Entah bagaimana aplikasi untuk layanan cloud datang kepada kami. Kami menemukan secara umum apa yang akan diminta dari kami, dan mengirim kembali daftar pertanyaan untuk mengklarifikasi detailnya. Kemudian kami menganalisis jawaban dan menyadari: pelanggan ingin menempatkan data pribadi tingkat keamanan kedua di cloud. Kami menjawabnya: "Anda memiliki Persia tingkat kedua, maaf, kami hanya dapat membuat cloud pribadi." Dan dia: "Kamu tahu, tapi di Perusahaan X mereka bisa meletakkan semuanya di tempat umum untukku."
Foto oleh Steve Crisp, ReutersHal-hal aneh! Kami pergi ke situs perusahaan X, mempelajari dokumen sertifikasi mereka, menggelengkan kepala dan memahami: ada banyak pertanyaan terbuka dalam penempatan orang-orang dan mereka harus berventilasi dengan baik. Apa yang akan kita lakukan di posting ini.
Bagaimana cara kerjanya
Untuk mulai dengan, kami akan mengerti dengan kriteria apa data pribadi umumnya dikaitkan dengan tingkat keamanan tertentu. Tergantung pada kategori data, pada jumlah subjek dari data ini yang disimpan dan diproses oleh operator, serta pada jenis ancaman aktual.
Jenis-jenis ancaman aktual didefinisikan dalam
Keputusan Pemerintah Federasi Rusia No. 1119 tanggal 1 November 2012 "Atas persetujuan persyaratan untuk perlindungan data pribadi selama pemrosesan dalam sistem informasi data pribadi":
“Ancaman tipe 1 relevan untuk sistem informasi jika, untuk itu, ancaman yang terkait dengan keberadaan kemampuan tidak terdokumentasi (tidak dideklarasikan) dalam perangkat lunak sistem yang digunakan dalam sistem informasi juga relevan untuk itu.
Ancaman tipe ke-2 relevan untuk sistem informasi jika, untuk itu, ancaman yang terkait dengan keberadaan kemampuan yang tidak didokumentasikan (tidak dideklarasikan) dalam perangkat lunak aplikasi yang digunakan dalam sistem informasi juga relevan untuk itu.
Ancaman tipe ke-3 relevan untuk sistem informasi jika ancaman yang relevan dengannya tidak terkait dengan keberadaan kemampuan yang tidak terdokumentasi (tidak diumumkan) dalam sistem dan perangkat lunak aplikasi yang digunakan dalam sistem informasi. "
Hal utama dalam definisi ini adalah adanya peluang yang tidak terdokumentasi (tidak diumumkan). Untuk mengkonfirmasi tidak adanya kemampuan perangkat lunak tidak berdokumen (dalam hal cloud itu adalah hypervisor), FSTEC dari Rusia disertifikasi. Jika operator PD menerima bahwa tidak ada kemampuan seperti itu dalam perangkat lunak, maka ancaman yang terkait tidak relevan. Ancaman tipe 1 dan 2 sangat jarang diterima oleh operator PD yang relevan.
Selain menentukan tingkat keamanan data pribadi, operator juga harus menentukan ancaman aktual spesifik terhadap cloud publik dan, berdasarkan tingkat keamanan data pribadi yang teridentifikasi dan ancaman aktual, menentukan langkah-langkah yang diperlukan dan sarana perlindungan terhadapnya.
Di FSTEC, semua ancaman utama dengan jelas tercantum dalam
BDU (basis data ancaman ini). Penyedia dan pemberi sertifikat infrastruktur cloud menggunakan database ini dalam pekerjaan mereka. Berikut ini beberapa contoh ancaman:
UBI.44 : " Ancamannya terletak pada kemungkinan melanggar keamanan data pengguna program yang beroperasi di dalam mesin virtual oleh perangkat lunak berbahaya yang beroperasi di luar mesin virtual." Ancaman ini disebabkan oleh adanya kerentanan dalam perangkat lunak hypervisor yang mengisolasi ruang alamat yang digunakan untuk menyimpan data pengguna dari program yang beroperasi di dalam mesin virtual dari akses tidak sah oleh perangkat lunak berbahaya yang beroperasi di luar mesin virtual.
Realisasi ancaman ini dimungkinkan asalkan perangkat lunak berbahaya berhasil mengatasi batas-batas mesin virtual, tidak hanya dengan mengeksploitasi kerentanan hypervisor, tetapi juga dengan menerapkan dampak seperti itu dari tingkat fungsi sistem yang lebih rendah (sehubungan dengan hypervisor). ”
UBI.101 : “ Ancamannya terletak pada kemungkinan akses tidak sah ke informasi yang dilindungi dari satu pengguna layanan cloud dari pelanggan lainnya. Ancaman ini disebabkan oleh fakta bahwa karena sifat teknologi cloud, konsumen layanan cloud harus berbagi infrastruktur cloud yang sama. Penerapan ancaman ini dimungkinkan jika terjadi kesalahan saat berbagi elemen infrastruktur cloud antara konsumen layanan cloud, serta saat mengisolasi sumber daya mereka dan mengisolasi data satu sama lain. "
Anda dapat melindungi diri dari ancaman ini hanya dengan bantuan hypervisor, karena dialah yang mengelola sumber daya virtual. Dengan demikian, hypervisor harus dianggap sebagai alat perlindungan.
Dan sesuai dengan
urutan FSTEC No. 21 Februari 18, 2013, hypervisor harus disertifikasi karena tidak adanya NDV pada level 4, jika tidak, penggunaan data pribadi level 1 dan 2 dengan itu akan ilegal (
"Klausul 12. ... Untuk memastikan 1 dan 2 tingkat keamanan data pribadi, serta memberikan 3 tingkat keamanan data pribadi dalam sistem informasi, yang ancaman tipe 2 diklasifikasikan sebagai relevan, alat perlindungan informasi digunakan, perangkat lunak yang diuji tidak lebih rendah daripada pada level 4 kontrol Saya dideklarasikan kemampuan ").Level sertifikasi yang disyaratkan, NDV-4, hanya dimiliki oleh satu hypervisor, dari pengembangan Rusia -
Horizon VS. Singkatnya, bukan solusi yang paling populer. Awan komersial biasanya dibangun berdasarkan VMware vSphere, KVM, Microsoft Hyper-V. Tidak satu pun dari produk ini yang disertifikasi untuk NDV-4. Mengapa Jelas, mendapatkan sertifikasi seperti itu untuk produsen belum dibenarkan secara ekonomi.
Dan hanya Cakrawala Matahari yang tersisa bagi kita untuk level 1 dan level 2 di cloud publik. Sedih tapi benar.
Bagaimana semuanya (menurut kami) benar-benar berfungsi
Pada pandangan pertama, semuanya sangat ketat: ancaman ini harus dihilangkan dengan menyiapkan mekanisme perlindungan standar untuk hypervisor bersertifikat NDV-4. Tetapi ada satu celah. Sesuai dengan Urutan FSTEC No. 21 (
"Klausul 2, keamanan data pribadi selama pemrosesan dalam sistem informasi data pribadi (selanjutnya disebut sebagai sistem informasi) disediakan oleh operator atau orang yang memproses data pribadi atas nama operator sesuai dengan undang - undang Federasi Rusia" ), penyedia secara independen mengevaluasi relevansi ancaman yang mungkin terjadi dan, sesuai dengan ini, memilih tindakan perlindungan. Oleh karena itu, jika ancaman UBI.44 dan UBI.101 tidak diterima sebagai relevan, maka juga tidak perlu menggunakan hypervisor bersertifikat NDV-4, yang seharusnya memberikan perlindungan terhadap mereka. Dan ini akan cukup untuk mendapatkan sertifikat kepatuhan cloud publik dengan level 1 dan 2 keamanan PD, yang akan sepenuhnya dipenuhi oleh Roskomnadzor.
Tentu saja, selain Roskomnadzor, FSTEC dapat datang dengan cek - dan organisasi ini jauh lebih teliti dalam masalah teknis. Dia mungkin akan tertarik pada mengapa ancaman UBI.44 dan UBI.101 diakui sebagai tidak relevan? Tetapi biasanya FSTEC hanya memeriksa ketika menerima informasi tentang beberapa insiden yang mencolok. Dalam hal ini, layanan federal pertama kali datang ke operator Persdan - yaitu, pelanggan layanan cloud. Dalam kasus terburuk, operator menerima denda kecil - misalnya, untuk Twitter di awal tahun,
denda dalam kasus serupa berjumlah 5.000 rubel. Kemudian FSTEC beralih ke penyedia layanan cloud. Yang mungkin kehilangan lisensi karena tidak mematuhi persyaratan peraturan - dan ini adalah risiko yang sama sekali berbeda untuk penyedia cloud dan pelanggannya. Tapi, saya ulangi,
alasan yang jelas biasanya diperlukan untuk memverifikasi FSTEC. Jadi penyedia cloud bersedia mengambil risiko. Hingga insiden serius pertama.
Ada juga sekelompok penyedia “lebih bertanggung jawab” yang percaya bahwa mungkin untuk menutup semua ancaman dengan menambahkan hypervisor dengan add-in seperti vGate. Tetapi dalam lingkungan virtual yang didistribusikan di antara pelanggan untuk ancaman tertentu (misalnya, UBI.101 di atas), mekanisme perlindungan yang efektif hanya dapat diimplementasikan pada tingkat hypervisor bersertifikat NDV-4, karena sistem tambahan apa pun untuk fungsi standar dari pekerjaan hypervisor manajemen sumber daya (khususnya RAM) tidak terpengaruh.
Bagaimana kita bekerja
Kami memiliki
segmen cloud yang diimplementasikan pada hypervisor yang disertifikasi oleh FSTEC (tetapi tanpa sertifikasi untuk NDV-4). Segmen ini disertifikasi, sehingga dimungkinkan untuk menempatkan data pribadi
tingkat keamanan 3 dan 4 di cloud berdasarkan itu - persyaratan untuk perlindungan terhadap kemampuan yang tidak diumumkan tidak perlu diamati di sini. Omong-omong, inilah arsitektur segmen cloud aman kami:
Sistem untuk data pribadi
tingkat keamanan 1 dan 2 yang kami terapkan hanya pada peralatan khusus. Hanya dalam kasus ini, misalnya, ancaman UBI.101 benar-benar tidak relevan, karena rak server yang tidak disatukan oleh satu lingkungan virtual tidak dapat saling memengaruhi bahkan ketika ditempatkan di pusat data yang sama. Untuk kasus-kasus seperti itu, kami menawarkan layanan penyewaan peralatan khusus (ini juga disebut Perangkat Keras sebagai layanan, peralatan sebagai layanan).
Jika Anda tidak yakin tingkat keamanan apa yang diperlukan untuk sistem data pribadi Anda, kami juga membantu dalam klasifikasi mereka.
Kesimpulan
Penelitian pasar kecil kami menunjukkan bahwa beberapa operator cloud siap mengambil risiko keamanan data pelanggan dan masa depan mereka sendiri untuk menerima pesanan. Tetapi kami mematuhi kebijakan yang berbeda dalam masalah ini, yang kami jelaskan sedikit lebih tinggi. Kami akan dengan senang hati menjawab di komentar pertanyaan Anda.