Unsere Cloud-152 IaaS-Plattform ist gleichzeitig nach PCI DSS zertifiziert und verfügt über ein Konformitätszertifikat 152- für UZ-2 (ohne tatsächliche Bedrohungen des 1. und 2. Typs). Dieselbe Plattform ist auch im Umfang unseres Informationssicherheits-Managementsystems (ISMS) enthalten, das wir gemäß ISO / IEC 27001: 2013 zertifiziert haben. Ich werde Ihnen auf jeden Fall davon und von der
STAR Cloud Security Alliance (CSA) erzählen, aber heute werde ich mich auf die Vorteile des PCI DSS und die 152--Synergien für unsere Kunden konzentrieren.
Wir leben in Russland, unsere Kunden sind hauptsächlich in der Russischen Föderation tätig und jeder muss die Anforderungen der russischen Gesetzgebung im Bereich des Schutzes personenbezogener Daten erfüllen. Das Bundesgesetz „Über personenbezogene Daten“ vom 27. Juli 2006 Nr. 152- und Korrekturen aus dem Bundesgesetz vom 21. Juli 2014 über die Verarbeitung personenbezogener Daten von Bürgern der Russischen Föderation in Datenbanken auf dem Gebiet der Russischen Föderation. Nicht jeder braucht GDPR, und ich werde dieses Thema auch über den Rahmen dieses Artikels hinausgehen.
152- wurde konzipiert, um die Rechte von PD-Patienten zu schützen. Das Gesetz sieht keine vorgefertigten Rezepte zum Schutz personenbezogener Daten durch Einführung und Konfiguration von Schutzausrüstung (SZI) vor. Wenn Sie sich auf eine „spezifischere“ Ebene des Regierungsdekrets Nr. 1119, des FSTEC-Ordens von Russland Nr. 21 und des FSB-Ordens von Russland Nr. 378 begeben, dann geht es eher um die Tatsache, dass Mittel verfügbar sind (in einigen Fällen zertifiziert), und nicht darum, wie dies eingerichtet werden sollte um sicher zu sein.
PCI DSS definiert Datensicherheitsanforderungen in der Zahlungskartenbranche. Der Umfang seiner Tätigkeit ist mit Geld verbunden, das traditionell jeder mit besonderer Sorgfalt schützt. Es hat mehr Besonderheiten, Anforderungen und Leseblätter :).
Es mag jemandem seltsam erscheinen, dass die Verbindung selbst auf derselben PCI DSS- und 152--Plattform erfolgt, aber für uns ist dies sinnvoll. Dies sind nicht nur zwei in einer Flasche, sondern vor allem die Kombination aus Papier und praktischer Sicherheit.
Ich werde einige Beispiele zu diesem System der „Checks and Balances“ geben.
Beispiel 1. Ein Zertifikat für eine Infrastruktur, die die Anforderungen von 152-FZ erfüllt, wird für 3 Jahre ausgestellt. Während dieser Zeit sollte sich nichts an der Infrastruktur ändern, oder es muss unbedingt mit der Organisation vereinbart werden, die das Zertifikat ausgestellt hat. Die Zertifizierung entspricht einer Reparatur des Systems für drei ganze Jahre. Wie die Infrastruktur die Anforderungen von Verifikation zu Verifikation erfüllt, liegt im Gewissen der Zertifizierten.
PCI DSS hat einen kürzeren Prüfungszyklus: eine Prüfung jedes Jahr. Darüber hinaus wird zweimal im Jahr ein Pentest (externer und interner Eindringling) und viermal im Jahr ein ASV-Scan (Approved Scanning Vendor) durchgeführt. Dies reicht aus, um die Infrastruktur in gutem Zustand zu halten.
Beispiel 2. Die Zertifizierung nach 152- hat ihren eigenen Preis, und dies sind Einschränkungen bei der Auswahl der Software und der Schutzmittel. Wenn Sie sich einer Zertifizierung unterziehen möchten, müssen alle
zertifiziert sein . Zertifiziert - bedeutet nicht die neuesten Versionen von Software und SZI. Zum Beispiel ist PAC CheckPoint zertifiziert, die Modellreihe 2012, Firmware R77.10. Die Zertifizierung ist jetzt R77.30, aber der Hersteller-Support endet bereits im September 2019. Für PCI DSS gelten solche Anforderungen nicht (mit Ausnahme des Scanners - er sollte aus der Liste der zugelassenen Anforderungen stammen). Auf diese Weise können Sie parallele Schutzwerkzeuge verwenden, die keine Probleme mit der Relevanz von Versionen haben.
Beispiel 3. Sowohl 152- als auch PCI DSS erfordern eine Firewall (ME). Nur die FSTEC Russlands benötigt lediglich ihre Anwesenheit, und im Falle einer Zertifizierung ist auch eine Bescheinigung über die Einhaltung der Anforderungen der FSTEC Russlands erforderlich. Gleichzeitig stellt FSTEC keine Anforderungen an Konfiguration und Wartung. In der Tat kann die Firewall einfach sein, aber sie funktioniert korrekt und wenn sie im Prinzip funktioniert, wird sie im Dokument nicht ausgesprochen. Gleiches gilt für den Virenschutz (SAVZ), die Intrusion Detection (SOV) und den Informationsschutz vor unbefugtem Zugriff (SZI von NSD).
Inspektionen von Zertifizierungsorganisationen können auch nicht garantieren, dass alles so funktioniert, wie es sollte. Oft beschränkt sich alles auf das Hochladen aller Firewall-Regeln. Es kommt auch vor, dass sie einfach die Prüfsummen aus den Dateien des Gaia OS (CheckPoint OS) entfernen. Diese Dateien ändern sich dynamisch und auch ihre Prüfsumme. Solche Überprüfungen haben wenig Sinn.
Es gibt auch Anforderungen von Herstellern zertifizierter SZI für deren Installation und Betrieb. In meiner Praxis sah ich jedoch nur sehr wenige Zertifizierungen (keine Staatsgeheimnisse), bei denen die Leistung der technischen Spezifikationen am SZI überprüft wurde.
Der PCI-DSS-Standard erfordert alle sechs Monate eine Analyse der Firewall-Regeln durch den Zertifikatsinhaber. Einmal im Monat überprüfen die Spezialisten des DataLine-Cybersicherheitszentrums die ME-Regeln in Cloud-152, um festzustellen, ob sie unnötig, vorübergehend und irrelevant sind. Jede neue Regel durchläuft unseren Service Desk. Eine Beschreibung dieser Regel ist im Ticket vermerkt. Wenn eine neue Regel auf dem ME erstellt wird, wird die Ticketnummer in den Kommentar geschrieben.
Beispiel 4. Die Anordnung der FSTEC von Russland Nr. 21 impliziert die Notwendigkeit eines Schwachstellenscanners, der erneut für die Zertifizierung zertifiziert ist. Als zusätzliche Maßnahme wird ein Pen-Test bereitgestellt, bei dem IP in Abschnitt 11 auf Penetration geprüft wird.
Die Berichte dieser Scanner machen auch Spaß. Wenn unsere Kunden die Zertifizierung ihrer auf Cloud-152 gehosteten IPs bestehen, möchte die zertifizierende Organisation häufig einen leeren Bericht erhalten, der keine Schwachstellen in der zertifizierten IP enthält. Darüber hinaus sind Zertifizierer normalerweise auf interne Scans beschränkt. Das externe Scannen in meiner Praxis wurde nur wenige Male von Zertifizierern durchgeführt, und dies waren Büros mit einem Namen.
PCI DSS schreibt eindeutig nicht nur das Vorhandensein eines Scanners vor, sondern auch einen regelmäßigen ASV-Scan (Approved Scanning Vendor) viermal im Jahr. Entsprechend den Ergebnissen überprüfen die Ingenieure des Anbieters den Bericht und geben eine Stellungnahme ab. Die Penetrationstests für Cloud-152 werden gemäß den PCI DSS-Anforderungen zweimal im Jahr durchgeführt.
Beispiel 5. Multifaktorauthentifizierung. In der Verordnung Nr. 21 der FSTEC von Russland wird diese Anforderung nicht ausdrücklich angegeben. PCI DSS erfordert jedoch eine Multifaktorauthentifizierung.
Nun wollen wir sehen, wie der Standard und das Gesetz auf derselben Infrastruktur „koexistieren“.
Über Cloud-152
Das Cloud-152-Steuerungssegment und der Kundenbereich befinden sich auf unterschiedlichen physischen Geräten in dedizierten Racks mit Zugangskontrollsystemen und Videoüberwachung.
Cloud-152 basiert auf VMware vSphere 6.0 (Zertifikat Nr. 3659). In naher Zukunft werden wir auf 6.5 umstellen und 6.7 wird bereits unter Inspektionskontrolle stehen.
Wir verwenden kein zusätzliches SPI auf Virtualisierungsebene, da wir mit Clients eine enge SLA für die Verfügbarkeit der IaaS-Plattform unterzeichnen. Daher versuchen wir, zusätzliche Fehlerquellen zu minimieren.
Das Cloud-152-Steuerungssegment wird mithilfe eines zertifizierten Check Point-Hardware- und -Softwaresystems, das die Funktionen einer Firewall und eines Intrusion Detection-Tools (Zertifikat Nr. 3634) kombiniert, von DataLine, Client-Netzwerken und dem Internet getrennt.
Clientseitige Administratoren übergeben die Zwei-Faktor-Authentifizierung mit SafeNet Trusted Access (STA), bevor sie auf virtuelle Ressourcen zugreifen.
Cloud-152-Administratoren sind über ein Mittel zur Überwachung und Verfolgung der Aktionen privilegierter Benutzer von SKDPU (Zertifikat Nr. 3352) mit der Cloud verbunden. Als nächstes wird auch die Zwei-Faktor-Authentifizierung bestanden, und erst dann erhalten sie Zugriff auf das Cloud-152-Management. Dies ist nach dem PCI-DSS-Standard erforderlich.
Zum Schutz vor unbefugtem Zugriff verwenden wir SecretNet Studio (Zertifikat Nr. 3675). Der Virenschutz wird durch Kaspersky Security für die Virtualisierung bereitgestellt (Zertifikat Nr. 3883).
An Cloud-152 sind drei Scanner gleichzeitig beteiligt:
- Zertifizierter XSpider (Zertifikat Nr. 3247) zur Erfüllung der 152-FZ-Anforderungen. Wir benutzen es einmal im Quartal.
- Nessus für die eigentliche Arbeit der Suche und Analyse von Schwachstellen innerhalb der Cloud-152-Plattform.
- Qualys ist der Scanner, den wir für das externe Scannen gemäß den PCI-DSS-Anforderungen benötigen. Wir verwenden es monatlich und manchmal öfter.
Zusätzlich führen wir viermal im Jahr einen obligatorischen ASV-Scan für PCI DSS durch.
Als SIEM wird Splunk verwendet, das in der Russischen Föderation nicht mehr verkauft wird. Jetzt sind wir auf der Suche nach einer neuen Lösung und führen Tests durch. SIEM ist für die PCI-DSS-Konformität erforderlich.
Cloud-152-SchemaNachdem ich nun ausführlich beschrieben habe, wie die Konformität mit dem PCI-DSS auf der IaaS-Plattform unter 152- zu einer echten Sicherheit beiträgt, fragen Sie sich wahrscheinlich: Warum erschweren Sie solche Dinge, wenn Sie sie ohne PCI-DSS zum Laufen bringen können? Ja, das ist möglich, aber zusammen mit PCI DSS haben wir einen Nachweis in Form eines Zertifikats, das wir jährlich bestätigen.