Как она ни пыталась, она
не могла найти тут ни тени смысла, хотя все слова были ей совершенно понятны
(c)
В прошлый раз я
остановился на описании мат. части двух документов, определяющих принципы
защиты информации в РБ и РФ:
· Приказ ОАЦ за номером 62 «О некоторых вопросах технической и
криптографической защиты информации»
·
Приказ ФСТЭК за номером
17 «Об утверждении Требований
о защите информации, не составляющей
государственную тайну, содержащейся в государственных информационных системах»
Приказ ОАЦ за номером 62
|
Приказ ФСТЭК за номером 17
|
||
№
|
Требования к системе защиты информации
|
№
|
Требования к системе защиты информации
|
47
|
Идентификация и аутентификация субъектов и объектов в
виртуальной инфраструктуре, в том числе уполномоченных пользователей по
управлению средствами виртуализации
|
ЗСВ.1
|
Идентификация и аутентификация субъектов доступа и объектов
доступа в виртуальной инфраструктуре, в том числе администраторов правления
средствами виртуализации
|
48
|
Управление доступом субъектов к объектам в виртуальной
инфраструктуре, в том числе внутри виртуальных машин
|
ЗСВ.2
|
Управление доступом субъектов доступа к объектам доступа в
виртуальной инфраструктуре, в том числе внутри виртуальных машин
|
49
|
Регистрация событий безопасности в виртуальной инфраструктуре
|
ЗСВ.3
|
Регистрация событий безопасности в виртуальной инфраструктуре
|
50
|
Управление перемещением виртуальных машин (контейнеров) и
обрабатываемых на них данных
|
ЗСВ.6
|
Управление перемещением виртуальных машин (контейнеров) и
обрабатываемых на них данных
|
51
|
Контроль за обеспечением целостности виртуальной
инфраструктуры и ее конфигураций
|
ЗСВ.7
|
Контроль целостности виртуальной инфраструктуры и ее
конфигураций
|
52
|
Резервное копирование данных, резервирование технических
средств, программного обеспечения виртуальной инфраструктуры, а также каналов
связи внутри виртуальной инфраструктуры
|
ЗСВ.8
|
Резервное копирование данных, резервирование технических
средств, программного обеспечения виртуальной инфраструктуры, а также каналов
связи внутри виртуальной инфраструктуры
|
53
|
Реализация и управление антивирусной защитой в виртуальной
инфраструктуре
|
ЗСВ.9
|
Реализация и управление антивирусной защитой в виртуальной
инфраструктуре
|
54
|
Деление виртуальной инфраструктуры на сегменты
(сегментирование виртуальной инфраструктуры) для обработки в них информации
отдельным пользователем и (или) группой пользователей
|
ЗСВ.10
|
Разбиение виртуальной инфраструктуры на сегменты
(сегментирование виртуальной инфраструктуры) для обработки информации
отдельным пользователем и (или) группой пользователей
|
ЗСВ.4
|
ЗСВ.4 Управление (фильтрация, маршрутизация, контроль
соединения, однонаправленная передача) потоками информации между компонентами
виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры
|
||
ЗСВ.5
|
Доверенная загрузка серверов виртуализации, виртуальной машины
(контейнера), серверов управления виртуализацией
|
||
Так о
чем же все это? К огромному сожалению, бального словарика ко всему этому не
прилагается. Попытаемся
разобраться, опираясь на здравый смысл и методический документ дружественного
нам региона.
47.
Идентификация и аутентификация субъектов и объектов в виртуальной
инфраструктуре, в том числе уполномоченных пользователей по управлению
средствами виртуализации
Предположим,
что компоненты виртуальной инфраструктуры это: сервера, СХД, сетевое
оборудование, гипервизоры, виртуальные машины, программная среда виртуальных
машин, виртуальные машины с предустановленным ПО для выполнения определенных
функций (то, что в миру мы называем appliance), системы управления и
мониторинга всего выше перечисленного, средства резервного копирования +
настройки и конфигурации всего этого.
Все
это можно смело назвать объектами доступа. Субъектами
будут являться все те, кто в силу врожденного любопытства хотят получить доступ
к объектам доступа.
Исходя
из этого, набор требований становится достаточно логичным и обоснованным:
- Аутентификация администраторов при доступе к системам управления компонентами виртуальной инфраструктуры. В том числе отказ в доступе в случае непрохождения процедуры аутентификации.
- Защита аутентификационной информации в процессе ее хранения в компонентах виртуальной инфраструктуры, а также в процессе ее ввода и передачи.
Для
удаленного доступа есть одно маленькое, но важное «но»: все это должно быть
идентификация, и аутентификация объектов и субъектов должна быть взаимной :)
Просто
не знаю, кто я сейчас такая. Нет, я, конечно, примерно знаю, кто такая я была
утром, когда встала, но с тех пор я всё время то такая, то сякая — словом,
какая-то не такая (с)
48.
Управление доступом субъектов доступа к объектам доступа в виртуальной
инфраструктуре, в том числе внутри виртуальных машин
Кроме
понимания кто и к чему, описанного выше, необходимы еще и инструменты,
позволяющие контролировать, управлять и разграничивать доступ субъектов к
объектам.
В
общем, RBAC - наше все.
Помимо
стандартных вещей, актуальных в нашей галактике, должны также контролироваться
и разграничиваться доступ на создание виртуальных машин, запуск, остановку,
создание копий, удаление, модификация состава устройств виртуальных машин,
объема памяти, дисков. И что самое важное, должен обеспечиваться контроль
доступа субъектов к адресному пространству в памяти гипервизоров, виртуальных
машин и всяких других штук с памятью.
— Как мне попасть в дом?
— повторила Алиса громче.
— А
стоит ли туда попадать? — сказал Лягушонок. — Вот в чем вопрос (с)
49.
Регистрация событий безопасности в виртуальной инфраструктуре
В
данном пункте вроде все понятно, осталось только наполнить емкое сочетание слов
«события безопасности» смыслом:
- Запуск/остановка любых компонентов виртуальной инфраструктуры
- Доступ любых объектов ко всем субъектам
- Добавление/удаление компонентов виртуальной инфраструктуры
- Изменения в конфигурации компонентов виртуальной инфраструктуры
- Изменение вносимые в RBAC
- Перемещение/создание виртуальных машин
Все
события должны храниться централизованно без возможности
доступа/изменения/удаления событий субъектами. Инженерам - цветы, офицерам
информационной безопасности - мороженое.
— Я этого письма не
писал. Там нет моей подписи.
— Тем
хуже! Значит ты что-то худое задумал, иначе подписался бы! (c)
50.
Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них
данных
По
данному пункту иначе как официальным набором букв и не напишешь. Должно
обеспечиваться:
- Регламентирование порядка перемещения
- Управление размещением и перемещением виртуальных машин между СХД
- Управление размещением и перемещением виртуальных машин между серверами
- Управление размещением и перемещением данных, обрабатываемых с использованием виртуальных машин между СХД
- Обработка отказов перемещений виртуальных машин и данных
- Централизованное управление перемещением виртуальных машин и данных
- Непрерывность выполнения п.49 при перемещении виртуальных машин и данных
- Очистка освобождаемых областей памяти на серверах виртуализации и СХД при перемещении виртуальных машин.
У меня положение
безвыходное, но я хоть брыкаться могу! (с)
51.
Контроль за обеспечением целостности виртуальной инфраструктуры и ее
конфигураций
Истолкуем
это правило так - должен обеспечиваться контроль целостности:
- Состава и конфигураций виртуального оборудования
- Файлов, содержащих настройки виртуального программного обеспечения и виртуальных машин
- Инсталляционных пакетов, шаблонов, файлов-образов, резервных копий и т.п.
- Состава и конфигураций всех физических компонентов виртуальной инфраструктуры.
- FW всех компонентов виртуальной инфраструктуры
— План, что и говорить,
был превосходный; простой и ясный, лучше не придумать. Недостаток у него был
только один: было совершенно неизвестно, как привести его в исполнение (с)
52.
Резервное копирование данных, резервирование технических средств, программного
обеспечения виртуальной инфраструктуры, а также каналов связи внутри
Резервное
копирования всего и вся. Место хранения резервных копий не должно совпадать с источником данных. Регламенты по проверке резервных копий, регламенты для
восстановления из резервных копий.
Резервирование
всех компонент виртуальной платформы, каналов связи, программного обеспечения,
обеспечивающего функционирование виртуальной платформы.
— Я
всегда так и делаю! — выпалила Алиса, а потом, чуточку подумав, честно
прибавила: — Ну, во всяком случае… во всяком случае, что я говорю, то и думаю.
В общем, это ведь одно и то же! (с)
53.
Реализация и управление антивирусной защитой в виртуальной инфраструктуре
Требование
должно выполняться как для гипервизоров, так и для гостевых операционных систем
и включать в себя контроль файловой системы, памяти, запущенных приложений и
процессов.
Ну и
такие очевидные штуки как: разграничение доступа к средствам антивирусной
защиты, контроль функционирования средств антивирусной защиты, регламенты
обновления баз антивирусной защиты.
Отдельно
хотелось бы выделить требование по необходимости маршрутизации потоков
информации в виртуальной инфраструктуре через средство антивирусной защиты.
Она
всегда давала себе хорошие советы, хоть следовала им нечасто (с)
54.
Деление виртуальной инфраструктуры на сегменты (сегментирование виртуальной
инфраструктуры) для обработки в них информации отдельным пользователем и (или)
группой пользователей
Тут
все как никогда по-взрослому должно обеспечиваться:
- Логическое и/или физическое сегментирование виртуальной инфраструктуры, предусматривающее выделение группы виртуальных машин, хранилищ информации и информационных потоков, предназначенных для решения выделенных задач.
- Выделение в отдельных сегмент серверов управления виртуализацией
О
каком сегментировании (логическом или физическом) идет речь в Приказе ОАЦ за
номером 62 остается загадкой. Букв вроде бы в словах одинаково, а разница при
реализации принципиально существенная.
Всё страньше и страньше!
Всё чудесатее и чудесатее! Всё любопытственнее и любопытственнее! Всё страннее
и страннее! Всё чудесится и чудесится! (с)
Комментариев нет:
Отправить комментарий