- PVSM.RU - https://www.pvsm.ru -
[1]
01.06.2017 был введен в действие ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения». Как-то так вышло, что обзор данного ГОСТ во множестве нововведений законодательства затерялся и сейчас хотелось бы восполнить данный пробел.
Данный ГОСТ был разработан Федеральным автономным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФАУ «ГНИИИ ПТЗИ ФСТЭК России») и внесен техническим комитетом по стандартизации «Защита информации» (ТК 362).
До выхода ГОСТ Р 56938-2016 для обеспечения защиты виртуализованных сред применялись рекомендации приказов ФСТЭК №17 и №21. В данных приказах есть раздел, в котором описываются требования к защите среды виртуализации. Ниже приведена таблица из приложения к приказам, перечисляющая данные требования.
XI. Защита среды виртуализации (ЗСВ)
|
|
ЗСВ.1
|
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации
|
ЗСВ.2
|
Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин
|
ЗСВ.3
|
Регистрация событий безопасности в виртуальной инфраструктуре
|
ЗСВ.4
|
Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры
|
ЗСВ.5
|
Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией
|
ЗСВ.6
|
Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
|
ЗСВ.7
|
Контроль целостности виртуальной инфраструктуры и ее конфигураций
|
ЗСВ.8
|
Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры
|
ЗСВ.9
|
Реализация и управление антивирусной защитой в виртуальной инфраструктуре
|
ЗСВ.10
|
Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей
|
Не смотря на наличие требований к мерам по защите, в приказах не были определены термины по виртуализации, ГОСТ Р 56938-2016 закрывает данный пробел и определяет терминологическую базу.
ГОСТ Р 56938-2016 определяет 2 типа гипервизоров:
Так же в блоке терминов отдельно выделяется гипервизор систем хранения данных:
Программа, устанавливаемая непосредственно на аппаратное обеспечение в качестве системного программного обеспечения или в среде хостовой операционной системы в качестве прикладного программного обеспечения, выполняющая функции посредника между логическим и физическим адресными пространствами для обеспечения высокого уровня управления ресурсами хранения данных.
В том же блоке терминов в ГОСТ приведены определения виртуальной машины, какие типы виртуализации бывают, в отношении каких ресурсов бывает виртуализация и т.д.
Ранее возникало множество вопросов о том, что стоит подразумевать под виртуализацией. Теперь появились конкретные определения терминов, и при любых разночтениях можно прибегать к ГОСТ.
Так, согласно ГОСТ,
Виртуальная инфраструктура — это композиция иерархически взаимосвязанных групп виртуальных устройств обработки, хранения и/или передачи данных, а также группы необходимых для их работы аппаратных и/или программных средств.
ГОСТ определяет три уровня иерархии в виртуальной инфраструктуре:
Три уровня иерархии в виртуальной инфраструктуре на примере стека технологий VMware
ГОСТ выделяет следующие основные объекты защиты при использовании технологий виртуализации:
ГОСТ акцентирует внимание на том, что использование технологий виртуализации создает предпосылки для появления угроз безопасности, не характерных для информационных систем, построенных без использования технологий виртуализации. Угрозы, дополнительно могущие возникать при использовании технологий виртуализации, перечислены далее.
ГОСТ выделяет 18 таких угроз:
Здесь стоит заметить, что ГОСТ рассматривает именно угрозы, связанные с безопасностью виртуализации, другие угрозы безопасности не теряют актуальности, и их также необходимо рассматривать при составлении модели угроз, к примеру угрозы, связанные с физическим доступом к инфраструктуре, организационные вопросы доступа к информации, защиты реквизитов доступа и т.д. Как мы видим из списка угроз, среда виртуализации вносит свои дополнительные угрозы, которых нет на более низком аппаратном уровне.
В ГОСТ представлен только перечень мер защиты. Меры ЗИ разделены на несколько групп в зависимости от объекта защиты. Выделяются следующие группы:
Сводные данные об угрозах и мерах защиты информации, обрабатываемой с помощью технологий виртуализации сведены в таблицу и приведены в приложении В данного ГОСТа.
Помимо традиционных мер защиты, встречаются и новые, пока неясно чем реализуемые. Например, шифрование передаваемых файлов-образов виртуальных машин. На сегодняшний день нет средств шифрования, для передаваемых с облака и загружаемых на облако (например, при «переезде»), образов виртуальных машин. Вполне возможно, что данным функционалом обзаведутся существующие средства защиты седы виртуализации, такие как vGate или Dallas Lock.
Так же стоит заметить, что ни в ГОСТ ни в приказах не рассмотрено понятие снимков виртуальных машин (snapshots), и как следствие, не рассмотрены угрозы относящиеся к снимкам. Например, в американском NIST снимок виртуальной машины рассматривается, как отдельный объект защиты.
Системы защиты информации, создаваемые во исполнение законодательства, например, согласно 17-му Приказу, рассмотренному в предыдущей статье, требуют рассмотрения всего перечня возможных угроз. Опираясь на данный ГОСТ, мы можем не изобретать велосипед при использовании технологий виртуализации в своих решениях. Как прописано в 17-м Приказе, выбор мер защиты состоит из нескольких этапов:
Таким образом, при использовании технологий виртуализации, дополнение уточненного адаптированного базового набора мер защиты можно с чистой совестью провести исходя из требований ГОСТа.
При использовании данного ГОСТа, необходимо иметь ввиду, что существует проект, пока не утвержденный, но уже вполне обсуждаемый, «Защита информации. Защита информации при использовании облачных технологий. Общие положения». В проекте сделан упор именно на защиту информации, при взаимодействии с облачными провайдерами. Поэтому необходимо понимать разницу между использованием технологий виртуализации и потреблением и/или предоставлением облачных услуг. Проект ГОСТа довольно интересный, и, наверное, мы рассмотрим его положения в следующих статьях.
Протестировать нашу виртуальную инфраструктуру можно бесплатно, оставив заявку [3]. Cloud4Y предоставляет облако, соответствующее требованиям по обеспечению безопасности информации согласно 17 и 21 Приказам ФСТЭК.
Автор: Cloud4Y
Источник [4]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/virtualizatsiya/276354
Ссылки в тексте:
[1] Image: https://habrahabr.ru/company/cloud4y/blog/352178/
[2] VMware vSphere: https://cloud4y.ru/cloud-hosting/
[3] заявку: https://cloud4y.ru/try/
[4] Источник: https://habrahabr.ru/post/352178/?utm_source=habrahabr&utm_medium=rss&utm_campaign=352178
Нажмите здесь для печати.