ГОСТ Р 59163-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Руководство по обеспечению безопасности при внедрении серверов виртуализации
Приложение Б
(справочное)
РУКОВОДЯЩИЕ УКАЗАНИЯ
ПО РЕАЛИЗАЦИИ ПУНКТОВ КОНТРОЛЬНОГО СПИСКА ТРЕБОВАНИЙ
ПО БЕЗОПАСНОСТИ (см. таблицу 2)
Б.1 Были ли реализованы политики и функции управления, которые предотвращают неконтролируемое увеличение количества ВМ?
На этапе реализации организация должна предусмотреть:
- внедрение эффективных политик, руководящих указаний и процессов для управления жизненным циклом ВМ и контроля над ним, включая сценарии самообслуживания и автоматизированные сценарии, а также инструменты непрерывной интеграции;
- осуществление контроля над процедурами создания, хранения и использования образов ВМ посредством утвержденной процедуры и инструментов управления изменениями. Утверждать дополнения следует только при необходимости;
- отдельное хранение необходимого числа проверенных образов гостевой ОС с установленными исправлениями и использование их для быстрого восстановления работоспособности систем;
- регулярные проверки ВМ, в том числе неактивных, и работающих на них приложений. Подбор, классификация и внедрение соответствующих мер безопасности для каждой ВМ и связанных с ней сетевых подключений очень важны. Также необходимо обеспечить функцию карантина и возможность отката в случае нарушения безопасности;
- использование продуктов виртуализации и решений для управления, с целью анализа, исправления и внедрения измененных настроек безопасности для ВМ.
Б.2 Защищены ли конфиденциальные данные в ВМ?
На этапе реализации организация должна:
- шифровать данные, хранящиеся на виртуальных и облачных серверах, чтобы сделать их нечитаемыми. Необходимо найти решение, предусматривающее простое управление ключами, хранящимися на физических, виртуальных и облачных серверах, с учетом применяемых политик. Выпускать ключи шифрования/дешифрования можно только для проверенных и авторизованных физических и виртуальных серверов. Следует предоставить службы для управления ключами на объекте и (или) в облачной среде. Соответствующая применяемым политикам система управления ключами должна определять, где и когда можно получать доступ к зашифрованным данным. Проводить проверки подлинности и целостности в случае, когда ВМ запрашивают доступ к защищенным секторам хранилища. Рекомендуется шифровать как загрузочный том, так и том данных;
- разрабатывать политики для ограничения возможности хранения образов и снимков ВМ. Если требуется хранить образы и снимки, необходимо получить надлежащее разрешение (например, вторичного уровня) и внедрить соответствующие процессы мониторинга и контроля. Чтобы снизить риск, следует тщательно продумать, где хранить копии образов и снимков. Для проведения проверок или аудитов необходимо обеспечить ведение журнала действий, а также внедрить формальную процедуру изменения образа, в которую входят его создание, распространение, хранение, использование, вывод из эксплуатации и удаление;
- внедрять политики, гарантирующие сброс систем резервного копирования и восстановления после сбоя, включая временные экземпляры для обновления/исправления, в случае удаления и стирания (заполнения нулями) образов ВМ. При использовании твердотельных накопителей следует соблюдать особую осторожность, чтобы избежать появления "остаточной информации";
- рассмотреть возможность использования криптографической защиты контрольных сумм для обнаружения несанкционированных изменений образов и снимков ВМ;
- выявить критически важные файлы данных в ВМ, требующие более тщательного мониторинга и ведения журналов.
Б.3 Применяются ли меры безопасности для автономных и неактивных ВМ?
На этапе реализации организация должна:
- осуществлять контроль резервного копирования, архивирования, распространения и перезапуска ВМ путем внедрения эффективных политик, рекомендаций и процессов (например, маркировки ВМ с учетом уровня важности/риска);
- использовать продукты виртуализации и решения для управления, чтобы анализировать, исправлять и внедрять измененные настройки безопасности. При оценке этих продуктов следует учитывать охват гипервизоров и возможные исключения;
- создавать контролируемую среду для установки исправлений безопасности и применения управляющих политик на автономных и неактивных ВМ;
- избегать сбоев, например случайного либо намеренного перезапуска ВМ или создания поддельных экземпляров ВМ, путем использования соответствующей архитектуры и проекта, а также регулярной проверки виртуальных устройств, предоставляющих критически важные службы поддержки инфраструктуры, управления и обеспечения безопасности.
Б.4 Реализуются ли меры безопасности в отношении предварительно настроенных (с помощью эталонного образа) и активных ВМ?
На этапе реализации организация должна:
- обеспечить надлежащую защиту экземпляров ВМ;
- внедрить в ОС ВМ дополнительные меры безопасности, используя заимствованные средства безопасности, например средства обнаружения и мониторинга, для обеспечения многоуровневого контроля безопасности;
- рассмотреть возможность внедрения механизма проверки целостности образов ВМ с использованием контрольной суммы;
- шифровать образы ВМ для предотвращения их несанкционированного изменения. Дополнительно рассмотреть ограничения производительности с учетом типа данных и базовых возможностей физического сервера;
- внедрить строгий контроль и процедуры доступа, создания и развертывания образов/экземпляров ВМ.
Б.5 Обеспечена ли прозрачность трафика и внедрены ли элементы управления виртуальными сетями?
На этапе реализации организация должна:
- осуществлять мониторинг виртуальных сетей и трафика данных по аналогии с физическими сетями. Организация должна тщательно отобрать инструмент, который будет использоваться для этой задачи, а также настроить его для зеркального отображения сетевых портов, чтобы по возможности обеспечить единое представление трафика как физических, так и виртуальных сетей;
- рассмотреть возможность использования гипервизора, который сможет в ходе работы контролировать все гостевые ОС (самоанализ ВМ), если отдельные инструменты для мониторинга каналов связи между ВМ не установлены;
- внедрять технологии безопасности физических и виртуальных сред и согласованную структуру управления политиками и их реализации;
- согласовать политику обеспечения безопасности и конфигурацию физической/виртуальной сети;
- использовать предназначенные для ВМ механизмы безопасности, встроенные в API гипервизора, для осуществления детального мониторинга трафика из плоскостей данных и управления ВМ. Использовать инструменты, основанные на современных технологиях, например SDN, NFV или OpenFlow. Традиционные средства контроля безопасности сети не могут анализировать такие механизмы.
Б.6 Внедрены ли меры контроля и политики для предотвращения нехватки ресурсов?
На этапе реализации организация должна:
- внедрить политики распределения и (или) резервирования ресурсов в соответствии с классификацией ВМ по уровню важности/риска;
- использовать ресурсоемкий программный продукт, включая антивирусный и другие защитные программные продукты, с поддержкой виртуализации (например, антивирусный программный продукт, предназначенный для сканирования отдельных внешних ВМ);
- внедрить механизмы для минимизации конфликта ресурсов. В перечень таких механизмов входят поэтапное сканирование ВМ на одном физическом сервере, развертывание безагентного варианта антивирусного программного обеспечения, применение распределенных хранилищ и внедрение политики соответствия обработки информации различных категорий;
- сформулировать и внедрить стандартную рабочую процедуру для обнаружения ВМ, работа которых осложнена из-за нехватки ресурсов (условие, аналогичное отказу в обслуживании), и немедленного исправления их состояния.
Б.7 Внедрены ли меры для обеспечения безопасности гипервизора?
На этапе реализации организация должна:
- использовать гипервизоры, занимающие меньше памяти (1-го, а не 2-го типа), для сокращения числа уязвимостей и направлений атаки;
- повысить степень защиты настроек гипервизора, для сокращения числа потенциальных уязвимостей (например, отключить совместное использование памяти ВМ, работающими на одних серверах с гипервизором);
- где возможно, применять рекомендуемые поставщиком методики работы;
- отсоединять неиспользуемые физические устройства, отключать буфер обмена и службы обмена файлами;
- проводить самостоятельные проверки целостности при загрузке с целью обнаружения нарушений в защите гипервизора. Использовать технологии контроля целостности гипервизора, например, Intel Trusted Platform Module/Trusted Execution Technology;
- отслеживать признаки нарушения безопасности, постоянно анализируя журналы гипервизора;
- подписаться на получение материалов/предупреждений по безопасности от производителя гипервизора и своевременно внедрять обновления безопасности;
- убедиться в наличии эффективной методики установки исправлений для гипервизора;
- внедрить и поддерживать эффективные средства идентификации и контроля доступа для всех инструментов, сценариев и приложений, которые вызывают API управления гипервизором.
Б.8 Внедрены ли меры по предотвращению несанкционированного доступа к гипервизору?
Управление административным контролем доступа к гипервизору должно обеспечивать защиту от потенциальных хакерских атак. На этапе реализации организация должна:
- развернуть платформы виртуализации, поддерживающие управление доступом к административным функциям на основе ролей. Также можно рассмотреть возможность использования заимствованных инструментов для осуществления более единообразного и строгого административного контроля в среде и для упрощения аудита. Для обеспечения дополнительного контроля в средах с общим доступом к функциям следует применять правило двойного контроля. Например, уполномоченный подрядчик сможет создать сетевой коммутатор только после проверки и одобрения запроса уполномоченным сетевым инженером;
- ограничить доступ к консоли управления гипервизором и важным API/CLI с помощью специальных межсетевых экранов;
- после внедрения контроля доступа на основе ролей необходимо проверить работу функций политик контроля доступа;
- максимально ограничить количество учетных записей пользователей (включая привилегированные), требующих прямого доступа к серверу гипервизора. Объединить учетные записи пользователей с надежными системами управления учетными данными и аутентификации для обеспечения соблюдения политик безопасности (т.е. политик использования паролей и двухфакторной аутентификации);
- использовать многофакторную аутентификацию или двойной контроль для ограничения доступа (см. 9.1.1 и 11.1.2 в ГОСТ Р ИСО/МЭК 27002-2012);
- внедрить надежную процедуру управления изменениями для всех компонентов инфраструктуры (например, настроек), которые могут непреднамеренно предоставить несанкционированный доступ к гипервизору;
- обеспечить защиту всех интерфейсов управления гипервизором, доступных через локальную сеть и удаленно. Отключить удаленное управление гипервизорами. Если это невозможно, рассмотреть возможность предоставления доступа по безопасному сетевому соединению и использования двухфакторной аутентификации. Кроме того, следует внедрить политики сеансов управления. Например, следует обрывать простаивающие/неактивные соединения, чтобы предотвратить злоупотребление функциями управления/клиентом;
- развернуть отдельную сервисную локальную компьютерную сеть для управления доступом к гипервизорам.
Б.9 Внедрены ли элементы управления и политики для предотвращения взлома учетных записей и служб?
Уязвимости портала могут привести к атакам с превышением полномочий. На этапе реализации организация должна:
- выборочно применять административный контроль, в зависимости от ролей и потребностей пользователей;
- по возможности применять строгие методы аутентификации, защищая как клиентскую, так и серверную часть оборудования для облачных вычислений от потенциальных атак. Для ограничения доступа необходимо использовать многофакторную и (или) разделенную аутентификацию. Например, организация может использовать двухфакторную аутентификацию (см. 9.1.1 и 11.1.2 в ГОСТ Р ИСО/МЭК 27002-2012);
- использовать проактивный мониторинг для обнаружения несанкционированных действий;
- провести анализ политик безопасности и соглашений об уровне обслуживания поставщика облачных служб;
- рассмотреть возможность управления порталами самообслуживания с помощью политик;
- добавить в политики и руководящие указания пункты о создании и использовании порталов самообслуживания;
- обеспечить безопасное управление учетными записями, личными и учетными данными;
- регулярно проводить тестирование портала самообслуживания на предмет возможности проникновения с целью выявления уязвимостей.
Б.10 Внедрены ли меры безопасности для надлежащего и безопасного разделения обработки информации различных категорий на физических серверах?
На этапе реализации организация должна:
- внедрить политики и процессы для классификации систем и данных в соответствии с различными уровнями безопасности;
- назначить пользователей для различных VLAN-сетей в соответствии с уровнями доверия обработки информации различных категорий и по возможности для физически или логически разделенных серверов, на которых могут применяться разные политики безопасности. Обработку информации различных категорий виртуальных настольных ПК следует изолировать от остальных физических компонентов центра обработки данных;
- запускать обработку информации различных категорий с разными уровнями доверия в разных физических и (или) логических сетях. Рассмотреть возможность разделения ВМ путем создания зон безопасности на основе типа использования (например, настольный ПК или сервер), стадии производства (например, разработки, производства или тестирования) и важности данных в отдельных физических кластерах аппаратных компонентов, например на сервере, в хранилище или сети;
- использовать физические или виртуальные межсетевые экраны для изоляции групп ВМ от других размещенных на сервере групп. Например, следует отделять производственные системы от систем разработки, а системы разработки - от других облачных систем;
- тщательно разработать и внедрить инструменты для доступа к физическим и виртуальным системам управления и безопасности со всех уровней доверия.
Б.11 Внедрены ли меры для обеспечения безопасности API поставщика облачных услуг?
На этапе реализации организация должна:
- внедрить строгую систему аутентификации и контроля доступа с зашифрованной передачей данных;
- использовать две разные зоны аутентификации - для внутренних организационных систем и внешних систем;
- передавать трафик, связанный со службами каталогов, через частный/внеполосный зашифрованный канал, который отделен от обычного интернет-трафика (при передаче по сети Интернет);
- изучить возможность использования федерации удостоверений, для которой могут потребоваться:
- формальные интернет-стандарты, например спецификация языка разметки декларации безопасности OASIS;
- технологии с открытым исходным кодом и (или) другие опубликованные спецификации, например информационные карты, OpenID, Higgins trust framework или проект Novell Bandit;
- применить корпоративные политики безопасности, соответствия требованиям и управления к активам, используемым в гибридных облачных средах, а также внедрить инструменты для комплексного мониторинга и отчетности.
Б.12 Используются ли автоматизированные процессы для проверки выпускаемых версий исправлений и их установки в программный продукт гипервизора и программные модули гостевой ОС?
На этапе реализации организация должна:
- подписаться на получение материалов/предупреждений по безопасности от производителя гипервизора и гостевой ОС и своевременно внедрять обновления безопасности;
- убедиться в наличии эффективной методики установки исправлений для гипервизора;
- при невозможности автоматического мониторинга исправлений необходимо сформировать и внедрить политику и документированную инструкцией процедуру управления исправлениями;
- убедиться, что в инструменте для отслеживания указана текущая версия установленных исправлений для всех гипервизоров и программного обеспечения гостевой ОС;
- проанализировать и принять риски, связанные с использованием ПО без установки исправлений.
Подписаться на обновления