「State in the Clouds」と私たちの実践によるGISの一例

その活動における国家執行機関の保守主義は、​​まさに大文字で、まさに法律の性質です。 しかし、それにもかかわらず、現代のテクノロジーはこの伝統的に確立されたコミュニティに到達しました。 2017年の初めに、大統領は「2017年から2030年のロシア連邦における情報社会の発展のための戦略に関する」法令に署名しました。これは、2008年からの以前の戦略の発展の論理的な継続でした。 では、現代のITコミュニティは、ロシアの情報社会の発展に何を提供できるでしょうか？



この質問に答えると、州のタスクを確実に遂行する最新のテクノロジー、方法、自動化ツールの多くをリストできます。 私たちの側では、その実装の基礎として、クラウドと政府機関の情報システムをクラウドに配置する問題を検討することを提案します。 GISをサービスプロバイダーのクラウドに配置する問題の赤い線は、情報セキュリティの問題であり、ロシア連邦の法律に準拠しているため、このトピックについて詳しく説明します。

IaaSプロバイダークラウドでのGISホスティング

ロシア連邦の法律によって国家情報システム（GIS）に関連する情報システムのクラウドに配置するには、情報システム（IS）の所有者とサービスプロバイダーの両方が、ロシア連邦の法律で定義された情報セキュリティ要件に準拠するために、多くの組織的および技術的手段を講じる必要があります。

GISセキュリティに関して法律は何を要求していますか？

おそらく、私たちにとって最も実用的な適用法である連邦法から始めます。 それでは始めましょう。



私たちの出発点はFZ-149「情報、情報技術、および情報の保護」であり、次の条項が含まれています。

州の情報システムの機能を規制する法規制に従って決定された国家機関は、この情報システムに含まれる情報の正確性と関連性、ケースにおけるこの情報へのアクセス、法律で規定された方法、およびこの情報の違法からの保護を確保する必要がありますアクセス、破棄、変更、ブロック、コピー、提供、配布、その他の違法行為。

この法律の要件に従い、2013年2月11日付けのロシアFSTEC命令第17号「国家情報システムに含まれる国家秘密を構成しない情報の保護要件の承認について」が採択されました。 この注文に対する最新の変更は、2017年2月15日に行われました。 この変更により、GISの分類も変更され、現時点ではまだ3つのクラスのGISセキュリティがあります。 最も低いクラスは3番目で、最も高いクラスは1番目です。



情報システムのセキュリティクラス（第1クラス（K1）、第2クラス（K2）、第3クラス（K3））は、この情報システムで処理される情報（KM）の重要度と情報システムの規模（連邦、地域、オブジェクト）に応じて決定されます）



2種類以上の情報が情報システムで処理される場合（公式秘密、税務秘密、およびロシア連邦の法律により確立されたその他の種類の制限情報）、情報の重要度（KM）は情報の種類ごとに個別に決定されます。 情報システムで処理される情報の重要度の最終レベルは、各種類の情報の機密性、完全性、情報の可用性について決定される、起こりうる損害の度合いの最高値によって確立されます。 （詳細については、2013年2月11日付ロシアのFSTECの命令N 17を参照）





情報システムのセキュリティクラスは、表に従って決定されます。







処理された情報のセキュリティを確保するために必要な情報を保護するための対策を実施するには、多くの組織的および技術的対策を実施する必要があります。 一般的に、次の段階は区別することができ、その実装は注文番号17によって規定されています。

• 情報システムに含まれる情報の保護に関する要件の形成。
• 情報システム情報セキュリティシステムの開発。
• 情報セキュリティシステム情報システムの実装。
• 情報セキュリティの要件に応じた情報システムの認証（以下、情報システムの認証）およびその実装。
• 認定情報システムの運用中に情報の保護を確保する。
• 認定情報システムの廃止中、または情報処理を終了する決定が下された後、情報の保護を確保する。

いくつかの機能

多くの場合、GISは個人データを処理します。その保護は、連邦法-152「個人データについて」に従って確保する必要があります。 そのような場合に何をすべきか、そして最前線で何をすべきか？



この質問は、2013年2月11日のFSTECの命令の発行に関連して情報システムで処理される場合の情報保護および個人データのセキュリティに関する情報メッセージでFSTECによって回答されます。国家情報システムに含まれる国家秘密」および2013年2月18日付ロシアのFSTECの命令第21号「セキュリティを確保するための組織的および技術的手段の構成と内容の承認について」 2013年7月15日№240/22/2637の」個人データの情報システムでの処理で、個人データを引用しています。 この情報メッセージでは、メジャーの類似性を考慮して、FSTECは両方のオーダーに含まれるメジャーを組み合わせて適用することを推奨します。 明らかに、この手順は、情報システム情報保護システムの開発段階で実行する必要があります。

しかし、実際には何ですか？ 問題と解決策

たとえば、GISをクラウドに配置するという実践からのケーススタディを考えてみましょう。 ですから、私たちには課題があります。私たちの強力で広大な分野の1つの電子政府インフラストラクチャ（REI）の地域セグメントのセキュリティレベルと非中核的な人員の成長を減らすことなく、情報交換の効率を高める必要があります。



電子政府インフラストラクチャの典型的な地域セグメントには、地域機関間の電子的相互作用のシステム、サービス提供規則の実装のための自動化システム、地域ポータルおよび公共サービスのレジストリ、識別および認証システム、情報および支払いゲートウェイなどの要素が含まれます。



RIECと直接相互接続されているSMEV（機関間電子的相互作用のシステム）の機能の詳細を考慮して、SMEVとの通信を組織するために既に確立された構造を変更しないことが決定されました。 また、RIEPサービスの運用に必要なサーバーハードウェアをアップグレードするコストを削減するために、それらをプロバイダーのIaaSクラウドインフラストラクチャに配置することにしました。



これに伴う問題の1つは、プロバイダーのデータセンターからSMEVへのRIEPサービスへのアクセスです。 クラウドインフラストラクチャが展開されているデータセンターと、MEMSにアクセスゲートウェイが展開されているデータセンターとの間の通信チャネルの保護は、IEMSへのアクセスを管理するドキュメントに必要なレベルと一致する必要があります。 この特定のケースでは、車輪を再発明する必要はなく、SMEV技術ポータルで公開された「規制3.5付録4情報交換参加者のデータ伝送ネットワークの要件」に基づいて、要件を満たす決定が下されました。



通信チャネルの暗号化保護の手段として、Infotecs製品ラインが選択されました。 エンドポイントでは、ViPNet Coordinator HW1000ソフトウェアおよびハードウェアシステムがインストールされました。 ViPNet Coordinator HW1000は、エンタープライズレベルでコンピューターネットワークを保護するためのセキュリティゲートウェイです。これにより、データセンターと企業クラウドインフラストラクチャの両方への安全なアクセスを整理でき、最大1 Gb / sの高速通信チャネルの保護をサポートします。 これらの複合体には、ファイアウォールの手段としてFSTEC証明書があり、KC3のレベルでの暗号保護の手段としてFSB証明書があります。 主な機能と利点は、メーカーのウェブサイトで調べることができます。





1Uフォームファクターで実行されるため、電力消費量が少なく、発熱レベルが低く、配置や操作に特別な条件を必要としません。



サービスプロバイダーのデータセンターで安全な通信チャネルを編成するために、コーディネーターHW1000のフォールトトレラントクラスターが配置されました。 通信チャネルのスループットを向上させるため、および追加のバックアップメカニズムとして、通信チャネルの集約が構成されました。 顧客のデータセンターには、プロバイダーの光リングに含まれる唯一のHW1000コーディネーターが収容されています。



管理の利便性と責任範囲の境界のために、相互接続の組織なしで、 保護されたデータネットワーク（DSPD）間の3者間対話が実装されました。 すなわち 制御されたゾーン内では、SMEVの暗号ゲートウェイ、データセンター、データセンターチャネル、および地域のZSPD間のトラフィック交換がオープンモードで行われます。



一般的に、保護システムのスキームは図に示されています。







仮想化環境の保護は、GOST R 56938-2016 "情報セキュリティに基づいています。 仮想化技術を使用するときの情報セキュリティ。 一般的な規定”仮想インフラストラクチャには、自動化されたシステムに固有の保護オブジェクトに加えて、仮想化環境に固有の特定のオブジェクトもあります。



これらには以下が含まれます。

• 仮想インフラストラクチャを作成および管理するためのツール。
• 仮想計算システム;
• 仮想データストレージシステム。
• 仮想データチャネル。
• 処理、ストレージ、およびデータ転送用の個別の仮想デバイス。
• 仮想ツールZIおよび仮想化環境での使用を目的としたツールZI。

仮想化技術に基づいたサービスを提供する場合、「スーパーユーザー」と呼ばれる純粋に人間的な問題もあります。 実際、仮想インフラ管理者は、すべてが利用可能です。





仮想インフラストラクチャの脆弱性。 VGate R2 プレゼンテーションスライド



これらの前提に基づいて、仮想化環境を保護するために、セキュリティコード会社の製品であるvGate R2が選択されました。 VGateは、クラウドで使用されるVMware vSphere仮想化プラットフォーム上に完全に機能する製品を実装しています。



この製品は活発に開発されており、多くの使いやすいテンプレートがあります。 証明書の可用性に加えて、この製品は、システムをコンプライアンスに準拠させる作業を大幅に促進するため、注目したい便利な機能や機能が多数あります。

• 個人データとGISを保護するためのポリシーを構成するための組み込みテンプレート。
• 保護されたデータの種類、情報システムの境界、インフラストラクチャ自体に変更を加える必要なくユーザーグループに従ってインフラストラクチャをセグメント化する機能。
• インフラストラクチャ要素へのアクセス制御（任意および強制アクセス制御）;
• 情報セキュリティイベントの追加ログファイル。
• PCI DSS、VMwareセキュリティ強化ベストプラクティス、およびCIS VMware ESX Server 3.5ベンチマークと仮想インフラストラクチャ設定の自動調整。
• 完成した仮想マシンと情報セキュリティの管理者との調整。
• 仮想インフラ管理者による仮想マシンデータへのアクセスの禁止。
• 発生した情報セキュリティイベントと構成の変更に関するレポートの作成。
• インフラストラクチャへのアクセス試行の登録。
• 仮想マシンの整合性制御と信頼できるロード。

「スーパーユーザー」の問題を解決するために、vGateはユーザーロールの分離を実装しています。 仮想インフラストラクチャ管理はVM管理者に割り当てられ、セキュリティ管理はセキュリティ管理者に割り当てられます。



また、私たちにとって重要なことですが、新しいバージョンの開発者は、前述のGOST R 56938-2016に準拠した新しいセキュリティテンプレートの追加を約束しています。



vGateアーキテクチャを次の図に示します。







不正アクセスに対する保護の手段に加えて、仮想マシンに向けられたすべての許可されたトラフィックは、侵入検知システムによって攻撃シグネチャの存在について検査されます。 Infotecsの製品はIDSとしても使用されます。 ハードウェア/ソフトウェア複合体（PAC）ViPNet IDSは、企業情報システムにおけるコンピューター攻撃（侵入）を検出するための効果的で信頼性の高いシステムです。 システムの作業は、ネットワークリンクの動的分析に基づいており、データリンクレイヤーから始まり、オープンシステムインタラクションモデルのアプリケーションレイヤーで終わります。 この場合、選択したのは、使用するソリューションの均一性とコントロールの互換性です。



FSTECによって認定されたさまざまなバックアップオプションのうち、選択は実績のあるVeeamに委ねられました。 Veeam Backup＆Replicationは、仮想化されたアプリケーションとデータの効果的なバックアップ、レプリケーション、およびリカバリを提供します。 このソリューションは、仮想マシン内のエージェントを使用せずに、VMware仮想マシンの高速で信頼性の高いバックアップを提供します。 Veeam Backup＆Replicationは、バックアッププロセスを高速化し、ストレージコストを削減します。



当然、クラウド保護はリストされた手段に限定されません。 しかし、この記事で述べられているトピックに照らして、使用されている非認定ソリューションは、GIS保護に関する法律の要件への準拠を評価する上で大きな役割を果たしません。 しかし、もちろん、それは最終顧客にとって確かに重要です。 例として、規制されたサービスはまだありません-DDoS保護 。



当然、このケースでは、仮想マシン内に直接実装される組織的対策と保護対策の問題も省略されます。 それにもかかわらず、このソリューションは法律で義務付けられている認定情報セキュリティツールに基づいており、サービスプロバイダーのクラウドインフラストラクチャにおけるGIS保護の問題を完全に解決できます。 この例では、ソリューションは、ロシア連邦セキュリティサービスの要件を満たす暗号情報保護システムによって保護された通信チャネルを介して機密データを転送し、KS3をクラス化し、認定vGate仮想環境保護ツールを使用して不正アクセスから仮想マシンを保護し、スーパーユーザーの問題を解決し、ロシアのFSTECの命令の要件に応じた仮想インフラ。

クラウドはなぜですか？

クラウドテクノロジーの従来の利点に加えて、クラウドサービスプロバイダーのサイトにGISを配置することにより、顧客は仮想化環境にセキュリティ要件を実装する際の頭痛の種を取り除くことができます。 サービスプロバイダーは、クラウドインフラストラクチャ全体に対する保護対策の実装を完全に引き受けます。 さらに、Cloud4Yなどの真面目で責任のあるサービスプロバイダーは、必要な保護を提供し、顧客の仮想マシン内の情報セキュリティ要件への準拠に関するアドバイスと推奨事項を提供する準備ができています。 私たちのポートフォリオで最も適切な完成品はCloud FZ 152です。もちろん、クライアントの要件に特化したソリューションを開発する機会があります。

GISをホストするサービスプロバイダーを選択する際に考慮すべきことは何ですか？

プロバイダーのサイトにGISを配置するには、プロバイダーのクラウドインフラストラクチャが、顧客のIPクラス以上のIPの要件を満たす必要があります。コンプライアンスデータは、認定テストの結果に基づいてFSTECライセンシーによって発行された情報セキュリティ要件を備えたISP ISコンプライアンス証明書によって確認されます。



従来のクラウドとは対照的に、情報保護の組織に関してサービスプロバイダーに追加の義務が課せられます。このような義務には、FSTECおよび/またはロシアのFSBによって認定された情報保護ツールの使用、技術情報保護活動のためのFSTECライセンスの利用可能性が含まれます。また、暗号情報保護手段を使用する場合、サービスプロバイダーは、暗号情報保護手段を配布するためにFSBライセンスも必要です。



ご覧のように、サードパーティのサービスプロバイダーのクラウドにGISを配置することは非常に可能であり、ロシアの法律の枠組みにも適合しています。このサービスは市場ではまったく新しいものですが、実装に成功したプロジェクトは、クラウド内のGISが利便性とコストの点で顧客にとって明確なプラスであることを示唆しています。