Виртуализация – неотъемлемая часть большинства современных инфраструктур. Интеграция в неё различных продуктов, в том числе средств информационной безопасности (ИБ), имеет определенную специфику. В заметке рассмотрены требования к среде виртуализации при использовании в ней сертифицированных средств криптографической защиты информации (СКЗИ).
Начнем с существующей нормативной базы в области защиты виртуализации.
ГНИИИ ПТЗИ ФСТЭК России и ТК 362:
Банк России:
Стандарт «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации» (РС БР ИББС-2.8-2015), содержащий рекомендации по разделению потоков в виртуальной среде, обеспечению безопасности виртуальных машин (ВМ), их образов и терминалов, а также мониторингу ИБ и разграничению полномочий.
ФСТЭК России:
В приказах №17/21/31 указан единый набор мер защиты для различных уровней защищенности:
В относительно новом приказе ФСТЭК России №239 «Об утверждении Требований по обеспечению безопасности ЗО КИИ РФ» по обеспечению безопасности значимых объектов КИИ виртуализация упомянута без конкретного перечня мер защиты (указана одна мера – «Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных»).
При этом ФСТЭК не имеет специальных руководящих документов по сертификации виртуальных сред, но ряд производителей сертифицировали свои продукты на соответствие техническим условиям. Средства защиты, работающие в виртуальной среде, могут быть сертифицированы, например, как межсетевые экраны уровня логических границ сети в программном исполнении (тип «Б») или системы обнаружения вторжений (СОВ).
ФСБ же занимается сертификацией в более узких областях ИБ, в основном криптографией, и ряд сертифицированных средств криптографической защиты информации (СКЗИ) могут работать в виртуальной среде при соблюдении ряда дополнительных требований, указанных в правилах пользования.
Рассмотрим вопрос – реально ли использовать СКЗИ в виртуальной среде с соблюдением правил пользования, согласованных при сертификации.
Сразу нужно сказать, что на данный момент СКЗИ разных производителей, работающие в виртуальной среде, сертифицированы в ФСБ России как СКЗИ по классу КС1. Прецедентов повышения класса до КС2 пока не было, связано это с более жесткими требованиями в части защиты от несанкционированного доступа. Реализовать их можно с помощью средств доверенной загрузки или сертифицировав гипервизор. На российском рынке перечень таких продуктов крайне ограничен, широкого распространения они пока не получили. В связи с этим рассмотрим общие принципы правил пользования для СКЗИ, сертифицированных по классу КС1, при работе в виртуальной среде.
На данным момент в ФСБ России как СКЗИ по классу КС1 сертифицированы следующие продукты, которые могут использоваться в виртуальной среде (список будет дополняться - пишите в комментариях либо в FB):
C-Терра СиЭсПи:
Инфотекс:
Крипто-Про:
Код Безопасности:
При эксплуатации СКЗИ, работающих в виртуальной среде, должны соблюдаться требования по физическому размещению, аналогичные требованиям для аппаратных средств. В частности, охрана, пропускной режим, контроль периметра и т.д. В большинстве современных серверных и тем более в центрах обработки данных эти требования выполняются.
Использование виртуализации подразумевает удаленный доступ к ресурсам с клиентских мест, соответственно потребуется защита самих терминалов, запрещается оставлять их без контроля.
Перечень гипервизоров и их версии фиксируются на этапе тематических исследований. Для каждого гипервизора производитель СКЗИ описывает требования к эксплуатации (например, перечень файлов для контроля целостности). При этом рекомендуется регулярно устанавливать пакеты обновления безопасности, обновлять инструменты виртуализации, а также утилиты, используемые для управления средой виртуализации. Учитывая наличие множества уязвимостей, а также динамику роста их количества, пренебрегать установкой обновлений точно не стоит. Например, за последний год было выявлено множество уязвимостей аппаратной части – процессоров Intel, начиная от оригинальных Spectre и Meltdown до L1TF (L1 Terminal Fault), которые с разной степенью надёжности закрываются патчами, выпускаемыми производителями гипервизоров. Теоретически возможна ситуация, когда пользователю требуется новая версия гипервизора (или версия с патчем), которая отсутствует в документации производителя СКЗИ. В этом случае производитель СКЗИ инициирует работы испытательной лаборатории по контролю изменений и далее обращается к регулятору. Если производитель СКЗИ имеет аккредитацию испытательной лаборатории, как, например, «С-Терра СиЭсПи», то сроки выполнения таких работ существенно сокращаются.
Гипервизор имеет возможность влиять на функционирование СКЗИ, поэтому потребуется разграничение полномочий администраторов. Необходимо как минимум две роли - администратор виртуальной инфраструктуры, осуществляющий управление ВМ, серверными компонентами, системой хранения данных, а также администратор безопасности, формирующий политику безопасности, ключевую информацию и другие настройки непосредственно СКЗИ. По сути обе эти роли формально являются администратором СКЗИ. Технически требование реализуется штатными средствами большинства популярных гипервизоров, а также организационными мерами.
Взаимодействие с другими виртуальными машинами (ВМ)
Для защиты от несанкционированного доступа (НСД) требуется контроль информационного обмена между ВМ, в том числе общих областей оперативной памяти хоста. Актуальность угроз данного типа подтверждает целый ряд указанных выше уязвимостей. Защита реализуется встроенными средствами гипервизора или отдельными средствами защиты от НСД. Помимо этого, нужно помнить, что меры безопасности следует применять не только к ВМ с СКЗИ и гипервизору, но и ко всем другим машинам на этом гипервизоре.
На ВМ с СКЗИ, а также на другие ВМ не должны устанавливаться средства разработки ПО и отладчики. Если средства отладки приложений нужны для технологических потребностей организации, то их использование должно быть санкционировано администратором безопасности. При этом должны быть реализованы меры, исключающие возможность редактирования и просмотр кода и памяти СКЗИ, а также приложений, использующих СКЗИ. Обычно для реализации достаточно организационных мер защиты.
При передаче (миграции) ВМ с СКЗИ по каналам связи вне контролируемой зоны необходимо обеспечить защиту этих каналов сертифицированными средствами защиты.
После ввода в СКЗИ ключевой информации на файл с образом, а также на последующие снапшоты и резервные копии распространяются требования по обращению с ключевыми носителями.
ФСБ России не накладывает вето на сертификацию СКЗИ в виртуальной среде, целый ряд средств защиты сертифицированы по классу КС1. Для каждого продукта существует ряд ограничений и рекомендаций по использованию в виртуальной среде, исходя из специфических угроз виртуализации. Ограничения делают её эксплуатацию менее удобной, но не перечеркивают большинства преимуществ.
Нормативная база
Начнем с существующей нормативной базы в области защиты виртуализации.
ГНИИИ ПТЗИ ФСТЭК России и ТК 362:
- ГОСТ Р 56938—2016 «Защита информации при использовании технологий виртуализации». Документ содержит описание терминологии, объектов защиты, угроз безопасности, а также особенности реализации мер защиты в виртуальной среде,
- Проект ГОСТ «Требования по защите информации, обрабатываемой с использованием технологии облачных вычислений». Содержание схоже с предыдущим документом, но более конкретно описаны перечни угроз ИБ для поставщиков и потребителей облачных услуг.
Банк России:
Стандарт «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации» (РС БР ИББС-2.8-2015), содержащий рекомендации по разделению потоков в виртуальной среде, обеспечению безопасности виртуальных машин (ВМ), их образов и терминалов, а также мониторингу ИБ и разграничению полномочий.
ФСТЭК России:
В приказах №17/21/31 указан единый набор мер защиты для различных уровней защищенности:
В относительно новом приказе ФСТЭК России №239 «Об утверждении Требований по обеспечению безопасности ЗО КИИ РФ» по обеспечению безопасности значимых объектов КИИ виртуализация упомянута без конкретного перечня мер защиты (указана одна мера – «Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных»).
При этом ФСТЭК не имеет специальных руководящих документов по сертификации виртуальных сред, но ряд производителей сертифицировали свои продукты на соответствие техническим условиям. Средства защиты, работающие в виртуальной среде, могут быть сертифицированы, например, как межсетевые экраны уровня логических границ сети в программном исполнении (тип «Б») или системы обнаружения вторжений (СОВ).
ФСБ же занимается сертификацией в более узких областях ИБ, в основном криптографией, и ряд сертифицированных средств криптографической защиты информации (СКЗИ) могут работать в виртуальной среде при соблюдении ряда дополнительных требований, указанных в правилах пользования.
Использование СКЗИ
Рассмотрим вопрос – реально ли использовать СКЗИ в виртуальной среде с соблюдением правил пользования, согласованных при сертификации.
Сразу нужно сказать, что на данный момент СКЗИ разных производителей, работающие в виртуальной среде, сертифицированы в ФСБ России как СКЗИ по классу КС1. Прецедентов повышения класса до КС2 пока не было, связано это с более жесткими требованиями в части защиты от несанкционированного доступа. Реализовать их можно с помощью средств доверенной загрузки или сертифицировав гипервизор. На российском рынке перечень таких продуктов крайне ограничен, широкого распространения они пока не получили. В связи с этим рассмотрим общие принципы правил пользования для СКЗИ, сертифицированных по классу КС1, при работе в виртуальной среде.
На данным момент в ФСБ России как СКЗИ по классу КС1 сертифицированы следующие продукты, которые могут использоваться в виртуальной среде (список будет дополняться - пишите в комментариях либо в FB):
C-Терра СиЭсПи:
- C-Терра Шлюз
- С-Терра Клиент
Инфотекс:
- ViPNet CSP
- ViPNet Client
- ViPNet Coordinator for Linux
Крипто-Про:
- Крипто-Про CSP
Код Безопасности:
- Континент АП
Размещение
При эксплуатации СКЗИ, работающих в виртуальной среде, должны соблюдаться требования по физическому размещению, аналогичные требованиям для аппаратных средств. В частности, охрана, пропускной режим, контроль периметра и т.д. В большинстве современных серверных и тем более в центрах обработки данных эти требования выполняются.
Использование виртуализации подразумевает удаленный доступ к ресурсам с клиентских мест, соответственно потребуется защита самих терминалов, запрещается оставлять их без контроля.
Гипервизоры
Перечень гипервизоров и их версии фиксируются на этапе тематических исследований. Для каждого гипервизора производитель СКЗИ описывает требования к эксплуатации (например, перечень файлов для контроля целостности). При этом рекомендуется регулярно устанавливать пакеты обновления безопасности, обновлять инструменты виртуализации, а также утилиты, используемые для управления средой виртуализации. Учитывая наличие множества уязвимостей, а также динамику роста их количества, пренебрегать установкой обновлений точно не стоит. Например, за последний год было выявлено множество уязвимостей аппаратной части – процессоров Intel, начиная от оригинальных Spectre и Meltdown до L1TF (L1 Terminal Fault), которые с разной степенью надёжности закрываются патчами, выпускаемыми производителями гипервизоров. Теоретически возможна ситуация, когда пользователю требуется новая версия гипервизора (или версия с патчем), которая отсутствует в документации производителя СКЗИ. В этом случае производитель СКЗИ инициирует работы испытательной лаборатории по контролю изменений и далее обращается к регулятору. Если производитель СКЗИ имеет аккредитацию испытательной лаборатории, как, например, «С-Терра СиЭсПи», то сроки выполнения таких работ существенно сокращаются.
Администрирование
Гипервизор имеет возможность влиять на функционирование СКЗИ, поэтому потребуется разграничение полномочий администраторов. Необходимо как минимум две роли - администратор виртуальной инфраструктуры, осуществляющий управление ВМ, серверными компонентами, системой хранения данных, а также администратор безопасности, формирующий политику безопасности, ключевую информацию и другие настройки непосредственно СКЗИ. По сути обе эти роли формально являются администратором СКЗИ. Технически требование реализуется штатными средствами большинства популярных гипервизоров, а также организационными мерами.
Взаимодействие с другими виртуальными машинами (ВМ)
Для защиты от несанкционированного доступа (НСД) требуется контроль информационного обмена между ВМ, в том числе общих областей оперативной памяти хоста. Актуальность угроз данного типа подтверждает целый ряд указанных выше уязвимостей. Защита реализуется встроенными средствами гипервизора или отдельными средствами защиты от НСД. Помимо этого, нужно помнить, что меры безопасности следует применять не только к ВМ с СКЗИ и гипервизору, но и ко всем другим машинам на этом гипервизоре.
На ВМ с СКЗИ, а также на другие ВМ не должны устанавливаться средства разработки ПО и отладчики. Если средства отладки приложений нужны для технологических потребностей организации, то их использование должно быть санкционировано администратором безопасности. При этом должны быть реализованы меры, исключающие возможность редактирования и просмотр кода и памяти СКЗИ, а также приложений, использующих СКЗИ. Обычно для реализации достаточно организационных мер защиты.
Миграция и отказоустойчивость
При передаче (миграции) ВМ с СКЗИ по каналам связи вне контролируемой зоны необходимо обеспечить защиту этих каналов сертифицированными средствами защиты.
После ввода в СКЗИ ключевой информации на файл с образом, а также на последующие снапшоты и резервные копии распространяются требования по обращению с ключевыми носителями.
Резюме
ФСБ России не накладывает вето на сертификацию СКЗИ в виртуальной среде, целый ряд средств защиты сертифицированы по классу КС1. Для каждого продукта существует ряд ограничений и рекомендаций по использованию в виртуальной среде, исходя из специфических угроз виртуализации. Ограничения делают её эксплуатацию менее удобной, но не перечеркивают большинства преимуществ.
Появились ли на рынке СКЗИ выше КС1 дляэвиртуальных сред?
ОтветитьУдалить