D'une manière ou d'une autre, une application pour les services cloud nous est venue. Nous avons déterminé en termes généraux ce qui serait exigé de nous et renvoyé une liste de questions pour clarifier les détails. Ensuite, nous avons analysé les réponses et réalisé: le client souhaite placer des données personnelles du deuxième niveau de sécurité dans le cloud. Nous lui répondons: "Vous avez le deuxième niveau de Perses, désolé, nous ne pouvons faire qu'un cloud privé." Et lui: "Vous savez, mais dans la société X, ils peuvent tout mettre dans un lieu public pour moi."
Photo de Steve Crisp, ReutersDes choses étranges! Nous sommes allés sur le site de la société X, avons étudié leurs documents de certification, secoué la tête et réalisé: il y a beaucoup de questions ouvertes dans le placement des persdans et ils doivent être correctement ventilés. Ce que nous ferons dans ce post.
Comment ça devrait fonctionner
Pour commencer, nous comprendrons par quels critères les données personnelles sont généralement attribuées à un niveau de sécurité particulier. Cela dépend de la catégorie de données, du nombre de sujets de ces données que l'opérateur stocke et traite, ainsi que du type de menaces réelles.
Les types de menaces réelles sont définis dans le
décret du gouvernement de la Fédération de Russie n ° 1119 du 1er novembre 2012 «sur l'approbation des exigences de protection des données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles»:
«Les menaces du 1er type sont pertinentes pour un système d'information si, pour lui, les menaces liées à la présence de capacités non documentées (non déclarées) dans le logiciel système utilisé dans le système d'information le concernent également.
Les menaces du 2e type sont pertinentes pour le système d'information si, pour lui, les menaces liées à la présence de capacités non documentées (non déclarées) dans le logiciel d'application utilisé dans le système d'information le concernent également.
Les menaces du troisième type sont pertinentes pour un système d'information si les menaces qui le concernent ne sont pas liées à la présence de capacités non documentées (non déclarées) dans le système et les logiciels d'application utilisés dans le système d'information. »
L'essentiel de ces définitions est la présence d'opportunités non documentées (non déclarées). Pour confirmer l'absence de capacités logicielles non documentées (dans le cas du cloud, il s'agit d'un hyperviseur), le FSTEC de Russie est certifié. Si l'opérateur PD accepte qu'il n'y a pas de telles capacités dans le logiciel, alors les menaces correspondantes ne sont pas pertinentes. Les menaces des 1er et 2e types sont extrêmement rarement acceptées par les opérateurs de DP comme pertinentes.
En plus de déterminer le niveau de sécurité des données personnelles, l'opérateur doit également déterminer les menaces réelles spécifiques pesant sur le cloud public et, en fonction du niveau de sécurité identifié des données personnelles et des menaces réelles, déterminer les mesures et moyens de protection nécessaires contre celles-ci.
Au FSTEC, toutes les principales menaces sont clairement répertoriées dans l'
EDR (base de données de ces menaces). Les fournisseurs et les certificateurs d'infrastructures cloud utilisent cette base de données dans leur travail. Voici quelques exemples de menaces:
UBI.44 : «La menace réside dans la possibilité de violer la sécurité des données utilisateur des programmes opérant à l'intérieur de la machine virtuelle par des logiciels malveillants opérant à l'extérieur de la machine virtuelle.» Cette menace est causée par la présence de vulnérabilités dans le logiciel de l'hyperviseur qui isole l'espace d'adressage utilisé pour stocker les données utilisateur des programmes fonctionnant à l'intérieur de la machine virtuelle contre tout accès non autorisé par des logiciels malveillants fonctionnant à l'extérieur de la machine virtuelle.
La réalisation de cette menace est possible à condition que le logiciel malveillant surmonte avec succès les limites de la machine virtuelle, non seulement en exploitant les vulnérabilités de l'hyperviseur, mais également en mettant en œuvre un tel impact à partir de niveaux de fonctionnement du système inférieurs (par rapport à l'hyperviseur). »
UBI.101 : «La menace réside dans la possibilité d'un accès non autorisé aux informations protégées d'un consommateur de services cloud d'un autre. Cette menace est due au fait qu'en raison de la nature des technologies cloud, les consommateurs de services cloud doivent partager la même infrastructure cloud. La mise en œuvre de cette menace est possible si des erreurs sont commises lors du partage des éléments d'infrastructure cloud entre les consommateurs de services cloud, ainsi que lors de l'isolement de leurs ressources et de l'isolement des données les uns des autres. »
Vous ne pouvez vous protéger de ces menaces qu'avec l'aide d'un hyperviseur, car c'est lui qui gère les ressources virtuelles. Ainsi, l'hyperviseur doit être considéré comme un moyen de protection.
Et conformément à l'
ordonnance du FSTEC n ° 21 du 18 février 2013, l'hyperviseur doit être certifié pour l'absence de NDV au niveau 4, sinon l'utilisation des données personnelles des niveaux 1 et 2 avec lui sera illégale (
"Clause 12. ... Fournir 1 et 2 niveaux de sécurité des données personnelles, ainsi que d'assurer 3 niveaux de sécurité des données personnelles dans les systèmes d'information, pour lesquels les menaces du 2e type sont classées pertinentes, des outils de protection des informations sont utilisés, dont le logiciel a été testé au moins au niveau 4 de contrôle Je non déclarés capacités « ).Le niveau de certification requis, NDV-4, est possédé par un seul hyperviseur, du développement russe -
Horizon VS. Pour le dire légèrement, ce n'est pas la solution la plus populaire. Les clouds commerciaux sont généralement construits sur la base de VMware vSphere, KVM, Microsoft Hyper-V. Aucun de ces produits n'est certifié pour NDV-4. Pourquoi? De toute évidence, l'obtention d'une telle certification pour les fabricants n'est pas encore économiquement justifiée.
Et seul l'horizon du soleil nous reste pour les personnes de niveau 1 et de niveau 2 dans un cloud public. Triste mais vrai.
Comment tout (à notre avis) fonctionne réellement
À première vue, tout est assez strict: ces menaces devraient être éliminées en mettant correctement en place des mécanismes de protection standard pour l'hyperviseur certifié NDV-4. Mais il y a une faille. Conformément à l'Ordonnance du FSTEC n ° 21 (
«Article 2, la sécurité des données personnelles lors de leur traitement dans le système d'information sur les données personnelles (ci-après dénommé le système d'information) est assurée par l'opérateur ou la personne qui traite les données personnelles pour le compte de l'opérateur conformément à la législation de la Fédération de Russie» ), les prestataires évaluent de manière indépendante la pertinence des menaces possibles et, conformément à cela, choisissent des mesures de protection. Par conséquent, si les menaces de UBI.44 et UBI.101 ne sont pas acceptées comme pertinentes, alors il ne sera pas nécessaire d'utiliser un hyperviseur certifié NDV-4, qui devrait fournir une protection contre eux. Et cela suffira pour obtenir un certificat de conformité du cloud public aux niveaux 1 et 2 de sécurité PD, dont Roskomnadzor sera entièrement satisfait.
Bien sûr, en plus de Roskomnadzor, le FSTEC peut venir avec un chèque - et cette organisation est beaucoup plus méticuleuse en matière technique. Elle sera probablement intéressée à savoir pourquoi précisément les menaces de UBI.44 et UBI.101 ont été reconnues comme non pertinentes? Mais généralement, le FSTEC ne vérifie que lorsqu'il reçoit des informations sur un incident frappant. Dans ce cas, le service fédéral vient d'abord à l'opérateur Persdan, c'est-à-dire le client des services cloud. Dans le pire des cas, l'opérateur reçoit une petite amende - par exemple, pour Twitter au début de l'année, l'
amende dans un cas similaire s'élevait à 5 000 roubles. Ensuite, FSTEC passe au fournisseur de services cloud. Ce qui pourrait bien être privé d'une licence en raison du non-respect des exigences réglementaires - et ce sont des risques complètement différents pour le fournisseur de cloud et ses clients. Mais, je le répète,
une raison claire est généralement nécessaire pour vérifier le FSTEC. Les fournisseurs de cloud sont donc prêts à prendre des risques. Jusqu'au premier incident grave.
Il existe également un groupe de fournisseurs «plus responsables» qui pensent qu'il est possible de fermer toutes les menaces en ajoutant un hyperviseur avec un complément comme vGate. Mais dans un environnement virtuel réparti entre les clients pour certaines menaces (par exemple, l'UBI.101 ci-dessus), un mécanisme de protection efficace ne peut être implémenté qu'au niveau d'un hyperviseur certifié NDV-4, car tout système complémentaire pour les fonctions standard de l'hyperviseur de gestion des ressources fonctionne (en particulier RAM) ne sont pas affectés.
Comment travaillons-nous
Nous avons un
segment cloud implémenté sur un hyperviseur certifié par FSTEC (mais sans certification pour NDV-4). Ce segment est certifié, de sorte qu'il est possible de placer des données personnelles
des niveaux de sécurité 3 et 4 dans le cloud en fonction de celui-ci - les exigences de protection contre les capacités non déclarées ne doivent pas être respectées ici. Voici, en passant, l'architecture de notre segment cloud sécurisé:
Systèmes pour les données personnelles de
1 et 2 niveaux de sécurité que nous mettons en œuvre uniquement sur un équipement dédié. Ce n'est que dans ce cas, par exemple, que la menace UBI.101 n'est vraiment pas pertinente, car les racks de serveurs qui ne sont pas unis par un environnement virtuel ne peuvent pas s'influencer même lorsqu'ils sont placés dans le même centre de données. Dans de tels cas, nous proposons un service de location d'équipement dédié (il est également appelé Hardware as a service, equipment as a service).
Si vous n'êtes pas sûr du niveau de sécurité requis pour votre système de données personnelles, nous aidons également à leur classification.
Conclusion
Notre petite étude de marché a montré que certains opérateurs cloud sont prêts à risquer à la fois la sécurité des données clients et leur propre avenir pour recevoir une commande. Mais nous adhérons à une politique différente en la matière, que nous avons brièvement décrite un peu plus haut. Nous serons heureux de répondre dans les commentaires à vos questions.