Комментарии 11
А какая от всего этого практическая польза? У кого низкий уровень зрелости в безопасной разработке, но подпадают под Приказ, просто буду бумажки получать о соответствии. А остальные как обычно, хоп-хлоп и в продакшн.
Минимально -- распределение ответственности в коллективе разработчиков, назначение ответственных лиц, введение формальных показателей безопасности. Мне кажется, что из ГОСТов пытаются сделать некие настольные руководства по управлению всякими трудноформализуемыми материями, ну, вроде DAMA DMBOK, или что-то вроде.
Не совсем понял вопрос, практическая польза от чего? От защиты контейнеров?
Практическая польза от ГОСТов, которые тупо копипастят бездумно с зарубежных аналогов. ГОСТы в основном предназначены для того, чтобы отвечать на вопрос, как должно быть. Для кого это нужно? Конечно же для проверяющих, чтобы они по своим чек-листам отчитывались. Вот много Вы видели полноценных руководств на русском языке по данной тематике, как именно настраивать по каждому пункту из требования ГОСТа? Да, достаточно документации от первоисточников, но зачем тогда плодить ГОСТы?
Ответ тут достаточно простой - сертифицировать по международным практикам Российские продукты не получится, у нас должны быть собственные требования к обеспечении безопасности. И да, ГОСТ нужен в том числе и проверяющим, а как по другому контролировать, что выполняются требования безопасности.
К сожалению или к счастью у нас в стране одной из движущей силой развития ИБ являются требования регуляторов, второй "жаренные петух")))
Собственные требования обеспечения безопасности - это не замена названия в opensouce решениях с полным игнорированием лицензий, отсутствием обновлений и каким-либо развитием (это конечно не 100% - есть много зрелых продуктов, которые получают сертификаты только из-за того, чтобы быть конкурентоспособными на российском рынке). И пока еще не всем необходимо переходить на отечественные аналоги (но гайки всё закручивают и закручивают).
Требования регуляторов опять же пугалки не для всех. От жареного петуха помогают квалифицированные специалисты :)
Хотелось бы, чтобы был освещен вопрос с упомянутой вскользь оркестрацией. Сверху K8s можно поставить и это будет считаться сертифицированным решением?
И еще вопрос. Сами контейнеры должны быть собраны на базе сертифицированной ОС или можно по старинке на Альпайн?
Если есть план пройти дальнейшую аттестацию по требованиям безопасности информации, то контейнеры должны быть собраны на базе сертифицированной ОС. Мы с таким на практике столкнулись, но в рамках нашей системы переход не особо сложным был (повезло)
Не подскажите где ж взять базовый сертифицированный docker image? Может есть какая ссылка? Насколько я знаю base версия что RedOS что alt Linux или Астра не сертифицированные. В вашем случае вы какую ОС использовали?
Ну вообще в документации Астры есть ссылка на страницу где приведены ссылки на образы контейнеров сертифицированной версии. Но сама страница открывается только при наличии логина в личный кабинет. Хотя если откуда то узнать ссылку, то сам доступ к их контейнер реджистри, по крайней мере пока что, доступен и анонимусу. Я пробовал в докере запустить у себя на убунте - запустилось. Дальше не смотрел.
С использование кубов сложней - в них будет проблематично выполнить требования 118 приказа, например изоляцию контейнеров, необходимо будет решить задачу по распространению профилей того же seccom для всех процессов на все ноды или "прибивать" поды к нодам, что кажется сомнительной идеей.
Если нужна сертифицированная среда контейнеризации, то можно посмотреть в сторону уже сертифицированных продуктов - российских аналогов k8s, как nova от orion soft или штурвал.
По поводу сборки контейнера, тут зависит какую цель преследуете, если выполнение 21 приказа, то кажется, что нет такой необходимости.
Анализ Приказа ФСТЭК России №118 «Об утверждении требований по безопасности информации к средствам контейнеризации»