Управління інформаційними потоками, з чим його їдять

Є у нас у 17-му та 21-му наказах ФСТЕК такий захисний захід як УПД.3 і звучить він як "Управління (фільтрація, маршрутизація, контроль з'єднань, однонаправлена ​​передача та інші способи управління) інформаційними потоками між пристроями, сегментами інформаційної системи, і навіть між інформаційними системами". Для середовища віртуалізації є аналогічна вимога - ЗСВ.4 - "Управління (фільтрація, маршрутизація, контроль з'єднання, односпрямована передача) потоками інформації між компонентами віртуальної інфраструктури, а також по периметру віртуальної інфраструктури". Що означають ці вимоги? Як їх реалізовувати?

Одне з критичних зауважень до обох наказів ФСТЕК було саме те, що перелічені захисні заходи є надто високорівневими і не зовсім зрозуміло, як трактувати ту чи іншу вимогу? До речі, аналогічна високорівневість притаманна і 382-П Банку України. Там також прописано загальну вимогу, а механізм її реалізації віддано на відкуп самого учасника Національної платіжної системи. У випадку з ФСТЕК на самоплив нічого не пущено і зараз готується окремий документ, який роз'яснює, як можна реалізовувати той чи інший захисний захід. Згадайте ієрархію нормативних актів із захисту держорганів у США. У нас, по ходу, ідея така сама.

Адже є ще таке поняття, як мандатне розмежування доступу на рівні мережі. Зрозуміло, насправді воно називається не зовсім так, але суть у нього така. На інформаційний потік вішається мітка (security group tag, SGT), яка дозволяє керувати потоками в одній мережній інфраструктурі, не даючи їм перетинатися, і є більш гнучкою і динамічною схемою, ніж статичні мітки VLAN. Це управління інформаційнимипотоками? Так. Але що тут сертифікувати? Тут немає однієї залізниці, що стоїть на периметрі? Тут інфраструктура здійснює управління потоками. Фізичні та віртуальні комутатори, маршрутизатори, точки бездротового доступу, міжмережеві екрани – все це й управляє потоками.

їдять

До речі, ідеологія SGT показує, що традиційний, периметро-орієнтований погляд управління потоками сьогодні вже застарів. Є периметр, на ньому поставили МСЕ та вуаля – справа в капелюсі. А як бути, коли ми не маємо явно окресленого периметра або сегментація потрібна всередині мережі. Тут і допомагає security group tagging, у цьому випадку ми не маємо однієї точки контролю, як на периметрі. А значить і підходи до оцінки таких механізмів теж треба змінювати. Причому як до оцінки відповідності у формі сертифікації, так і до оцінки у формі атестації. Прийти і запитати: "А де у вас тут стоїть файрвол?" вже не вийде.

А якщо піти вище за мережний рівень і поговорити про управління потоками в мережі не фізичною, а віртуальною? Як реалізувати міру ЗСВ.4 з 17-го та 21-го наказу? Потрібні засоби управління потоками у віртуалізованому середовищі. Міжмережеві екрани або віртуальні комутатори, які з цим завданням впораються, але, як видно з ілюстрації нижче, вони не стоять на периметрі. Є варіанти, коли віртуальний міжмережевий екран ставиться кожен фізичний сервер. Є варіанти, коли віртуальний міжмережевий екран просто ставиться на віртуальну машину і один контролює трафік між іншими віртуальними машинами на різних фізичних серверах (наприклад, у нас так побудований Cisco Virtual Security Gateway). Тут, головне, ідеологію і думка змінити - управління потоками то, можливо як мережним і як на периметрі.

потоками

А якщо подивитися щедалі - на SDN (програмно конфігуровані мережі)? Вони управління потоками і зовсім відокремлено самих пристроїв і реалізується програмно. Найчастіше сам прикладний додаток може управляти інформаційними потоками. І такий механізм теж підпадає під вимоги 17/21 наказів. Ось тільки як їх сертифікувати незрозуміло. Принаймні поки що незрозуміло.

Ось така картина вимальовується лише з одного з кількох десятків захисних заходів, передбачених новими документами ФСТЕК. Дуже глибокі документи та дуже гнучкі. Головне, щоб ФСТЭК не загнала ці переваги в жорсткі рамки надто приземлених вимог і стала вимагати однакового рівня сертифікації для різного класу реалізованих механізмів управління потоками. Все-таки окремий і виділений під завдання безпеки міжмережевий екран і функціональність сегментація віртуального комутатора (наприклад, Cisco Nexus 1000V) - це дві великі різниці і пред'являти до них однакові вимоги не зовсім розумно. Більш того, основне навантаження зміщується з окремого пристрою на рівень керування або окремих контролерів. Саме від того, що робиться там, залежить, як будуть захищені інформаційні потоки. І це теж треба буде враховувати як тим, хто реалізовуватиме управління потоками, так і тим, хто проводитиме оцінку відповідності або розроблятиме вимоги щодо оцінки відповідності.