PCI DSS和云入门
新闻中总是充斥着客户信用卡信息泄密这样的重大事故。为了免受那些危险的偷窃商业数据和客户身份信息的黑客攻击,支付卡行业数据安全标准(PCI DSS)提出了种种最佳做法。按这12步就可以设置好一个可用于安全支付环境的框架。
如果你公司在云中储存、处理和传输支付持卡人的数据,PCI DSS则制约着你的所作所为。但不像那些必须遵循PCI DSS的 “砖和砂浆”一样数据中心,这些处于云中的操作还有额外的要求。比如,PCI DSS所概括的12步中的有6步要么要求或是本身就借助于数据加密。然而为了在云中安全地加密并遵循PCI DSS,你必须对加密密钥保持控制。但是作为一项云操作,你能在云中保存密钥的同时保持它们的安全吗?
答案是---你完全可以。
我们编撰了这张PCI DSS中与云操作有关的要求的检查表。最终你可能需要雇佣一位外部的专业的稽核员来审查你的系统以通过认证。你可以使用这张检查表来了解合规性,来为合规性而计划,最重要的是以便保护你自己和客户。
就如任何一个12步骤的程序,遵守PCI DSS本身是做出承诺,但最终成功于其保护了你自己和客户。
12步骤检查表
使用防火墙
你必须安装并始终保持一个防火墙配置来保护自己的数据。在云中你的防火墙是软件防火墙,它是基于一个规则集合来控制对你数据的访问。选好这些规则以及合理分段自己的网络对于限制潜在的攻击表面来说是至关重要的。这是软件定义网络的重要部分。
尝试创建一个有着清晰定义的和限制的敏感数据驻留范围,因为它通过防火墙和网络规则隔离开来,所以这样更容易管理和精确控制。
好的例子有VMware的“软件定义数据中心”方法,它包括一个软件定义的防火墙;Amazon的AWS Security Group以及Dome9云防火墙。这是保护自己免受黑客攻击第一重要步骤。
不要使用默认值
你永远不要在自己的所有系统中使用商用软件提供商或开源软件所提供的默认密码和其它安全参数。黑客很熟悉这些默认值。你要经常改变这些信息并设置成只有你自己知道的值。
在2013年2月PCI DSS云计算指南中,安全标准委员会清楚地说明使用IaaS的公司(而不是云服务提供商)有责任安全地配置好自己的操作系统、应用和虚拟设备。PaaS机构则与它们的OS提供商共同承担这个职责,但是客户自己控制着OS之上的应用和软件。
在IaaS和Paas安装中,你同样继承着你的提供商设置和VM影像。请仔细地检查这些。
实际上你的最好选择是使用这样的提供商,它们对那些敏感的安全参数不提供默认值,但却有着相应过程来帮助你快速、轻松地设置并实施独一无二的值。你可向自己的提供商咨询关于最佳做法的信息。
保护持卡人数据
看起来直截了当,但是PCI DSS详细地列举了种种要求。实际上这是PCI DSS的核心。这就意味着在保存哪些数据和应如何保存这些数据上有着很多的保护措施,这些既适用于传统部署也适用于云部署。在云中加密作为替代传统的物理保护措施的手段变得特别重要。数据需要以无密钥的人不可读和不可用的方式来加密。为了遵守PCI DSS,你必须使用哈希、加密方法、强密钥管理来防止入侵者的恶意使用自己的数据。
你的密钥保护着持卡人的数据,但是你必须要保护好自己的密钥。在云中你的加密密钥必须同所有其他组件分开管理。对于遵循PCI DSS的云应用来说,管理密钥,分发密钥,保存密钥都是焦点。这可能会比较棘手,因为理想化的是为了安全性你想让自己的加密密钥呆在云外,然而为了能使用云计算资源,你又需要密钥呆在云内。幸运的是,技术确实为这些问题提供了简洁的解决方案;请寻找“分开密钥”云密钥管理解决方案,它在你将“主密钥”部分保存在云外的同时也允许加密密钥在云中工作。
加密传输中的数据
任何在开放的公众网络中传输的数据都可以被怀有恶意的人访问。为了预防这种情形,你应总是加密传输的数据。总是使能SSL/TLS,并考虑使用IPsec通讯和VPNs。传输中的加密考量要与网络分段以及自己设置的防火墙规则结合起来。理想的SSL/TLS加密应该保持至你的应用服务器,而不应在很靠近的网络边界附近或在负载平衡器就终止。因为某些加密工具确实需要查看所传输的数据(比如web应用防火墙),考虑在它们完成工作之后重新加密,或者将这些工具地方尽量靠近应用服务器布置。
云企业确实有办法来保护传输中的数据。最好的做法就是将你的部署分段成面向公众的网段和私有网段,并在数据到达至更为私有的应用服务器所驻留网段之前保持加密(或重加密)。自己内部环境组件的通讯也需要考虑加密传输---比如在其的应用服务器和数据库服务器之间考虑使用TLS/SSL加密通讯。
请使用那些允许你控制传输中加密参数如证书和密钥的产品。选择有助于该项任务的云密钥管理工具。