Архитектура Cisco для PCI DSS 2.0

Cisco Systems, Inc © 2010 Cisco and/or its affiliates. All rights reserved. 1

Архитектура Cisco для PCI DSS 2.0 Алексей Лукацкий

Бизнес-консультант по безопасности

© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 2\47

О чем пойдет речь

Введение в PCI

Особенности PCI DSS 2.0

Решение Cisco для PCI DSS

Изменения PCI DSS 2.0


Введение в PCI


Verizon 2010 PCI Compliance Report • 27% атак происходит изнутри.

Двукратный рост по сравнению с 2009

• 98% всех инцидентов зафиксировано на серверах

• 85% атак не считаются сложными

• 61% инцидентов были обнаружены третьей стороны (ритейлер был не в курсе)

• 86% жертв имели доказательства в их журналах регистрации

• 96% инцидентов можно было избежать с помощью простых защитных мер


Продавцы продолжают рисковать • Слияния и поглощения

• Рост числа точек присутствия

• Беспроводные устройства в сети

• Аутсорсинг

• Мобильные устройства и планшетники в магазинах и на складах

© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential C97_469267_c1 5

• 81% хранят PAN

• 73% хранят даты истечения

срока карт

• 71% хранят коды

верификации

• 57% хранят данные

магнитных полос

• 16% хранят другие

персональные данные

Источник: Forrester Consulting: The State of PCI Compliance (commissioned by RSA/EMC)


PCI Data Security Standard • Первая версия опубликована в

январе 2005; текущая версия - 2.0

• PCI DSS 2.0 станет обязательным с 1-го января 2012

• Влияет на ВСЕХ кто

Обрабатывает

Передает

Хранит: данные владельцев карт

• PCI – это не государственный стандарт. Это соглашение между платежной системой и ее участниками

Payment Card Industry

Data Security Standard


PCI применим ко всем

PCI Не только ритейл


Стоимость инцидента Цена на запись (одного клиента)

$138

$182 $197 $202 $204

0

50

100

150

200

250

2005 2006 2007 2008 2009


Совокупная стоимость несоответствия

Цена несоответствия $9,368,351

Цена соответствия $3,529,570

$5,838,781

Разница

$0 $5,000,000 $10,000,000

Задача Цена

Политики $297,910

Взаимодействия $343,119

Управление программой $441,859

Защита данных $1,034,148

Мониторинг соответствия $636,542

Внедрение защитных мер $775,991

Всего $3,529,570

Тип инцидента Цена

Нарушения торговли $3,297,633

Потери продуктивности $2,437,795

Потери доходов $2,180,976

Штрафы $1,451,947

Всего $9,368,351

Таблица1: Средняя цена соответствия Таблица 2: Средняя цена несоотвествия

Источник: The True Cost of Compliance, Ponemon, 2010


12 требований PCI DSS

Требования PCI Data Security Standard

Построить и поддерживать

сеть в защищенном

состоянии

1. Внедрение и поддержка конфигурации МСЭ

2. Не использовать пароли и настройки по умолчанию

Защитить данные

владельцев карт

3. Защита хранимых данных

4. Шифрование данных платежных карт и иной

информации при передаче по открытым сетям

Поддержка программы

управления уязвимостями

5. Использование и обновление антивирусов

6. Разработка и поддержка систем в защищенном

состоянии

Внедрение мер строгого

контроля доступа

7. Ограничение доступа к данным

8. Привязка уникального ID каждому пользователю

9. Ограничение физического доступа

Регулярный мониторинг и

тестирование сетей

10.Контроль и мониторинг доступа к сетевым ресурсам и

данным платежных карт

11. Регулярное тестирование систем и процессов ИБ

Поддержка политики ИБ 12. Поддержка политики информационной безопасности


Изменения PCI 2.0


Изменения PCI 2.0 • 119 изменений в виде разъяснений

• 15 изменений в виде дополнительных указаний

• 2 изменения в виде новых требований

Ключевые изменения PCI DSS 2.0

• Виртуализация

• Обнаружение чужих Wi-Fi устройств


Новые сроки соответствия • PCI DSS 2.0 начинает трехлетний жизненный цикл на

разработку и внедрение новых версий стандартов

• Новый стандарт действует с 1-го января 2011, но проверка на соответствие предыдущей версии стандарта (1.2.1) будет разрешена до 31 декабря 2011

• С 1-го января 2012 вся оценка соответствия проводится только на PCI DSS 2.0


Как определить область действия?


Что такое область действия PCI DSS 2.0 • Требования PCI применимы ко всем ‗системным компонентам‘

• Системные компоненты определены как:

Любой сетевой компонент, сервер или приложение, которое включено или подключается к окружению, обрабатывающему данные платежных карт.

Виртуализированные компоненты, такие как виртуальные машины, виртуальные маршрутизаторы, виртуальные устройства, виртуальные приложения/рабочие места и гипервизоры.

• Окружение, обрабатывающее данные платежных карт, – это часть сети, которая хранит данные платежных карт или иную чувствительную информацию

• Адекватная сегментация сети, которая изолирует системы, хранящие, обрабатывающие или передающие данные платежных карт, может уменьшить область действия PCI DSS 2.0

Source PCI DSS 2.0


Методология определения PCI Scope Новое требование ежегодного подтверждения аккуратности и точности определения области действия PCI DSS в вашем окружении

• Полностью задокументированная методология определения

• Документирование мест расположения данных PCI

• Документация должна быть доступна оценщику/аудитору


Сегментация Determine

Scope

Can scope be reduced with segmentation?

Вся сеть в Scope

POS Servers

Branch

Server Access

Storage

Data Center

inventory Servers

Server Access

WAN Access

CORE

Headquarters

Warehouse

Wide Area Accelerated

Network



Scope


NOT IN PLACE

Entire network is in scope for

PCI DSS review


POS Servers

Branch

Server Access

Storage

Data Center

inventory Servers

Server Access

WAN Access

CORE

Headquarters

Warehouse


Network



Scope


Did assessor validate segmentation

effectiveness?

IN PLACE NOT IN PLACE

No


PCI DSS review

Yes

Assessor documents segmentation in

place and effective

Scope limited for PCI DSS review

Только устройства, пропускающие платежные

данные, в Scope

POS Servers

Branch

Server Access

Storage

Data Center

inventory Servers

Server Access

WAN Access

CORE

Headquarters

Warehouse


Network


POS Servers

Branch

Server Access

Storage

Data Center

inventory Servers

Server Access

WAN Access

CORE

Headquarters

Warehouse


Network



Scope


Audit Performed

Did assessor validate segmentation

effectiveness?

IN PLACE NOT IN PLACE

No


PCI DSS review

Yes

Assessor documents segmentation in

place and effective

Scope limited for PCI DSS review

Только устройства, пропускающие платежные

данные, в Scope

POS Servers

Branch

Server Access

Storage

Data Center

inventory Servers

Server Access

WAN Access

CORE

Headquarters

Warehouse


Network


POS Servers

Branch

Server Access

Storage

Data Center

inventory Servers

Server Access

WAN Access

CORE

Headquarters

Warehouse


Network


Виртуализация


Виртуализация добавлена в Scope ‗Системные компоненты‘ также включают любые

Виртуализированные компоненты, такие как виртуальные машины, виртуальные маршрутизаторы, виртуальные устройства, виртуальные приложения/рабочие места и гипервизоры.

• Требование 2.2.1 обновлено: В местах применения технологий

виртуализации необходимо применять только одну основную

функцию на виртуальный системный компонент.


Стратегия виртуализации и PCI

Указания

Все виртуальные компоненты в

scope

Все потоки данных и

взаимодействия между

виртуальными компонентами

должны быть идентифицированы и

документированы

Виртуализированное окружение

должно быть сегментировано

Необходимо применять все 12

требований PCI DSS

Аутентификация

Задокументировать используемые

протоколы и механизмы

Определить роли/привилегии

Разделение полномочий и

минимум привилегий

Разделение привилегий между

гостевыми VM и гипервизором


Виртуализация: точка присутствия

• Виртуальные LAN

Wired: Cisco Catalyst 2960/3560/3750 series Switches

Wireless: Cisco Aironet 1040, 1200, 3500 Series Access Points

• Виртуальные Firewall/IPS

Cisco Integrated Service Routers (ISR) Generation 2: 800, 1900, 2900, 3900 Series

• Виртуальные сервера

Cisco Service Ready Engine with Unified Computing System (UCS) Express image

Access Point

Integrated Firewall/IPS

Switch

POS Server Router

WAN, Data Center, and Centralized Management Wireless IPS

Out of Scope

VLANs

UCS Express

Print Server

UCS Express

VLANs

Sensitive Scope


Виртуализация: ЦОД

• Виртуальные LANs

Nexus 1000v virtual Switch

Nexus 5000 & 7000 Switches

MDS 9000 Storage Switch

• Виртуальный МСЭ

Virtual Secure Gateway (VSG)

ASA 5585 Firewall

• Виртуальные сервера

Unified Compute System (UCS)

VCE VBLOCK-1 Architecture

Nexus Switches

Access Layer

Data Center, Aggregation Layer

Adaptive Security

Appliance

Segmentation

VLAN Routing

VDC2

VDC1

WAN and CORE

http://www.rsa.com/


Детальные руководства


Обнаружение чужих беспроводных устройств


Обнаружение чужих Wi-Fi устройств • 11.1: Обнаружение беспроводных точек доступа обновлено

за счет новых методов:

• Сканирование беспроводных сетей

• Физическая/логическая инспекция

• NAC

• Wireless IDS и IPS

• 11.1b: Проверка методов тестирования для аккуратного обнаружения:

• WLAN cards

• Portable wireless devices (USB, etc.)

• Attached wireless devices and access points


Новые указания


Как учитывать новые технологии? • Special Interest Groups (SIGs)

• Technical Working Group (TWG)

• Отдельные вендоры выпускают собственные указания или требования

• Обратная связь от участников PCI Council

Cisco – участник PCI Council


Point-to-Point Encryption Guidance • Указания по шифрованию между

терминалами, а не «site to site» (S2S)

• Выводы

Методы проверки реализации указаний еще незрелы

Могут облегчить внедрение PCI

Могут уменьшить scope

Требуется независимое тестирование P2PE

• Указания по проверке реализации должны быть выпущены в 2011


Защита телефонии в PCI • Новые указания по использование

телефонных технологий в рамках PCI

• Cisco IP Phones с внутренним коммутатором, подключенные к терминалам (Point of Service Terminals)

• Центры обработки вызовов


Все вместе – как Cisco помогает соответствовать PCI DSS 2.0

© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 34\47 34

PCI DSS


Управление

• Сеть: Routers, Switches и Wireless

• ИБ: Firewalls и Intrusion Detection

• Точки продаж: сервера и приложения

• Голос: Телефоны и ЦОВ

• Email: Data Loss Prevention

• Physical: Surveillance и Badge Access

• Аутентификация

• Управление

Internet Edge Data Center Contact Center

Store

Целостное решение

Конечные

устройства

Инфраструктура

PCI DSS 2.0 Solution Framework

• Шифрование

• Мониторинг

• Assess

• Design

• Implement

• Audit

Сервисы


Продуктовые линейки Cisco

Routing Cisco Integrated Services Routers (ISR, ISR G2), Cisco Aggregation Services Routers (ASR)

Switching Cisco Catalyst Compact, Access and Data Center Switches, Cisco Nexus 1000 Virtual, 5000 and 7000

Switches, Cisco Application Control Engine (ACE), Cisco Multilayer Director Switch (MDS) with Storage

Media Encryption Module

Network Security Cisco Adaptive Security Appliance (ASA), Cisco IronPort Email Security Appliance, Cisco Network

Admission Control Appliance (NAC), Cisco AnyConnect VPN, Cisco Firewall Services Modules (FWSM),

Cisco Intrusion Detection System Services Modules (IDSM), Cisco Intrusion Prevention System

Appliances (IPS), Cisco Nexus Virtual Security Gateway (VSG), Cisco IOS Firewall, Cisco IOS IPS,

Cisco Secure Access Control Server (ACS)

Wireless Cisco Aironet Access Points, Cisco Wireless LAN Controllers, Cisco Mobility Services Engine with

enhanced local mode (ELM), Cisco Adaptive Wireless IPS

Physical Security Cisco Video Surveillance Operations Manager (VSOM), Cisco Video Surveillance IP Cameras, Cisco

Physical Security Multiservices Platform (MSP), Cisco Physical Access Manager (CPAM), Cisco Physical

Access Gateways

Compute Systems and

Storage

Cisco Unified Computing System (UCS) Blade and Rack-Mount Servers, Cisco UCS Express

Management Cisco Security Manager (CSM), Cisco Wireless Control System (WCS), CiscoWorks LAN Management

Solution (LMS)

Voice Cisco Unified Communications Manager (CUCM), Cisco Unified IP Phones

WAN Optimization Cisco Wide Area Application Engine (WAE), Cisco Wide Area Application Services (WAAS)


Пример: системы видеонаблюдения

• Cisco может «закрыть» 9-е требование PCI DSS по физической безопасности

• Video Surveillance

Cisco Video Surveillance IP Cameras

Cisco Video Surveillance Media Server (VSMM)

Cisco Video Surveillance Operations Manager (VSOM)

• Physical Access Control

Cisco Physical Access Manager

Cisco Physical Access Gateway

Badge readers

Door and cabinet access controls

Contact alarms

https://mail.google.com/mail/?ui=2&ik=f9c1cb2aac&view=att&th=12f0d4d91c019899&attid=0.1&disp=inline&zw


Remote Workers Partners

VPN

Core

Service Aggregation

Monitoring

Security Management

Authentication POS Servers

DMZ

Web App FW

Web Servers

MDS 9000 SAN Switches

Store

INTERNET EDGE

STORAGE

Data Center

External Locations

Adaptive Security Appliance

Integrated Services Router

LWAPP

Campus or HQ

POS Servers

POS Register

PC Mobile POS

Business Servers

Network Services

Network Management

Database

SERVER ACCESS

WAN Aggregation

Не продуктом единым

POS Servers

POS Register

PC Mobile POS and Inventory

Disk Arrays

Tape Storage

AGGREGATION

Access

Catalyst Switch

INTERNET

Service Provider


Remote Workers Partners

VPN

Core

Service Aggregation

POS Servers

DMZ

Web App FW

Web Servers

MDS 9000 SAN Switches

Store

INTERNET EDGE

STORAGE

Data Center

External Locations

Adaptive Security Appliance

Integrated Services Router

LWAPP

Campus or HQ

POS Servers

POS Register

Business Servers

Network Services

Database

SERVER ACCESS

WAN Aggregation

Конкретные рекомендации Требование 1

POS Register

Mobile POS and Inventory

Disk Arrays

Tape Storage

AGGREGATION

Access

INTERNET

Service Provider

Monitoring: SIEM

Security Management:

Cisco Security Manager

Network Management:

CiscoWorks LMS

File Security Adapter +

Payment Devices

Security Management: Key Manager Client

Security Management: Key Manager Client

Payment Devices

Mobile POS/ Inventory

Authentication


Cisco PCI Solution for Retail 2.0 Соответствует требованиям

• Позволяет выполнять указания PCI DSS 2.0 в специфичных технологических областях

• Обеспечивает руководство для выполнения требований PCI и защиты данных платежных карт

http://www.rsa.com/


Cisco PCI Solution for Retail 2.0 Детальные руководства

• Рекомендованные архитектуры для сетей, хранящих, обрабатывающих и передающих данные платежных карт

• Протестированы в реальном окружении с POS, серверами приложений, беспроводными устройствами, соединением с Интернет, ЦОВ и системами безопасности

• Руководства оценены PCI QSA (Verizon)

• Включают расширенные рекомендации по реализации требований PCI в виртуализированном и 3G окружении

Validated Design

Small Retail Store


Резюме • Непрекращающаяся поддержка

соответствия – сложная задача

Cisco может помочь решить ее

• У Cisco есть все необходимые технологии и сервисы для реализации многих «инфраструктурных» требований PCI DSS 2.0

• В среднем, стоимость несоответствия в 2.65 раз выше стоимости обеспечения соответствия

Cisco может помочь в создании бизнес-кейса


В качестве заключения


Построение бизнес-кейса Интерактивный Business Benefits Calculator


Дополнительная информация

• Cisco PCI Resources

www.cisco.com/go/pci

www.cisco.com/go/retail

www.cisco.com/go/healthcare

• PCI Design and Implementation Guide—Retail

http://www.cisco.com/en/US/docs/solutions/Verticals/PCI_Retail/


Где проваливаются аудиты? Требование PCI Процент провалов

Requirement 3 Protect Stored Data 79%

Requirement 11 Regularly Test Security Systems and Processes 74%

Requirement 8 Assign a Unique ID to Each Person with Computer Access

71%

Requirement 10 Track and Monitor All Access to Network Resources and Cardholder Data

71%

Requirement 1 Install and Maintain a Firewall Configuration to Protect Data

66%

Requirement 2 Do Not Use Vendor-Supplied Defaults for System Passwords and Other Security Parameters

62%

Requirement 12 Maintain a Policy that Addresses Information Security 60%

Requirement 9 Restrict Physical Access to Cardholder Data 59%

Requirement 6 Develop and Maintain Secure Systems and Applications

56%

Requirement 4 Encrypt Transmission of Cardholder Data and Sensitive Information Across Public Networks

45%

Источник: VeriSign, ―Lessons Learned: Top Reasons for PCI Audit Failure and How to Avoid Them‖

Спасибо

за внимание!

Date post:	19-Jan-2015
Category:	Technology
Upload:	cisco-russia
View:	2,832 times
Download:	4 times

Архитектура Cisco для PCI DSS 2.0

Technology