 – .31 ;
- la mise en œuvre des mesures ZVS.32 - ZVS.43 pour enregistrer les événements de sécurité de l'information liés à l'accès aux machines virtuelles et aux composants serveurs de la virtualisation devrait être effectuée par analogie également en ce qui concerne les éléments de l'environnement de virtualisation qui implémentent la technologie de virtualisation de conteneurs. "
Qu'est-ce que ça veut dire
Deux principales conclusions de la réponse du Département de la sécurité de l'information de la Banque centrale:
- les mesures de protection des conteneurs sont les mêmes que les mesures de protection des machines virtuelles;
- il en découle que dans le contexte de la sécurité de l'information, la Banque centrale assimile deux types de virtualisation - les conteneurs Docker et les VM.
La réponse mentionne également des «mesures compensatoires» qui doivent être appliquées pour neutraliser les menaces. Cependant, il n'est pas clair quelles sont ces «mesures compensatoires», comment mesurer leur adéquation, leur exhaustivité et leur efficacité.
Quel est le problème avec la position de la Banque centrale
Si vous utilisez les recommandations de la Banque centrale pour évaluer (et auto-évaluer), vous devez résoudre un certain nombre de difficultés techniques et logiques.
- Chaque conteneur exécutable nécessite l'installation d'un logiciel de sécurité de l'information (SSS) sur celui-ci: antivirus, contrôle d'intégrité, travail avec les journaux, systèmes DLP (Data Leak Prevention), etc. Tout cela peut être installé sur une VM sans aucun problème, mais dans le cas d'un conteneur, installer un SZI est une décision absurde. Le conteneur contient la quantité minimale de «kit carrosserie» nécessaire au fonctionnement du service. L'installation d'un système de sécurité de l'information y contredit sa signification.
- Selon le même principe, les images de conteneurs doivent être protégées - la manière de les mettre en œuvre n'est pas non plus claire.
- , . . . Docker? , ?
- , Docker- — .
Dans la pratique, il est probable que chaque auditeur évaluera la sécurité des conteneurs à sa manière, en fonction de ses connaissances et de son expérience. Eh bien, ou pas du tout, s'il n'y a ni l'un ni l'autre.
Juste au cas où, nous ajoutons qu'à partir du 1er janvier 2021, l'estimation minimale doit être d'au moins 0,7.
À propos, nous publions régulièrement les réponses et les commentaires des régulateurs liés aux exigences de GOST 57580 et aux règlements de la Banque centrale dans notre chaîne Telegram .
Que faire
À notre avis, les institutions financières n'ont que deux options pour résoudre le problème.
1. Refuser de mettre en œuvre des conteneurs
Une solution pour ceux qui sont prêts à se permettre d'utiliser uniquement la virtualisation matérielle et qui ont en même temps peur des faibles notes GOST et des amendes de la Banque centrale.
De plus: il est plus facile de répondre aux exigences de la sous-section 7.8 de GOST.
Inconvénient: vous devrez abandonner les nouveaux outils de développement basés sur la virtualisation des conteneurs, en particulier Docker et Kubernetes.
2. Refuser de satisfaire aux exigences de la sous-section 7.8 de GOST
Mais en même temps - appliquer les meilleures pratiques pour garantir la sécurité des informations lorsque vous travaillez avec des conteneurs. C'est une solution pour ceux qui sont plus importants sur les nouvelles technologies et les opportunités qu'elles offrent. Par «bonnes pratiques», nous entendons ici les normes et standards adoptés dans l'industrie pour assurer la sécurité des conteneurs Docker:
- sécurité du système d'exploitation hôte, journalisation correctement configurée, interdiction d'échange de données entre les conteneurs, etc.
- utilisation de la fonction Docker Trust pour vérifier l'intégrité des images et utilisation du scanner de vulnérabilité intégré;
- nous ne devons pas oublier la sécurité de l'accès à distance et le modèle de réseau en général: personne n'a annulé des attaques comme l'ARP-spoofing et MAC-flooding.
Le plus: aucune restriction technique sur l'utilisation de la virtualisation de conteneurs.
Moins: il y a une forte probabilité que le régulateur punisse le non-respect des exigences du GOST.
Conclusion
Notre client a décidé de ne pas abandonner les conteneurs. Dans le même temps, il a dû revoir considérablement la portée des travaux et le calendrier de la transition vers Docker (ils ont duré six mois). Le client est bien conscient des risques. Il comprend également que lors de la prochaine évaluation de la conformité avec GOST R 57580, beaucoup dépendra de l'auditeur.
Que feriez-vous dans cette situation?