हमारा क्लाउड -152 IaaS प्लेटफ़ॉर्म PCI PCI के अनुसार एक साथ प्रमाणित है और UZ-2 (पहली और दूसरी प्रकार के वास्तविक खतरों के बिना) के अनुरूप 152-ity का प्रमाण पत्र है। वही प्लेटफॉर्म हमारी सूचना सुरक्षा प्रबंधन प्रणाली (आईएसएमएस) के दायरे में भी शामिल है, जिसे हमने आईएसओ / आईईसी 27001: 2013 के अनुसार प्रमाणित किया है। मैं आपको निश्चित रूप से इस बारे में और
STAR Cloud Security Alliance (CSA) के बारे में बताऊंगा, लेकिन आज मैं PCI DSS और 152-ner के फायदे पर अपने ग्राहकों के लिए ध्यान केंद्रित करूँगा।
हम रूस में रहते हैं, हमारे ग्राहक मुख्य रूप से रूसी संघ में व्यापार करते हैं, और सभी को व्यक्तिगत डेटा सुरक्षा के क्षेत्र में रूसी कानून की आवश्यकताओं का पालन करना पड़ता है। रूसी फेडरेशन के क्षेत्र में स्थित डेटाबेस में रूसी संघ के नागरिकों के व्यक्तिगत डेटा के प्रसंस्करण के बारे में बहुत संघीय कानून "ऑन पर्सनल डेटा" दिनांक 27 जुलाई, 2006 नंबर 152-correct और इसे 212 जुलाई 2014 के 242-संघीय कानून से सुधार। हर किसी को जीडीपीआर की आवश्यकता नहीं है, और मैं इस विषय को इस लेख के दायरे से बाहर भी ले जाऊंगा।
पीडी विषयों के अधिकारों की रक्षा के लिए 152-con की कल्पना की गई थी। कानून सुरक्षात्मक उपकरणों (SZI) के परिचय और विन्यास के माध्यम से व्यक्तिगत डेटा की सुरक्षा के लिए तैयार व्यंजनों को प्रदान नहीं करता है। यदि आप सरकार के डिक्री नंबर 1119, एफएसटीईसी ऑर्डर ऑफ रूस नंबर 21 और एफएसबी ऑर्डर ऑफ रूस नंबर 378 के अधिक "ठोस" स्तर तक जाते हैं, तो यह धन की उपलब्धता के तथ्य के बारे में अधिक है (कुछ मामलों में प्रमाणित), और यह कैसे सेट किया जाना चाहिए नहीं। सुरक्षित होना।
PCI DSS भुगतान कार्ड उद्योग में डेटा सुरक्षा आवश्यकताओं को परिभाषित करता है। इसकी कार्रवाई का दायरा पैसे से जुड़ा हुआ है, जिसे हर कोई पारंपरिक रूप से विशेष देखभाल से बचाता है। इसकी और भी खासियतें, आवश्यकताएं और पठन पत्रक हैं :)।
यह किसी को अजीब लग सकता है कि एक ही PCI DSS और 152-but प्लेटफॉर्म पर कनेक्शन, लेकिन हमारे लिए यह समझ में आता है। यह केवल एक बोतल में दो के बारे में नहीं है, लेकिन, इससे भी महत्वपूर्ण बात, कागज और व्यावहारिक सुरक्षा का संयोजन।
मैं "जाँच और शेष" की इस प्रणाली के बारे में कुछ उदाहरण दूंगा।
उदाहरण 1. बुनियादी सुविधाओं के लिए एक प्रमाण पत्र जो 152-एफजेड की आवश्यकताओं को पूरा करता है 3 साल के लिए जारी किया जाता है। इस समय के दौरान, बुनियादी ढांचे में कुछ भी नहीं बदलना चाहिए, या यह जरूरी है कि प्रमाणपत्र जारी करने वाले संगठन के साथ सहमति होनी चाहिए। प्रमाणन पूरे तीन साल के लिए सिस्टम को ठीक करने के बराबर है। आधारभूत संरचना सत्यापन से सत्यापन तक की आवश्यकताओं को कैसे पूरा करती है यह प्रमाणित के विवेक पर है।
PCI DSS का एक छोटा ऑडिट चक्र है: हर साल एक ऑडिट। इसके अलावा, एक पेंटेस्ट (बाहरी और आंतरिक घुसपैठिए) को वर्ष में 2 बार और एक स्वीकृत स्कैनिंग विक्रेता (एएसवी) को वर्ष में 4 बार स्कैन किया जाता है। यह बुनियादी ढांचे को अच्छे आकार में रखने के लिए पर्याप्त है।
उदाहरण 2. 152-price के अनुसार प्रमाणन की अपनी कीमत है, और ये सॉफ्टवेयर और सुरक्षा के साधनों की पसंद में सीमाएं हैं। यदि आप प्रमाणीकरण से गुजर रहे हैं, तो उन सभी को
प्रमाणित किया जाना चाहिए। प्रमाणित - इसका मतलब सॉफ्टवेयर और SZI के नवीनतम संस्करण नहीं हैं। उदाहरण के लिए, पीएसी चेकप्वाइंट प्रमाणित है, 2012 मॉडल रेंज, फर्मवेयर R77.10। प्रमाणन अब R77.30 है, लेकिन यह सितंबर 2019 में विक्रेता के समर्थन के साथ पहले से ही समाप्त हो गया है। PCI DSS में ऐसी आवश्यकताएं नहीं हैं (स्कैनर को छोड़कर - यह अनुमोदित लोगों की सूची से होना चाहिए)। यह आपको समानांतर सुरक्षा साधनों का उपयोग करने की अनुमति देता है जिनकी संस्करणों की प्रासंगिकता में कोई समस्या नहीं है।
उदाहरण 3. 152- और PCI DSS दोनों को फ़ायरवॉल (ME) की आवश्यकता होती है। केवल रूस के FSTEC को केवल अपनी उपस्थिति की आवश्यकता होती है, और प्रमाणीकरण के मामले में, इसे रूस के FSTEC की आवश्यकताओं के अनुपालन के प्रमाण पत्र की भी आवश्यकता होती है। इसी समय, FSTEC को इसके विन्यास और रखरखाव के लिए कोई आवश्यकता नहीं है। वास्तव में, फ़ायरवॉल बस हो सकता है, लेकिन यह सही ढंग से काम करता है और यदि यह सिद्धांत रूप में काम करता है, तो यह दस्तावेज़ में नहीं बोला जाता है। यही स्थिति एंटीवायरस सुरक्षा (SAVZ), घुसपैठ का पता लगाने (SOV) और अनधिकृत पहुंच (NSD से SZI) से सूचना सुरक्षा के साथ है।
प्रमाणन संगठनों के निरीक्षण भी इस बात की गारंटी नहीं दे सकते हैं कि सब कुछ उसी तरह काम करता है जैसा कि उसे करना चाहिए। अक्सर, सब कुछ सभी फ़ायरवॉल नियमों को अपलोड करने तक सीमित है। यह भी होता है कि वे गिया ओएस (चेकप्वाइंट ओएस) की फाइलों से केवल चेकसम को हटा देते हैं। ये फाइलें गतिशील रूप से बदलती हैं, और उनका चेकसम भी। इस तरह की जाँचों में बहुत कम समझ है।
उनकी स्थापना और संचालन के लिए प्रमाणित SZI के निर्माताओं की आवश्यकताएं भी हैं। लेकिन मेरे व्यवहार में मैंने बहुत कम प्रमाणपत्र देखे (राज्य रहस्य नहीं), जिसके दौरान SZI में तकनीकी विशिष्टताओं के प्रदर्शन की जाँच की जाएगी।
PCI DSS मानक को हर छह महीने में एक बार प्रमाणपत्र धारक द्वारा फ़ायरवॉल नियमों के विश्लेषण की आवश्यकता होती है। महीने में एक बार, डेटालाइन साइबर स्पेस सेंटर के विशेषज्ञ क्लाउड -152 में अनावश्यक, अस्थायी और अप्रासंगिक खोजने के लिए नियमों की जांच करते हैं। प्रत्येक नया नियम हमारी सेवा डेस्क से गुजरता है, टिकट में इस नियम का विवरण दर्ज किया जाता है। जब एमई पर एक नया नियम बनाया जाता है, तो टिकट संख्या टिप्पणी में लिखी जाती है।
उदाहरण 4. रूस नंबर 21 के एफएसटीईसी के आदेश का तात्पर्य एक भेद्यता स्कैनर की आवश्यकता है, जो फिर से प्रमाणन के लिए प्रमाणित है। एक अतिरिक्त उपाय के रूप में, एक पेन-टेस्ट प्रदान किया जाता है, खंड 11 में प्रवेश के लिए आईपी का परीक्षण।
इन स्कैनर से रिपोर्ट भी मजेदार हैं। जब हमारे क्लाइंट क्लाउड -152 पर होस्ट किए गए अपने आईपी के प्रमाणीकरण को पास करते हैं, तो अक्सर प्रमाणित संगठन एक खाली रिपोर्ट प्राप्त करना चाहता है जिसमें प्रमाणित आईपी में कमजोरियां नहीं होती हैं। इसके अलावा, सर्टिफायर आमतौर पर आंतरिक स्कैन तक सीमित होते हैं। मेरे अभ्यास में बाहरी स्कैनिंग केवल कुछ समय के लिए प्रमाणितकर्ताओं द्वारा की गई थी, और ये एक नाम के साथ कार्यालय थे।
PCI DSS स्पष्ट रूप से न केवल एक स्कैनर की उपस्थिति, बल्कि एक नियमित ASV स्कैन (स्वीकृत स्कैनिंग विक्रेता) को भी वर्ष में 4 बार निर्धारित करता है। इसके परिणामों के अनुसार, विक्रेता के इंजीनियर रिपोर्ट की जांच करते हैं और एक राय देते हैं। और PCI-DSS आवश्यकताओं के अनुसार क्लाउड -152 के लिए पैठ परीक्षण वर्ष में 2 बार किया जाता है।
उदाहरण 5. बहुक्रियाशील प्रमाणीकरण। रूस के एफएसटीईसी के आदेश संख्या 21 स्पष्ट रूप से इस आवश्यकता को नहीं बताता है। हालाँकि, PCI DSS के लिए मल्टीफॉर्मर प्रमाणीकरण की आवश्यकता होती है।
अब देखते हैं कि मानक और कानून एक ही बुनियादी ढांचे पर "सह-अस्तित्व" कैसे हैं।
क्लाउड -152 के बारे में
क्लाउड -152 नियंत्रण खंड और ग्राहक क्षेत्र एक्सेस कंट्रोल सिस्टम और वीडियो निगरानी के साथ समर्पित रैक में विभिन्न भौतिक उपकरणों पर स्थित हैं।
Cloud-152 को VMware vSphere 6.0 (प्रमाणपत्र संख्या 3659) पर बनाया गया है। निकट भविष्य में हम 6.5 पर स्विच करेंगे, और 6.7 पहले से ही निरीक्षण नियंत्रण में होगा।
हम वर्चुअलाइजेशन स्तर पर अतिरिक्त एसपीआई का उपयोग नहीं करते हैं, चूंकि हम आईएएएस प्लेटफॉर्म की उपलब्धता के लिए ग्राहकों के साथ एक तंग एसएलए पर हस्ताक्षर करते हैं, इसलिए हम विफलता के अतिरिक्त बिंदुओं को कम करने की कोशिश करते हैं।
क्लाउड -152 नियंत्रण खंड को डेटालाइन, क्लाइंट नेटवर्क और इंटरनेट से प्रमाणित चेक प्वाइंट हार्डवेयर और सॉफ्टवेयर सिस्टम का उपयोग करके अलग किया जाता है जो फ़ायरवॉल और घुसपैठ का पता लगाने वाले उपकरण (प्रमाणपत्र संख्या 3634) के कार्यों को जोड़ती है।
क्लाइंट-साइड व्यवस्थापक वर्चुअल संसाधनों तक पहुंचने से पहले सेफनेट ट्रस्टेड एक्सेस (एसटीए) दो-कारक प्रमाणीकरण पास करते हैं।
क्लाउड -156 प्रशासक क्लाउड से जुड़े होते हैं जो SKDPU (प्रमाणपत्र संख्या 3353) के विशेषाधिकार प्राप्त उपयोगकर्ताओं के कार्यों की निगरानी और ट्रैकिंग के माध्यम से होते हैं। अगला, दो-कारक प्रमाणीकरण भी गुजरता है, और उसके बाद ही वे क्लाउड -152 प्रबंधन तक पहुंच प्राप्त करते हैं। यह PCI DSS मानक द्वारा आवश्यक है।
अनधिकृत पहुंच के खिलाफ सुरक्षा के साधन के रूप में, हम सीक्रेटनेट स्टूडियो (प्रमाण पत्र संख्या 3675) का उपयोग करते हैं। वर्चुअलाइजेशन के लिए कास्परस्की सिक्योरिटी (प्रमाण पत्र संख्या 3883) के माध्यम से एंटी-वायरस सुरक्षा प्रदान की जाती है।
एक बार में क्लाउड -152 में तीन स्कैनर शामिल होते हैं:
- 152-FZ आवश्यकताओं का अनुपालन करने के लिए प्रमाणित XSpider (प्रमाणपत्र संख्या 3247)। हम इसे एक बार एक चौथाई का उपयोग करते हैं।
- क्लाउड -152 प्लेटफॉर्म के भीतर कमजोरियों की खोज और विश्लेषण के वास्तविक काम के लिए नेसस।
- क्वालिस वह स्कैनर है जो हमें PCI DSS आवश्यकताओं के अनुसार बाहरी स्कैनिंग के लिए चाहिए। हम इसे मासिक, और कभी-कभी अधिक बार उपयोग करते हैं।
इसके अलावा, साल में 4 बार हम PCI DSS के लिए एक अनिवार्य ASV स्कैन करते हैं।
के रूप में सिएम, स्प्लंक का उपयोग किया जाता है, जो अब रूसी संघ में नहीं बेचा जाता है। अब हम एक नए समाधान की खोज में हैं, हम परीक्षण कर रहे हैं। पीसीआई डीएसएस अनुपालन के लिए सिएम आवश्यक है।
क्लाउड -156 योजनाअब जब मैंने विस्तार से वर्णन किया है कि 152--के तहत IaaS प्लेटफ़ॉर्म में PCI DSS का अनुपालन वास्तविक सुरक्षा प्राप्त करने में कैसे मदद करता है, तो आप शायद पूछते हैं: जब आप इसे किसी PCI PCI के बिना काम कर सकते हैं तो इस तरह की चीजों को जटिल क्यों करें। हां, यह संभव है, लेकिन PCI DSS के साथ हमारे पास एक प्रमाण पत्र के रूप में इसका प्रमाण है, जिसकी हम सालाना पुष्टि करते हैं।