Comments 8
Понимаю что есть требования к серверам и спрос тоже будет - хорошо когда люди могут не заморачиваться с фстэк и прочим. Но есть более глобальный вопрос. А зачем...
Вопрос больше к всей этой области фстэк, сертифицированное ПО, особое шифрование итп.
Тот кто разбирается, работает итп, скажите нормально зачем вся эта "сертификация"? Что хотите сказать можно прыгнуть выше головы и получить больше безопасности, чем выдаст нормальный инженер на условном centos/redhat?
Т.е. как я понимаю: О дырах либо вообще не известно(0-day уязвимости) либо это конкретные ошибки в настройке сервера/системы или в программном коде или в "неблагонадежном админе". Все эти сертификации не говорят никому как настройть nginx и не прыгают выше головы закрывая не известное. В чем смысл, кроме пропускания уже отлаженного ПО через руки не очень понятных людей(да гос конторы и продукция по гос заказам как минимум не являются синонимом надежности и качества)? Более наверное конкретное - смысл "астра линух" и подобных, зачем? чтобы дописать свое, замедляя получение свежих ядер и имея меньше возможностей тестирования добавить багов?(объективно сообщества дебиана/убунты centos/redhat будут намного компетентнее и больше чем в доступности у "наших")
Изначально всё это было придумано для того, чтобы оградить от человеческой ошибки. Чтобы был минимальный набор требований, по которому можно было определить, что есть защита у тех, кто в безопасности либо не разбирается, либо не понимает её необходимость, либо просто разгильдяй :)
Но наше государство как всегда всё опошлило. Все эти ФАПСИ (давно), потом ФСТЭК извратили требования в свою пользу, чтобы дать подзаработать аффилированным ими лицам. Ну а в сегодняшней действительности некоторым компаниям нужно тратить кучу средств, чтобы соответствовать требованиям, но реальной безопасности это практически не прибавляет, только лишь бумажки.
Но есть более глобальный вопрос. А зачем...
Хорошо описаны стандарты сертификации (Joint Warfighting Cloud Capability)
Oracle and the U.S. Defense Department continue their partnership with JWCC
Что хотите сказать можно прыгнуть выше головы и получить больше безопасности, чем выдаст нормальный инженер на условном centos/redhat?
(объективно сообщества дебиана/убунты centos/redhat будут намного компетентнее и больше чем в доступности у "наших")
Сообщество простых инженеров Red Hat Enterprise Linux и свежие ядра.
Red Hat Federal Standards and Regulations
Red Hat Government Standards page.
и? тут нет ни одного нормального ответа. Все эти вещи все равно основаны на иностранном ПО и те проверки которые идут явно не нацелены убрать если и есть там закладки. В противном случае шуму бы было.
"Ищите, и обрящете, толцыте, и отверзется"
Есть такое понятие, как государственная безопасность и требования по сертификации.
Специализированный Red Hat Enterprise Linux для Пентагона и др. госконтор.
Security-Enhanced Linux (SELinux) is a Linux kernel security module that provides a mechanism for supporting access control security policies.
SELinux embodies concepts that can be traced back to United States National Security Agency(АНБ) projects, including research on mandatory access control (MAC) architecture based on Type Enforcement, which gave rise to the Flask(Flux Advanced Security Kernel).
Astra Linux - сертифицирована в системах сертификации средств защиты информации Минобороны РФ, ФСТЭК и ФСБ России.
Изначально - Russian Debian derivative. Свои репозитории с пакетами, ядра Hardened и подсистема безопасности PARSEC(старая статья, но доходчиво изложено).
Желательные требования к облакам:
Наличие лицензий Роскомнадзора, ФСБ, ФСТЭК.
Соответствие инфраструктуры 152-ФЗ, 187-ФЗ, PCI DSS, ISO.
Устойчивость к пиковым нагрузкам: параметры vCPU.
Наличие сертификатов фстэка и фсб у софта ничего не гарантируют, кроме прикрытия жопы ответственного за ИБ в учреждении. Это, так называемая, "бумажная безопасность". К слову о самой сертификации софта, процедура эта дорогостоящая и выполняется для каждой версии ПО включая мелкие патчи. А еще, если верить людям близким этой теме, то если не забашлять, сертификацию пройти маловероятно.
Получается, если я хочу разработать/использовать систему с ПД и требованиями к аттестации, то что я должен со своей стороны сделать помимо использования аттестованного облака? Все тоже самое, все модели угроз и т. п., только из своей модели угроз я «вычитаю» угрозы, которые в облаке уже отработаны? Или это plug and play/pray, и можно все нужные документы заказать у вас / сгенерировать из админки?
Обычно компании для аттестации своей системы нужно разработать модель угроз и принять меры к выполнению требований и нейтрализации угроз. При этом, когда компании размещаются в облаке, для них будут актуальны и угрозы, связанные и с облаками, и с виртуализацией.
В аттестованном облаке мы уже реализовали меры защиты, связанные с виртуализацей и облаком. Мы даем выписку из нашей модели угроз и показываем, что вот такие требования уже выполнили, вот документы.
Клиент при аттестации так и указывает "я размещаюсь в облаке, вот такие угрозы и меры за меня уже выполнил провайдер", мне только остальные доделать.
Облако с государственной аттестацией: как пользоваться гибкостью виртуализации и соответствовать приказам ФСТЭК