Приказ суров, но справедлив. Часть 2 (герменевтика)



Как она ни пыталась, она не могла найти тут ни тени смысла, хотя все слова были ей совершенно понятны (c)

В прошлый раз я остановился на описании мат. части двух документов, определяющих принципы защиты информации в РБ и РФ:

·       Приказ ОАЦ за номером 62 «О некоторых вопросах технической и криптографической защиты информации»
·       Приказ ФСТЭК за номером 17 «Об утверждении Требований
 о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Для большей наглядности свел информацию, касающуюся виртуализации, в одну общую табличку.

Приказ ОАЦ за номером 62
Приказ ФСТЭК за номером 17
Требования к системе защиты информации
Требования к системе защиты информации
47
Идентификация и аутентификация субъектов и объектов в виртуальной инфраструктуре, в том числе уполномоченных пользователей по управлению средствами виртуализации
ЗСВ.1
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов правления средствами виртуализации
48
Управление доступом субъектов к объектам в виртуальной инфраструктуре, в том числе внутри виртуальных машин
ЗСВ.2
Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин
49
Регистрация событий безопасности в виртуальной инфраструктуре
ЗСВ.3
Регистрация событий безопасности в виртуальной инфраструктуре
50
Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
ЗСВ.6
Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
51
Контроль за обеспечением целостности виртуальной инфраструктуры и ее конфигураций
ЗСВ.7
Контроль целостности виртуальной инфраструктуры и ее конфигураций
52
Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры
ЗСВ.8
Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры
53
Реализация и управление антивирусной защитой в виртуальной инфраструктуре
ЗСВ.9
Реализация и управление антивирусной защитой в виртуальной инфраструктуре
54
Деление виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки в них информации отдельным пользователем и (или) группой пользователей
ЗСВ.10
Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей
ЗСВ.4
ЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры
ЗСВ.5
Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией

Так о чем же все это? К огромному сожалению, бального словарика ко всему этому не прилагается. Попытаемся разобраться, опираясь на здравый смысл и методический документ дружественного нам региона.
47. Идентификация и аутентификация субъектов и объектов в виртуальной инфраструктуре, в том числе уполномоченных пользователей по управлению средствами виртуализации
Предположим, что компоненты виртуальной инфраструктуры это: сервера, СХД, сетевое оборудование, гипервизоры, виртуальные машины, программная среда виртуальных машин, виртуальные машины с предустановленным ПО для выполнения определенных функций (то, что в миру мы называем appliance), системы управления и мониторинга всего выше перечисленного, средства резервного копирования + настройки и конфигурации всего этого.
Все это можно смело назвать объектами доступа. Субъектами будут являться все те, кто в силу врожденного любопытства хотят получить доступ к объектам доступа.
Исходя из этого, набор требований становится достаточно логичным и обоснованным:
  • Аутентификация администраторов при доступе к системам управления компонентами виртуальной инфраструктуры. В том числе отказ в доступе в случае непрохождения процедуры аутентификации.
  • Защита аутентификационной информации в процессе ее хранения в компонентах виртуальной инфраструктуры, а также в процессе ее ввода и передачи.
Все это, естественно, распространяется на все возможные варианты доступа: локальный, удаленный и т.д.
Для удаленного доступа есть одно маленькое, но важное «но»: все это должно быть идентификация, и аутентификация объектов и субъектов должна быть взаимной :)
Просто не знаю, кто я сейчас такая. Нет, я, конечно, примерно знаю, кто такая я была утром, когда встала, но с тех пор я всё время то такая, то сякая — словом, какая-то не такая (с)
48. Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин
Кроме понимания кто и к чему, описанного выше, необходимы еще и инструменты, позволяющие контролировать, управлять и разграничивать доступ субъектов к объектам.
В общем, RBAC - наше все.
Помимо стандартных вещей, актуальных в нашей галактике, должны также контролироваться и разграничиваться доступ на создание виртуальных машин, запуск, остановку, создание копий, удаление, модификация состава устройств виртуальных машин, объема памяти, дисков. И что самое важное, должен обеспечиваться контроль доступа субъектов к адресному пространству в памяти гипервизоров, виртуальных машин и всяких других штук с памятью.
— Как мне попасть в дом? — повторила Алиса громче.
— А стоит ли туда попадать? — сказал Лягушонок. — Вот в чем вопрос (с)
49. Регистрация событий безопасности в виртуальной инфраструктуре
В данном пункте вроде все понятно, осталось только наполнить емкое сочетание слов «события безопасности» смыслом:
  • Запуск/остановка любых компонентов виртуальной инфраструктуры
  • Доступ любых объектов ко всем субъектам
  • Добавление/удаление компонентов виртуальной инфраструктуры
  • Изменения в конфигурации компонентов виртуальной инфраструктуры
  • Изменение вносимые в RBAC
  • Перемещение/создание виртуальных машин
Каждое такое событие должно иметь дату, время, идентификатор объекта, идентификатор субъекта, позволяющие однозначно определить объект и субъект (никак вам коллизий)
Все события должны храниться централизованно без возможности доступа/изменения/удаления событий субъектами. Инженерам - цветы, офицерам информационной безопасности - мороженое.
— Я этого письма не писал. Там нет моей подписи.
— Тем хуже! Значит ты что-то худое задумал, иначе подписался бы! (c)
50. Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
По данному пункту иначе как официальным набором букв и не напишешь. Должно обеспечиваться:
  • Регламентирование порядка перемещения
  • Управление размещением и перемещением виртуальных машин между СХД
  • Управление размещением и перемещением виртуальных машин между серверами
  • Управление размещением и перемещением данных, обрабатываемых с использованием виртуальных машин между СХД
  • Обработка отказов перемещений виртуальных машин и данных
  • Централизованное управление перемещением виртуальных машин и данных
  • Непрерывность выполнения п.49 при перемещении виртуальных машин и данных
  • Очистка освобождаемых областей памяти на серверах виртуализации и СХД при перемещении виртуальных машин.
Контроль подразумевает возможность полного запрета перемещения, ограничения перемещения в пределах сегмента информационной системы, ограничение перемещения между информационными системами.


У меня положение безвыходное, но я хоть брыкаться могу! (с)

51. Контроль за обеспечением целостности виртуальной инфраструктуры и ее конфигураций
Истолкуем это правило так - должен обеспечиваться контроль целостности:
  • Состава и конфигураций виртуального оборудования
  • Файлов, содержащих настройки виртуального программного обеспечения и виртуальных машин
  • Инсталляционных пакетов, шаблонов, файлов-образов, резервных копий и т.п.
  • Состава и конфигураций всех физических компонентов виртуальной инфраструктуры.
  • FW всех компонентов виртуальной инфраструктуры

— План, что и говорить, был превосходный; простой и ясный, лучше не придумать. Недостаток у него был только один: было совершенно неизвестно, как привести его в исполнение (с)

52. Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри
Резервное копирования всего и вся. Место хранения резервных копий не должно совпадать с  источником данных. Регламенты по проверке резервных копий, регламенты для восстановления из резервных копий.
Резервирование всех компонент виртуальной платформы, каналов связи, программного обеспечения, обеспечивающего функционирование виртуальной платформы.
— Я всегда так и делаю! — выпалила Алиса, а потом, чуточку подумав, честно прибавила: — Ну, во всяком случае… во всяком случае, что я говорю, то и думаю. В общем, это ведь одно и то же! (с)
53. Реализация и управление антивирусной защитой в виртуальной инфраструктуре
Требование должно выполняться как для гипервизоров, так и для гостевых операционных систем и включать в себя контроль файловой системы, памяти, запущенных приложений и процессов.
Ну и такие очевидные штуки как: разграничение доступа к средствам антивирусной защиты, контроль функционирования средств антивирусной защиты, регламенты обновления баз антивирусной защиты.
Отдельно хотелось бы выделить требование по необходимости маршрутизации потоков информации в виртуальной инфраструктуре через средство антивирусной защиты.
Она всегда давала себе хорошие советы, хоть следовала им нечасто (с)
54. Деление виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки в них информации отдельным пользователем и (или) группой пользователей
Тут все как никогда по-взрослому должно обеспечиваться:
  • Логическое и/или физическое сегментирование виртуальной инфраструктуры, предусматривающее выделение группы виртуальных машин, хранилищ информации и информационных потоков, предназначенных для решения выделенных задач.
  • Выделение в отдельных сегмент серверов управления виртуализацией
О каком сегментировании (логическом или физическом) идет речь в Приказе ОАЦ за номером 62 остается загадкой. Букв вроде бы в словах одинаково, а разница при реализации принципиально существенная.
Всё страньше и страньше! Всё чудесатее и чудесатее! Всё любопытственнее и любопытственнее! Всё страннее и страннее! Всё чудесится и чудесится! (с)


Комментариев нет:

Отправить комментарий