[Short 10-30] Дмиртий Петращук - Виртуализация и PCI DSS 2.0


Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

No Downloads
Total views
On SlideShare
From Embeds
Number of Embeds
Embeds 0
No embeds

No notes for slide

[Short 10-30] Дмиртий Петращук - Виртуализация и PCI DSS 2.0

  1. 1. ВИРТУАЛИЗАЦИЯ ИPCI DSS 2.0Соответствие PCI DSS в виртуальной средеДмитрий Петращук, CISSP, QSA
  2. 2. О чем пойдет речь• Новые аспекты PCI DSS 2.0• Виды виртуализации• Новые риски в виртуальной среде• Требования стандарта, вызывающие самые большие сложности при внедрении• На что нужно обращать внимание• Методы и инструменты для удовлетворения требованиям
  3. 3. Что нового в PCI DSS 2.0• Оценка рисков• Требования к виртуализации• Требования к хостинг-провайдерам• Повышение требований к качеству отчета аудитора• Стандартизировано ранжирование уязвимостей по CVSS• Более гибкие требования по обнаружению неавторизованных точек WiFi• Ежегодный мониторинг соответствия сервис- провайдеров• Множественные косметические улучшения
  4. 4. Виртуализация• Виртуальные разделы ОС• Виртуальные ОС на разделяемом оборудовании• Виртуальные сетевые инфраструктуры• Виртуальные хранилища• Виртуальная оперативная память• Виртуальные рабочие станции• Облака • Публичные • Частные • Смешанные
  5. 5. Новые риски• Гипервизор• Новые привилегии Пользователь – Администратор системы – Администратор гипервизора• Физические контроли уже не действуют• В одной виртуальной среде объединяются разные уровни доверия• Один сервер – одна функция• Простота появления новых сетевых связей• Данные в образах, снимках, неактивных VM• Уязвимости виртуальной платформы• Усложнение мониторинга и контроля
  6. 6. Актуальные требования стандарта• 1.1.3 Requirements for a firewall at each Internet connection and between any DMZ and the internal network zone.• 2.1 Always change vendor-supplied defaults before installing a system on the network.• 2.2 Develop configuration standards for all system components.• 2.2.1 Implement only one primary function per server• 2.2.2 Disable all unnecessary and insecure services and protocols• 2.2.3 Configure system security parameters to prevent misuse.• 2.2.4 Remove all unnecessary functionality, such as scripts, drivers, features, subsystems, file systems, and unnecessary web servers.• 2.3 Encrypt all non-console administrative access. Use technologies such as SSH, VPN, or SSL/TLS for web based management and other non-console administrative access• 3.1 Keep cardholder data storage to a minimum. Develop a data retention and disposal policy. Limit storage amount and retention time to that which is required for business, legal, and/or regulatory purposes, as documented in the data retention policy.• 3.5 Protect cryptographic keys used for encryption of cardholder data against both disclosure and misuse• 5.1 Deploy anti-virus software on all systems commonly affected by malicious software
  7. 7. Актуальные требования стандарта• 6.1 Ensure that all system components and software have the latest vendor-supplied security patches installed. Install critical security patches within one month of release.• 6.2 Establish a process to identify newly discovered security vulnerabilities• 6.3.2 Separate development/test and production environments• 6.3.5 Removal of test data and accounts before production systems become active• 6.4 Follow change control procedures for all changes to system components• 7.1.1 Restriction of access rights to privileged user IDs to least privileges necessary to perform job responsibilities• 8.1 Assign all users a unique ID before allowing them to access system components or cardholder data• 8.5 Ensure proper user authentication and password management for non-consumer users and administrators on all system components• 9.6 Physically secure all paper and electronic media that contain cardholder data• 9.7 Maintain strict control over the internal or external distribution of any kind of media that contains cardholder data• 9.8 Ensure management approves any and all media containing cardholder data that is moved from a secured area (especially when media is distributed to individuals)• 9.9 Maintain strict control over the storage and accessibility of media that contains cardholder data• 9.10 Destroy media containing cardholder data when it is no longer needed for business or legal reasons
  8. 8. Актуальные требования стандарта• 10.2 Implement automated audit trails for all system components• 10.4 Synchronize all critical system clocks and times• 10.5 Secure audit trails so they cannot be altered• 10.6 Review logs for all system components at least daily• 11.5 Deploy file-integrity monitoring software to alert personnel to unauthorized modification of critical system files, configuration files, or content files; and configure the software to perform critical file comparisons at least weekly• 12.1.1 Establish, publish, maintain and disseminate a security policy that addresses all PCI DSS requirements.• 12.3 Develop usage policies for critical employee-facing technologies
  9. 9. Не забывайте• В охват PCI DSS входят все VM, расположенные на одном супервизоре с VM обрабатывающей карточные данные + гипервизор• Не объединять на одном гипервизоре сети с разным уровнем доверия (например, DMZ и процессинг)• Разделять сетевые потоки: данные - контрольный трафик – управление• Правило: одна VM – одна функция• Тщательно документировать и стандартизировать инфраструктуру• Ограничивать физический и логический доступ• Инфраструктуру можно перенести в облако, а ответственность за соблюдение требований нельзя
  10. 10. Можно и нужно использовать• Информацию • Navigating the PCI DSS v2.0 https://www.pcisecuritystandards.org/documents/navigating_dss_v20.pdf • PCI DSS Virtualization Guidelines v2.0 https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf • VMware Infrastructure 3.5 Security Hardening http://www.vmware.com/vmtn/resources/726 • Managing VMware Virtual Center Roles and Permissions http://www.vmware.com/vmtn/resources/826 • ESX STIG (Secure Technology Implementation Guide) http://iase.disa.mil/stigs/stig/esx_server_stig_v1r1_final.pdf • VI:ops Virtualization Security Community http://viops.vmware.com/home/community/security • Hyper-V How To: Harden Your VM Security http://blogs.technet.com/tonyso/archive/2008/09/23/hyper-v-how-to-harden-your-vm- security.aspx • McAfee Virtualization Portal http://www.mcafee.com/virtualization• SW&HW • Виртуализированные версии систем защиты (FW, IPS, SIEM) • Специальные средства:• Консультантов 
  11. 11. Ваши вопросыСпасибо! Дмитрий Петращук CISSP, QSA dpgbox@gmail.com