我们的Cloud-152 IaaS平台同时通过了PCI DSS认证,并具有UZ-2的152-合格证书(没有第一种和第二种实际威胁)。 该平台还包含在我们的信息安全管理系统(ISMS)的范围内,该系统已根据ISO / IEC 27001:2013认证。 我肯定会和
STAR云安全联盟(CSA)一起向您介绍,但是今天,我将重点介绍PCI DSS的优势和对客户的152-协同效应。
我们生活在俄罗斯,我们的客户主要在俄罗斯联邦开展业务,每个人都必须遵守俄罗斯法律在个人数据保护方面的要求。 联邦法律“关于个人数据”的发布日期为2006年7月27日第152-号,并从2014年7月21日的242号联邦法律中对其进行了更正,涉及在位于俄罗斯联邦领土上的数据库中处理俄罗斯联邦公民的个人数据。 并非每个人都需要GDPR,因此我还将把这个话题超出本文的范围。
152-旨在保护PD受试者的权利。 该法律没有通过引入和配置保护设备(SZI)提供现成的保护个人数据的方法。 如果您将政府法令第1119号,俄罗斯FSTEC法令第21号和俄罗斯FSB法令第378号降低到一个更“具体”的级别,那么更多的是资金可用(在某些情况下是经过认证的)这一事实,而不是该如何设置为了安全。
PCI DSS定义了支付卡行业中的数据安全要求。 其行动范围与金钱有关,传统上每个人都应特别小心地保护金钱。 它具有更多的详细信息,要求和阅读表:)。
在同一PCI DSS和152-平台上进行连接本身对于某些人来说似乎很奇怪,但这对我们来说很有意义。 这不仅是一瓶中的两瓶,而且更重要的是纸和实用安全性的结合。
我将举一些有关“制衡”体系的例子。
示例1.满足152-FZ要求的基础设施证书颁发了3年。 在此期间,基础架构中的任何内容均不得更改,或者必须与颁发证书的组织达成一致。 认证等同于整个系统固定三年。 基础架构如何满足从验证到验证的要求,这取决于被认证者的良心。
PCI DSS的审核周期较短:每年进行一次审核。 除此之外,每年还会进行两次渗透测试(外部和内部入侵者),而认可扫描供应商(ASV)则每年进行4次扫描。 这足以使基础结构保持良好状态。
示例2.根据152-进行的认证有其自身的价格,而这些是软件选择和保护手段的限制。 如果您要进行认证,那么所有这些都必须经过
认证 。 已认证-表示不是软件和SZI的最新版本。 例如,PAC CheckPoint经过认证,2012年型号范围,固件R77.10。 认证现在为R77.30,但供应商支持已在2019年9月结束。PCIDSS没有此类要求(扫描仪除外-它应来自已批准的列表)。 这使您可以使用版本保护没有问题的并行保护工具。
示例 3.152-和PCI DSS都需要防火墙(ME)。 仅俄罗斯的FSTEC只是需要它的存在,在认证的情况下,它还需要符合俄罗斯的FSTEC要求的证书。 同时,FSTEC对其配置和维护没有要求。 实际上,防火墙可以是简单的,但是它可以正常工作,并且如果原则上可以工作,则不会在文档中说出来。 防病毒保护(SAVZ),入侵检测(SOV)和防止未经授权的访问的信息保护(来自NSD的SZI)也是如此。
认证机构的检查也不能保证一切都能正常进行。 通常,一切都仅限于上传所有防火墙规则。 也有可能他们只是从Gaia OS(CheckPoint OS)的文件中删除了校验和。 这些文件会动态更改,它们的校验和也一样。 这种检查几乎没有意义。
认证SZI制造商的安装和操作也有要求。 但是在我的实践中,我看到的认证很少(不是国家机密),在此期间将检查SZI的技术规范的性能。
PCI DSS标准要求证书持有者每六个月对防火墙规则进行一次分析。 每月一次,DataLine网络安全中心专家检查Cloud-152中的ME规则,以发现不必要,临时和不相关的内容。 每个新规则都会通过我们的服务台,该规则的描述会记录在故障单中。 在ME上创建新规则时,票证编号将写在注释中。
示例4.俄罗斯FSTEC第21号令表明需要一个再次经过认证的漏洞扫描程序。 作为一项附加措施,提供了一项笔测试,即第11条中渗透性的IP测试。
这些扫描仪的报告也很有趣。 当我们的客户通过Cloud-152上托管的IP的认证时,认证组织通常希望收到一个空报告,其中不包含认证IP中的漏洞。 此外,验证者通常仅限于内部扫描。 在我的实践中,外部扫描仅由验证者执行过几次,而这些都是带有名称的办公室。
PCI DSS明确规定不仅要有扫描仪,而且还要每年进行4次常规ASV扫描(批准的扫描供应商)。 根据结果,供应商的工程师检查报告并提出意见。 根据PCI DSS要求,每年对Cloud-152进行渗透测试两次。
示例5.多因素身份验证。 俄罗斯FSTEC第21号命令未明确规定此要求。 但是,PCI DSS需要多因素身份验证。
现在,让我们看看标准和法律如何在同一基础架构上“共存”。
关于Cloud-152
Cloud-152控制网段和客户区域位于带有访问控制系统和视频监控功能的专用机架中的不同物理设备上。
Cloud-152基于VMware vSphere 6.0(证书编号3659)构建。 在不久的将来,我们将切换到6.5,而6.7将已经处于检查控制之下。
我们没有在虚拟化级别上使用其他SPI,因为我们与客户端签署了严格的SLA以确保IaaS平台的可用性,因此我们尝试将其他故障点降至最低。
Cloud-152控制网段使用经过认证的Check Point硬件和软件系统与DataLine,客户端网络和Internet隔离,该系统结合了防火墙和入侵检测工具(证书编号3634)的功能。
客户端管理员在访问虚拟资源之前,必须通过SafeNet可信访问(STA)两因素身份验证。
Cloud-152管理员通过监视和跟踪SKDPU特权用户(证书编号3352)的行为连接到云。 接下来,两要素身份验证也会通过,只有这样,他们才能访问Cloud-152管理。 这是PCI DSS标准所必需的。
为了防止未经授权的访问,我们使用SecretNet Studio(证书编号3675)。 卡巴斯基安全软件为虚拟化提供了防病毒保护(证书编号3883)。
Cloud-152立即涉及三台扫描仪:
- 经过认证的XSpider(证书编号3247)符合152-FZ要求。 我们每季度使用一次。
- Nessus,用于在Cloud-152平台中搜索和分析漏洞的实际工作。
- Qualys是我们根据PCI DSS要求进行外部扫描所需的扫描仪。 我们每月使用一次,有时更多。
此外,我们每年进行4次PCI DSS强制性ASV扫描。
Splunk被用作SIEM,在俄罗斯联邦不再销售。 现在我们正在寻找新的解决方案,我们正在进行测试。 符合PCI DSS要求使用SIEM。
云152计划现在,我已经详细描述了152-下IaaS平台中与PCI DSS的兼容如何帮助实现真正的安全性,您可能会问:为什么在没有任何PCI DSS的情况下使类似的事情复杂化。 是的,有可能,但是与PCI DSS一起,我们以证书的形式证明了这一点,我们每年都会对其进行确认。