写点什么

云 PCI 合规性:检查表

  • 2014-02-13
  • 本文字数:4010 字

    阅读完需:约 13 分钟

PCI DSS 和云入门

新闻中总是充斥着客户信用卡信息泄密这样的重大事故。为了免受那些危险的偷窃商业数据和客户身份信息的黑客攻击,支付卡行业数据安全标准(PCI DSS)提出了种种最佳做法。按这12 步就可以设置好一个可用于安全支付环境的框架。

如果你公司在云中储存、处理和传输支付持卡人的数据,PCI DSS 则制约着你的所作所为。但不像那些必须遵循PCI DSS 的 “砖和砂浆”一样数据中心,这些处于云中的操作还有额外的要求。比如,PCI DSS 所概括的12 步中的有6 步要么要求或是本身就借助于数据加密。然而为了在云中安全地加密并遵循PCI DSS,你必须对加密密钥保持控制。但是作为一项云操作,你能在云中保存密钥的同时保持它们的安全吗?

答案是—你完全可以。

我们编撰了这张PCI DSS 中与云操作有关的要求的检查表。最终你可能需要雇佣一位外部的专业的稽核员来审查你的系统以通过认证。你可以使用这张检查表来了解合规性,来为合规性而计划,最重要的是以便保护你自己和客户。

就如任何一个12 步骤的程序,遵守PCI DSS 本身是做出承诺,但最终成功于其保护了你自己和客户。

12 步骤检查表

使用防火墙

你必须安装并始终保持一个防火墙配置来保护自己的数据。在云中你的防火墙是软件防火墙,它是基于一个规则集合来控制对你数据的访问。选好这些规则以及合理分段自己的网络对于限制潜在的攻击表面来说是至关重要的。这是软件定义网络的重要部分。

尝试创建一个有着清晰定义的和限制的敏感数据驻留范围,因为它通过防火墙和网络规则隔离开来,所以这样更容易管理和精确控制。

好的例子有 VMware 的“软件定义数据中心”方法,它包括一个软件定义的防火墙;Amazon 的 AWS Security Group 以及 Dome9 云防火墙。这是保护自己免受黑客攻击第一重要步骤。

不要使用默认值

你永远不要在自己的所有系统中使用商用软件提供商或开源软件所提供的默认密码和其它安全参数。黑客很熟悉这些默认值。你要经常改变这些信息并设置成只有你自己知道的值。

在 2013 年 2 月 PCI DSS 云计算指南中,安全标准委员会清楚地说明使用 IaaS 的公司(而不是云服务提供商)有责任安全地配置好自己的操作系统、应用和虚拟设备。PaaS 机构则与它们的 OS 提供商共同承担这个职责,但是客户自己控制着 OS 之上的应用和软件。

在 IaaS 和 Paas 安装中,你同样继承着你的提供商设置和 VM 影像。请仔细地检查这些。

实际上你的最好选择是使用这样的提供商,它们对那些敏感的安全参数不提供默认值,但却有着相应过程来帮助你快速、轻松地设置并实施独一无二的值。你可向自己的提供商咨询关于最佳做法的信息。

保护持卡人数据

看起来直截了当,但是 PCI DSS 详细地列举了种种要求。实际上这是 PCI DSS 的核心。这就意味着在保存哪些数据和应如何保存这些数据上有着很多的保护措施,这些既适用于传统部署也适用于云部署。在云中加密作为替代传统的物理保护措施的手段变得特别重要。数据需要以无密钥的人不可读和不可用的方式来加密。为了遵守 PCI DSS,你必须使用哈希、加密方法、强密钥管理来防止入侵者的恶意使用自己的数据。

你的密钥保护着持卡人的数据,但是你必须要保护好自己的密钥。在云中你的加密密钥必须同所有其他组件分开管理。对于遵循PCI DSS 的云应用来说,管理密钥,分发密钥,保存密钥都是焦点。这可能会比较棘手,因为理想化的是为了安全性你想让自己的加密密钥呆在云外,然而为了能使用云计算资源,你又需要密钥呆在云内。幸运的是,技术确实为这些问题提供了简洁的解决方案;请寻找“分开密钥”云密钥管理解决方案,它在你将“主密钥”部分保存在云外的同时也允许加密密钥在云中工作。

加密传输中的数据

任何在开放的公众网络中传输的数据都可以被怀有恶意的人访问。为了预防这种情形,你应总是加密传输的数据。总是使能SSL/TLS,并考虑使用IPsec 通讯和VPNs。传输中的加密考量要与网络分段以及自己设置的防火墙规则结合起来。理想的SSL/TLS 加密应该保持至你的应用服务器,而不应在很靠近的网络边界附近或在负载平衡器就终止。因为某些加密工具确实需要查看所传输的数据(比如web 应用防火墙),考虑在它们完成工作之后重新加密,或者将这些工具地方尽量靠近应用服务器布置。

云企业确实有办法来保护传输中的数据。最好的做法就是将你的部署分段成面向公众的网段和私有网段,并在数据到达至更为私有的应用服务器所驻留网段之前保持加密(或重加密)。自己内部环境组件的通讯也需要考虑加密传输—比如在其的应用服务器和数据库服务器之间考虑使用TLS/SSL 加密通讯。

请使用那些允许你控制传输中加密参数如证书和密钥的产品。选择有助于该项任务的云密钥管理工具。

使用反病毒软件

确保自己的反病毒工具一直是来自于提供商的最新版本更新。

对于一个遵循PCI 的系统—无论是传统还是云部署的—被感染都是相当严重的。确保在范围上仔细限制了系统中顾客所面对的部分,就像前面所提到的,这是为了减少被感染的几率。采取合适的步骤来定期扫描你的系统和网络,以便迅速检测病毒感染、僵尸网络以及类似情形。

在云上,这自然而然地也适用于你的客户机操作系统—位于你的虚拟机上。在自己的云服务器上和环境中安装合适的反病毒和网络扫描功能。

保护您的系统和应用安全

您的所有系统必须总是更新至最近的软件补丁和更新。请使能操作系统和提供商的软件更新,并经常检查已正确更新了一切。

从攻击者的角度看;由于您的系统包含有财务信息,所以它是一个诱人的攻击目标。保持自己的系统和服务器总是处于最新更新这可以最小化新漏洞被利用的机会。

云服务提供者(正当地)认为安全编码和适当地使用工具是客户的职责。维护和给OS、工具以及软件打补丁是IaaS 客户自己的职责,而且在某些情况下,这些也是PaaS 客户的职责。这非常简单,请使用那些允许你随时能容易地进行补丁的工具和提供商,应提供如“按下按钮”或自动补丁这样的方式。

限制访问

你应限制只有那些有合法商务需求而需要知道相关信息的人才可以访问你的持卡人数据以及你的加密密钥。访问这些信息的用户只能使用自己的个人账户来访问,而且要在日志中记录这些访问。

虽然在云场合下,你可能无法知道自己数据的物理位置,但仍然需要负责定义和限制对自己的数据的访问。你毫无疑问应使用自己的云提供商、操作系统和软件所提供的访问工具。限制管理员的数量,并确保他们所做的动作都被写入日志,并可以从中回溯至属于某个可识别的个人的用户名。

通过限制对你已经预见并针对黑客和人为错误设置了的很强限制的“带菌者”的访问,数据加密有助于访问控制。实质上,在云场合下你通过加密替代了物理的墙—把加密想象成保护你的数据的墙。

你应寻求那些管理员既无需看到加密密钥也不要看到敏感的持卡人数据的解决方案。这又回到了强大的云密钥管理。

仔细管理用户

能访问你的系统的每个人都需要一个独一无二的ID 和强身份认证。这确保每个人都要对自己的行为和使用他的Id 所发生的侵害行为负责。

请仔细审查你的认证系统,包括终端用户和管理员。在PCI 的上下文中,管理权是特别敏感的。不允许匿名的管理员,也不允许隐藏在组名之后的管理员。并应通过加密将管理员与数据隔离开来。

由于加密在云中的重要性,你应限制所有的用户,毫无疑问也包括管理员,不允许任何用户实际上能看到诸如加密密钥这样的敏感数据。你的云密钥管理解决方案应强制执行这种方案,并且是高度自动化的,这样才实用并减少给你的用户所带来的麻烦。

限制物理访问

这在一个云机构中有两个方面:一种是并不总是需要从远方通过互联网来执行一个侵害行为,当某个黑客坐在你的计算机前时也可以发生攻击。任何保存受保护数据的物理设备(纸张、CD、拇指驱动器、笔记本电脑、移动设备、备份驱动器等)都应加锁,对钥匙和访问进行仔细地授权并记入日志。

另一种是所谓的内部威胁。云提供商的雇员怀有恶意或者是其在提供维护时的无心做出了一个错误判断。审查你的提供商关于他们内部安全策略的文档;一个好的提供商对这类信息应是相当开放的。请确保使用了加密,并确保你所使用的加密系统将密钥置于你自己的控制之下—不应和云提供商的人员一起管理密钥的管理系统。

跟踪和监控

日志机制以及可以跟踪用户活动的能力在防范、检测或最小化数据泄密影响方面是至关重要的。这必须是一个持续的过程。

确保云服务提供商为其自己的基础设施管理着监控和日志,并能提供相应的日志。然而客户机操作系统、你的应用以及活动则是自己的职责。确保跟踪和监控这一切。

测试系统和过程

你在将系统投入运行之前应测试系统,以后也需要定期进行,这包括由自己员工所进行的安全审查和定期的渗透测试—把自己看做黑客来探测你的环境看是否能利用你机构中任何安全漏洞。你应在其他人之前找出自己的弱点并修复它们。

维护一个策略

为了遵循PCI DSS,你必须是有组织的和有条理的。这张检查表有助于你开始制订自己的用来解决信息安全问题的高层次步骤书面策略。

结论

PCI DSS 是为了保护顾客免受财务和身份信息失窃而创建的。通过遵循它,你也同时保护自己免受由于某个安全破坏而带来的债务、财务损失、声誉受损。

虽然为了合规这可能会相当耗时间,然而与处理一个破坏相比肯定还是要好得多。

保护自己的最好方式就是与这样的公司做生意,它们熟悉这些规定还了解自己所面对的挑战,并制定了种种方法来保护你的数据。

作者简介

Gilad Parann-Nissany 是 Porticor Cloud Security 公司的创办者和 CEO。他在云计算领域是先行者,他建立过很多 SaaS 云,为 SAP 的产品做出了贡献并创建了一个云操作系统。他撰写了大量关于云加密重要性、PCI 密钥管理以及 HIPAA 合规性的文章。Gilad 在自己的博客 Twitter Linkedin Google+ 上讨论云安全性。

查看英文原文: Cloud PCI Compliance: The Checklist


感谢张龙对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。

2014-02-13 05:371763

评论

发布
暂无评论
发现更多内容

leetcode 322. Coin Change 零钱兑换(中等)

okokabcd

LeetCode 动态规划 算法与数据结构

向Spring框架学习设计模式

慕枫技术笔记

设计模式 spring框架 7月月更

[Ljava.lang.Object;是什么?

okokabcd

Java

MySQL审计插件介绍

Simon

MySQL 运维 MySQL 数据库

华为发布HCSP-Solution-5G Security人才认证,助力5G安全人才生态建设

Geek_2d6073

数据湖系列之一 | 你一定爱读的极简数据平台史,从数据仓库、数据湖到湖仓一体

Baidu AICLOUD

大数据 数据仓库 数据湖 对象存储 湖仓一体

Python|小白如何入门Python?记我的Python初体验

AXYZdong

7月月更

ABAP-屏幕切换时,刷新上一个屏幕

桥下本有油菜花

abap

直播带货系统软件开发,Android和iOS的区别在哪里?

开源直播系统源码

ios开发 Android开发 直播带货系统 原生开发 混合开发

StoneDB 为国产数据库添砖加瓦,基于 MySQL 的一体化实时 HTAP 数据库正式开源!

StoneDB

大数据 MySQL 数据库 #数据库 HTAP #开源

独家消息:阿里云悄然推出RPA云电脑,已与多家RPA厂商开放合作

王吉伟频道

阿里云 RPA 无影云电脑 RPA云电脑 RPA+DaaS

6月刊 | AntDB数据库参与编写《数据库发展研究报告》 亮相信创产业榜单

亚信AntDB数据库

数据库 AntDB 国产数据库

SAP 智能机器人流程自动化(iRPA)解决方案分享

Jerry Wang

SAP 业务流程自动化 7月月更 企业自动化 iRPA

远程办公经验?来一场自问自答形式的介绍吧~ | 社区征文

为自己带盐

初夏征文 7月月更

K8S 应用部署

kubenetes

如何看待国企纷纷卸载微软Office改用金山WPS?

优秀

wps office办公软件

【计算讲谈社】第四讲:自动驾驶,未来的移动智能载体?

大咖说

自动驾驶 阿里云 科技

嗨 FUN 一夏,与 StarRocks 一起玩转 SQL Planner!

StarRocks

sql 大数据 数据库·

陈宇(Aqua)-安全->云安全->多云安全

火线安全

云安全 云安全技术 云安全研究

洞态在某互联⽹⾦融科技企业的最佳落地实践

火线安全

漏洞检测 IAST

户外LED显示屏应该考虑哪些问题?

Dylan

LED显示屏 户外LED显示屏

如何写出好代码 - 防御式编程指南

云智慧AIOps社区

Java 架构 代码质量

博睿数据一体化智能可观测平台入选中国信通院2022年“云原生产品名录”

博睿数据

智能运维 博睿数据 One 智能可观测平台

刘对(火线安全)-多云环境的风险发现

火线安全

云安全 云安全技术 云安全研究

60 个前端 Web 开发流行语你都知道哪些?

海拥(haiyong.site)

前端 Web 7月月更

贝联珠贯加入龙蜥社区,共同促进碳中和

OpenAnolis小助手

开源 龙蜥社区 CLA 贝联珠贯 IT资源利用

C#/VB.NET 合并PDF文档

在下毛毛雨

C# .net PDF 文件合并

ABAP-调用Restful API

桥下本有油菜花

abap REST API

她就是那个「别人家的HR」|ONES 人物

万事ONES

单集群1万节点!腾讯云大数据平台TBDS获得分布式批处理平台万节点能力认证

科技热闻

重磅披露!上百个重要信息系统被入侵,主机成为重点攻击目标

青藤云安全

网络安全 网络攻击防御

云PCI合规性:检查表_云计算_Gilad Parran-Nissany_InfoQ精选文章