Upload
cisco-russia
View
2.865
Download
4
Tags:
Embed Size (px)
DESCRIPTION
Citation preview
Cisco Systems, Inc © 2010 Cisco and/or its affiliates. All rights reserved. 1
Архитектура Cisco для PCI DSS 2.0 Алексей Лукацкий
Бизнес-консультант по безопасности
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 2\47
О чем пойдет речь
Введение в PCI
Особенности PCI DSS 2.0
Решение Cisco для PCI DSS
Изменения PCI DSS 2.0
Cisco Systems, Inc © 2010 Cisco and/or its affiliates. All rights reserved. 3
Введение в PCI
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 4\47
Verizon 2010 PCI Compliance Report • 27% атак происходит изнутри.
Двукратный рост по сравнению с 2009
• 98% всех инцидентов зафиксировано на серверах
• 85% атак не считаются сложными
• 61% инцидентов были обнаружены третьей стороны (ритейлер был не в курсе)
• 86% жертв имели доказательства в их журналах регистрации
• 96% инцидентов можно было избежать с помощью простых защитных мер
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 5\47
Продавцы продолжают рисковать • Слияния и поглощения
• Рост числа точек присутствия
• Беспроводные устройства в сети
• Аутсорсинг
• Мобильные устройства и планшетники в магазинах и на складах
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential C97_469267_c1 5
• 81% хранят PAN
• 73% хранят даты истечения
срока карт
• 71% хранят коды
верификации
• 57% хранят данные
магнитных полос
• 16% хранят другие
персональные данные
Источник: Forrester Consulting: The State of PCI Compliance (commissioned by RSA/EMC)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 6\47
PCI Data Security Standard • Первая версия опубликована в
январе 2005; текущая версия - 2.0
• PCI DSS 2.0 станет обязательным с 1-го января 2012
• Влияет на ВСЕХ кто
Обрабатывает
Передает
Хранит: данные владельцев карт
• PCI – это не государственный стандарт. Это соглашение между платежной системой и ее участниками
Payment Card Industry
Data Security Standard
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 7\47
PCI применим ко всем
PCI Не только ритейл
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 8\47
Стоимость инцидента Цена на запись (одного клиента)
$138
$182 $197 $202 $204
0
50
100
150
200
250
2005 2006 2007 2008 2009
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 9\47
Совокупная стоимость несоответствия
Цена несоответствия $9,368,351
Цена соответствия $3,529,570
$5,838,781
Разница
$0 $5,000,000 $10,000,000
Задача Цена
Политики $297,910
Взаимодействия $343,119
Управление программой $441,859
Защита данных $1,034,148
Мониторинг соответствия $636,542
Внедрение защитных мер $775,991
Всего $3,529,570
Тип инцидента Цена
Нарушения торговли $3,297,633
Потери продуктивности $2,437,795
Потери доходов $2,180,976
Штрафы $1,451,947
Всего $9,368,351
Таблица1: Средняя цена соответствия Таблица 2: Средняя цена несоотвествия
Источник: The True Cost of Compliance, Ponemon, 2010
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 10\47
12 требований PCI DSS
Требования PCI Data Security Standard
Построить и поддерживать
сеть в защищенном
состоянии
1. Внедрение и поддержка конфигурации МСЭ
2. Не использовать пароли и настройки по умолчанию
Защитить данные
владельцев карт
3. Защита хранимых данных
4. Шифрование данных платежных карт и иной
информации при передаче по открытым сетям
Поддержка программы
управления уязвимостями
5. Использование и обновление антивирусов
6. Разработка и поддержка систем в защищенном
состоянии
Внедрение мер строгого
контроля доступа
7. Ограничение доступа к данным
8. Привязка уникального ID каждому пользователю
9. Ограничение физического доступа
Регулярный мониторинг и
тестирование сетей
10.Контроль и мониторинг доступа к сетевым ресурсам и
данным платежных карт
11. Регулярное тестирование систем и процессов ИБ
Поддержка политики ИБ 12. Поддержка политики информационной безопасности
Cisco Systems, Inc © 2010 Cisco and/or its affiliates. All rights reserved. 11
Изменения PCI 2.0
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 12\47
Изменения PCI 2.0 • 119 изменений в виде разъяснений
• 15 изменений в виде дополнительных указаний
• 2 изменения в виде новых требований
Ключевые изменения PCI DSS 2.0
• Виртуализация
• Обнаружение чужих Wi-Fi устройств
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 13\47
Новые сроки соответствия • PCI DSS 2.0 начинает трехлетний жизненный цикл на
разработку и внедрение новых версий стандартов
• Новый стандарт действует с 1-го января 2011, но проверка на соответствие предыдущей версии стандарта (1.2.1) будет разрешена до 31 декабря 2011
• С 1-го января 2012 вся оценка соответствия проводится только на PCI DSS 2.0
Cisco Systems, Inc © 2010 Cisco and/or its affiliates. All rights reserved. 14
Как определить область действия?
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 15\47
Что такое область действия PCI DSS 2.0 • Требования PCI применимы ко всем ‗системным компонентам‘
• Системные компоненты определены как:
Любой сетевой компонент, сервер или приложение, которое включено или подключается к окружению, обрабатывающему данные платежных карт.
Виртуализированные компоненты, такие как виртуальные машины, виртуальные маршрутизаторы, виртуальные устройства, виртуальные приложения/рабочие места и гипервизоры.
• Окружение, обрабатывающее данные платежных карт, – это часть сети, которая хранит данные платежных карт или иную чувствительную информацию
• Адекватная сегментация сети, которая изолирует системы, хранящие, обрабатывающие или передающие данные платежных карт, может уменьшить область действия PCI DSS 2.0
Source PCI DSS 2.0
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 16\47
Методология определения PCI Scope Новое требование ежегодного подтверждения аккуратности и точности определения области действия PCI DSS в вашем окружении
• Полностью задокументированная методология определения
• Документирование мест расположения данных PCI
• Документация должна быть доступна оценщику/аудитору
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 17\47
Сегментация Determine
Scope
Can scope be reduced with segmentation?
Вся сеть в Scope
POS Servers
Branch
Server Access
Storage
Data Center
inventory Servers
Server Access
WAN Access
CORE
Headquarters
Warehouse
Wide Area Accelerated
Network
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 18\47
Сегментация Determine
Scope
Can scope be reduced with segmentation?
NOT IN PLACE
Entire network is in scope for
PCI DSS review
Вся сеть в Scope
POS Servers
Branch
Server Access
Storage
Data Center
inventory Servers
Server Access
WAN Access
CORE
Headquarters
Warehouse
Wide Area Accelerated
Network
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 19\47
Сегментация Determine
Scope
Can scope be reduced with segmentation?
Did assessor validate segmentation
effectiveness?
IN PLACE NOT IN PLACE
No
Entire network is in scope for
PCI DSS review
Yes
Assessor documents segmentation in
place and effective
Scope limited for PCI DSS review
Только устройства, пропускающие платежные
данные, в Scope
POS Servers
Branch
Server Access
Storage
Data Center
inventory Servers
Server Access
WAN Access
CORE
Headquarters
Warehouse
Wide Area Accelerated
Network
Вся сеть в Scope
POS Servers
Branch
Server Access
Storage
Data Center
inventory Servers
Server Access
WAN Access
CORE
Headquarters
Warehouse
Wide Area Accelerated
Network
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 20\47
Сегментация Determine
Scope
Can scope be reduced with segmentation?
Audit Performed
Did assessor validate segmentation
effectiveness?
IN PLACE NOT IN PLACE
No
Entire network is in scope for
PCI DSS review
Yes
Assessor documents segmentation in
place and effective
Scope limited for PCI DSS review
Только устройства, пропускающие платежные
данные, в Scope
POS Servers
Branch
Server Access
Storage
Data Center
inventory Servers
Server Access
WAN Access
CORE
Headquarters
Warehouse
Wide Area Accelerated
Network
Вся сеть в Scope
POS Servers
Branch
Server Access
Storage
Data Center
inventory Servers
Server Access
WAN Access
CORE
Headquarters
Warehouse
Wide Area Accelerated
Network
Cisco Systems, Inc © 2010 Cisco and/or its affiliates. All rights reserved. 21
Виртуализация
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 22\47
Виртуализация добавлена в Scope ‗Системные компоненты‘ также включают любые
Виртуализированные компоненты, такие как виртуальные машины, виртуальные маршрутизаторы, виртуальные устройства, виртуальные приложения/рабочие места и гипервизоры.
• Требование 2.2.1 обновлено: В местах применения технологий
виртуализации необходимо применять только одну основную
функцию на виртуальный системный компонент.
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 23\47
Стратегия виртуализации и PCI
Указания
Все виртуальные компоненты в
scope
Все потоки данных и
взаимодействия между
виртуальными компонентами
должны быть идентифицированы и
документированы
Виртуализированное окружение
должно быть сегментировано
Необходимо применять все 12
требований PCI DSS
Аутентификация
Задокументировать используемые
протоколы и механизмы
Определить роли/привилегии
Разделение полномочий и
минимум привилегий
Разделение привилегий между
гостевыми VM и гипервизором
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 24\47
Виртуализация: точка присутствия
• Виртуальные LAN
Wired: Cisco Catalyst 2960/3560/3750 series Switches
Wireless: Cisco Aironet 1040, 1200, 3500 Series Access Points
• Виртуальные Firewall/IPS
Cisco Integrated Service Routers (ISR) Generation 2: 800, 1900, 2900, 3900 Series
• Виртуальные сервера
Cisco Service Ready Engine with Unified Computing System (UCS) Express image
Access Point
Integrated Firewall/IPS
Switch
POS Server Router
WAN, Data Center, and Centralized Management Wireless IPS
Out of Scope
VLANs
UCS Express
Print Server
UCS Express
VLANs
Sensitive Scope
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 25\47
Виртуализация: ЦОД
• Виртуальные LANs
Nexus 1000v virtual Switch
Nexus 5000 & 7000 Switches
MDS 9000 Storage Switch
• Виртуальный МСЭ
Virtual Secure Gateway (VSG)
ASA 5585 Firewall
• Виртуальные сервера
Unified Compute System (UCS)
VCE VBLOCK-1 Architecture
Nexus Switches
Access Layer
Data Center, Aggregation Layer
Adaptive Security
Appliance
Segmentation
VLAN Routing
VDC2
VDC1
WAN and CORE
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 26\47
Детальные руководства
Cisco Systems, Inc © 2010 Cisco and/or its affiliates. All rights reserved. 27
Обнаружение чужих беспроводных устройств
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 28\47
Обнаружение чужих Wi-Fi устройств • 11.1: Обнаружение беспроводных точек доступа обновлено
за счет новых методов:
• Сканирование беспроводных сетей
• Физическая/логическая инспекция
• NAC
• Wireless IDS и IPS
• 11.1b: Проверка методов тестирования для аккуратного обнаружения:
• WLAN cards
• Portable wireless devices (USB, etc.)
• Attached wireless devices and access points
Cisco Systems, Inc © 2010 Cisco and/or its affiliates. All rights reserved. 29
Новые указания
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 30\47
Как учитывать новые технологии? • Special Interest Groups (SIGs)
• Technical Working Group (TWG)
• Отдельные вендоры выпускают собственные указания или требования
• Обратная связь от участников PCI Council
Cisco – участник PCI Council
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 31\47
Point-to-Point Encryption Guidance • Указания по шифрованию между
терминалами, а не «site to site» (S2S)
• Выводы
Методы проверки реализации указаний еще незрелы
Могут облегчить внедрение PCI
Могут уменьшить scope
Требуется независимое тестирование P2PE
• Указания по проверке реализации должны быть выпущены в 2011
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 32\47
Защита телефонии в PCI • Новые указания по использование
телефонных технологий в рамках PCI
• Cisco IP Phones с внутренним коммутатором, подключенные к терминалам (Point of Service Terminals)
• Центры обработки вызовов
Cisco Systems, Inc © 2010 Cisco and/or its affiliates. All rights reserved. 33
Все вместе – как Cisco помогает соответствовать PCI DSS 2.0
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 34\47 34
PCI DSS
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 35\47
Управление
• Сеть: Routers, Switches и Wireless
• ИБ: Firewalls и Intrusion Detection
• Точки продаж: сервера и приложения
• Голос: Телефоны и ЦОВ
• Email: Data Loss Prevention
• Physical: Surveillance и Badge Access
• Аутентификация
• Управление
Internet Edge Data Center Contact Center
Store
Целостное решение
Конечные
устройства
Инфраструктура
PCI DSS 2.0 Solution Framework
• Шифрование
• Мониторинг
• Assess
• Design
• Implement
• Audit
Сервисы
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 36\47
Продуктовые линейки Cisco
Routing Cisco Integrated Services Routers (ISR, ISR G2), Cisco Aggregation Services Routers (ASR)
Switching Cisco Catalyst Compact, Access and Data Center Switches, Cisco Nexus 1000 Virtual, 5000 and 7000
Switches, Cisco Application Control Engine (ACE), Cisco Multilayer Director Switch (MDS) with Storage
Media Encryption Module
Network Security Cisco Adaptive Security Appliance (ASA), Cisco IronPort Email Security Appliance, Cisco Network
Admission Control Appliance (NAC), Cisco AnyConnect VPN, Cisco Firewall Services Modules (FWSM),
Cisco Intrusion Detection System Services Modules (IDSM), Cisco Intrusion Prevention System
Appliances (IPS), Cisco Nexus Virtual Security Gateway (VSG), Cisco IOS Firewall, Cisco IOS IPS,
Cisco Secure Access Control Server (ACS)
Wireless Cisco Aironet Access Points, Cisco Wireless LAN Controllers, Cisco Mobility Services Engine with
enhanced local mode (ELM), Cisco Adaptive Wireless IPS
Physical Security Cisco Video Surveillance Operations Manager (VSOM), Cisco Video Surveillance IP Cameras, Cisco
Physical Security Multiservices Platform (MSP), Cisco Physical Access Manager (CPAM), Cisco Physical
Access Gateways
Compute Systems and
Storage
Cisco Unified Computing System (UCS) Blade and Rack-Mount Servers, Cisco UCS Express
Management Cisco Security Manager (CSM), Cisco Wireless Control System (WCS), CiscoWorks LAN Management
Solution (LMS)
Voice Cisco Unified Communications Manager (CUCM), Cisco Unified IP Phones
WAN Optimization Cisco Wide Area Application Engine (WAE), Cisco Wide Area Application Services (WAAS)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 37\47
Пример: системы видеонаблюдения
• Cisco может «закрыть» 9-е требование PCI DSS по физической безопасности
• Video Surveillance
Cisco Video Surveillance IP Cameras
Cisco Video Surveillance Media Server (VSMM)
Cisco Video Surveillance Operations Manager (VSOM)
• Physical Access Control
Cisco Physical Access Manager
Cisco Physical Access Gateway
Badge readers
Door and cabinet access controls
Contact alarms
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 38\47
Remote Workers Partners
VPN
Core
Service Aggregation
Monitoring
Security Management
Authentication POS Servers
DMZ
Web App FW
Web Servers
MDS 9000 SAN Switches
Store
INTERNET EDGE
STORAGE
Data Center
External Locations
Adaptive Security Appliance
Integrated Services Router
LWAPP
Campus or HQ
POS Servers
POS Register
PC Mobile POS
Business Servers
Network Services
Network Management
Database
SERVER ACCESS
WAN Aggregation
Не продуктом единым
POS Servers
POS Register
PC Mobile POS and Inventory
Disk Arrays
Tape Storage
AGGREGATION
Access
Catalyst Switch
INTERNET
Service Provider
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 39\47
Remote Workers Partners
VPN
Core
Service Aggregation
POS Servers
DMZ
Web App FW
Web Servers
MDS 9000 SAN Switches
Store
INTERNET EDGE
STORAGE
Data Center
External Locations
Adaptive Security Appliance
Integrated Services Router
LWAPP
Campus or HQ
POS Servers
POS Register
Business Servers
Network Services
Database
SERVER ACCESS
WAN Aggregation
Конкретные рекомендации Требование 1
POS Register
Mobile POS and Inventory
Disk Arrays
Tape Storage
AGGREGATION
Access
INTERNET
Service Provider
Monitoring: SIEM
Security Management:
Cisco Security Manager
Network Management:
CiscoWorks LMS
File Security Adapter +
Payment Devices
Security Management: Key Manager Client
Security Management: Key Manager Client
Payment Devices
Mobile POS/ Inventory
Authentication
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 40\47
Cisco PCI Solution for Retail 2.0 Соответствует требованиям
• Позволяет выполнять указания PCI DSS 2.0 в специфичных технологических областях
• Обеспечивает руководство для выполнения требований PCI и защиты данных платежных карт
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 41\47
Cisco PCI Solution for Retail 2.0 Детальные руководства
• Рекомендованные архитектуры для сетей, хранящих, обрабатывающих и передающих данные платежных карт
• Протестированы в реальном окружении с POS, серверами приложений, беспроводными устройствами, соединением с Интернет, ЦОВ и системами безопасности
• Руководства оценены PCI QSA (Verizon)
• Включают расширенные рекомендации по реализации требований PCI в виртуализированном и 3G окружении
Validated Design
Small Retail Store
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 42\47
Резюме • Непрекращающаяся поддержка
соответствия – сложная задача
Cisco может помочь решить ее
• У Cisco есть все необходимые технологии и сервисы для реализации многих «инфраструктурных» требований PCI DSS 2.0
• В среднем, стоимость несоответствия в 2.65 раз выше стоимости обеспечения соответствия
Cisco может помочь в создании бизнес-кейса
Cisco Systems, Inc © 2010 Cisco and/or its affiliates. All rights reserved. 43
В качестве заключения
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 44\47
Построение бизнес-кейса Интерактивный Business Benefits Calculator
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 45\47
Дополнительная информация
• Cisco PCI Resources
www.cisco.com/go/pci
www.cisco.com/go/retail
www.cisco.com/go/healthcare
• PCI Design and Implementation Guide—Retail
http://www.cisco.com/en/US/docs/solutions/Verticals/PCI_Retail/
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Systems, Inc 46\47
Где проваливаются аудиты? Требование PCI Процент провалов
Requirement 3 Protect Stored Data 79%
Requirement 11 Regularly Test Security Systems and Processes 74%
Requirement 8 Assign a Unique ID to Each Person with Computer Access
71%
Requirement 10 Track and Monitor All Access to Network Resources and Cardholder Data
71%
Requirement 1 Install and Maintain a Firewall Configuration to Protect Data
66%
Requirement 2 Do Not Use Vendor-Supplied Defaults for System Passwords and Other Security Parameters
62%
Requirement 12 Maintain a Policy that Addresses Information Security 60%
Requirement 9 Restrict Physical Access to Cardholder Data 59%
Requirement 6 Develop and Maintain Secure Systems and Applications
56%
Requirement 4 Encrypt Transmission of Cardholder Data and Sensitive Information Across Public Networks
45%
Источник: VeriSign, ―Lessons Learned: Top Reasons for PCI Audit Failure and How to Avoid Them‖
Спасибо
за внимание!