IaaS-хмара за стандартом PCI DSS: Досвід «ІТ-ГРАД»

Як-то раз у своєму блозі на Хабре ми вже говорили про сертифікації PCI DSS і розповідали про особливості цього виду хостингу. У сьогоднішньому матеріалі ми знову повернемося до цієї теми і розповімо, як компанія «ІТ-ГРАД» проходила аудит на відповідність вимогам цього стандарту.


/ Flickr / Keoni Cabral / CC

Етапи сертифікації
Щоб успішно сертифікуватися, компанія повинна відповідати певним списком вимог, тобто продемонструвати власну зрілість. Список наступний: підготувати всю необхідну документацію, пройти «тест на проникнення» і тест на відповідність бізнес-процесів компанії ідеології PCI DSS.

Підготовка документації і розробка регламентів
На цьому етапі компанія готує нормативно-розпорядчу документацію в області інформаційної безпеки. Ми розробили всі внутрішні політики та регламенти задовго до початку проведення аудиту, але їх довелося допрацювати відповідно до вимог PCI DSS.

Необхідно розробити регламенти визначають механізми забезпечення безпеки зберігання інформації, правила взаємодії з третіми сторонами, норми управління доступом до інформації та уразливими і так далі. Наприклад, «Регламент управління доступом до інформаційних активів» позначає вимоги до облікових записів користувачів, окреслює правила змін прав доступу і визначає вимоги до їх моніторингу.

Підготовка сегмента інфраструктури
Це другий етап на шляху до сертифікації. В «ІТ-ГРАД» ця задача була реалізована наступним чином:

1) Була організована автономна інфраструктура з незалежною мережею і розгорнуті фізичні сервери ESX, vCenter і vSphere

Як регламентує стандарт PCI DSS, виділена інфраструктура повинна бути ізольована від мереж компанії, а доступ до неї має здійснюватися через виділений інтерфейс. Для цього ми використовували VPN з 2FA, при цьому клієнтські скопи виявилися ізольовані від зовнішніх мереж.

Всередині інфраструктури розмістилися: міжмережевий екран, сервіси збору і аналізу логів (SIEM), система контролю за цілісністю файлів, антивірус, а також система виявлення і запобігання вторгнень (IDS/IPS).

2) Були встановлені світчі і міжмережеві екрани

3) Обладнання було задублировано для підвищення відмовостійкості

4) Була підготовлена схема надання послуг та схема мережі

В «ІТ-ГРАД» використовують два варіанти: клієнтська схема мережі та інфраструктурна схема мережі. Між ними налаштований міжмережевий екран, внутрішнє сканування і активована IPS.



Також організовано захист від зовнішніх атак і захист зовнішніх бізнес-додатків за допомогою WAF (Web Application Firewall).

Тестування на проникнення в хмарну інфраструктуру
Одна з назв тесту на проникнення — «пентест». Його мета — виявлення вектора атак, здатних вплинути на збереження даних власників карток. Тому пентесты проводяться з використанням перевірених часом методик уповноваженої командою фахівців. Вони реалізують різні атаки на інфраструктуру компанії, в тому числі з урахуванням людського фактора.

До початку тестування на проникнення ми в «ІТ-ГРАД» підготували два скопа. У першому з них були розміщені службові сервіси і тестові програми з доступом ззовні. У другому були розгорнуті віртуальні машини з усіма необхідними правами доступу (залежно від призначення).


/ Приклад скопа з розміщеними сервісами та додатками

Перед початком пентеста зверніть увагу на права доступу створених акаунтів — переконайтеся, що там немає нічого зайвого. Обліковий запис повинна мати тільки той набір дозволів, який необхідний для виконання необхідних завдань. Що стосується захисту веб-додатків, то вибирайте інструмент на свій смак.

«Головне — домогтися високого рівня безпеки. Ми вибирали між Citrix і ModSecurity, зупинившись на останньому. Ми не робили ставки на комерційну або некомерційне рішення, платне або безкоштовне. Шукали засіб, здатний захистити від відомих на момент вибору атак. Встановивши ModSecurity, ми отримали продукт, з гарним співтовариством і захистом від вразливостей», — говорит Дмитро Козлов, старший системний адміністратор «ІТ-ГРАД».
При проведенні пентеста перевіряюча сторона використовувала спеціальний набір інструментів для аналізу всіх аспектів об'єкта дослідження. Наприклад, була використана утиліта nmap для сканування білих IP-адрес з метою виявлення зайвих відкритих портів. У нашому випадку таких портів не виявилося.

Коли тести на проникнення завершені, формується звітний документ, в якому описані всі виявлені «слабкі місця» з розбивкою за так званим рівнем критичності. Після цього компанії дається час на усунення недоліків до проведення фінального аудиту. За результатами тесту на проникнення в інфраструктуру «ІТ-ГРАД» були виявлені сім вразливостей різного рівня критичності:


/ Розподіл вразливостей за рівнями критичності

Уразливістю високого рівня виявилася нездатність WAF запобігати складні вектори атак. В процесі тестування було виявлено, що вибране «ІТ-ГРАД» засіб WAF у вигляді міжмережевого екрану Palo Alto блокує тільки стандартні вектори атак і ігнорує більш складні.

Щоб вирішити ситуацію, що склалася, ми розгорнули нове рішення WAF. Ним став веб-сервер Apache з модулем Modsecurity — ця «зв'язка» вміла визначати наявність керуючих символів мов HTML і JavaScript в даних вводу/виводу. Докладніше про те, чому не варто використовувати Palo Alto в якості WAF, ви можете прочитати в цій статье.

Крім цього були «закриті» уразливості, які стосуються доступного методу TRACE на администрируемом веб-сервері додатків (метод TRACE був відключений), також були змінені небезпечні паролі на більш сильні, проведена інвентаризація файлів на хостах і додатків, в результаті чого були видалені всі невикористовувані дані і непотрібне.

Таким чином, з-за наявності високого і середнього рівня вразливостей нам не вдалося пройти тест на проникнення з першої спроби. Однак виправивши всі виявлені недоліки, ми успішно пройшли повторні випробування.

Один крок до фінішу, або як не провалити аудит
Аудитор обращает увагу на компоненти інформаційної системи, може задати питання по нормативно-розпорядчої документації або попросити показати потрібний документ. Також він аналізує топологію мережі, характеристики апаратних і програмних засобів, перевіряє записи регламентів і так далі. По кожному з пунктів, він може зажадати пояснень від персоналу, щоб перевірити його компетентність.

Не виключені і технічні моменти, коли фахівці перевіряють конфігурації різних систем за вибором на відповідність вимогам безпеки. Наприклад, в «ІТ-ГРАД» аудитор дивився, як організована ізоляція сегментів один від одного, і оцінював конфігурацію операційних систем Linux і Windows.

Коли перевірка завершена, QSA-аудитор складає звіти і передає їх в сертифікуючий орган, який і приймає рішення про видачу сертифіката. На цьому етапі також не страшно, якщо будуть знайдені незначні невідповідності. Регламенти аудиту допускають можливість їх оперативного виправлення. Наприклад, у нашому випадку в базі активного каталогу (Active Directory) аудитор виявив обліковий запис комп'ютера (computer account), фізично віддаленого з скопа. Щоб виконати вимоги регламенту, ми оперативно видалили computer account з бази активного каталогу.

Успішно завершивши проведення аудиту на відповідність вимогам стандарту, ми запустили сертифіковане по PCI DSS IaaS-хмара «ІТ-ГРАД», яке дозволяє передати в зону відповідальності IaaS-провайдера виконання максимально повного переліку вимог стандарту PCI DSS щодо забезпечення безпеки обробки карткових даних.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.