ВИРТУАЛИЗАЦИЯ И PCI DSS 2.0 Соответствие PCI DSS в виртуальной среде Дмитрий Петращук, CISSP, QSA

О чем пойдет речь Новые аспекты PCI DSS 2.0 Виды виртуализации Новые риски в виртуальной среде Требования стандарта, вызывающие самые большие сложности при внедрении На что нужно обращать внимание Методы и инструменты для удовлетворения требованиям

Что нового в PCI DSS 2.0 Оценка рисков Требования к виртуализации Требования к хостинг-провайдерам Повышение требований к качеству отчета аудитора Стандартизировано ранжирование уязвимостей по CVSS Более гибкие требования по обнаружению неавторизованных точек WiFi Ежегодный мониторинг соответствия сервис- провайдеров Множественные косметические улучшения

Виртуализация Виртуальные разделы ОС Виртуальные ОС на разделяемом оборудовании Виртуальные сетевые инфраструктуры Виртуальные хранилища Виртуальная оперативная память Виртуальные рабочие станции Облака Публичные Частные Смешанные

Новые риски Гипервизор Новые привилегии Пользователь – Администратор системы – Администратор гипервизора Физические контроли уже не действуют В одной виртуальной среде объединяются разные уровни доверия Один сервер – одна функция Простота появления новых сетевых связей Данные в образах, снимках, неактивных VM Уязвимости виртуальной платформы Усложнение мониторинга и контроля

Актуальные требования стандарта Requirements for a firewall at each Internet connection and between any DMZ and the internal network zone. 2.1 Always change vendor-supplied defaults before installing a system on the network. 2.2 Develop configuration standards for all system components Implement only one primary function per server Disable all unnecessary and insecure services and protocols Configure system security parameters to prevent misuse Remove all unnecessary functionality, such as scripts, drivers, features, subsystems, file systems, and unnecessary web servers. 2.3 Encrypt all non-console administrative access. Use technologies such as SSH, VPN, or SSL/TLS for web based management and other non-console administrative access 3.1 Keep cardholder data storage to a minimum. Develop a data retention and disposal policy. Limit storage amount and retention time to that which is required for business, legal, and/or regulatory purposes, as documented in the data retention policy. 3.5 Protect cryptographic keys used for encryption of cardholder data against both disclosure and misuse 5.1 Deploy anti-virus software on all systems commonly affected by malicious software

Актуальные требования стандарта 6.1 Ensure that all system components and software have the latest vendor-supplied security patches installed. Install critical security patches within one month of release. 6.2 Establish a process to identify newly discovered security vulnerabilities Separate development/test and production environments Removal of test data and accounts before production systems become active 6.4 Follow change control procedures for all changes to system components Restriction of access rights to privileged user IDs to least privileges necessary to perform job responsibilities 8.1 Assign all users a unique ID before allowing them to access system components or cardholder data 8.5 Ensure proper user authentication and password management for non-consumer users and administrators on all system components 9.6 Physically secure all paper and electronic media that contain cardholder data 9.7 Maintain strict control over the internal or external distribution of any kind of media that contains cardholder data 9.8 Ensure management approves any and all media containing cardholder data that is moved from a secured area (especially when media is distributed to individuals) 9.9 Maintain strict control over the storage and accessibility of media that contains cardholder data 9.10 Destroy media containing cardholder data when it is no longer needed for business or legal reasons

Актуальные требования стандарта 10.2 Implement automated audit trails for all system components 10.4 Synchronize all critical system clocks and times 10.5 Secure audit trails so they cannot be altered 10.6 Review logs for all system components at least daily 11.5 Deploy file-integrity monitoring software to alert personnel to unauthorized modification of critical system files, configuration files, or content files; and configure the software to perform critical file comparisons at least weekly Establish, publish, maintain and disseminate a security policy that addresses all PCI DSS requirements Develop usage policies for critical employee-facing technologies

Не забывайте В охват PCI DSS входят все VM, расположенные на одном супервизоре с VM обрабатывающей карточные данные + гипервизор Не объединять на одном гипервизоре сети с разным уровнем доверия (например, DMZ и процессинг) Разделять сетевые потоки: данные - контрольный трафик – управление Правило: одна VM – одна функция Тщательно документировать и стандартизировать инфраструктуру Ограничивать физический и логический доступ Инфраструктуру можно перенести в облако, а ответственность за соблюдение требований нельзя

Можно и нужно использовать Информацию Navigating the PCI DSS v PCI DSS Virtualization Guidelines v VMware Infrastructure 3.5 Security Hardening Managing VMware Virtual Center Roles and Permissions ESX STIG (Secure Technology Implementation Guide) VI:ops Virtualization Security Community Hyper-V How To: Harden Your VM Security security.aspx security.aspx McAfee Virtualization Portal SW&HW Виртуализированные версии систем защиты (FW, IPS, SIEM) Специальные средства: Консультантов

Ваши вопросы Спасибо! Дмитрий Петращук CISSP, QSA