Быстрый рост числа кибератак и нарушений конфиденциальности персональных данных делает критически важной защиту финансовых операций. Все помнят недавнюю громкую историю с хищением $300 млн со счетов клиентов в России, Китае и Европе группировкой хакеров Carbanak и многие другие. Ведущие мировые операторы платежных систем: Visa, MasterCard, American Express, JCB и Discover совместно установили «Стандарт безопасности данных индустрии платежных карт (PCI DSS)», чтобы повысить надежность финансовых транзакций. Хотя, требования стандарта PCI DSS не являются законом, его соблюдение значительно повышает защищенность финансовых операций и данных клиентов. В ситуации жесткой конкуренции, несоответствие финансового учреждения требованиям PCI DSS приведет к потере клиентской базы.
Сегодня банки, конкурирующие в борьбе за клиентов, сталкиваются с противоречием: нужно повышать защищенность платежей и при этом уменьшать стоимость услуг. Использование виртуализации при создании банковских ИС помогает разрешить это противоречие. Но применение этой технологии, помимо экономии средств, гибкости и масштабируемости несет в себе новые угрозы, неизвестные при построении ИС на базе аппаратных решений: динамическое изменение ресурсов и конфигураций виртуальной среды, необходимость изоляции виртуальных машин и сетей, атаки на уровне гипервизора и виртуальных сетей и многое другое. Обеспечить выполнение этих противоречивых требований можно только при помощи современных средств защиты информации, интегрированных в операционную систему на уровне гипервизора. Это единственный путь закрыть уязвимости виртуальной среды без понижения ее производительности и управляемости. Такой подход позволит снизить стоимость средств защиты и ускорить отдачу вложений в виртуализацию, что в нынешнее время является ключевым фактором внедрения современных информационных технологий.
Microsoft Windows Server является одной из самых распространённых ОС в корпоративном и финансовом секторе. В ее состав входит платформа виртуализации Hyper-V, которая стала широко применяться после выхода последней версии Windows Server 2012R2. При помощи этой ОС, гипервизора, входящего в ее состав и расширения виртуального коммутатора Hyper-V Extensible Switch - 5nine Cloud Security, можно выполнить большинство требований PCI DSS и защитить виртуальную среду на уровне гипервизора.
Hyper-V Extensible Switch является открытой платформой, позволяющей разрабатывать расширения стандартного интерфейса Windows (API). Это позволило разработчикам-партнерам: Cisco, Huawei, NEC, InMon, 5nine, Iron Networks добавить такие функции как мониторинг, переадресация и фильтрация в виртуальном коммутаторе. Расширения реализуются путем использования спецификации фильтра драйверов интерфейса интернет-устройств (NDIS) и драйверов вызова Windows Filtering Platform (WFP).
Драйверы WFP позволили партнерам разработчикам (ISV) создавать драйверы для фильтрации и изменения TCP/IP-пакетов, контроля и авторизации соединений, фильтрации протоколов IPsec для защиты трафика и фильтрации удаленного вызова процедур (RPC). Фильтрация и модификация пакетов TCP/IP предоставляют доступ к обработке пакетов TCP/IP. Таким образом появилась возможность при помощи специализированных продуктов проверять или изменять исходящие и входящие пакеты перед выполнением дополнительной обработки.
.png)
Эти возможности используются в 5nine Cloud Security, при помощи которого реализованы многопользовательский межсетевой экран, антивирус и система обнаружения вторжений на уровне приложений (IDS) для виртуальной платформы Hyper-V. Решение реализует мониторинг и логирование событий безопасности и интегрируется с SC VMM и Azure Pack. Централизованное управление упрощает администрирование безопасности и обеспечивает возможность аудита на соответствие требованиям PCI DSS и законов РФ, таких как 152-ФЗ «О персональных данных», Приказов ФСТЭК №17, 21 и других.
В стандарте PCI DSS, приведены 12 требований и описаны соответствующие процедуры проведения оценки соответствия. Давайте посмотрим, как эти требования выполняются при помощи стандартных средств Windows Server и 5nine Cloud Security в среде Hyper-V:
|
Цели контроля
|
Требования PCI DSS
|
Реализация при помощи
Windows Server
и 5nine Cloud Security
|
| Построение и сопровождение защищённой сети |
1. Установка и обеспечение функционирования межсетевых экранов для защиты данных держателей карт |
5nine Cloud Security обеспечивает защиту при помощи многопользовательского межсетевого экрана, который встроен в виртуальный коммутатор Hyper-V и позволяет контролировать любой тип трафика (внутренний, внешний, частные виртуальные сети), изолировать как отдельные ВМ, так и их группы. Возможна настройка расписания применения правил межсетевого экрана. |
| 2. Неиспользование выставленных по умолчанию производителями системных паролей и других параметров безопасности |
Управление доступом пользователей и паролями в многопользовательской среде реализуется при помощи стандартных средств контроля доступа Windows Server и службы Active Directory. При этом не используются пароли по умолчанию, чтобы уменьшить возможность ошибки администраторов. |
| Защита данных держателей карт |
3. Обеспечение защиты данных держателей карт в ходе их хранения. |
Это требование относится к ограничению физического доступа и не относятся к защите среды виртуализации. |
| 4. Обеспечение шифрования данных держателей карт при их передаче через общедоступные сети |
5nine Cloud Security не имеет функции криптографии, однако он поддерживает передачу шифрованного трафика по виртуальной сети, защищая его, как любой другой вид трафика. |
| Поддержка программы управления уязвимостями |
5. Использование и регулярное обновление антивирусного программного обеспечения |
5nine Cloud Security является единственным безагентным антивирусным решением для Hyper-V, созданным для увеличения производительности виртуальной платформы. Продукт обеспечивает защиту ВМ и сетей от вирусов без установки агента в ВМ в базовом сценарии, обеспечивая скорость сканирования до 70 раз быстрее стандартных антивирусов, устанавливаемых в ВМ. Безагентный антивирус не может быть отключен или удален пользователем. Предлагаются на выбор антивирусные ядра от Лаборатории Касперского, Bitdefender или ThreatTrack, которые дают максимальное покрытие уязвимостей. Сигнатуры могут обновляться как с ресурсов производителя, так и с локального сервера обновлений для увеличения защищенности в соответствии с рекомендациями PCI DSS на ежедневном базисе. |
| 6. Разработка и поддержка безопасных систем и приложений |
5nine Cloud Security обладает механизмом контроля целостности компонентов безопасности и дает возможность изолировать среду разработки/тестирования и производственного функционирования за счет использования групп безопасности. Защита веб приложений осуществляется с помощью 5nine Web Application Firewall. Логирование операций позволяет администратору безопасности отслеживать угрозы и попытки неавторизованного доступа к управлению системами защиты. В составе продукта есть Система обнаружения вторжений (IDS) на уровне приложений, которая отслеживает весь трафик внутри виртуального коммутатора Hyper-V, используя технологию Cisco Snort для проверки сетевых пакетов на предмет наличия потенциальных атак. |
| Реализация мер по строгому контролю доступа |
7. Ограничение доступа к данным держателей карт в соответствии со служебной необходимостью |
Реализуется при помощи стандартных средств контроля доступа Windows Server и службы Active Directory |
| 8. Идентификация и аутентификация доступа к системным компонентам |
Реализуется при помощи стандартных средств контроля доступа Windows Server и службы Active Directory |
| 9. Ограничение физического доступа к данным держателей карт |
Это требование относится к ограничению физического доступа и не относятся к защите среды виртуализации |
| Регулярный мониторинг и тестирование сети |
10. Контроль и отслеживание всех сеансов доступа к сетевым ресурсам и данным держателей карт. |
Реализуется при помощи стандартных средств контроля доступа Windows Server и системы логирования событий безопасности 5nine Cloud Security. Система обнаружения аномалий 5nine Cloud Security позволяет отследить потенциально опасные и подозрительные активности на сетевом уровне. Все операции и события логируются в неизменяемом и не редактируемом виде для последующего анализа. Интеграция с централизованными системами сбора данных позволяет обеспечить необходимую длительность хранения информации. |
| 11. Регулярное тестирование систем и процессов обеспечения безопасности |
5nine Cloud Security постоянно регистрирует и контролирует статистические данные о сетевом трафике, пакетах и их размерах. Затем, используя эвристический подход, он создает базовую модель вашего нормального рабочего трафика в течение дня. После этого он постоянно следит за средой, и, если изменения значений превышают установленные пороги чувствительности, немедленно оповещают вас о возможной атаке или злонамеренном сканировании сети. В качестве системы обнаружения вторжений используется Cisco Snort, что в комбинации с эвристическим алгоритмом позволяет успешно проходить тесты на проникновение в систему. |
| Поддержка политики информационной безопасности |
12. Разработка, поддержка и исполнение политики информационной безопасности |
Это требование относится к администрированию процессов объекта защиты. |
<p> </p>
<p>Подводя итог, 8 требований PCI DSS из 12 относятся к безопасности виртуальной среды и могут быть выполнены внедрением 5nine Cloud Security и стандартных средств Microsoft Windows Server 2012 R2, а остальные требования могут быть удовлетворены с помощью физических ограничений и корпоративных политик.</p>
<p> </p>
<p>
<strong>Автор статьи</strong>: Бражников Юрий</p>
<p>
<em>Данный материал написан участником сообщества. В статье представлено мнение автора, которое может не совпадать с мнением корпорации Microsoft. Microsoft не несет ответственности за проблемы в работе аппаратного или программного обеспечения, которые могли возникнуть после использования материалов данной статьи.</em>
</p>
</div>
<MtpsComments runat="server" />
<HideEyebrow runat="server" />
</div>
</td>
<td valign="top">
<div class="RightAdRail">
<ContentInclude Identifier="gg715009" runat="server" />
</div>
</td>