云PCI合规性:检查表

PCI DSS和云入门

新闻中总是充斥着客户信用卡信息泄密这样的重大事故。为了免受那些危险的偷窃商业数据和客户身份信息的黑客攻击,支付卡行业数据安全标准(PCI DSS)提出了种种最佳做法。按这12步就可以设置好一个可用于安全支付环境的框架。

如果你公司在云中储存、处理和传输支付持卡人的数据,PCI DSS则制约着你的所作所为。但不像那些必须遵循PCI DSS的 “砖和砂浆”一样数据中心,这些处于云中的操作还有额外的要求。比如,PCI DSS所概括的12步中的有6步要么要求或是本身就借助于数据加密。然而为了在云中安全地加密并遵循PCI DSS,你必须对加密密钥保持控制。但是作为一项云操作,你能在云中保存密钥的同时保持它们的安全吗?

答案是---你完全可以。

我们编撰了这张PCI DSS中与云操作有关的要求的检查表。最终你可能需要雇佣一位外部的专业的稽核员来审查你的系统以通过认证。你可以使用这张检查表来了解合规性,来为合规性而计划,最重要的是以便保护你自己和客户。

就如任何一个12步骤的程序,遵守PCI DSS本身是做出承诺,但最终成功于其保护了你自己和客户。

12步骤检查表

使用防火墙

你必须安装并始终保持一个防火墙配置来保护自己的数据。在云中你的防火墙是软件防火墙,它是基于一个规则集合来控制对你数据的访问。选好这些规则以及合理分段自己的网络对于限制潜在的攻击表面来说是至关重要的。这是软件定义网络的重要部分。

尝试创建一个有着清晰定义的和限制的敏感数据驻留范围,因为它通过防火墙和网络规则隔离开来,所以这样更容易管理和精确控制。

好的例子有VMware的“软件定义数据中心”方法,它包括一个软件定义的防火墙;Amazon的AWS Security Group以及Dome9云防火墙。这是保护自己免受黑客攻击第一重要步骤。

不要使用默认值

你永远不要在自己的所有系统中使用商用软件提供商或开源软件所提供的默认密码和其它安全参数。黑客很熟悉这些默认值。你要经常改变这些信息并设置成只有你自己知道的值。

在2013年2月PCI DSS云计算指南中,安全标准委员会清楚地说明使用IaaS的公司(而不是云服务提供商)有责任安全地配置好自己的操作系统、应用和虚拟设备。PaaS机构则与它们的OS提供商共同承担这个职责,但是客户自己控制着OS之上的应用和软件。

在IaaS和Paas安装中,你同样继承着你的提供商设置和VM影像。请仔细地检查这些。

实际上你的最好选择是使用这样的提供商,它们对那些敏感的安全参数不提供默认值,但却有着相应过程来帮助你快速、轻松地设置并实施独一无二的值。你可向自己的提供商咨询关于最佳做法的信息。

保护持卡人数据

看起来直截了当,但是PCI DSS详细地列举了种种要求。实际上这是PCI DSS的核心。这就意味着在保存哪些数据和应如何保存这些数据上有着很多的保护措施,这些既适用于传统部署也适用于云部署。在云中加密作为替代传统的物理保护措施的手段变得特别重要。数据需要以无密钥的人不可读和不可用的方式来加密。为了遵守PCI DSS,你必须使用哈希、加密方法、强密钥管理来防止入侵者的恶意使用自己的数据。

你的密钥保护着持卡人的数据,但是你必须要保护好自己的密钥。在云中你的加密密钥必须同所有其他组件分开管理。对于遵循PCI DSS的云应用来说,管理密钥,分发密钥,保存密钥都是焦点。这可能会比较棘手,因为理想化的是为了安全性你想让自己的加密密钥呆在云外,然而为了能使用云计算资源,你又需要密钥呆在云内。幸运的是,技术确实为这些问题提供了简洁的解决方案;请寻找“分开密钥”云密钥管理解决方案,它在你将“主密钥”部分保存在云外的同时也允许加密密钥在云中工作。

加密传输中的数据

任何在开放的公众网络中传输的数据都可以被怀有恶意的人访问。为了预防这种情形,你应总是加密传输的数据。总是使能SSL/TLS,并考虑使用IPsec通讯和VPNs。传输中的加密考量要与网络分段以及自己设置的防火墙规则结合起来。理想的SSL/TLS加密应该保持至你的应用服务器,而不应在很靠近的网络边界附近或在负载平衡器就终止。因为某些加密工具确实需要查看所传输的数据(比如web应用防火墙),考虑在它们完成工作之后重新加密,或者将这些工具地方尽量靠近应用服务器布置。

云企业确实有办法来保护传输中的数据。最好的做法就是将你的部署分段成面向公众的网段和私有网段,并在数据到达至更为私有的应用服务器所驻留网段之前保持加密(或重加密)。自己内部环境组件的通讯也需要考虑加密传输---比如在其的应用服务器和数据库服务器之间考虑使用TLS/SSL加密通讯。

请使用那些允许你控制传输中加密参数如证书和密钥的产品。选择有助于该项任务的云密钥管理工具。

时间: 2024-10-28 03:23:28

云PCI合规性:检查表的相关文章

Verizon PCI报告:防火墙合规性、安全测试是主要问题

托管IT服务巨头Verizon指出了导致商家未能满足PCI DSS合规的两个关键问题领域. 日前,Verizon透露了其备受期待的年度报告中的内容,这份报告对Verizon Enterprise Solutions在过去三年期间执行的数千次PCI DSS合规性评估的结果进行了分析. "照常营业"PCI合规被证明很困难 根据Verizon表示,2015年的数据表明大多数商家都在艰难地维持全年PCI合规性.该公司称,在通过审核后的不到一年时间内,只有不到三分之一的企业保持完全的PCI合规性

安全合规性仍然是企业的老大难

从初期的数据保护法律颁布以来:包括911事件过后,于2002年颁布的<萨班斯·奥克斯利法案(Sarbanes-Oxley Act,SOX)>以及英国和欧盟的各种法律和指导方针,合规性一直是IT业界的一个噩梦.在许多情况下,其被认为是在企业内部能够与诸多事务都能够或多或少的扯上关系,包括IT和金融财务.安全和网络.技术和管理,如此诸多繁杂的事务足以使任何IT专业人士吓出了一身冷汗.   例如,如此众多的合规性标准包括支付卡行业数据安全标准(Payment Card Industry Data S

混合云:架起内部部署和云计算之间的桥梁

如今,我们都听说过"公共云"."私有云"."托管"这些词,以及更多的涉及到云计算的术语,但目前对于组织机构最流行的术语是什么?答案是所有这些. 当企业试图摈弃自己的所有计算服务,以求得云计算之间的平衡时,合理的中间立场已经出现:混合云. 最近的一项调查预测,IT预算不断增长的比例将会驱使内部部署的能力迁移到场外服务,如托管IT云和公共云.虽然这似乎是一种不可避免的进展,这将是渐进的,并且混合云是两个服务部署模型之间的有利桥梁. 许多企业在其内部部

大势不可逆 安全厂商的未来在云上

本文讲的是大势不可逆 安全厂商的未来在云上,随着企业用户对于云计算认知大大提升和国家云计算政策引导,政府和企业用户纷纷加速云落地,大家都称之为谓是政企云,但部署政企云面临的最后一道门槛是安全问题,该问题也引起各个行业以及企业部门的广泛关注. ▲安华金和创始人兼CEO 刘晓韬 谈及政企云安全问题,不仅包括了IT基础设施,还包括了政企云平台上用户数据的安全这两大类,针对IT基础设施安全层面的问题我们有幸邀请到了安华金和创始人兼CEO 刘晓韬先生,刘先生也针对当前的政企云安全的发展和未来的趋势和我们做

加快混合云的建设,CIO提出思考关键

目前,由于用户使用云计算进行业务的比例明显增加,需要寻求外部云供应商提供IT信息化的服务也越来越多,因此CIO有必要进行关于整合化的云战略的考虑,提高对市场中鱼龙混杂的云计算服务的辨析能力. 近段时间欧美各大企业的CIO纷纷表示,大部分公司的私有云和CIO的工作频率并不相符.在CIO单独作出信息化运行的决定的时候,这些云服务就会变得脱离实际意义.于是他们开始呼吁拥有领先的云技术的合作伙伴们,寻找一个贴合业务服务的云计算技术新模式,并且尝试进行混合云的建设. 据调查,他们主要思考的有如下几点: 1

Fortinet无线安全接入方案提升“全行业体验”

据统计,今天全球90%以上的智能手机活跃用户都依赖Wi-Fi进行连网,Wi-Fi流量占比也超过了70%.但是,企业用户在构建全新的BYOD平台时,却遭遇到了各种技术难题,不但WLAN应用体验与用户期盼相去甚远,安全环境更是因为性能问题和复杂性让人头痛.那么,这些WLAN中的疑难杂症又应当如何化解呢? 近日,全球网络安全领导厂商Fortinet(飞塔) 公司通过一系列行业的无线安全解决方案,让用户不仅领略到Airtime Fairness高密度接入.同频部署.虚拟蜂窝等技术灵活组合带来的最佳体验,

OpenStack发布第14版Newton 改善虚拟化、裸机及容器

 OpenStack基金会表示,新功能将改善用户在容器集群管理.网络.可扩展性和弹性方面的用户体验.   "对Ironic裸机配置服务.Magnum容器调度集群管理器以及Kuryr容器网络的升级,将让集成容器.虚拟和物理基础架构到单一控制面板下变得更容易."OpenStack认为. 基于OpenStack Newton的产品和服务将在"未来数周和数月内"推出. 这次发布的OpenStack将让云运营商和应用开发者获得更高的安全性.弹性以及更多选择,OpenStack

在无线世界入口处升起安全之闸门

据Gartner的数据显示,到2020年将有330亿终端接入网络.快速发展的物联网.不断涌现的应用都在给网络带来安全冲击.用户希望能够有线.无线一体化,能够用更少的钱办更多的事.所以,需要为用户提供简洁易用的无线安全接入解决方案. 2015年夏天飞塔对全球的用户作了问卷调查,回收的1409份有效答卷显示,WLAN被认为是安全性最为脆弱的IT环节,接入的安全问题已经不容忽视,需要将安全与接入更为紧密的融合在一起. 2015年5月28日飞塔并购美国Wi-Fi设备厂商梅鲁网络公司,这是全球首次由网络安

企业安全的最佳实践方案

在本文中,我们将为广大读者诸君介绍美国思杰公司是如何借助对于应用程序和数据在任何地点.网络和设备的访问控制,以帮助企业客户在实现风险管控的同时,授权业务移动性的. 现如今,企业的IT和安全管理领导人们正面临着将业务安全风险降低到可接受的水平的同时,确保易用性和生产力的挑战.企业员工需要能够以自己最为舒适的方式来工作--即能够在任何地方.借助任何网络或设备顺畅工作,而不会因任何过度的限制或复杂的用户体验感到沮丧.与此同时,保护企业应用程序和数据避免因安全威胁而发生泄露.防止丢失和被盗,并确保完全符