среда, 14 августа 2013 г.

Несегментирование виртуализации


В одном из своих прошлых постов, я довел рассуждение до мысли, что для защиты виртуальной среды нет необходимости использовать сертифицированные СЗИ. И уж тем более банкам. Дальнейшее развитие мысли мне подсказал мой коллега и вот в чем оно заключается.
Привожу конкретное требование из 21 Приказа ФСТЭК:

Содержание
УЗ-4
УЗ-3
УЗ-2
УЗ-1
ЗСВ.10  
Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей        

+
+
+

Получается, что начиная с УЗ-3 уже необходимо морочиться с сегментацией. Однако в требовании ничего не говорится о сегментировании в зависимости от УЗ.
Теперь привожу другое требование о сегментировании систем вообще:

Содержание
УЗ-4
УЗ-3
УЗ-2
УЗ-1
ЗИС.17  
Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов
информационной системы                             


+
+

Здесь уже сегментирование начинается с УЗ-2. Также ничего не говорится о зависимости от УЗ.Смотрю Приказ выше и привожу общее требование по виртуализации:

8.11. Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.

Спрашивается, почему не нужно сегментировать железо и нужно сегментировать виртуализацию? Понятно, что в этом случае риски выше (сбои, отказы, кражи), но и непрерывность бизнеса (доступность, восстановление) осуществить гораздо легче. Сопоставив одно, второе и третье можно сделать вывод о том, что сегментирование в понимании ФСТЭК это лишь подсистема доступа. А разграничить и контролировать доступ к ПДн, находящихся в виртуальной инфраструктуре, можно любыми способами:
  • политики доступа
  • правила на МСЭ
  • логирование доступа

Другие точки зрения на то, чтобы не использовать vGate и другие СЗИ приветствуются.

Комментариев нет:

Отправить комментарий