5 июня, пятница 06:35
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

АРМ КБР на виртуальной машине.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • АРМ КБР на виртуальной машине.

    Коллеги, прошу совета.
    ИТ-шники очень хотят перенести АРМ КБР и ПУР на виртуальные машины. Аргументация вполне весомая - все-же при наличии нормальной системы виртуализации и на нормальном железе все это дело жить будет стабильнее, чем на обычных ПК.
    Есть ли у кого опыт с таким переносом/эксплуатацией ? Понятно, что придется выполнять требования по ИБ и городить сложный контроль целостности.
    в общем - заранее аригато.
    Я словно лист на ветру, посмотри как я лечу...

  • #2
    Сообщение от Mc`Sim Посмотреть сообщение
    Коллеги, прошу совета.
    ИТ-шники очень хотят перенести АРМ КБР и ПУР на виртуальные машины. Аргументация вполне весомая - все-же при наличии нормальной системы виртуализации и на нормальном железе все это дело жить будет стабильнее, чем на обычных ПК.
    Есть ли у кого опыт с таким переносом/эксплуатацией ? Понятно, что придется выполнять требования по ИБ и городить сложный контроль целостности.
    в общем - заранее аригато.
    Сам всё больше и больше склоняюсь к этому варианту. При всех очевидных плюсах этого решения только 2 минуса, которые как обычно связаны с бумажной волокитой, а не с реальной безопасностью или обеспечением непрерывности работы:
    1. Неисполнение п.4.3 Руководства по обеспечению ИБ АРМ КБР: "на ПЭВМ должна быть установлена только одна операционная система".
    2. Как потом оформить акт ввода в эксплуатацию, который установлен договором с ЦБ.
    Мы уже сталкивались с аппаратным сбоем компьютера, на котором установлен АРМ КБР. При наличие резервной копии виртуальной машины процесс восстановления занял бы 40 минут, а так прокопались несколько часов и банк не мог полноценно работать. Получается произошла очередная подмена целей - выполняем требования ради выполнения требований, а не ради обеспечения бесперебойной работы, что по сути и должно являться целью.

    По идее, раздел 4 называется "РЕКОМЕНДАЦИИ по организации безопасной эксплуатации" и степень его выполнения должна определяться банком, но подраздел 4.3 при этом "ТРЕБОВАНИЯ по защите от НСД при эксплуатации ПК АРМ КБР".
    Последний раз редактировалось Berckut; 28.07.2015, 07:46.

    Комментарий


    • #3
      А еще есть документация на сигнатуру, требования которой вы тоже должны выполнять в полном объеме.

      Комментарий


      • #4
        2 All: А у вас Сигнатура не требует аппаратного датчика случайных чисел? В любом случае, не думаю, что на 100% можно реализовать требования документации СКАД Сигнатура и защиты от НСД ПК АРМ КБР, вы их смотрели детально на возможность реализации в виртуальной среде?

        2 Berckut: Восстановление должно занимать 15-20 минут, при наличии резервной копии и дублирующего компьютера, в системе виртуализации, да, быстрее минут 5-10.

        Комментарий


        • #5
          Сообщение от Zuz Посмотреть сообщение
          2 Berckut: Восстановление должно занимать 15-20 минут, при наличии резервной копии и дублирующего компьютера, в системе виртуализации, да, быстрее минут 5-10.
          К сожалению, это только в теории или на учениях. В боевых условиях появляется много подводных камней.

          Комментарий


          • #6
            Сообщение от Zuz Посмотреть сообщение
            2 All: А у вас Сигнатура не требует аппаратного датчика случайных чисел? В любом случае, не думаю, что на 100% можно реализовать требования документации СКАД Сигнатура и защиты от НСД ПК АРМ КБР, вы их смотрели детально на возможность реализации в виртуальной среде?
            Как поставить Сигнатуру. Можно и без аппаратного ДСЧ. Там есть другое требование - наличие системы контроля целостности(на аппаратном решении закрывается Соболем/Аккордом). Но тут должно хватить vGate.
            Сообщение от Zuz Посмотреть сообщение
            2 Berckut: Восстановление должно занимать 15-20 минут, при наличии резервной копии и дублирующего компьютера, в системе виртуализации, да, быстрее минут 5-10.
            с виртуалкой можно и быстрее.
            Я словно лист на ветру, посмотри как я лечу...

            Комментарий


            • #7
              Сообщение от Mc`Sim Посмотреть сообщение
              Как поставить Сигнатуру. Можно и без аппаратного ДСЧ.
              Я точно помню, что в некоторых филиалах не работало, может сейчас что-то изменилось, я эту тему делегировал. )))

              Сообщение от Mc`Sim Посмотреть сообщение
              Там есть другое требование - наличие системы контроля целостности(на аппаратном решении закрывается Соболем/Аккордом). Но тут должно хватить vGate.
              Это вендорлок, аналогов вроде нет.

              Комментарий


              • #8
                Сообщение от Berckut Посмотреть сообщение
                К сожалению, это только в теории или на учениях. В боевых условиях появляется много подводных камней.
                Согласен, но если это делать хотя бы 1 раза в неделю, то всё будет хорошо. Вообще это можно даже автоматизировать: вечером, может запускаться процедура резервного копирования и восстановления на дублирующем АРМ после чего они будут выключаться.

                Комментарий


                • #9
                  Коллеги,
                  в итоге кто нибудь перешел на виртуальные машины ?
                  как показывает практика, после удачной атаки на платежный сегмент, злоумышленник выводит из строя физический компьютер, пока банк восстановит ПК и узнает о случае взлома, как правило проходит несколько часов.
                  при использовании виртуалок, можно кратно сократить время восстановления и среагировать на инцидент более оперативно.

                  Комментарий


                  • #10
                    Я перешёл. Проблем нет никаких. Работники быстро освоились.
                    Проверок пока не было и как к этому отнесутся аудиторы ещё не знаю.

                    Комментарий


                    • #11
                      Сообщение от Berckut Посмотреть сообщение
                      Я перешёл. Проблем нет никаких. Работники быстро освоились.
                      Проверок пока не было и как к этому отнесутся аудиторы ещё не знаю.
                      1. Интересно, а на каких носителях ключи Сигнатуры, где ключи лежат?
                      2. Как реализована изоляция виртуальных машин (сетевая, аппаратная от других хостов)?
                      3. Проводили ли вы какой-то анализ требований, есть ли новые акты на АРМы и акт готовности (описание АРМов, средств защиты согласно требованиям)?

                      P.S. Мы пока вынесли "транспортную машину" в виртуальную среду (собственно там файлы уже не подменить), но АРМы собираемся освежить на базе унифицированных "защищенных" компьютерах (встроенные АМДЗ, BIOS с антивирусом и т.п.), но пока думаем.

                      Комментарий


                      • #12
                        Сообщение от Zuz Посмотреть сообщение
                        1. Интересно, а на каких носителях ключи Сигнатуры, где ключи лежат?
                        2. Как реализована изоляция виртуальных машин (сетевая, аппаратная от других хостов)?
                        3. Проводили ли вы какой-то анализ требований, есть ли новые акты на АРМы и акт готовности (описание АРМов, средств защиты согласно требованиям)?
                        1. eToken. С руктокенами тоже экспериментировал - всё работает.
                        2. Физическая машина стоит в корсчёте (порядок входа, как в кассу) и ни на ней, ни на виртуальных машинах нет ничего постороннего. Даже офиса. Само собой, антивирус, межсетевой экран, ограничение доступа и т.д. Закрыта максимально возможно даже от внутренней сети. Более конкретно писать не буду, понятно почему
                        3. В 5-й Сигнатуре разрешили использовать виртуализацию. Там среди документации даже руководство по виртуализации есть. Собственно это и послужило отправной точкой. А вот акты пока ещё не делал. Проект до конца не закончен. Предполагается держать там несколько виртуалок по принципу: одна виртуалка под одну платёжную систему.

                        Комментарий


                        • #13
                          Сообщение от Berckut Посмотреть сообщение
                          1. eToken. С руктокенами тоже экспериментировал - всё работает.
                          Т.е. вы подключаетесь к ВМ по RDP что ли или сами токены подключены где-то физически к серверу на котором работает ВМ?

                          Сообщение от Berckut Посмотреть сообщение
                          2. Физическая машина стоит в корсчёте (порядок входа, как в кассу) и ни на ней, ни на виртуальных машинах нет ничего постороннего. Даже офиса. Само собой, антивирус, межсетевой экран, ограничение доступа и т.д. Закрыта максимально возможно даже от внутренней сети. Более конкретно писать не буду, понятно почему
                          Ммм, т.е. ВМ находится на физической машине, которая установлена в помещении корсчетов? Тогда первый вопрос снимается. А, что для виртуализации используется, какая платформа?

                          Сообщение от Berckut Посмотреть сообщение
                          3. В 5-й Сигнатуре разрешили использовать виртуализацию. Там среди документации даже руководство по виртуализации есть. Собственно это и послужило отправной точкой. А вот акты пока ещё не делал. Проект до конца не закончен. Предполагается держать там несколько виртуалок по принципу: одна виртуалка под одну платёжную систему.
                          Будем думать, в чём-то идея интересна, но это миниЦОД в помещении корсчетов, хотя там и так куча АРМов. Поделитесь в чём суть консолидации тогда? А если эта большая штука вся накроется, простой то будет сразу по всем системам.

                          Комментарий


                          • #14
                            Сообщение от Zuz Посмотреть сообщение
                            Ммм, т.е. ВМ находится на физической машине, которая установлена в помещении корсчетов? Тогда первый вопрос снимается. А, что для виртуализации используется, какая платформа?
                            Ага.
                            Поэкспериментировали и остановились на VirtualBox, т.к. она бесплатная даже для коммерческого использования. В перспективе ещё и ОС хостовой машины на линукс хочу перевести. Всяко надёжней будет.
                            Виртуальные машины настроены так, что при подключении токен туда автоматически пробрасывается.

                            Сообщение от Zuz Посмотреть сообщение
                            Будем думать, в чём-то идея интересна, но это миниЦОД в помещении корсчетов, хотя там и так куча АРМов. Поделитесь в чём суть консолидации тогда? А если эта большая штука вся накроется, простой то будет сразу по всем системам.
                            Если переносить в серверную и делать удалённый доступ, то тогда надо заморачиваться и дополнительно защищать канал. Плюс админы имеют бесконтрольный доступ, а это по требованиям документации АРМ КБР недопустимо. В корсчёт же свободно могут заходить только работники корсчёта, а остальные только "по приглашению". В свою очередь прописано, что подпускать нас к этой машине работники корсчёта могут только парами (админа ИБ и админа ИТ).
                            Падение мини ЦОДа не очень критично по времени. Берём первую попавшуюся машину, устанавливаем там VirtualBox и копируем из бэкапа виртуалки. Опять же, в ходе проведения экспериментов времени много не заняло. А вообще, есть машина, которая используется в работе, но потенциально является резервной.

                            Комментарий


                            • #15
                              Сообщение от Berckut Посмотреть сообщение
                              Ага.
                              Поэкспериментировали и остановились на VirtualBox, т.к. она бесплатная даже для коммерческого использования. В перспективе ещё и ОС хостовой машины на линукс хочу перевести. Всяко надёжней будет.
                              Надо будет посмотреть детально, но насколько я помню, там нет полноценной изоляции виртуальных машин друг от друга и частично от хоста.
                              Сообщение от Berckut Посмотреть сообщение
                              Виртуальные машины настроены так, что при подключении токен туда автоматически пробрасывается.
                              А тут интересно, т.е. там есть какая-то привязка по виртуальной машине и токену? Не получится ли ситуация, когда из одной виртуалки будет видно не предназначенных для неё токен?

                              Сообщение от Berckut Посмотреть сообщение
                              Если переносить в серверную и делать удалённый доступ, то тогда надо заморачиваться и дополнительно защищать канал. Плюс админы имеют бесконтрольный доступ, а это по требованиям документации АРМ КБР недопустимо.
                              Поэтому и был вопрос.

                              Сообщение от Berckut Посмотреть сообщение
                              В корсчёт же свободно могут заходить только работники корсчёта, а остальные только "по приглашению". В свою очередь прописано, что подпускать нас к этой машине работники корсчёта могут только парами (админа ИБ и админа ИТ).
                              Падение мини ЦОДа не очень критично по времени. Берём первую попавшуюся машину, устанавливаем там VirtualBox и копируем из бэкапа виртуалки. Опять же, в ходе проведения экспериментов времени много не заняло. А вообще, есть машина, которая используется в работе, но потенциально является резервной.
                              В целом интересно, надо будет подумать.

                              Комментарий


                              • #16
                                Сообщение от Berckut Посмотреть сообщение
                                ......Поэкспериментировали и остановились на VirtualBox, т.к. она бесплатная даже для коммерческого использования.....
                                К сожалению, это несколько не так Смотрим п.2. https://www.virtualbox.org/wiki/Licensing_FAQ - As an enterprise customer, we encourage you to purchase commercial licenses from Oracle and receive benefits .......

                                Ну и требования к установке АРМ КБР на http://www.cbr.ru/mcirabis/PO/UARM_OIB.zip - " - на ПЭВМ должна быть установлена только одна операционная система;"

                                Хотя, в целом, идея с виртуализацией АРМ КБР достаточно привлекательна.
                                Последний раз редактировалось saches; 24.05.2016, 17:53.

                                Комментарий


                                • #17
                                  Сообщение от Zuz Посмотреть сообщение
                                  Надо будет посмотреть детально, но насколько я помню, там нет полноценной изоляции виртуальных машин друг от друга и частично от хоста.
                                  Я посчитал, что там это несущественно и с учётом всего комплекса принятых мер угроз не несёт. Как это может навредить?

                                  Сообщение от Zuz Посмотреть сообщение
                                  А тут интересно, т.е. там есть какая-то привязка по виртуальной машине и токену? Не получится ли ситуация, когда из одной виртуалки будет видно не предназначенных для неё токен?
                                  Нет, не получится. Если токен пробросить в одну виртуальную машину, то он перестаёт быть доступным даже на хосте.
                                  Единственно, чтобы не возникло путаницы надо либо использовать разные типы смарт-карт для разных виртуальных машин, либо объяснять пользователям, как токен в виртуальную машину пробрасывать.
                                  Если твой вопрос касался случая, что оператору надо уйти, то после загрузки АРМ КБР токен можно отключать. Сигнатура ключи в памяти хранит, к сожалению.

                                  Сообщение от saches Посмотреть сообщение
                                  К сожалению, это несколько не так Смотрим п.2. https://www.virtualbox.org/wiki/Licensing_FAQ - As an enterprise customer, we encourage you to purchase commercial licenses from Oracle and receive benefits .......
                                  Пункт 2 касается случая, если лицензию надо именно купить (чтобы показывать при проверках и поставить на учёт в бухгалтерии, например), а так в пункте 1 написано, что в базовом варианте GPL2

                                  Сообщение от saches Посмотреть сообщение
                                  Ну и требования к установке АРМ КБР на http://www.cbr.ru/mcirabis/PO/UARM_OIB.zip - " - на ПЭВМ должна быть установлена только одна операционная система;"
                                  Это да - узкое место. Но если дойдёт до споров, то сначала буду апеллировать к тому, что это написано в разделе "Рекомендации", а потом героически исправлю нарушение.

                                  Комментарий


                                  • #18
                                    Сообщение от Berckut Посмотреть сообщение
                                    Я посчитал, что там это несущественно и с учётом всего комплекса принятых мер угроз не несёт. Как это может навредить?
                                    Помню в условиях было, что каждая ПС отдельная виртуалка. Есть вектор атаки из платежной системы в ВМ, а от туда в хостовую машину и другие ВМ. Фактически тут может происходить смешивание ВМ разных уровней доверия.

                                    Сообщение от Berckut Посмотреть сообщение
                                    Нет, не получится. Если токен пробросить в одну виртуальную машину, то он перестаёт быть доступным даже на хосте.
                                    Единственно, чтобы не возникло путаницы надо либо использовать разные типы смарт-карт для разных виртуальных машин, либо объяснять пользователям, как токен в виртуальную машину пробрасывать.
                                    Если твой вопрос касался случая, что оператору надо уйти, то после загрузки АРМ КБР токен можно отключать. Сигнатура ключи в памяти хранит, к сожалению.
                                    Вопрос касался именно возможной путаницы и теоретически нового вектора атаки (для физических машин маловероятно подключение токкена с ключами Сигнатуры в другую ВМ, а тут вполне). Касательно того, что перестаёт быть доступен, я не настолько уверен, надо исследовать.

                                    Сообщение от Berckut Посмотреть сообщение
                                    Пункт 2 касается случая, если лицензию надо именно купить (чтобы показывать при проверках и поставить на учёт в бухгалтерии, например), а так в пункте 1 написано, что в базовом варианте GPL2
                                    Да, верно, там в FAQ предложение купить, а не требование, по сути рекомендация, типа вы можете купить у Oracle корпоративную лицензию и получить некоторые преимущества.

                                    Сообщение от Berckut Посмотреть сообщение
                                    Это да - узкое место. Но если дойдёт до споров, то сначала буду апеллировать к тому, что это написано в разделе "Рекомендации", а потом героически исправлю нарушение.
                                    Апеллировать, по идее, нужно к возможностям гипервизора, когда есть некоторая гарантия изоляции ОС в ВМ одной от другой, что по сути равнозначно установке отдельной ОС.

                                    P.S. Кстати, я не совсем понял про хождение парами к данной машине и прочим садо-мазо хитростям по отношению к Администраторам. Они же имеют доступ к ключам (например, в момент генерации) и могут сделать их копию, со всеми вытекающими, и вообще у них же есть и резервная копия. Можно подробнее от чего это защищает? Или при генерации пароль у вас вводит сам пользователь?

                                    Комментарий


                                    • #19
                                      Сообщение от Zuz Посмотреть сообщение
                                      P.S. Кстати, я не совсем понял про хождение парами к данной машине и прочим садо-мазо хитростям по отношению к Администраторам. Они же имеют доступ к ключам (например, в момент генерации) и могут сделать их копию, со всеми вытекающими, и вообще у них же есть и резервная копия. Можно подробнее от чего это защищает? Или при генерации пароль у вас вводит сам пользователь?
                                      Где-то в требованиях к АРМ КБР было написано, что все настройки админ ИТ делает под контролем админа ИБ.

                                      Комментарий


                                      • #20
                                        Сообщение от Berckut Посмотреть сообщение
                                        Это да - узкое место. Но если дойдёт до споров, то сначала буду апеллировать к тому, что это написано в разделе "Рекомендации", а потом героически исправлю нарушение.
                                        В документации на Сигнатуру это требование, а значит нарушение п.п. 2.9.1 382-П

                                        Комментарий


                                        • #21
                                          Сообщение от Esin Посмотреть сообщение
                                          В документации на Сигнатуру это требование, а значит нарушение п.п. 2.9.1 382-П
                                          Где конкретно? Это было в версии 3.6, а в 5-й Сигнатуре даже руководство по виртуализации появилось, среди документации.

                                          Комментарий


                                          • #22
                                            Сообщение от Berckut Посмотреть сообщение
                                            Где конкретно? Это было в версии 3.6, а в 5-й Сигнатуре даже руководство по виртуализации появилось, среди документации.
                                            ВАМБ.00107-01 93 01 раз. 2.4 г)

                                            Комментарий


                                            • #23
                                              Сообщение от Esin Посмотреть сообщение
                                              ВАМБ.00107-01 93 01 раз. 2.4 г)
                                              Хм, можно побуквоедствовать
                                              г) администратор информационной безопасности должен сконфигурировать ОС, в среде которой планируется использовать ПО Средства КЗИ, и осуществлять периодический контроль выполненных настроек в соответствии со следующими требованиями:
                                              ...
                                              - на ПЭВМ должна быть установлена только одна операционная система;
                                              ...
                                              Требования относятся к "ОС, в среде которой планируется использовать ПО Средства КЗИ", а значит они относятся к виртуальной машине, а не к хостовой, потому что именно там используется Сигнатура.

                                              Комментарий


                                              • #24
                                                Сообщение от Berckut Посмотреть сообщение
                                                Хм, можно побуквоедствовать

                                                Требования относятся к "ОС, в среде которой планируется использовать ПО Средства КЗИ", а значит они относятся к виртуальной машине, а не к хостовой, потому что именно там используется Сигнатура.
                                                Ну смотрите сами, я не рискую у себя СКЗИ на виртуальные машины ставить Хотя при наличии руководства по виртуализации в документации думаю проблем с внешнем королем ЦБ/ФСБ не будет.

                                                Комментарий

                                                Обработка...
                                                X