Мы уже много писали о продуктах компании Код Безопасности, в частности, о vGate R2 - продукте номер 1 для защиты виртуальных сред VMware vSphere (в том числе vSphere 5). Сегодня виртуализация уже широко используется в банках и других финансовых организациях, где обрабатываются персональные данные и данные платежных карт. Такая информация должна быть защищена по определенным правилам и стандартам, которые существенно отличаются от таковых в физической среде. В этой статье мы расскажем об основных аспектах соблюдения стандарта PCI DSS с помощью продукта vGate R2.

Стандарт Payment Card Industry Data Security Standard (PCI DSS) предназначен для обеспечения безопасности обработки, передачи и хранения данных о держателях платежных карт в информационных системах компаний, работающих с международными платежными системами.

Требования стандарта PCI DSS распространяются на все компании, которые обрабатывают, хранят или передают данные о держателях платежных карт. Причем требования относятся не только к тем информационным системам компании, в которых обрабатывается и хранится информация о платежных картах, но и к системам, которые с ними взаимосвязаны. Он предусматривает комплексный подход к обеспечению информационной безопасности, нацеленный на снижение рисков, связанных с информационными системами компании.

Стандарт PCI DSS в сфере виртуализации является одним из самых зрелых документов, существующих на международном рынке. Это единственный на сегодняшний день стандарт, в котором учтены отдельные особенности защиты информации в виртуальной среде. Эти изменения появились в документе во многом благодаря работе группы специалистов Virtualization Special Interest Group, действующей под эгидой PCI Security Standards Council, в которую входят представители ведущих мировых компаний, занимающихся информационной безопасностью и виртуализацией. В частности, в предыдущей версии стандарта присутствовало правило «одна функция – один сервер», что в большинстве случаев могло свести преимущества от использования технологий виртуализации к нулю. 28 октября 2010 года были выпущены новые версии стандартов PCI DSS v2.0 и PA-DSS v2.0.

В этой версии стандарта PCI DSS v2.0 правило «одна функция – один сервер» было пересмотрено авторами документа.

Теперь там учтены нюансы виртуализации, и правило звучит как «одна функция – один реальный или виртуальный сервер». К этой версии стандарта PCI DSS также была выпущена брошюра с разъяснениями относительно применения технологий виртуализации. Называется она "Information Supplement: PCI DSS Virtualization Guidelines" (от июня 2011 года).

Однако некоторые эксперты сходятся во мнении, что изменения относительно технологий виртуализации в текущей версии могли бы быть более глубокими.

Особенности выполнения требований PCI DSS в виртуальной среде

Очевидно, что требования стандарта PCI DSS должны применяться и к виртуализованным информационным системам. В текущей версии требования стандарта применимы, в том числе, к системным компонентам, к которым также относятся «компоненты виртуализации, такие как виртуальные машины, виртуальные коммутаторы/маршрутизаторы, виртуальные модули, виртуальные приложения и гипервизоры». Кроме того, при выполнении требований стандарта должны быть учтены все известные уязвимости и специфичные каналы утечки, присущие виртуальной среде. В частности, требование 2.2 говорит, что «должны быть разработаны стандарты конфигурирования для всех системных компонентов, учитывающие все известные уязвимости и рекомендации по обеспечению безопасности систем».

При приведении виртуализированных информационных систем в соответствие стандарту PCI DSS необходимо учитывать, что гипервизор (составная часть сервера виртуализации) и средства управления виртуальной инфраструктурой являются потенциальными каналами утечки, посредством которых нарушитель может получить доступ к обрабатываемым на виртуальных машинах данным. С помощью гипервизора или средств управления виртуальной инфраструктурой злоумышленник может перехватить потоки данных, идущие с виртуальных машин на устройства, или получить непосредственный доступ к дискам хранилища с файлами виртуальных машин.

Таким образом, в первую очередь важно выполнить требования, предъявляемые к построению и поддержанию защищенной сети администрирования виртуальной инфраструктуры и реализации мер по строгому контролю доступа к ней в целом и к серверам виртуализации в частности (т.е. пунктов 1, 2, 7, 8 требований стандарта).

Наглядный пример необходимости дополнительной защиты сети в виртуальной инфраструктуре по сравнению с физической:

Выполнение всех перечисленных требований позволит уменьшить вероятность получения доступа к данным платежных карт злоумышленниками и «суперпользователями».

Проблему суперпользователя в виртуальной инфраструктуре мы уже описывали вот здесь, а вот пример ее воплощения на практике:

Решение vGate R2 разработки компании «Код Безопасности» позволит значительно облегчить процесс приведения виртуальной инфраструктуры, построенной на платформах VMware, в соответствие требованиям PCI DSS. С помощью различных настраиваемых параметров серверов виртуализации и виртуальных машин vGate R2 позволяет задать оптимальные настройки безопасности инфраструктуры. Для этого достаточно применить шаблон политик безопасности PCI DSS, входящий в состав vGate R2, к тем объектам, где осуществляется обработка данных платежных карт (виртуальная машина, хост, сеть и т.п.).

При настройке этих параметров «вручную» от администратора потребуется гораздо больше времени и квалификации. К тому же, после настройки параметров безопасности «вручную» гарантировать их неизменность с течением времени затруднительно.

Например, посмотрите на 21-страничную таблицу настроек мелким шрифтом, которые приведены в документе VMware Security Hardening Guide:

Очевидно, что осуществить и поддерживать подобный комплекс настроек непросто.

При этом компания теряет не только драгоценное время на повторную настройку и перепроверку параметров безопасности, но и несет дополнительные затраты. В этом случае применение vGate R2, который в автоматическом режиме обеспечивает постоянный контроль конфигурации критически важных параметров безопасности, гарантирует их неизменность и соблюдение требований PCI DSS. Таким образом, vGate R2 позволяет существенно снизить затраты на как на приведение виртуальной инфраструктуры в соответствие требованиям PCI DSS, так и на поддержание этого соответствия (подробнее об экономическом эффекте продукта читайте здесь).

Как правило, задача выполнения требований только стандарта PCI DSS в организациях банковского сектора стоит редко. Зачастую компании вынуждены выполнять требования комплекса принятых стандартов и норм (например, СТО БР ИББС):

vGate R2 позволяет привести виртуальную инфраструктуру в соответствии российскому законодательству, отраслевым стандартам и лучшим мировым практикам. Продукт vGate R2 имеет сертификат ФСТЭК России и может применяться для защиты информационных систем персональных данных до класса К1 включительно.

Ну и в заключение приведем документ компании Код Безопасности, рассказывающий о приведение в соответствие виртуальной инфраструктуры VMware vSphere нормам PCI DSS. В нем есть конкретика - приведены наиболее значащие пункты стандарта, касающиеся защиты виртуальной среды:

За дополнительной информацией обращайтесь на официальную страницу продукта vGate R2, а вопросы оставляйте в комментариях. Купить продукт vGate R2 можно в компании VMC.

Статья подготовлена по материалам компании Код Безопасности.