Как-то раз в своем блоге на Хабре мы уже говорили о сертификации PCI DSS и рассказывали об особенностях этого вида хостинга. В сегодняшнем материале мы вновь вернемся к этой теме и расскажем, как компания «ИТ-ГРАД» проходила аудит на соответствие требованиям этого стандарта.
/ Flickr / Keoni Cabral / CC
Чтобы успешно сертифицироваться, компания должна соответствовать определенному списку требований, то есть продемонстрировать собственную зрелость. Список следующий: подготовить всю необходимую документацию, пройти «тест на проникновение» и тест на соответствие бизнес-процессов компании идеологии PCI DSS.
На этом этапе компания готовит нормативно-распорядительную документацию в области информационной безопасности. Мы разработали все внутренние политики и регламенты задолго до начала проведения аудита, но их пришлось доработать согласно требованиям PCI DSS.
Необходимо разработать регламенты определяющие механизмы обеспечения безопасности хранения информации, правила взаимодействия с третьими сторонами, нормы управления доступом к информации и уязвимостями и так далее. Например, «Регламент управления доступом к информационным активам» обозначает требования к учетным записям пользователей, очерчивает правила изменений прав доступа и определяет требования к их мониторингу.
Это второй этап на пути к сертификации. В «ИТ-ГРАД» эта задача была реализована следующим образом:
1) Была организована автономная инфраструктура с независимой сетью и развернуты физические серверы ESX, vCenter и vSphere
Как регламентирует стандарт PCI DSS, выделенная инфраструктура должна быть изолирована от сетей компании, а доступ к ней должен осуществляться через выделенный интерфейс. Для этого мы использовали VPN с 2FA, при этом клиентские скопы оказались изолированы от внешних сетей.
Внутри инфраструктуры разместились: межсетевой экран, сервисы сбора и анализа логов (SIEM), система контроля за целостностью файлов, антивирус, а также система обнаружения и предотвращения вторжений (IDS/IPS).
2) Были установлены свитчи и межсетевые экраны
3) Оборудование было задублировано для повышения отказоустойчивости
4) Была подготовлена схема предоставления услуг и схема сети
В «ИТ-ГРАД» используют два варианта: клиентская схема сети и инфраструктурная схема сети. Между ними настроен межсетевой экран, внутреннее сканирование и активирована IPS.
Также организована защита от внешних атак и защита внешних бизнес-приложений с помощью WAF (Web Application Firewall).
Одно из названий теста на проникновение — «пентест». Его цель — выявление вектора атак, способных повлиять на сохранность данных держателей карт. Поэтому пентесты проводятся с использованием проверенных временем методик уполномоченной командой специалистов. Они реализуют различные атаки на инфраструктуру компании, в том числе с учетом человеческого фактора.
До начала тестирования на проникновение мы в «ИТ-ГРАД» подготовили два скопа. В первом из них были размещены служебные сервисы и тестовые приложения с доступом извне. Во втором были развернуты виртуальные машины со всеми необходимыми правами доступа (в зависимости от назначения).
/ Пример скопа с размещенными сервисами и приложениями
Перед началом пентеста обратите внимание на права доступа созданных аккаунтов — убедитесь, что там нет ничего лишнего. Учетная запись должна иметь только тот набор разрешений, который необходим для выполнения требуемых задач. Что касается защиты веб-приложений, то выбирайте инструмент на свой вкус.
При проведении пентеста проверяющая сторона использовала специальный набор инструментов для анализа всех аспектов объекта исследования. Например, была использована утилита nmap для сканирования белых IP-адресов с целью обнаружения лишних открытых портов. В нашем случае таких портов не оказалось.
Когда тесты на проникновение завершены, формируется отчетный документ, в котором описаны все обнаруженные «слабые места» с разбиением по так называемым уровням критичности. После этого компании дается время на устранение недочетов до проведения финального аудита. По результатам теста на проникновение в инфраструктуру «ИТ-ГРАД» были обнаружены семь уязвимостей различного уровня критичности:
/ Распределение уязвимостей по уровням критичности
Уязвимостью высокого уровня оказалась неспособность WAF предотвращать сложные векторы атак. В процессе тестирования было выявлено, что выбранное «ИТ-ГРАД» средство WAF в виде межсетевого экрана Palo Alto блокирует только стандартные векторы атак и игнорирует более сложные.
Чтобы решить сложившуюся ситуацию, мы развернули новое решение WAF. Им стал веб-сервер Apache с модулем Modsecurity — эта «связка» умела определять наличие управляющих символов языков HTML и JavaScript в данных ввода/вывода. Подробнее о том, почему не стоит использовать Palo Alto в качестве WAF, вы можете прочитать в этой статье.
Помимо этого были «закрыты» уязвимости, касающиеся доступного метода TRACE на администрируемом веб-сервере приложений (метод TRACE был отключен), также были изменены небезопасные пароли на более сильные, проведена инвентаризация файлов на хостах и приложений, в результате чего были удалены все неиспользуемые данные и ненужное ПО.
Таким образом, из-за наличия высокого и среднего уровня уязвимостей нам не удалось пройти тест на проникновение с первой попытки. Однако исправив все выявленные недостатки, мы успешно прошли повторные испытания.
Аудитор обращает внимание на компоненты информационной системы, может задать вопрос по нормативно-распорядительной документации или попросить показать интересующий его документ. Также он анализирует топологию сети, характеристики аппаратных и программных средств, проверяет записи регламентов и так далее. По каждому из пунктов он может потребовать разъяснений от персонала, чтобы проверить его компетентность.
Не исключены и технические моменты, когда специалисты проверяют конфигурации различных систем по выбору на соответствие требованиям безопасности. Например, в «ИТ-ГРАД» аудитор смотрел, как организована изоляция сегментов друг от друга, и оценивал конфигурацию операционных систем Linux и Windows.
Когда проверка завершена, QSA-аудитор составляет отчеты и передает их в сертифицирующий орган, который и принимает решение о выдаче сертификата. На этом этапе также не страшно, если будут найдены незначительные несоответствия. Регламенты аудита допускают возможность их оперативного исправления. Например, в нашем случае в базе активного каталога (Active Directory) аудитор обнаружил учетную запись компьютера (computer account), физически удаленного из скопа. Чтобы выполнить требования регламента, мы оперативно удалили computer account из базы активного каталога.
Успешно завершив проведение аудита на соответствие требованиям стандарта, мы запустили сертифицированное по PCI DSS IaaS-облако «ИТ-ГРАД», которое позволяет передать в зону ответственности IaaS-провайдера выполнение максимально полного перечня требований стандарта PCI DSS по обеспечению безопасности обработки карточных данных.
/ Flickr / Keoni Cabral / CC
Этапы сертификации
Чтобы успешно сертифицироваться, компания должна соответствовать определенному списку требований, то есть продемонстрировать собственную зрелость. Список следующий: подготовить всю необходимую документацию, пройти «тест на проникновение» и тест на соответствие бизнес-процессов компании идеологии PCI DSS.
Подготовка документации и разработка регламентов
На этом этапе компания готовит нормативно-распорядительную документацию в области информационной безопасности. Мы разработали все внутренние политики и регламенты задолго до начала проведения аудита, но их пришлось доработать согласно требованиям PCI DSS.
Необходимо разработать регламенты определяющие механизмы обеспечения безопасности хранения информации, правила взаимодействия с третьими сторонами, нормы управления доступом к информации и уязвимостями и так далее. Например, «Регламент управления доступом к информационным активам» обозначает требования к учетным записям пользователей, очерчивает правила изменений прав доступа и определяет требования к их мониторингу.
Подготовка сегмента инфраструктуры
Это второй этап на пути к сертификации. В «ИТ-ГРАД» эта задача была реализована следующим образом:
1) Была организована автономная инфраструктура с независимой сетью и развернуты физические серверы ESX, vCenter и vSphere
Как регламентирует стандарт PCI DSS, выделенная инфраструктура должна быть изолирована от сетей компании, а доступ к ней должен осуществляться через выделенный интерфейс. Для этого мы использовали VPN с 2FA, при этом клиентские скопы оказались изолированы от внешних сетей.
Внутри инфраструктуры разместились: межсетевой экран, сервисы сбора и анализа логов (SIEM), система контроля за целостностью файлов, антивирус, а также система обнаружения и предотвращения вторжений (IDS/IPS).
2) Были установлены свитчи и межсетевые экраны
3) Оборудование было задублировано для повышения отказоустойчивости
4) Была подготовлена схема предоставления услуг и схема сети
В «ИТ-ГРАД» используют два варианта: клиентская схема сети и инфраструктурная схема сети. Между ними настроен межсетевой экран, внутреннее сканирование и активирована IPS.
Также организована защита от внешних атак и защита внешних бизнес-приложений с помощью WAF (Web Application Firewall).
Тестирование на проникновение в облачную инфраструктуру
Одно из названий теста на проникновение — «пентест». Его цель — выявление вектора атак, способных повлиять на сохранность данных держателей карт. Поэтому пентесты проводятся с использованием проверенных временем методик уполномоченной командой специалистов. Они реализуют различные атаки на инфраструктуру компании, в том числе с учетом человеческого фактора.
До начала тестирования на проникновение мы в «ИТ-ГРАД» подготовили два скопа. В первом из них были размещены служебные сервисы и тестовые приложения с доступом извне. Во втором были развернуты виртуальные машины со всеми необходимыми правами доступа (в зависимости от назначения).
/ Пример скопа с размещенными сервисами и приложениями
Перед началом пентеста обратите внимание на права доступа созданных аккаунтов — убедитесь, что там нет ничего лишнего. Учетная запись должна иметь только тот набор разрешений, который необходим для выполнения требуемых задач. Что касается защиты веб-приложений, то выбирайте инструмент на свой вкус.
«Главное — добиться высокого уровня безопасности. Мы выбирали между Citrix и ModSecurity, остановившись на последнем. Мы не делали ставки на коммерческое или некоммерческое решение, платное или бесплатное. Искали средство, способное защитить от известных на момент выбора атак. Установив ModSecurity, мы получили продукт с хорошим сообществом и защитой от уязвимостей», — говорит Дмитрий Козлов, старший системный администратор «ИТ-ГРАД».
При проведении пентеста проверяющая сторона использовала специальный набор инструментов для анализа всех аспектов объекта исследования. Например, была использована утилита nmap для сканирования белых IP-адресов с целью обнаружения лишних открытых портов. В нашем случае таких портов не оказалось.
Когда тесты на проникновение завершены, формируется отчетный документ, в котором описаны все обнаруженные «слабые места» с разбиением по так называемым уровням критичности. После этого компании дается время на устранение недочетов до проведения финального аудита. По результатам теста на проникновение в инфраструктуру «ИТ-ГРАД» были обнаружены семь уязвимостей различного уровня критичности:
/ Распределение уязвимостей по уровням критичности
Уязвимостью высокого уровня оказалась неспособность WAF предотвращать сложные векторы атак. В процессе тестирования было выявлено, что выбранное «ИТ-ГРАД» средство WAF в виде межсетевого экрана Palo Alto блокирует только стандартные векторы атак и игнорирует более сложные.
Чтобы решить сложившуюся ситуацию, мы развернули новое решение WAF. Им стал веб-сервер Apache с модулем Modsecurity — эта «связка» умела определять наличие управляющих символов языков HTML и JavaScript в данных ввода/вывода. Подробнее о том, почему не стоит использовать Palo Alto в качестве WAF, вы можете прочитать в этой статье.
Помимо этого были «закрыты» уязвимости, касающиеся доступного метода TRACE на администрируемом веб-сервере приложений (метод TRACE был отключен), также были изменены небезопасные пароли на более сильные, проведена инвентаризация файлов на хостах и приложений, в результате чего были удалены все неиспользуемые данные и ненужное ПО.
Таким образом, из-за наличия высокого и среднего уровня уязвимостей нам не удалось пройти тест на проникновение с первой попытки. Однако исправив все выявленные недостатки, мы успешно прошли повторные испытания.
Один шаг до финиша, или как не провалить аудит
Аудитор обращает внимание на компоненты информационной системы, может задать вопрос по нормативно-распорядительной документации или попросить показать интересующий его документ. Также он анализирует топологию сети, характеристики аппаратных и программных средств, проверяет записи регламентов и так далее. По каждому из пунктов он может потребовать разъяснений от персонала, чтобы проверить его компетентность.
Не исключены и технические моменты, когда специалисты проверяют конфигурации различных систем по выбору на соответствие требованиям безопасности. Например, в «ИТ-ГРАД» аудитор смотрел, как организована изоляция сегментов друг от друга, и оценивал конфигурацию операционных систем Linux и Windows.
Когда проверка завершена, QSA-аудитор составляет отчеты и передает их в сертифицирующий орган, который и принимает решение о выдаче сертификата. На этом этапе также не страшно, если будут найдены незначительные несоответствия. Регламенты аудита допускают возможность их оперативного исправления. Например, в нашем случае в базе активного каталога (Active Directory) аудитор обнаружил учетную запись компьютера (computer account), физически удаленного из скопа. Чтобы выполнить требования регламента, мы оперативно удалили computer account из базы активного каталога.
Успешно завершив проведение аудита на соответствие требованиям стандарта, мы запустили сертифицированное по PCI DSS IaaS-облако «ИТ-ГРАД», которое позволяет передать в зону ответственности IaaS-провайдера выполнение максимально полного перечня требований стандарта PCI DSS по обеспечению безопасности обработки карточных данных.
Поделиться с друзьями