ГОСТ Р 59163-2020
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационные технологии
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Руководство по обеспечению безопасности при внедрении серверов виртуализации
Information technology. Security techniques. Security guidelines for design and implementation of virtualized servers
ОКС 35.030
Дата введения 2021-06-01
Предисловие
1 РАЗРАБОТАН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН) и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ)
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 10 ноября 2020 г. N 1039-ст
4 Настоящий стандарт разработан с учетом основных нормативных положений международного стандарта ИСО/МЭК 21878:2018* "Информационные технологии. Методы и средства обеспечения безопасности. Руководство по обеспечению безопасности при внедрении серверов виртуализации" (ISO/IEC 21878:2018 "Information technology - Security techniques - Security guidelines for design and implementation of virtualized servers", NEQ)
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Инфраструктура центров обработки данных становится все более ориентированной на виртуализацию по мере внедрения серверов виртуализации (СВ), предназначенных для обеспечения облачных вычислений и внутренних ИТ-услуг. Поскольку СВ являются вычислительные устройства, на которых размещены многие критически важные для бизнеса приложения, они представляют собой ключевые ресурсы виртуализированной инфраструктуры центра обработки данных, которые необходимо тщательно защищать. СВ все чаще применяются в типовых системах инфраструктуры центров обработки данных, поэтому их безопасное проектирование и реализация становятся важными элементами общей стратегии безопасности.
Назначение настоящего стандарта - предоставить указания по обеспечению информационной безопасности (ИБ) при проектировании и внедрении СВ. Появление документа обусловлено глобальной тенденцией внедрения технологий виртуализации серверов во внутренней ИТ-инфраструктуре предприятий и правительственных учреждений, а также использования СВ поставщиками облачных служб. Следовательно, целевой аудиторией документа являются все организации, которые используют и (или) предоставляют СВ.
Предполагаемая цель документа состоит в том, чтобы облегчить принятие обоснованных решений в ходе проектирования конфигураций СВ. Ожидается, что конфигурация, полученная в ходе проектирования и реализации, обеспечит соответствующий уровень защиты всех виртуальных машин (ВМ) и работающих на них приложений во всей виртуализированной инфраструктуре организации.
1 Область применения
Настоящий стандарт определяет указания по обеспечению ИБ при проектировании и внедрении СВ. В нем приведены проектные решения, направленные на выявление и снижение рисков, а также руководящие указания по реализации типичных СВ.
Действие документа не распространяется на (исключения см. 5.3.2):
- виртуализацию настольных ПК, ОС, сетей и хранилищ;
- процедуру аттестации поставщиков.
Настоящий стандарт предназначен для использования в интересах любой организации, использующей и/или предоставляющей СВ. Настоящий стандарт не применим для СВ, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ ISO/IEC 17788 Информационные технологии. Облачные вычисления. Общие положения и терминология
ГОСТ Р 56938-2016 Защита информации. Защита информации при использовании технологий виртуализации. Общие положения
ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности.
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального органа исполнительной власти в сфере стандартизации в сети Интернет или по ежегодно издаваемому информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячно издаваемого информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины и определения
Для целей настоящего стандарта применяются термины и определения из ГОСТ ISO/IEC 17788, а также следующие термины с соответствующими определениями.
3.1 домен (domain): Набор или кластер виртуальных машин (3.7), размещенных на одном или нескольких СВ (3.8).
3.2 гостевая операционная система (guest operation system): Операционная система, установленная на виртуальной машине (3.7).
3.3 хостовая система сервера (host operating system): Операционная система, в среде которой функционирует гипервизор (3.4).
Примечание - ОС сервера не является обязательным компонентом виртуализированного сервера.
3.4 гипервизор [вычислительных систем] (hypervisor): Программа, создающая среду функционирования других программ (в том числе других гипервизоров) за счет имитации аппаратных средств вычислительной техники, управления данными средствами и гостевыми операционными системами, функционирующими в данной среде (монитор виртуальных машин) (3.7).
3.5 подсистема управления (management subsystem): Компонент СВ (3.8), который позволяет администраторам настраивать компоненты СВ (3.8).
3.6 аппаратное обеспечение (hardware): Физические ресурсы, включая процессоры, память, устройства и соответствующее микропрограммное обеспечение.
3.7 виртуальная машина, ВМ (virtual machine): Виртуальная вычислительная система, которая состоит из виртуальных устройств обработки, хранения и передачи данных и которая дополнительно может содержать аппаратное обеспечение (3.6) и пользовательские данные.
3.8 сервер виртуализации, СВ (virtual server): Физический сервер, на котором установлен гипервизор (3.4), позволяющий запускать несколько виртуальных машин (3.7).
3.9 администратор серверов виртуализации, администратор СВ (virtualized server administrator): Лицо, обладающее правами и обязанностями по настройке и управление компонентами СВ (3.8).
3.10 менеджер виртуальных машин, МВМ (virtual machine manager): Все программные продукты, которые позволяют ВМ (3.7) работать на виртуализированной платформе, включая гипервизор (3.4), служебные ВМ, драйверы виртуальных и физических устройств.
3.11 эталонный образ ВМ (golden VM image): Мастер-копия (исходная копия для тиражирования) образа диска ВМ (3.7) или сервера с определенной конфигурацией.
4 Обозначения и сокращения
API | Программный интерфейс приложения, интерфейс прикладного программирования |
CLI | Интерфейс командной строки |
COBIT 5 | Задачи управления для информационных и смежных технологий, версия 5 |
COTS | Продукт, готовый к работе (commercial off-the-shelf) |
CSC | Потребитель облачных служб |
CSP | Поставщик облачных служб |
NFV | Виртуализация сетевых функций |
OASIS | Организация по развитию стандартов структурированной информации |
SDN | Программно-конфигурируемая сеть |
SSD | Твердотельный накопитель |
VLAN | Виртуальная локальная вычислительная сеть |
ГИС | Государственная информационная система |
ЗОКИИ | Значимый объект критической информационной инфраструктуры |
ИБ | Информационная безопасность |
ИС | Информационная система |
ИСПДн | Информационная система персональных данных |
ИТ | Информационные технологии |
ОС | Операционная система |
ПДн | Персональные данные |
ПО | Программное обеспечение |
СВ | Сервер виртуализации |
СЗИ | Система защиты информации |
СКЗИ | Система криптографической защиты информации |
5 Общие сведения о виртуализации серверов
5.1 Типы виртуализации серверов
Виртуализация серверов - это абстракция основных аппаратных ресурсов, позволяющая запустить несколько вычислительных стеков (состоящих из ОС, промежуточного программного обеспечения и приложений) на одном физическом узле. СВ обычно классифицируется по двум аспектам.
Первый аспект касается полной виртуализации в сравнении с паравиртуализацией:
- полная виртуализация: гостевая ОС не имеет данных о том, что она запущена в платформе виртуализации. Гипервизор предоставляет интерфейс аппаратного устройства, которое физически доступно для виртуальной машины и для которого в гостевой ОС имеются драйверы, а также полностью эмулирует поведение этого устройства. Эмуляция позволяет работающему на ВМ программному обеспечению использовать драйверы ОС ВМ, предназначенные для обеспечения работы с эмулируемым устройством, без необходимости в установке дополнительных драйверов или инструментов;
- паравиртуализация: в данной реализации гипервизор предоставляет устройство, являющееся программным представлением и не существующее физически, и упрощенный интерфейс к нему. Однако этот сценарий требует наличия на ВМ специальных драйверов и модификации гостевой ОС, специально адаптированных к паравиртуализации. Данный подход предназначен для повышения уровня производительности приложений, работающих на ВМ, по сравнению с полной эмуляцией, используемой при полной виртуализации.
Второй аспект относится к платформе, на которой установлен гипервизор. Существует два типа гипервизоров:
- гипервизоры 1-го типа, также известные как "аппаратные гипервизоры", устанавливаются непосредственно на аппаратное обеспечение в качестве системного программного обеспечения;
- гипервизоры 2-го типа, устанавливаемые в среде хостовой операционной системы в качестве прикладного программного обеспечения.
5.2 Компоненты СВ
Попробуйте «Техэксперт: Лаборатория. Инспекция. Сертификация» бесплатно