Docker - Форум по вопросам информационной безопасности

Добрый вечер! Собираемся сертифицировать СЗИ на соответствие требованиям 17 приказа ФСТЭК для использования в ГИС первого класса. ПО реализовано в виде микросервисов выполняемых в docker-контейнерах.
Есть у кого-нибудь опыт сертификации подобных решений? Является ли docker средством виртуализации?
Можно как-нибудь уйти от выполнения требований ЗСВ?

Без шансов.

Чтобы получить в сертификате приписку "может использоваться в ГИС до первого класса", вам при согласовании заявки придется убедить ФСТЭК, что требования ЗСВ потребитель сможет выполнить. У вас есть ровно три варианта:
а) Найти сертифицированный линукс, в который включен Docker. В Астре и Альте его нет и не будет, сертификат RedHat'а протухнет под бой новогодних курантов.
б) Найти сертифицированное средство защиты, которое обеспечивает выполнение требований ЗСВ для среды исполнения, создаваемой Docker. Таких нет и не предвидится.
в) Сертифицировать свое решение вместе с Docker'ом, заявив его как часть своего решения и самостоятельно обеспечивая его техническую поддержку. В принципе, возможно, но терзают меня смутные сомнения, что вы готовы на это пойти.

Более того, по новым правилам сертификации, если не найдется сертифицированный Docker, вам в любом случае придется сертифицировать свое решение только с определенными релизами Docker'а, которые вам придется самим собрать из исходников и передать испытательной лаборатории на анализ уязвимостей. И если каким-то чудом вы получите сертификат, уже со следующим релизом Docker'а этот сертификат превратится в тыкву.

to malotavr
<Чтобы получить в сертификате приписку "может использоваться в ГИС до первого класса", вам при согласовании заявки придется убедить ФСТЭК, что требования ЗСВ потребитель сможет выполнить> где-нибудь официально прописано? Не наезда ради, а пользы для интересуюсь. Тут особо ретивые ребятки (как обычно, ага) развернули KVM на базе ОС с сертификатом по НДВ и СВТ и доказывают, что требования ЗСВ априори выполняются. А я теперь в поисках истины...

to Pavel
+1 к тов. malotavr - далеко на таком решении даже в случае получения сертификата на Docker не уедете, увы...
Возможно, имеет смысл зайти с другого бока. Обеспечить контроль доступа к среде исполнения серверной системы, а для сервисов внутри контейнеров ("тела" ИС, как я понимаю?) провести пен-тест. С выдачей положительного заключения о защищенности (при условии фактического соответствия, конечно). И сертиф.СЗИ использовать уже на уровне сети (благо, их навалом). Надо крутить конечный проект, конечно, без его понимания ничего определенного не скажешь. Но вариант есть всегда, ага...

oko, официально не прописано, это просто практика согласования ТУ и ЗБ при подаче заявки.

Лазейка НДВ+СВТ закрывается, такие сертификаты до конца года должны быть переоформлены на серфикацию по ЗБ или ТУ с указанием уровня доверия. ЗБ должно соответствовать утвержденному ПЗ, а в тексте ТУ приходится явно указывать, каким мерам 17 приказа соответствуют заявленные требования. Так что пока ретивых ребят можно просто бортануть, сказав, что сертификат, о котором они говорят, 1 января будет отозван.

to malotavr
Благодарю! Хотя ребят бортануть по такой схеме не выйдет - есть иные препятствующие факторы. Впрочем, как и аргументы дополнительные об отказе подобного решения не только по причине сертификации СВТ/НДВ...

Всем большое спасибо за ценную информацию.