Durante el proceso de evaluación, el cliente dijo casualmente que el departamento de desarrollo, además de las máquinas virtuales, planea usar contenedores. Pero con esto, agregó el cliente, hay un problema: en GOST no hay una palabra sobre el mismo Docker. ¿Cómo ser? ¿Cómo evaluar la seguridad de los contenedores?
Es cierto, GOST dice solo sobre la virtualización de hardware, sobre cómo proteger las máquinas virtuales, un hipervisor, un servidor. Nos dirigimos al Banco Central en busca de una explicación. La respuesta nos dejó perplejos.
GOST y virtualización
Para empezar, recordemos que GOST R 57580 es un nuevo estándar, que detalla los "requisitos para garantizar la seguridad de la información de las organizaciones financieras" (FO). Estas IF incluyen operadores y participantes de sistemas de pago, instituciones crediticias y no crediticias, centros operativos y de compensación.
A partir del 1 de enero de 2021, los FD están obligados a evaluar el cumplimiento de los requisitos del nuevo GOST cada dos años . Nosotros, ITGLOBAL.COM, somos una empresa de auditoría que realiza dicha evaluación.
GOST tiene una subsección dedicada a la protección de entornos virtualizados: No. 7.8. El término "virtualización" no se especifica allí, no hay división en hardware y virtualización de contenedores. Cualquier especialista en TI dirá que desde un punto de vista técnico, esto es incorrecto: una máquina virtual (VM) y un contenedor son entornos diferentes, con un principio de aislamiento diferente. Desde el punto de vista de la vulnerabilidad del host en el que se implementan las máquinas virtuales y los contenedores Docker, esta también es una gran diferencia.
Resulta que la evaluación de la seguridad de la información de las máquinas virtuales y los contenedores también debería ser diferente.
Nuestras preguntas Banco Central
Los enviamos al Departamento de Seguridad de la Información del Banco Central (las preguntas se dan en forma abreviada).
- ¿Cómo considerar los contenedores virtuales tipo Docker al realizar una evaluación de cumplimiento de GOST? ¿Es correcto evaluar la tecnología de acuerdo con la subsección 7.8 de GOST?
- ¿Cómo evalúo los controles de contenedores virtuales? ¿Pueden equipararse con los componentes de servidor de virtualización y evaluarse de acuerdo con la misma subsección GOST?
- ¿Necesito evaluar por separado la seguridad de la información dentro de los contenedores Docker? Si es así, ¿qué salvaguardas deben considerarse en el proceso de evaluación?
- Si la contenedorización se equipara a la infraestructura virtual y se evalúa de acuerdo con la subsección 7.8, ¿cómo se implementan los requisitos de GOST para la implementación de herramientas especiales de seguridad de la información?
Respuesta del Banco Central
A continuación se muestran los extractos principales.
“GOST R 57580.1-2017 establece requisitos para la implementación mediante la aplicación de medidas técnicas en relación con las siguientes medidas de ZI del inciso 7.8 del GOST R 57580.1-2017, que, según el Departamento, se puede extender a los casos de uso de tecnologías de virtualización de contenedores, teniendo en cuenta lo siguiente:
- .1 – .11 , , ( ) . (, .6 .7) , ;
- .13 – .22 , , . ( , );
- .26, .29 – .31 ;
- La implementación de las medidas ZVS.32 - ZVS.43 para registrar eventos de seguridad de la información relacionados con el acceso a máquinas virtuales y componentes de servidor de virtualización debe realizarse por analogía también con respecto a elementos del entorno de virtualización que implementan la tecnología de virtualización de contenedores ".
Qué significa eso
Dos conclusiones principales de la respuesta del Departamento de Seguridad de la Información del Banco Central:
- las medidas para proteger los contenedores son las mismas que las medidas para proteger las máquinas virtuales;
- de esto se desprende que en el contexto de la seguridad de la información, el Banco Central equipara dos tipos de virtualización: contenedores Docker y VM.
La respuesta también menciona "medidas compensatorias" que deben aplicarse para neutralizar las amenazas. Sin embargo, no está claro qué son estas “medidas compensatorias”, cómo medir su adecuación, integridad y eficacia.
¿Qué hay de malo en la posición del Banco Central?
Si utiliza las recomendaciones del Banco Central para evaluar (y autoevaluarse), debe resolver una serie de dificultades técnicas y lógicas.
- Cada contenedor ejecutable requiere la instalación de un software de seguridad de la información (SSS) en él: antivirus, control de integridad, trabajo con registros, sistemas DLP (Data Leak Prevention), etc. Todo esto se puede instalar en una VM sin ningún problema, pero en el caso de un contenedor, instalar un SZI es un movimiento absurdo. El contenedor lleva la cantidad mínima de "kit de carrocería" que se necesita para que el servicio funcione. Instalar un sistema de seguridad de la información en él contradice su significado.
- Según el mismo principio, las imágenes de contenedores deben protegerse; tampoco está claro cómo implementar esto.
- , . . . Docker? , ?
- , Docker- — .
En la práctica, es probable que cada auditor evalúe la seguridad de los contenedores a su manera, basándose en su conocimiento y experiencia. Bueno, o nada, si no hay ni lo uno ni lo otro.
Por si acaso, agregamos que a partir del 1 de enero de 2021, la estimación mínima debe ser de al menos 0,7.
Por cierto, publicamos regularmente las respuestas y comentarios de los reguladores relacionados con los requisitos del GOST 57580 y las Regulaciones del Banco Central en nuestro canal de Telegram .
Qué hacer
En nuestra opinión, las instituciones financieras solo tienen dos opciones para resolver el problema.
1. Negarse a implementar contenedores
Una solución para aquellos que están dispuestos a permitirse utilizar solo la virtualización de hardware y, al mismo tiempo, temen las bajas calificaciones GOST y las multas del Banco Central.
Además: es más fácil cumplir con los requisitos de la subsección 7.8 de GOST.
Contras: tendrás que abandonar nuevas herramientas de desarrollo basadas en la virtualización de contenedores, en particular, Docker y Kubernetes.
2. Negarse a cumplir con los requisitos de la subsección 7.8 de GOST
Pero al mismo tiempo, aplicar las mejores prácticas para garantizar la seguridad de la información cuando se trabaja con contenedores. Esta es una solución para aquellos que están más interesados en las nuevas tecnologías y las oportunidades que brindan. Por "mejores prácticas" nos referimos aquí a las normas y estándares adoptados en la industria para garantizar la seguridad de los contenedores Docker:
- seguridad del sistema operativo del host, registro correctamente configurado, prohibición del intercambio de datos entre contenedores, etc.
- usar la función Docker Trust para verificar la integridad de las imágenes y usar el escáner de vulnerabilidades incorporado;
- No debemos olvidarnos de la seguridad del acceso remoto y del modelo de red en general: nadie ha cancelado ataques como ARP-spoofing y MAC-flooding.
Además: sin restricciones técnicas sobre el uso de la virtualización de contenedores.
Menos: existe una alta probabilidad de que el regulador castigue el incumplimiento de los requisitos de GOST.
Conclusión
Nuestro cliente decidió no renunciar a los contenedores. Al mismo tiempo, tuvo que revisar significativamente el alcance del trabajo y el momento de la transición a Docker (se extendieron por seis meses). El cliente conoce bien los riesgos. También comprende que durante la próxima evaluación de conformidad con GOST R 57580, mucho dependerá del auditor.
¿Qué haría usted en esta situación?