В части стандарта, касающейся виртуализации, отражены три основных момента. Первый – это определение области действия PCI DSS. Сейчас в нее попадают виртуальные машины (ВМ), гипервизоры, коммутаторы, маршрутизаторы, устройства, приложения и настольные системы.
Второй момент: в предыдущих версиях стандарта присутствовало правило «одна функция – один сервер», что в большинстве случаев могло свести преимущества от использования технологий виртуализации к нулю. В новой версии PCI DSS 2.0 правило было пересмотрено – учтены нюансы виртуализации. Это привело к новой формулировке: «одна функция – один реальный или виртуальный сервер». Запрещается объединение рабочей среды с тестовыми или отладочными средами на одном сервере виртуализации с общим файловым хранилищем. Такое требование обусловливается тем, что ВМ легко могут перемещаться с одного сервера виртуализации на другой при использовании штатных механизмов управления. При этом если одна из виртуальных машин будет скомпрометирована, есть вероятность, что будут скомпрометированы и все остальные ВМ, работающие под управлением определенного гипервизора.
И третий – управление виртуальными машинами, а также доступ к гипервизору должны контролироваться и соответствовать правилам, задаваемым ролевой моделью доступа для управления ВМ.
ИТ-специалисты компаний, использующих виртуализацию в качестве среды обработки данных, должны учитывать следующие требования к обеспечению информационной безопасности в соответствии с положениями PCI DSS:
- необходимо использовать правильно настроенные межсетевые экраны как на уровне физической инфраструктуры, так и на уровне виртуальных машин;
- запрещается использовать параметры безопасности и системные пароли, установленные производителем по умолчанию;
- нужно обеспечить защиту данных платежных карт при их хранении в базах данных и на серверах;
- необходимо актуальное антивирусное программное обеспечение, в том числе с наличием безагентских технологий защиты;
- доступ к данным платежных карт должен ограничиваться для сотрудников по мере необходимости, на уровне как операционных систем ВМ, так и компонентов управления виртуальной средой, сетью передачи данных и хранилищ;
- каждому лицу, имеющему доступ в среду обработки данных платежных карт, должен быть назначен уникальный идентификатор, особенно применительно к компонентам виртуальной инфраструктуры;
- физический доступ к данным платежных карт и физическим компонентам виртуальной среды, обрабатывающим эти данные, должен быть ограничен;
- нужно выполнять регулярный мониторинг работоспособности и актуальности настроек для систем и процессов обеспечения безопасности виртуальной среды;
- в актуальном состоянии должна поддерживаться политика информационной безопасности, регламентирующая деятельность сотрудников, в том числе при работе с виртуальной средой обработки данных платежных карт.
Принципы включения компонентов виртуальной инфраструктуры в область действия стандарта
Технологии виртуализации настолько разнообразны, что детального руководства по их защите создать просто невозможно. Разумно было рассмотреть два пути развития стандарта PCI DSS в вопросе виртуализации: либо охватить часть направлений, либо задать общие правила игры независимо от конкретной технологии. Специалисты SIG пошли по реализации второго пути.
Одно из основополагающих правил, которое было заложено в стандарт, – это отсутствие полного доверия к гипервизору как средству изоляции виртуальных машин. Если хотя бы одна из ВМ обрабатывает данные платежных карт, то весь сервер виртуализации (в том числе и гипервизор) должен быть включен в область действия PCI DSS и защищен в соответствии со всеми применимыми требованиями стандарта.
Риски информационной безопасности для виртуальных инфраструктур в рамках PCI DSS
В качестве специфических рисков виртуальной среды менеджмент компании должен рассматривать:
- угрозу компрометации всей виртуальной среды, входящей в область применения стандарта, за счет скомпрометированной смежной ВМ, находящейся вне области действия PCI DSS;
- риск получения несанкционированного доступа к данным платежных карт, обрабатываемых в виртуальной среде, из-за неверной настройки политик управления доступом и распределения задач пользователей в виртуальной инфраструктуре;
- угрозу несанкционированного доступа к данным, хранящимся на нефункционирующих образах ВМ;
- риск встраивания закладок в исходные файлы образов ВМ;
- риск, связанный с недостаточностью реализуемого мониторинга безопасности систем виртуализации;
- угрозу несанкционированного доступа к ВМ из-за недостаточного контроля доступа на уровне сети;
- риск компрометации ВМ посредством компрометации физического сервера.
Отметим, что представленный перечень рисков не претендует на полноту картины и может изменяться в зависимости от особенностей инфраструктуры виртуальной среды. Однако, основываясь на нашем опыте, мы рекомендуем использовать его как отправную точку для нейтрализации основных рисков при построении безопасной виртуальной среды, в том числе с учетом требований стандарта PCI DSS.
Документ PCI DSS Virtualization Guidelines также рассматривает такие вспомогательные компоненты, как виртуальные коммутаторы и маршрутизаторы, хранилища ВМ и др. Если какой-либо из указанных компонентов влияет на безопасность данных платежных карт или позволяет обеспечивать к ним доступ, предоставлять сервисы виртуальным машинам, находящимся в области действия стандарта PCI DSS, то он также включается в область действия стандарта.
Принципы защиты виртуальной инфраструктуры в разрезе PCI DSS
Виртуальные машины подвержены тем же угрозам, что и их аналоги в классическом понимании, т.к. находятся под управлением тех же операционных систем. Но вместе с тем для них актуальны и специфические риски, связанные с появлением инструментов управления ВМ: гипервизора, а также систем централизованного управления несколькими гипервизорами. В частности, компрометация учетной записи администратора гипервизора может повлечь за собой серьезные последствия для всей виртуальной инфраструктуры и, как следствие, привести к серьезным материальным и временным потерям для компании.
Итак, уязвимыми компонентами являются гипервизор и сервер управления ВМ. Атаки на них могут привести к выходу из строя одной или одновременно всех ВМ на хосте. Для минимизации рисков мы рекомендуем обеспечить механизмы разграничения доступа к компонентам виртуальной инфраструктуры и внедрить специализированные средства защиты, гарантирующие необходимый уровень ИБ.
Взаимодействие между виртуальными машинами может осуществляться не только с использованием сетевых протоколов, но и с помощью областей физической памяти хоста, на котором они работают. Даже при условии, что сетевой доступ к ВМ контролируется, негативно воздействовать на нее можно, влияя на разделяемую физическую область памяти. Конечно, реализация такой угрозы сложна в исполнении, однако уже существует ряд эффективно реализованных атак, в том числе опубликованных в базе уязвимостей CVE. Поэтому мы не рекомендуем размещать виртуальные машины разного уровня доверия на одном физическом хосте. ВМ, предназначенные для размещения публичных сервисов, должны располагаться в демилитаризованной зоне, для них желательно построение отдельной виртуальной инфраструктуры. В случае, если разнести виртуальные машины по этому принципу невозможно, необходимо использовать усиленные меры по управлению доступом и мониторингу состояния ВМ путем применения дополнительных средств защиты, позволяющих усилить контроль над взаимодействием между ними.
В виртуальной среде нужно обеспечить четкую политику разграничения доступа к ресурсам , чтобы избежать появления суперпользователя, чьи права неограниченны в рамках всей виртуальной инфраструктуры. Для этого можно использовать специальные средства контроля доступа, которые позволяют выделять отдельные группы пользователей в соответствии с их ролями в виртуальной инфраструктуре: сетевой администратор, оператор ВМ, администратор приложений, администратор безопасности и т.д. В том числе указанные системы позволяют избежать несанкционированного использования пароля суперпользователя (root) и выдавать эти привилегии на временной основе специальным учетным записям.
При создании виртуальной инфраструктуры необходимо определить правила и решения по организации виртуальной вычислительной среды и придерживаться их, тем самым унифицировав процессы и оптимизировав систему в целом. Это в свою очередь позволит упростить выполнение требований PCI DSS в части реализации настроек безопасности компонентов виртуальной среды, избежать ненужных ошибок в их конфигурации и, как следствие, повысить общее состояние защищенности виртуальной инфраструктуры.
Нежелательно сохранять данные платежных карт при создании образа - шаблона ВМ . Это связано с тем, что при восстановлении виртуальной машины из ранее созданного образа те данные, которые на ней хранились, потенциально будут слабо защищены, т.к. на момент разворачивания ВМ на ней могут быть деактивированы средства защиты, а их базы знаний – являться устаревшими. В исходном образе виртуальной машины рекомендуется хранить системные настройки операционной системы, прикладного ПО и средств защиты. После восстановления ВМ из образа необходимо проверить актуальность всех компонентов информационной безопасности, установленных на ней, и только после этого загружать на машину конфиденциальную информацию.
Также мы предлагаем контролировать целостность образа виртуальных машин, чтобы оградить их от риска внесения модификаций (закладок) и последующего восстановления ВМ из измененного образа.
Не рекомендуется использовать виртуальную инфраструктуру для систем генерации и обработки ключевой информации . Если иначе реализовать задуманное техническое решение не получается, необходимо обеспечить хранение ключевой информации отдельно от защищаемых в виртуальной инфраструктуре данных.
В большинстве случаев виртуальная инфраструктура представляет собой достаточно сложную совокупность виртуальных и физических устройств, взаимодействующих друг с другом. Доступ к виртуальным машинам предоставляется как администраторам, так и пользователям приложений, работающих на этих ВМ. Все это влечет за собой потребность внедрения дополнительных мер по обеспечению мониторинга информационной безопасности в виртуальной инфраструктуре с целью оперативного реагирования на инциденты информационной безопасности.
Требования безопасности стандарта PCI DSS не являются универсальными для всех возможных случаев организации виртуальной среды. Технологии виртуализации предполагают множество вариантов реализации и применения, поэтому требования, подходящие в одном случае, могут быть не применимы в других. В случае, если выполнить напрямую положения PCI DSS не представляется возможным, допускается использование компенсирующих мер, реализуемых на основе оценки рисков. Оптимально задействовать в этом процессе компанию-подрядчика, учитывающую лучшие практики в области защиты данных платежных карт.