云PCI合规性:检查表

http://www.infoq.com/cn/articles/cloud-pci-compliance
PCI DSS和云入门

新闻中总是充斥着客户信用卡信息泄密这样的重大事故。为了免受那些危险的偷窃商业数据和客户身份信息的黑客攻击,支付卡行业数据安全标准(PCI DSS)提出了种种最佳做法。按这12步就可以设置好一个可用于安全支付环境的框架。

如果你公司在云中储存、处理和传输支付持卡人的数据,PCI DSS则制约着你的所作所为。但不像那些必须遵循PCI DSS的 “砖和砂浆”一样数据中心,这些处于云中的操作还有额外的要求。比如,PCI DSS所概括的12步中的有6步要么要求或是本身就借助于数据加密。然而为了在云中安全地加密并遵循PCI DSS,你必须对加密密钥保持控制。但是作为一项云操作,你能在云中保存密钥的同时保持它们的安全吗?

答案是—你完全可以。

我们编撰了这张PCI DSS中与云操作有关的要求的检查表。最终你可能需要雇佣一位外部的专业的稽核员来审查你的系统以通过认证。你可以使用这张检查表来了解合规性,来为合规性而计划,最重要的是以便保护你自己和客户。

就如任何一个12步骤的程序,遵守PCI DSS本身是做出承诺,但最终成功于其保护了你自己和客户。
12步骤检查表
使用防火墙

你必须安装并始终保持一个防火墙配置来保护自己的数据。在云中你的防火墙是软件防火墙,它是基于一个规则集合来控制对你数据的访问。选好这些规则以及合理分段自己的网络对于限制潜在的攻击表面来说是至关重要的。这是软件定义网络的重要部分。

尝试创建一个有着清晰定义的和限制的敏感数据驻留范围,因为它通过防火墙和网络规则隔离开来,所以这样更容易管理和精确控制。

好的例子有VMware的“软件定义数据中心”方法,它包括一个软件定义的防火墙;Amazon的AWS Security Group以及Dome9云防火墙。这是保护自己免受黑客攻击第一重要步骤。
不要使用默认值

你永远不要在自己的所有系统中使用商用软件提供商或开源软件所提供的默认密码和其它安全参数。黑客很熟悉这些默认值。你要经常改变这些信息并设置成只有你自己知道的值。

在2013年2月PCI DSS云计算指南中,安全标准委员会清楚地说明使用IaaS的公司(而不是云服务提供商)有责任安全地配置好自己的操作系统、应用和虚拟设备。PaaS机构则与它们的OS提供商共同承担这个职责,但是客户自己控制着OS之上的应用和软件。

在IaaS和Paas安装中,你同样继承着你的提供商设置和VM影像。请仔细地检查这些。

实际上你的最好选择是使用这样的提供商,它们对那些敏感的安全参数不提供默认值,但却有着相应过程来帮助你快速、轻松地设置并实施独一无二的值。你可向自己的提供商咨询关于最佳做法的信息。
保护持卡人数据

看起来直截了当,但是PCI DSS详细地列举了种种要求。实际上这是PCI DSS的核心。这就意味着在保存哪些数据和应如何保存这些数据上有着很多的保护措施,这些既适用于传统部署也适用于云部署。在云中加密作为替代传统的物理保护措施的手段变得特别重要。数据需要以无密钥的人不可读和不可用的方式来加密。为了遵守PCI DSS,你必须使用哈希、加密方法、强密钥管理来防止入侵者的恶意使用自己的数据。

你的密钥保护着持卡人的数据,但是你必须要保护好自己的密钥。在云中你的加密密钥必须同所有其他组件分开管理。对于遵循PCI DSS的云应用来说,管理密钥,分发密钥,保存密钥都是焦点。这可能会比较棘手,因为理想化的是为了安全性你想让自己的加密密钥呆在云外,然而为了能使用云计算资源,你又需要密钥呆在云内。幸运的是,技术确实为这些问题提供了简洁的解决方案;请寻找“分开密钥”云密钥管理解决方案,它在你将“主密钥”部分保存在云外的同时也允许加密密钥在云中工作。
加密传输中的数据

任何在开放的公众网络中传输的数据都可以被怀有恶意的人访问。为了预防这种情形,你应总是加密传输的数据。总是使能SSL/TLS,并考虑使用IPsec通讯和VPNs。传输中的加密考量要与网络分段以及自己设置的防火墙规则结合起来。理想的SSL/TLS加密应该保持至你的应用服务器,而不应在很靠近的网络边界附近或在负载平衡器就终止。因为某些加密工具确实需要查看所传输的数据(比如web应用防火墙),考虑在它们完成工作之后重新加密,或者将这些工具地方尽量靠近应用服务器布置。

云企业确实有办法来保护传输中的数据。最好的做法就是将你的部署分段成面向公众的网段和私有网段,并在数据到达至更为私有的应用服务器所驻留网段之前保持加密(或重加密)。自己内部环境组件的通讯也需要考虑加密传输—比如在其的应用服务器和数据库服务器之间考虑使用TLS/SSL加密通讯。

请使用那些允许你控制传输中加密参数如证书和密钥的产品。选择有助于该项任务的云密钥管理工具。
使用反病毒软件

确保自己的反病毒工具一直是来自于提供商的最新版本更新。

对于一个遵循PCI的系统—无论是传统还是云部署的—被感染都是相当严重的。确保在范围上仔细限制了系统中顾客所面对的部分,就像前面所提到的,这是为了减少被感染的几率。采取合适的步骤来定期扫描你的系统和网络,以便迅速检测病毒感染、僵尸网络以及类似情形。

在云上,这自然而然地也适用于你的客户机操作系统—位于你的虚拟机上。在自己的云服务器上和环境中安装合适的反病毒和网络扫描功能。
保护您的系统和应用安全

您的所有系统必须总是更新至最近的软件补丁和更新。请使能操作系统和提供商的软件更新,并经常检查已正确更新了一切。

从攻击者的角度看;由于您的系统包含有财务信息,所以它是一个诱人的攻击目标。保持自己的系统和服务器总是处于最新更新这可以最小化新漏洞被利用的机会。

云服务提供者(正当地)认为安全编码和适当地使用工具是客户的职责。维护和给OS、工具以及软件打补丁是IaaS客户自己的职责,而且在某些情况下,这些也是PaaS客户的职责。这非常简单,请使用那些允许你随时能容易地进行补丁的工具和提供商,应提供如“按下按钮”或自动补丁这样的方式。
限制访问

你应限制只有那些有合法商务需求而需要知道相关信息的人才可以访问你的持卡人数据以及你的加密密钥。访问这些信息的用户只能使用自己的个人账户来访问,而且要在日志中记录这些访问。

虽然在云场合下,你可能无法知道自己数据的物理位置,但仍然需要负责定义和限制对自己的数据的访问。你毫无疑问应使用自己的云提供商、操作系统和软件所提供的访问工具。限制管理员的数量,并确保他们所做的动作都被写入日志,并可以从中回溯至属于某个可识别的个人的用户名。

通过限制对你已经预见并针对黑客和人为错误设置了的很强限制的“带菌者”的访问,数据加密有助于访问控制。实质上,在云场合下你通过加密替代了物理的墙—把加密想象成保护你的数据的墙。

你应寻求那些管理员既无需看到加密密钥也不要看到敏感的持卡人数据的解决方案。这又回到了强大的云密钥管理。
仔细管理用户

能访问你的系统的每个人都需要一个独一无二的ID和强身份认证。这确保每个人都要对自己的行为和使用他的Id所发生的侵害行为负责。

请仔细审查你的认证系统,包括终端用户和管理员。在PCI的上下文中,管理权是特别敏感的。不允许匿名的管理员,也不允许隐藏在组名之后的管理员。并应通过加密将管理员与数据隔离开来。

由于加密在云中的重要性,你应限制所有的用户,毫无疑问也包括管理员,不允许任何用户实际上能看到诸如加密密钥这样的敏感数据。你的云密钥管理解决方案应强制执行这种方案,并且是高度自动化的,这样才实用并减少给你的用户所带来的麻烦。
限制物理访问

这在一个云机构中有两个方面:一种是并不总是需要从远方通过互联网来执行一个侵害行为,当某个黑客坐在你的计算机前时也可以发生攻击。任何保存受保护数据的物理设备(纸张、CD、拇指驱动器、笔记本电脑、移动设备、备份驱动器等)都应加锁,对钥匙和访问进行仔细地授权并记入日志。

另一种是所谓的内部威胁。云提供商的雇员怀有恶意或者是其在提供维护时的无心做出了一个错误判断。审查你的提供商关于他们内部安全策略的文档;一个好的提供商对这类信息应是相当开放的。请确保使用了加密,并确保你所使用的加密系统将密钥置于你自己的控制之下—不应和云提供商的人员一起管理密钥的管理系统。
跟踪和监控

日志机制以及可以跟踪用户活动的能力在防范、检测或最小化数据泄密影响方面是至关重要的。这必须是一个持续的过程。

确保云服务提供商为其自己的基础设施管理着监控和日志,并能提供相应的日志。然而客户机操作系统、你的应用以及活动则是自己的职责。确保跟踪和监控这一切。
测试系统和过程

你在将系统投入运行之前应测试系统,以后也需要定期进行,这包括由自己员工所进行的安全审查和定期的渗透测试—把自己看做黑客来探测你的环境看是否能利用你机构中任何安全漏洞。你应在其他人之前找出自己的弱点并修复它们。
维护一个策略

为了遵循PCI DSS,你必须是有组织的和有条理的。这张检查表有助于你开始制订自己的用来解决信息安全问题的高层次步骤书面策略。
结论

PCI DSS是为了保护顾客免受财务和身份信息失窃而创建的。通过遵循它,你也同时保护自己免受由于某个安全破坏而带来的债务、财务损失、声誉受损。

虽然为了合规这可能会相当耗时间,然而与处理一个破坏相比肯定还是要好得多。

保护自己的最好方式就是与这样的公司做生意,它们熟悉这些规定还了解自己所面对的挑战,并制定了种种方法来保护你的数据。
作者简介

Gilad Parann-Nissany是Porticor Cloud Security公司的创办者和CEO。他在云计算领域是先行者,他建立过很多SaaS云,为SAP的产品做出了贡献并创建了一个云操作系统。他撰写了大量关于云加密重要性、PCI密钥管理以及HIPAA合规性的文章。Gilad在自己的博客、Twitter、Linkedin和Google+上讨论云安全性。

查看英文原文:Cloud PCI Compliance: The Checklist

This entry was posted in Best Practices, SOA. Bookmark the permalink.

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s