Мария Сидорова, заместитель руководителя направления «Защита виртуальных инфраструктур» компании «Код Безопасности»

Требования стандарта PCI DSS распространяются на все компании, которые обрабатывают, хранят или передают данные о держателях платежных карт. Причем требования относятся не только к тем информационным системам компании, в которых обрабатывается и хранится информация о платежных картах, но и к системам, которые с ними взаимосвязаны. Он предусматривает комплексный подход к обеспечению информационной безопасности, нацеленный на снижение рисков, связанных с информационными системами компании.

Виртуализация?!

Российские компании банковской сферы уже оценили достоинства, которые дает использование технологий виртуализации. Использование виртуализации позволяет банкам получать ряд бесспорных преимуществ, среди которых эффективное использование ресурсов и, как следствие, снижение затрат на эксплуатацию инфраструктуры. К сожалению, приходится констатировать, что большинство проектов по виртуализации до сих пор осуществляются без привлечения специалистов по информационной безопасности. В то же время эти технологии несут с собой не только выгоды, но и ряд дополнительных рисков, связанных, в первую очередь, с защитой информации.

Стандарт PCI DSS в сфере виртуализации является одним из самых зрелых документов, существующих на международном рынке. Это единственный на сегодняшний день стандарт, в котором учтены отдельные особенности защиты информации в виртуальной среде. Эти изменения появились в документе во многом благодаря работе группы специалистов Virtualization Special Interest Group, действующей под эгидой PCI Security Standards Council, в которую входят представители ведущих мировых компаний, занимающихся информационной безопасностью и виртуализацией. В частности, в предыдущей версии стандарта присутствовало правило «одна функция – один сервер», что в большинстве случаев могло свести преимущества от использования технологий виртуализации к нулю. 28 октября 2010 года были выпущены новые версии стандартов PCI DSS v2.0 и PA-DSS v2.0. В этой версии стандарта PCI DSS v2.0 правило «одна функция – один сервер» было пересмотрено авторами документа.

Теперь там учтены нюансы виртуализации, и правило звучит как «одна функция – один реальный или виртуальный сервер». К этой версии стандарта PCI DSS также была выпущена брошюра с разъяснениями относительно применения технологий виртуализации. Однако некоторые эксперты сходятся во мнении, что изменения относительно технологий виртуализации в текущей версии могли бы быть более глубокими.

Особенности выполнения требований PCI DSS в виртуальной среде

Очевидно, что требования стандарта PCI DSS должны применяться и к виртуализированным информационным системам. В текущей версии требования стандарта применимы, в том числе, к системным компонентам, к которым также относятся «компоненты виртуализации, такие как виртуальные машины, виртуальные коммутаторы/маршрутизаторы, виртуальные модули, виртуальные приложения и гипервизоры». Кроме того, при выполнении требований стандарта должны быть учтены все известные уязвимости и специфичные каналы утечки, присущие виртуальной среде. В частности, требование 2.2 говорит, что «должны быть разработаны стандарты конфигурирования для всех системных компонентов, учитывающие все известные уязвимости и рекомендации по обеспечению безопасности систем».

При приведении виртуализированных информационных систем в соответствие стандарту PCI DSS необходимо учитывать, что гипервизор (составная часть сервера виртуализации) и средства управления виртуальной инфраструктурой являются потенциальными каналами утечки, посредством которых нарушитель может получить доступ к обрабатываемым на виртуальных машинах данным. С помощью гипервизора или средств управления виртуальной инфраструктурой злоумышленник может перехватить потоки данных, идущие с виртуальных машин на устройства, или получить непосредственный доступ к дискам хранилища с файлами виртуальных машин.

Причем злоумышленник может получить доступ к дискам хранилища даже тогда, когда виртуальные машины выключены или не работают, без участия программного обеспечения этих виртуальных машин. Кроме того, администраторы виртуальной инфраструктуры обладают широкими полномочиями в отношении виртуальных машин и их файлов и, по сути, являются «суперпользователями». Очевидно, что наличие таких «суперпользователей» может негативно влиять на эффективность защиты виртуальной инфраструктуры.

Какие требования стандарта PCI DSS для компонентов виртуализации должны выполняться? Ответ на этот вопрос проиллюстрирован в таблице ниже:

Требование Применимость
Построение и поддержание защищенной сети 1. Должны быть обеспечены разработка и управление конфигурацией межсетевых экранов в целях защиты данных платежных карт +
2. Не должны использоваться параметры безопасности и системные пароли, установленные производителем по умолчанию +
Защита данных платежных карт 3. Должна быть обеспечена защита данных платежных карт при хранении +
4. Должно обеспечиваться шифрование данных платежных карт, передаваемых по сетям общего пользования +
Реализация программы управления уязвимостями 5. Должно использоваться и регулярно обновляться антивирусное программное обеспечение +
6. Должна обеспечиваться безопасность при разработке и поддержке систем и приложений +
Реализация мер по строгому контролю доступа 7. Доступ к данным платежных карт должен быть ограничен в соответствии со служебной необходимостью +
8. Каждому лицу, имеющему доступ к вычислительным ресурсам, должен быть назначен уникальный идентификатор +
9. Физический доступ к данным платежных карт должен быть ограничен *
Регулярный мониторинг и тестирование сетей 10. Должен отслеживаться и контролироваться любой доступ к сетевым ресурсам и данным платежных карт +
11. Должно выполняться регулярное тестирование систем и процессов обеспечения безопасности *
Поддержание политики информационной безопасности 12. Должна поддерживаться политика информационной безопасности, регламентирующая деятельность сотрудников и контрагентов *

* Возможно реализовать организационными мерами\разделением ответственности\организационно-техническими мероприятиями.

Таким образом, в первую очередь важно выполнить требования, предъявляемые к построению и поддержанию защищенной сети администрирования виртуальной инфраструктуры и реализации мер по строгому контролю доступа к ней в целом и к серверам виртуализации в частности (т.е. пунктов 1, 2, 7, 8 требований стандарта). Выполнение этих требований позволит уменьшить вероятность получения доступа к данным платежных карт злоумышленниками и «суперпользователями».

Решение vGate R2 разработки компании «Код Безопасности» позволит значительно облегчить процесс приведения виртуальной инфраструктуры, построенной на платформах VMware, в соответствие требованиям PCI DSS. С помощью различных настраиваемых параметров серверов виртуализации и виртуальных машин vGate R2 позволяет задать оптимальные настройки безопасности инфраструктуры. Для этого достаточно применить шаблон политик безопасности PCI DSS, входящий в состав vGate R2, к тем объектам, где осуществляется обработка данных платежных карт. При настройке этих параметров «вручную» от администратора потребуется гораздо больше времени и квалификации. К тому же, после настройки параметров безопасности «вручную» гарантировать их неизменность с течением времени затруднительно.

При этом компания теряет не только драгоценное время на повторную настройку и перепроверку параметров безопасности, но и несет дополнительные затраты. В этом случае применение vGate R2, который в автоматическом режиме обеспечивает постоянный контроль конфигурации критически важных параметров безопасности, гарантирует их неизменность и соблюдение требований PCI DSS. Таким образом, vGate R2 позволяет существенно снизить затраты на приведение виртуальной инфраструктуры в соответствие требованиям PCI DSS и на поддержание этого соответствия.

Как правило, задача выполнения требований только стандарта PCI DSS в организациях банковского сектора стоит редко. Зачастую компании вынуждены выполнять требования комплекса принятых стандартов и норм. vGate R2 позволяет привести виртуальную инфраструктуру в соответствии законодательству, отраслевым стандартам и лучшим мировым практикам. Продукт vGate R2 имеет сертификат ФСТЭК России и может применяться для защиты информационных систем персональных данных до класса К1 включительно.

Несмотря на то, что выполнение требований стандартов и норм, принятых для банковской сферы, является одной из основных задач по обеспечению информационной безопасности ИТ-инфраструктуры, важно осознавать необходимость не столько формального выполнения установленных требований, сколько  построения комплексной системы безопасности, учитывающей специфичные угрозы и уязвимости. Именно такую защиту виртуальной инфраструктуры, с учетом специфичных угроз и уязвимостей виртуальной среды, позволяет обеспечить vGate R2.