Хорошо. ISO/IEC 27001:2022 это международный стандарт для систем управления информационной безопасностью. Опубликованный организацией ISO/IEC, это объёмный документ со средствами управления для шифрования, управления доступом, реагирования на инциденты и множеством других доменов информационной безопасности. Вы почти наверняка это знаете. Поэтому скажу прямо: Rediacc не охватывает все средства управления этого стандарта, и мы не будем делать вид, что охватываем. Ниже представлено честное описание того, где находится Rediacc. Текущая версия: ISO/IEC 27001:2022.
Ссылка: ISO/IEC 27001:2022
Итак, Rediacc это один компонент слоя технических средств управления в рамках СМИБ. Таблица ниже сопоставляет возможности Rediacc с соответствующими доменами средств управления Приложения A.
Сопоставление средств управления Приложения A
| Домен управления | Средство управления | Возможность Rediacc |
|---|---|---|
| A.8, Управление активами | A.8.1 Инвентаризация активов | Каждый репозиторий это отдельный идентифицируемый актив с уникальным GUID. rdc machine query --name <machine> --repositories выводит список всех репозиториев с размером, состоянием монтирования и количеством контейнеров. |
| A.8, Управление активами | A.8.24 Использование криптографии | Обязательное шифрование LUKS2 AES-256 на всех репозиториях. Управление ключами: учётные данные хранятся только в локальной конфигурации оператора, никогда на сервере. |
| A.9, Контроль доступа | A.9.2 Управление доступом пользователей | Аутентификация по SSH-ключам. API-токены с привязкой к IP, областью действия для команды и автоматическим отзывом при удалении из команды. Поддержка двухфакторной аутентификации (TOTP). |
| A.10, Криптография | A.10.1 Криптографические средства управления | LUKS2 с настраиваемыми параметрами ключей. Учётные данные шифрования для каждого репозитория. Весь удалённый транспорт по SSH. Хранилище конфигурации реализует шифрование с нулевым разглашением: AES-256-GCM с выводом ключей HKDF, обмен ключами X25519 для участников и SDK-ключи с временным окном для мгновенного отзыва. |
| A.12, Операционная безопасность | A.12.3 Резервное копирование | rdc repo push/pull с зашифрованным удалённым хранилищем на несколько пунктов назначения (SSH, S3, B2, Azure, GDrive). CoW-снимки для восстановления на определённый момент времени. rdc repo validate проверяет состояние резервных копий и целостность репозитория. |
| A.12, Операционная безопасность | A.12.4 Журналирование и мониторинг | 70+ типов событий (аутентификация, API-токены, конфигурация, лицензирование, операции с машинами). Мониторинг состояния машин через rdc machine query. Мониторинг статуса контейнеров и ресурсов. |
| A.13, Безопасность коммуникаций | A.13.1 Управление сетевой безопасностью | Изоляция Docker daemon для каждого репозитория. Правила iptables блокируют трафик между репозиториями. Подсети loopback IP (/26) для каждого репозитория. Обратный прокси с терминацией TLS для внешнего доступа. |
| A.14, Разработка систем | A.14.2 Безопасность при разработке | Среды разработки на основе форков обеспечивают соответствие продакшену без раскрытия данных продакшена. Хуки жизненного цикла Rediaccfile обеспечивают автоматическую очистку данных в клонированных средах. |
Управление активами
Здесь всё просто: модель репозиториев Rediacc естественно поддерживает требования к инвентаризации активов:
- Каждый репозиторий имеет уникальный GUID, присвоенный при создании
- Репозитории перечисляются по машинам (
rdc machine query --repositories) - Статус шифрования каждого репозитория, состояние монтирования, количество контейнеров и использование диска видимы
- Отношения форков отслеживают происхождение клонированных сред
Управление изменениями
Вот где становится интересно: рабочий процесс fork-test-promote соответствует требованиям управления изменениями ISO 27001:
- Форк: Создание изолированной копии продакшен-среды
- Тест: Применение и валидация изменений на форке
- Продвижение: Использование
rdc repo takeoverдля замены форка на продакшен - Аудит: Все операции записываются с временными метками и идентификацией участника
Непрерывное совершенствование
- Экспорт журналов аудита поддерживает периодические проверки безопасности
- Проверки состояния машин (
rdc machine query --system) поддерживают операционный мониторинг rdc repo validateпроверяет состояние резервных копий после каждой операции