Irgendwie kam eine Anwendung für Cloud-Dienste zu uns. Wir haben allgemein herausgefunden, was von uns verlangt wird, und eine Liste mit Fragen zurückgeschickt, um die Details zu klären. Dann haben wir die Antworten analysiert und festgestellt: Der Kunde möchte personenbezogene Daten der zweiten Sicherheitsstufe in die Cloud stellen. Wir antworten ihm: "Sie haben die zweite Ebene der Perser, sorry, wir können nur eine private Cloud erstellen." Und er: "Weißt du, aber in Firma X können sie alles für mich an einen öffentlichen Ort bringen."
Foto von Steve Crisp, ReutersSeltsame Dinge! Wir gingen zum Standort von Unternehmen X, studierten deren Zertifizierungsdokumente, schüttelten den Kopf und verstanden: Es gibt viele offene Fragen bei der Platzierung von Persdans, und sie sollten ordnungsgemäß belüftet werden. Was wir in diesem Beitrag tun werden.
Wie es funktionieren soll
Zunächst werden wir verstehen, anhand welcher Kriterien personenbezogene Daten im Allgemeinen einem bestimmten Sicherheitsniveau zugeordnet werden. Dies hängt von der Datenkategorie, der Anzahl der vom Betreiber gespeicherten und verarbeiteten Subjekte dieser Daten sowie von der Art der tatsächlichen Bedrohungen ab.
Die Arten der tatsächlichen Bedrohungen sind im
Dekret der Regierung der Russischen Föderation Nr. 1119 vom 1. November 2012 „Über die Genehmigung der Anforderungen zum Schutz personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten“ definiert:
„Bedrohungen des ersten Typs sind für ein Informationssystem relevant, wenn für dieses auch Bedrohungen im Zusammenhang mit dem Vorhandensein nicht dokumentierter (nicht deklarierter) Funktionen in der im Informationssystem verwendeten Systemsoftware relevant sind.
Bedrohungen des zweiten Typs sind für das Informationssystem relevant, wenn für dieses auch Bedrohungen im Zusammenhang mit dem Vorhandensein nicht dokumentierter (nicht deklarierter) Funktionen in der im Informationssystem verwendeten Anwendungssoftware relevant sind.
Bedrohungen des 3. Typs sind für ein Informationssystem relevant , wenn Bedrohungen, die für dieses Informationssystem relevant sind, nicht mit dem Vorhandensein nicht dokumentierter (nicht deklarierter) Funktionen in dem im Informationssystem verwendeten System und der Anwendungssoftware zusammenhängen . “
Die Hauptsache in diesen Definitionen ist das Vorhandensein von nicht dokumentierten (nicht deklarierten) Gelegenheiten. Um das Fehlen undokumentierter Softwarefunktionen zu bestätigen (im Fall der Cloud handelt es sich um einen Hypervisor), ist FSTEC of Russia zertifiziert. Wenn der PD-Bediener akzeptiert, dass die Software keine derartigen Funktionen enthält, sind die entsprechenden Bedrohungen irrelevant. Bedrohungen des 1. und 2. Typs werden von PD-Betreibern äußerst selten als relevant akzeptiert.
Neben der Bestimmung des Sicherheitsniveaus personenbezogener Daten muss der Betreiber auch bestimmte tatsächliche Bedrohungen für die öffentliche Cloud ermitteln und auf der Grundlage des ermittelten Sicherheitsniveaus personenbezogener Daten und der tatsächlichen Bedrohungen die erforderlichen Maßnahmen und Schutzmaßnahmen gegen diese festlegen.
Bei FSTEC sind alle Hauptbedrohungen in der
BDU (Datenbank dieser Bedrohungen) klar aufgelistet. Anbieter und Zertifizierer von Cloud-Infrastrukturen verwenden diese Datenbank bei ihrer Arbeit. Hier einige Beispiele für Bedrohungen:
UBI.44 : „Die Bedrohung besteht in der Möglichkeit, die Sicherheit von Benutzerdaten von Programmen, die innerhalb der virtuellen Maschine ausgeführt werden, durch schädliche Software zu verletzen, die außerhalb der virtuellen Maschine ausgeführt wird.“ Diese Bedrohung wird durch das Vorhandensein von Sicherheitslücken in der Software des Hypervisors verursacht, die den Adressraum zum Speichern von Benutzerdaten von Programmen, die in der virtuellen Maschine ausgeführt werden, vom unbefugten Zugriff durch schädliche Software, die außerhalb der virtuellen Maschine ausgeführt wird, isolieren.
Die Implementierung dieser Bedrohung ist möglich, sofern die schädliche Software die Grenzen der virtuellen Maschine erfolgreich überwindet, indem sie nicht nur die Schwachstellen des Hypervisors ausnutzt, sondern auch eine solche Auswirkung von niedrigeren (in Bezug auf den Hypervisor) Funktionsstufen des Systems implementiert. “
UBI.101 : „Die Bedrohung besteht in der Möglichkeit eines unbefugten Zugriffs auf die geschützten Informationen eines Verbrauchers von Cloud-Diensten von einem anderen. Diese Bedrohung ist auf die Tatsache zurückzuführen, dass Verbraucher von Cloud-Diensten aufgrund der Art der Cloud-Technologien dieselbe Cloud-Infrastruktur gemeinsam nutzen müssen. Die Implementierung dieser Bedrohung ist möglich, wenn Fehler beim Teilen der Cloud-Infrastrukturelemente zwischen Verbrauchern von Cloud-Diensten sowie beim Isolieren ihrer Ressourcen und beim Isolieren von Daten voneinander gemacht werden. “
Sie können sich nur mit Hilfe eines Hypervisors vor diesen Bedrohungen schützen, da er die virtuellen Ressourcen verwaltet. Daher muss der Hypervisor als Schutzmittel betrachtet werden.
Und gemäß der
Anordnung des FSTEC Nr. 21 vom 18. Februar 2013 muss der Hypervisor für das Fehlen von NDV auf Stufe 4 zertifiziert sein, da sonst die Verwendung personenbezogener Daten der Stufen 1 und 2 damit illegal ist (
"Klausel 12. ... 1 und 2 bereitzustellen Sicherheitsstufen für personenbezogene Daten sowie zur Gewährleistung von drei Sicherheitsstufen für personenbezogene Daten in Informationssystemen, für die Bedrohungen des zweiten Typs relevant sind, werden Informationsschutz-Tools verwendet, deren Software nicht niedriger getestet wurde als auf Stufe 4 der Kontrolle Ich nicht deklariert capabilities „).Die erforderliche Zertifizierungsstufe NDV-4 besitzt nur ein Hypervisor der russischen Entwicklung -
Horizon VS. Um es milde auszudrücken, nicht die beliebteste Lösung. Kommerzielle Clouds werden normalerweise auf der Basis von VMware vSphere, KVM und Microsoft Hyper-V erstellt. Keines dieser Produkte ist für NDV-4 zertifiziert. Warum? Offensichtlich ist eine solche Zertifizierung für Hersteller wirtschaftlich noch nicht gerechtfertigt.
Und für Personen der Stufen 1 und 2 in einer öffentlichen Wolke bleibt nur der Horizont der Sonne für uns übrig. Traurig aber wahr.
Wie alles (unserer Meinung nach) tatsächlich funktioniert
Auf den ersten Blick ist alles recht streng: Diese Bedrohungen sollten beseitigt werden, indem Standardschutzmechanismen für den NDV-4-zertifizierten Hypervisor ordnungsgemäß eingerichtet werden. Aber es gibt eine Lücke. In Übereinstimmung mit der Verordnung von FSTEC Nr. 21 (
„Klausel 2, die Sicherheit personenbezogener Daten während ihrer Verarbeitung im Informationssystem für personenbezogene Daten (im Folgenden als Informationssystem bezeichnet) wird vom Betreiber oder der Person, die personenbezogene Daten im Auftrag des Betreibers gemäß den Rechtsvorschriften der Russischen Föderation verarbeitet“ )
bereitgestellt. ) Anbieter bewerten unabhängig die Relevanz möglicher Bedrohungen und wählen dementsprechend Schutzmaßnahmen. Wenn die Bedrohungen von UBI.44 und UBI.101 nicht als relevant akzeptiert werden, ist es auch nicht erforderlich, einen NDV-4-zertifizierten Hypervisor zu verwenden, der Schutz gegen sie bieten sollte. Und dies wird ausreichen, um ein Zertifikat über die Konformität der öffentlichen Cloud mit den Stufen 1 und 2 der PD-Sicherheit zu erhalten, mit dem Roskomnadzor vollständig zufrieden sein wird.
Natürlich kann die FSTEC zusätzlich zu Roskomnadzor einen Scheck mitbringen - und diese Organisation ist in technischen Angelegenheiten viel sorgfältiger. Sie wird wahrscheinlich interessiert sein, warum genau die Bedrohungen von UBI.44 und UBI.101 als irrelevant erkannt wurden? Normalerweise prüft die FSTEC jedoch nur, wenn sie Informationen über einen auffälligen Vorfall erhält. In diesem Fall kommt der Bundesdienst zuerst zum Persdan-Betreiber, dh zum Kunden der Cloud-Dienste. Im schlimmsten Fall erhält der Betreiber eine kleine Geldstrafe - zum Beispiel für Twitter zu Beginn des Jahres betrug die
Geldstrafe in einem ähnlichen Fall 5.000 Rubel. Anschließend wechselt FSTEC zum Cloud-Dienstanbieter. Die Lizenz kann aufgrund der Nichteinhaltung gesetzlicher Vorschriften entzogen werden - und dies sind völlig unterschiedliche Risiken sowohl für den Cloud-Anbieter als auch für seine Kunden. Ich wiederhole jedoch, dass
normalerweise ein klarer Grund erforderlich ist, um die FSTEC zu überprüfen. Cloud-Anbieter sind also bereit, Risiken einzugehen. Bis zum ersten schweren Vorfall.
Es gibt auch eine Gruppe von „verantwortungsbewussteren“ Anbietern, die glauben, dass es möglich ist, alle Bedrohungen durch Hinzufügen eines Hypervisors mit einem Add-In wie vGate zu schließen. In einer virtuellen Umgebung, die für einige Bedrohungen unter Kunden verteilt ist (z. B. UBI.101 oben), kann ein wirksamer Schutzmechanismus jedoch nur auf der Ebene eines NDV-4-zertifizierten Hypervisors implementiert werden, da alle Add-On-Systeme für Standardfunktionen des Hypervisors für das Ressourcenmanagement (insbesondere) funktionieren RAM) sind nicht betroffen.
Wie arbeiten wir?
Wir haben ein
Cloud-Segment auf einem von FSTEC zertifizierten Hypervisor implementiert (jedoch ohne Zertifizierung für NDV-4). Dieses Segment ist zertifiziert, so dass darauf basierende personenbezogene Daten
der Sicherheitsstufen 3 und 4 in der Cloud abgelegt werden können - die Anforderungen zum Schutz vor nicht angemeldeten Funktionen müssen hier nicht beachtet werden. Hier ist übrigens die Architektur unseres sicheren Cloud-Segments:
Systeme für personenbezogene Daten der
Sicherheitsstufen 1 und 2 implementieren wir nur auf dedizierten Geräten. Nur in diesem Fall ist beispielsweise die Bedrohung durch UBI.101 wirklich nicht relevant, da Server-Racks, die nicht durch eine virtuelle Umgebung verbunden sind, sich selbst dann nicht beeinflussen können, wenn sie sich im selben Rechenzentrum befinden. In solchen Fällen bieten wir einen speziellen Ausrüstungsverleih an (dies wird auch als Hardware als Dienstleistung, Ausrüstung als Dienstleistung bezeichnet).
Wenn Sie nicht sicher sind, welche Sicherheitsstufe für Ihr persönliches Datensystem erforderlich ist, helfen wir Ihnen auch bei deren Klassifizierung.
Fazit
Unsere kleine Marktforschung hat gezeigt, dass einige Cloud-Betreiber bereit sind, sowohl die Sicherheit von Kundendaten als auch ihre eigene Zukunft zu riskieren, um eine Bestellung zu erhalten. Wir halten uns jedoch in diesen Angelegenheiten an eine andere Politik, die wir kurz etwas höher beschrieben haben. Gerne beantworten wir Ihre Fragen in den Kommentaren.