De alguna manera nos llegó una aplicación para servicios en la nube. Descubrimos en términos generales lo que se nos exigiría y enviamos una lista de preguntas para aclarar los detalles. Luego analizamos las respuestas y nos dimos cuenta: el cliente quiere colocar datos personales del segundo nivel de seguridad en la nube. Le contestamos: "Tienes el segundo nivel de persas, lo siento, solo podemos crear una nube privada". Y él: "Sabes, pero en la Compañía X pueden poner todo en un lugar público para mí".
Foto de Steve Crisp, ReutersCosas extrañas! Fuimos al sitio de la empresa X, estudiamos sus documentos de certificación, sacudimos la cabeza y nos dimos cuenta: hay muchas preguntas abiertas sobre la colocación de persdans y deben ventilarse adecuadamente. Lo que haremos en esta publicación.
Cómo debería funcionar
Para empezar, entenderemos con qué criterios los datos personales generalmente se atribuyen a un nivel particular de seguridad. Depende de la categoría de datos, del número de sujetos de estos datos que el operador almacena y procesa, así como del tipo de amenazas reales.
Los tipos de amenazas reales se definen en el
Decreto del Gobierno de la Federación de Rusia Nº 1119 del 1 de noviembre de 2012 "Sobre la aprobación de los requisitos para la protección de datos personales durante su procesamiento en los sistemas de información de datos personales":
“Las amenazas del primer tipo son relevantes para un sistema de información si, para él, las amenazas relacionadas con la presencia de capacidades no documentadas (no declaradas) en el software del sistema utilizado en el sistema de información también lo son.
Las amenazas del segundo tipo son relevantes para el sistema de información si, para él, las amenazas relacionadas con la presencia de capacidades no documentadas (no declaradas) en el software de aplicación utilizado en el sistema de información también lo son.
Las amenazas del tercer tipo son relevantes para un sistema de información si las amenazas relevantes no están relacionadas con la presencia de capacidades no documentadas (no declaradas) en el sistema y el software de aplicación utilizado en el sistema de información ".
Lo principal en estas definiciones es la presencia de oportunidades no documentadas (no declaradas). Para confirmar la ausencia de capacidades de software no documentadas (en el caso de la nube, es un hipervisor), FSTEC de Rusia está certificada. Si el operador de PD acepta que no existen tales capacidades en el software, entonces las amenazas correspondientes son irrelevantes. Las amenazas de los tipos primero y segundo rara vez son aceptadas por los operadores de PD como relevantes.
Además de determinar el nivel de seguridad de los datos personales, el operador también debe determinar las amenazas reales específicas a la nube pública y, en función del nivel identificado de seguridad de los datos personales y las amenazas reales, determinar las medidas necesarias y los medios de protección contra ellos.
En FSTEC, todas las principales amenazas están claramente enumeradas en la
BDU (base de datos de estas amenazas). Los proveedores y certificadores de infraestructuras en la nube utilizan esta base de datos en su trabajo. Aquí hay algunos ejemplos de amenazas:
UBI.44 : "La amenaza radica en la posibilidad de violar la seguridad de los datos del usuario de los programas que operan dentro de la máquina virtual por software malicioso que opera fuera de la máquina virtual". Esta amenaza es causada por la presencia de vulnerabilidades en el software del hipervisor que aísla el espacio de direcciones utilizado para almacenar los datos de usuario de los programas que operan dentro de la máquina virtual del acceso no autorizado por software malicioso que opera fuera de la máquina virtual.
La realización de esta amenaza es posible siempre que el software malicioso supere con éxito los límites de la máquina virtual, no solo explotando las vulnerabilidades del hipervisor, sino también implementando tal impacto desde niveles más bajos (con respecto al hipervisor) del funcionamiento del sistema ".
UBI.101 : “La amenaza radica en la posibilidad de acceso no autorizado a la información protegida de un consumidor de servicios en la nube de otro. Esta amenaza se debe al hecho de que, debido a la naturaleza de las tecnologías en la nube, los consumidores de servicios en la nube tienen que compartir la misma infraestructura en la nube. La implementación de esta amenaza es posible si se cometen errores al compartir los elementos de la infraestructura de la nube entre los consumidores de servicios en la nube, así como al aislar sus recursos y aislar los datos entre sí ”.
Puede protegerse de estas amenazas solo con la ayuda de un hipervisor, ya que es él quien administra los recursos virtuales. Por lo tanto, el hipervisor debe considerarse como un medio de protección.
Y de acuerdo con la
orden del FSTEC No. 21 del 18 de febrero de 2013, el hipervisor debe estar certificado por la ausencia de NDV en el nivel 4, de lo contrario, el uso de datos personales de los niveles 1 y 2 será ilegal (
"Cláusula 12. ... Para garantizar 1 y 2 niveles de seguridad de datos personales, así como para proporcionar 3 niveles de seguridad de datos personales en sistemas de información, para los cuales las amenazas del segundo tipo se clasifican como relevantes, se utilizan herramientas de protección de la información, cuyo software se probó no menos que en el nivel 4 de control Yo no declarados capacidades ").El nivel de certificación requerido, NDV-4, lo posee un solo hipervisor del desarrollo ruso:
Horizon VS. Para decirlo suavemente, no es la solución más popular. Las nubes comerciales generalmente se crean sobre la base de VMware vSphere, KVM, Microsoft Hyper-V. Ninguno de estos productos está certificado para NDV-4. Por qué Obviamente, obtener dicha certificación para los fabricantes aún no está económicamente justificado.
Y solo nos queda el Horizonte del Sol para las personas de nivel 1 y nivel 2 en una nube pública. Triste pero cierto.
Cómo funciona todo (en nuestra opinión) en realidad
A primera vista, todo es bastante estricto: estas amenazas deben eliminarse mediante la configuración adecuada de mecanismos de protección estándar para el hipervisor certificado NDV-4. Pero hay una escapatoria. De acuerdo con la Orden de FSTEC No. 21 (
"Cláusula 2, la seguridad de los datos personales durante su procesamiento en el sistema de información de datos personales (en adelante denominado el sistema de información) es proporcionada por el operador o la persona que procesa los datos personales en nombre del operador de acuerdo con la legislación de la Federación de Rusia" ), los proveedores evalúan de manera independiente la relevancia de posibles amenazas y, de acuerdo con esto, eligen medidas de protección. Por lo tanto, si las amenazas de UBI.44 y UBI.101 no se aceptan como relevantes, tampoco habrá necesidad de usar un hipervisor certificado NDV-4, que debería proporcionar protección contra ellos. Y esto será suficiente para obtener un certificado de cumplimiento de la nube pública con los niveles 1 y 2 de seguridad PD, con lo que Roskomnadzor estará completamente satisfecho.
Por supuesto, además de Roskomnadzor, el FSTEC puede venir con un cheque, y esta organización es mucho más meticulosa en asuntos técnicos. Probablemente le interesará saber por qué precisamente las amenazas de UBI.44 y UBI.101 fueron reconocidas como irrelevantes. Pero por lo general, el FSTEC solo verifica cuando recibe información sobre algún incidente sorprendente. En este caso, el servicio federal llega primero al operador Persdan, es decir, el cliente de los servicios en la nube. En el peor de los casos, el operador recibe una pequeña multa; por ejemplo, para Twitter a principios de año, la
multa en un caso similar ascendió a 5.000 rublos. Luego, FSTEC pasa al proveedor de servicios en la nube. Que bien puede verse privado de una licencia debido al incumplimiento de los requisitos reglamentarios, y estos son riesgos completamente diferentes tanto para el proveedor de la nube como para sus clientes. Pero, repito,
generalmente se necesita una razón clara para verificar el FSTEC. Entonces, los proveedores de la nube están dispuestos a correr riesgos. Hasta el primer incidente grave.
También hay un grupo de proveedores "más responsables" que creen que es posible cerrar todas las amenazas agregando un hipervisor con un complemento como vGate. Pero en un entorno virtual distribuido entre los clientes para algunas amenazas (por ejemplo, el UBI.101 anterior), un mecanismo de protección efectivo solo se puede implementar al nivel de un hipervisor certificado NDV-4, ya que cualquier sistema adicional para funciones estándar del hipervisor de gestión de recursos funciona (en particular RAM) no se ven afectados.
Como trabajamos
Tenemos un
segmento en la nube implementado en un hipervisor certificado por FSTEC (pero sin certificación para NDV-4). Este segmento está certificado, por lo que es posible colocar datos personales
de los niveles de seguridad 3 y 4 en la nube en función de él; no es necesario observar aquí los requisitos de protección contra capacidades no declaradas. Aquí, por cierto, está la arquitectura de nuestro segmento de nube segura:
Sistemas para datos personales de
1 y 2 niveles de seguridad que implementamos solo en equipos dedicados. Solo en este caso, por ejemplo, la amenaza de UBI.101 realmente no es relevante, ya que los bastidores de servidores que no están unidos por un entorno virtual no pueden influenciarse entre sí, incluso cuando se colocan en el mismo centro de datos. Para tales casos, ofrecemos un servicio dedicado de alquiler de equipos (también se llama Hardware como servicio, equipos como servicio).
Si no está seguro de qué nivel de seguridad se requiere para su sistema de datos personales, también ayudamos en su clasificación.
Conclusión
Nuestra pequeña investigación de mercado mostró que algunos operadores de la nube están listos para arriesgar tanto la seguridad de los datos del cliente como su propio futuro para recibir un pedido. Pero nos adherimos a una política diferente en estos asuntos, que describimos brevemente un poco más arriba. Estaremos encantados de responder en los comentarios sus preguntas.