Обзор проекта ГОСТ по защите виртуализации

На сайте технического комитета по стандартизации № 362 ("Защита информации") выложен проект ГОСТ Р ХХХХХ-20ХХ «Защита информации. Требования по защите информации, обрабатываемой с использованием технологии виртуализации . Основные положения», разработанный ФАУ "ГНИИИ ПТЗИ ФСТЭК России". Данный стандарт рассматривает требования по защите виртуализации во всех аспектах, в том числе виртуальные сети, СХД и sandbox'ы. В данной статье приведен мой обзор этого документа.

В первой части документа приведена общая информация, указывается, что стандарт касается только виртуализации и является дополнительным требованием, при использовании виртуализации. Никакие из нормативных документов он не заменяет и не отменяет.

Далее идет раздел с нормативными ссылками, в нем интересна отсылка к ГОСТ Р 51583-ХХХХ "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения", неуказанный год выпуска стандарта намекает на скорый выход новой версии стандарта 2000 года. Однако на сайте ТК 362 проект пока не опубликован.

В третьем разделе "Термины и определения" даны четкие определения терминам "виртуализация", "виртуальная машина", "гипервизор" и другим, стандарт заполнит пробелы в терминологии, возникшие после появления данных терминов в 21/17 приказах ФСТЭК.

В пятом разделе приводится перечень объектов, подлежащих защите. К таким объектам относятся:

1. Файлы виртуальных жестких дисков и файлы с настройками ВМ;
2. Гипервизоры;
3. Системное и прикладное ПО, используемое в виртуализации, и их данные;
4. Средства ЗИ и их данные;
5. Каналы передачи данных;
6. Сетевое оборудование и их данные;
7. Резервные копии данных.

В шестом разделе начинается основная часть документа - требования по защите информации. Тут следует сделать отступление и рассказать о типах виртуализации, которые рассмотрены в документе, а их целых шесть:

1. Виртуализация аппаратного обеспечения - имитация аппаратных средств внутри программной среды гипервизора;
2. Виртуализация программного обеспечения - создание изолированной программной среды внутри ОС (sandbox, "песочница");
3. Виртуализация с использование гипервизора I типа - полная виртуализация с использованием гипервизора, работающего напрямую с аппаратным обеспечением (VMware vSphere, Microsoft Hyper-V (с оговорками));
4. Виртуализация с использование гипервизора II типа - полная виртуализация с использованием гипервизора, работающего под управлением хостовой операционной системы (VirtualBox, VMware Workstation); 
5. Виртуализация вычислительных сетей - построение сетей, абстрагированных от аппаратного и программного обеспечения (VPN);
6. Виртуализация систем хранения данных - сетевые СХД, в которых хранилища абстрагированы от аппаратного обеспечения.

Стоит оговориться касательно Microsoft Hyper-V, обычно его выделяют в отдельную гибридную группу, на базе I типа, но разработчики стандарта такую группу не выделяют, поэтому можно считать, что  Microsoft Hyper-V относится к I типу.

По каждому из типов виртуализации приводится следующая информация - описание типа виртуализации, описание угроз безопасности информации и перечень мер по защите. Приводить угрозы и меры в данной статье я не буду, с ними можно ознакомится в оригинале.

В целом по приведенному списку угроз и мер у меня почти не возникло вопросов. Насколько я понимаю, при подготовке стандарта, как и при подготовке 21/17 приказов  ГНИИИ ПТЗИ, активно использовались документы NIST, в частности, NIST 800-125 "Guide to Security for Full Virtualization Technologies". Поэтому документ получился не сложным, открытым и достаточно подробным.

Кроме ГОСТ с требованиями по защите виртуализации ТК 362 подготовил проекты ряда других ГОСТов, в том числе по защите облаков. В ближайшее время в моем блоге будут новые обзоры, подписывайтесь на RSS и Twitter.