Модуль 6.1: Фреймворки відповідності
Складність:
[СЕРЕДНЯ]- Концептуальні знанняЧас на виконання: 25-30 хвилин
Передумови: Модуль 5.4: Інструменти безпеки
Що ви зможете робити
Розділ «Що ви зможете робити»Після завершення цього модуля ви зможете:
- Визначити основні фреймворки відповідності (SOC 2, PCI DSS, HIPAA, GDPR) та їх релевантність для Kubernetes
- Оцінити як засоби безпеки Kubernetes відповідають конкретним вимогам відповідності
- Оцінити розрив між стандартною конфігурацією Kubernetes та станом готовності до відповідності
- Пояснити як демонструвати відповідність через аудиторські журнали, контроль доступу та шифрування
Чому цей модуль важливий
Розділ «Чому цей модуль важливий»Фреймворки відповідності визначають вимоги безпеки для конкретних галузей та типів даних. Розуміння цих фреймворків допомагає впровадити відповідні контролі в Kubernetes та продемонструвати, що ваші системи відповідають регуляторним вимогам.
KCSA перевіряє вашу обізнаність щодо основних фреймворків відповідності та їх застосування до середовищ Kubernetes.
Що таке відповідність?
Розділ «Що таке відповідність?»┌─────────────────────────────────────────────────────────────┐│ ОСНОВИ ВІДПОВІДНОСТІ │├─────────────────────────────────────────────────────────────┤│ ││ ВІДПОВІДНІСТЬ = Виконання визначених вимог безпеки ││ ││ ТИПИ: ││ ├── Регуляторна — вимагається законом (HIPAA, GDPR) ││ ├── Галузева — вимагається галуззю (PCI-DSS) ││ └── Добровільна — самонакладена (SOC2, ISO 27001) ││ ││ ЧОМУ ЦЕ ВАЖЛИВО: ││ ├── Юридичні вимоги (штрафи, переслідування) ││ ├── Вимоги клієнтів (контракти) ││ ├── Вимоги страхування ││ ├── Довіра та репутація ││ └── Найкращі практики безпеки ││ ││ ВІДПОВІДНІСТЬ ≠ БЕЗПЕКА ││ • Відповідність є мінімальною планкою ││ • Безпека виходить за межі відповідності ││ • Бути відповідним не означає бути безпечним ││ • Бути безпечним часто означає бути відповідним ││ │└─────────────────────────────────────────────────────────────┘Основні фреймворки відповідності
Розділ «Основні фреймворки відповідності»PCI-DSS
Розділ «PCI-DSS»┌─────────────────────────────────────────────────────────────┐│ PCI-DSS (Галузь платіжних карток) │├─────────────────────────────────────────────────────────────┤│ ││ СТОСУЄТЬСЯ: Організацій, що обробляють дані платіжних ││ карток ││ ││ 12 ВИМОГ (згруповані): ││ ││ ПОБУДОВА БЕЗПЕЧНОЇ МЕРЕЖІ ││ 1. Встановити/підтримувати брандмауер ││ 2. Не використовувати стандартні паролі постачальника ││ ││ ЗАХИСТ ДАНИХ ВЛАСНИКА КАРТКИ ││ 3. Захистити збережені дані власника картки ││ 4. Шифрувати передачу через публічні мережі ││ ││ УПРАВЛІННЯ ВРАЗЛИВОСТЯМИ ││ 5. Використовувати та оновлювати антивірус ││ 6. Розробляти безпечні системи та застосунки ││ ││ КОНТРОЛЬ ДОСТУПУ ││ 7. Обмежити доступ за принципом необхідності знати ││ 8. Призначити унікальний ідентифікатор кожній особі ││ 9. Обмежити фізичний доступ ││ ││ МОНІТОРИНГ ТА ТЕСТУВАННЯ ││ 10. Відстежувати та моніторити весь доступ ││ 11. Регулярно тестувати системи безпеки ││ ││ ПІДТРИМКА ПОЛІТИКИ ││ 12. Підтримувати політику інформаційної безпеки ││ │└─────────────────────────────────────────────────────────────┘PCI-DSS у Kubernetes
Розділ «PCI-DSS у Kubernetes»┌─────────────────────────────────────────────────────────────┐│ КОНТРОЛІ PCI-DSS У KUBERNETES │├─────────────────────────────────────────────────────────────┤│ ││ ВИМОГА → КОНТРОЛЬ KUBERNETES ││ ││ Брандмауери (1) ││ → Мережеві політики, сегментація CNI ││ ││ Без стандартних паролів (2) ││ → Управління секретами, токени ServiceAccount ││ ││ Захист збережених даних (3) ││ → Шифрування у сховищі (etcd, secrets) ││ ││ Шифрування передачі (4) ││ → TLS скрізь, mTLS service mesh ││ ││ Безпечна розробка (6) ││ → Сканування образів, безпека ланцюга постачання ││ ││ Контроль доступу (7,8) ││ → RBAC, ServiceAccounts, автентифікація ││ ││ Моніторинг (10) ││ → Журналювання аудиту, безпека часу виконання ││ ││ Регулярне тестування (11) ││ → Сканування вразливостей, тестування на проникнення ││ │└─────────────────────────────────────────────────────────────┘Порівняння фреймворків
Розділ «Порівняння фреймворків»┌─────────────────────────────────────────────────────────────┐│ ПОРІВНЯННЯ ФРЕЙМВОРКІВ │├─────────────────────────────────────────────────────────────┤│ ││ ФРЕЙМВОРК ФОКУС ОБСЯГ ТИП ││ ──────────────────────────────────────────────────────────││ PCI-DSS Дані платежів Галузь Обов'язк. ││ HIPAA Дані здоров'я Охорона здор. Регулят. ││ SOC 2 Сервісні орг. Добровільний Аудит ││ GDPR Персональні дані ЄС Регулят. ││ ISO 27001 Інф. безпека Глобальний Добровіл. ││ NIST CSF Кібербезпека Федер. США Фреймворк ││ CIS Бенчмарки Технічний Добровіл. ││ ││ СПІЛЬНІ ТЕМИ: ││ • Контроль доступу ││ • Шифрування (у дорозі + у сховищі) ││ • Журналювання аудиту ││ • Реагування на інциденти ││ • Оцінка ризиків ││ • Управління вразливостями ││ │└─────────────────────────────────────────────────────────────┘Безперервна відповідність
Розділ «Безперервна відповідність»┌─────────────────────────────────────────────────────────────┐│ БЕЗПЕРЕРВНА ВІДПОВІДНІСТЬ │├─────────────────────────────────────────────────────────────┤│ ││ ТРАДИЦІЙНА ВІДПОВІДНІСТЬ: ││ Щорічний аудит → Виправлення → Проходження → Дрейф ││ Проблеми: Точка в часі, дорого, реактивно ││ ││ БЕЗПЕРЕРВНА ВІДПОВІДНІСТЬ: ││ Автоматичні перевірки → Безперервний моніторинг → ││ Виправлення в реальному часі ││ Переваги: Завжди відповідний, проактивно, ефективно ││ ││ ВПРОВАДЖЕННЯ: ││ ├── Політика як код (Kyverno/OPA) ││ ├── Автоматичне сканування (щодня/щогодини) ││ ├── Виявлення дрейфу ││ ├── Автоматичне виправлення, де безпечно ││ └── Дашборд та звітування ││ │└─────────────────────────────────────────────────────────────┘Чи знали ви?
Розділ «Чи знали ви?»-
PCI-DSS Рівень 1 вимагає зовнішніх аудитів для мерчантів, що обробляють понад 6 мільйонів транзакцій на рік.
-
HIPAA не має сертифікації — на відміну від PCI-DSS, не існує офіційної сертифікації HIPAA. Організації мають самостійно засвідчувати відповідність.
-
SOC 2 Type II часто є ціннішим за Type I, тому що демонструє, що контролі були ефективними протягом часу, а не лише в одну мить.
-
Штрафи GDPR перевищили 1 мільярд євро з початку застосування, з Amazon, що отримав найбільший одиничний штраф у 746 мільйонів євро.
Поширені помилки
Розділ «Поширені помилки»| Помилка | Чому це шкодить | Рішення |
|---|---|---|
| Ставлення до відповідності як до чекліста | Пропуск реальної безпеки | Використовувати фреймворки як основу |
| Відповідність у точці часу | Дрейф між аудитами | Безперервний моніторинг |
| Ручний збір доказів | Повільно, неповно | Автоматизувати збір доказів |
| Ігнорування перетинів фреймворків | Дублювання роботи | Відображати контролі між фреймворками |
| Без відповідальних за відповідність | Прогалини та плутанина | Призначити чітку відповідальність |
Перевірка знань
Розділ «Перевірка знань»-
Яка різниця між регуляторною та добровільною відповідністю?
Відповідь
Регуляторна відповідність вимагається законом (HIPAA, GDPR) — невідповідність може призвести до штрафів або юридичних дій. Добровільна відповідність (SOC2, ISO 27001) обирається організаціями для демонстрації безпеки клієнтам або виконання контрактних вимог. -
Чому відповідність — це не те саме, що безпека?
Відповідь
Відповідність — це мінімальна планка, визначена фреймворком. Вона може не охоплювати всі загрози, що стосуються вашого середовища. Відповідна система може бути небезпечною, якщо відповідає лише мінімальним вимогам. Безпека вимагає виходу за межі відповідності для вирішення конкретних ризиків. -
Які п’ять критеріїв довіри SOC 2?
Відповідь
Безпека (обов'язкова), Доступність, Цілісність обробки, Конфіденційність та Приватність. Лише Безпека є обов'язковою; організації обирають додаткові критерії на основі своїх послуг та потреб клієнтів. -
Як Kubernetes допомагає з відповідністю PCI-DSS?
Відповідь
Kubernetes надає контролі для мережевої сегментації (Network Policies), контролю доступу (RBAC), шифрування (шифрування Secrets, TLS), моніторингу (журналювання аудиту) та управління вразливостями (сканування образів). Вони відповідають вимогам PCI-DSS щодо захисту даних власника картки. -
Що таке безперервна відповідність?
Відповідь
Безперервна відповідність використовує автоматизовані інструменти для безперервної перевірки та забезпечення контролів відповідності, замість покладання на періодичні аудити. Вона включає політику як код, автоматичне сканування, виявлення дрейфу та сповіщення в реальному часі про порушення.
Підсумок
Розділ «Підсумок»Фреймворки відповідності надають вимоги безпеки для різних галузей:
| Фреймворк | Фокус | Ключові вимоги |
|---|---|---|
| PCI-DSS | Дані платежів | Мережева сегментація, шифрування, контроль доступу |
| HIPAA | Дані здоров’я | Технічні заходи, контролі аудиту, повідомлення про порушення |
| SOC 2 | Сервісні організації | Критерії довіри (безпека, доступність тощо) |
| GDPR | Персональні дані | Захист даних, права суб’єктів, повідомлення про порушення |
Ключові принципи:
- Відповідність — мінімальна планка, а не мета
- Впроваджуйте безперервну відповідність через автоматизацію
- Відображайте контролі між фреймворками для зменшення дублювання
- Збирайте докази автоматично
- Використовуйте політику як код для послідовного забезпечення
Наступний модуль
Розділ «Наступний модуль»Модуль 6.2: CIS Benchmarks — Розуміння та впровадження CIS Kubernetes Benchmark.