Вопрос или проблема
Я читал этот документ
https://d1.awsstatic.com/whitepapers/pci-dss-scoping-on-aws.pdf
В нём показано это изображение
Правильно ли я говорю, что, пока экземпляры имеют соответствующие группы безопасности, которые ограничивают соединение, это выведет их из области действия PCI?
Дополнительно: только мне кажется ужасно трудным найти лучшие практики для PCI в облачных средах – похоже, что всё в беспорядке.
Короткий ответ: Нет. Но это очень помогает.
В AWS VPC есть как минимум 3 (я предпочитаю 4, но упомяну об этом в этом ответе, к тому же, возможно, их больше чем 4) типа сетевой сегментации:
-
Настройки по умолчанию VPC сегментируют себя от других VPC в том же аккаунте и других аккаунтах; т.е. это не транзитивная маршрутизация, так что учтите, что у вас есть VPC Peering; VPC A может говорить с VPC B, B может говорить с C, но A не может говорить с C через B. По сути, VPC по своей сути обеспечивает независимую проверяемую сегментацию, и вам не нужно ничего делать, если вы не хотите проводить дальнейшую сегментацию в пределах одного и того же VPC.
-
Конфигурации детальной маршрутизации Transit Gateway, которые обременительные и не являются поведением по умолчанию, и фактически полностью нарушают (1) не транзитивную маршрутизацию VPC, поэтому теперь вы не получаете “сегментацию по умолчанию”, предоставляемую AWS VPC по умолчанию, вам нужно самостоятельно добавить эту сегментацию и затем добавить любые дополнительные правила сегментации, если это необходимо.
-
Сетевые наложения, такие как те, что развёртываются с Kubernetes или сетевыми устройствами, такими как Palo Alto. Эти сетевые наложения похожи на Transit Gateway и нарушают гарантии внутренней сегментации, поэтому вам снова придется сначала вернуть конфигурацию сегментации вашего сетевого наложения на тот же уровень, который вы имели по умолчанию в VPC, а затем подумать о добавлении дальнейшей сегментации, если это необходимо.
Вы также можете найти некоторые архитектуры AWS, готовые к PCI DSS здесь (требуется вход в систему)
Ответ или решение
Краткий ответ на ваш вопрос: нет, использование только групп безопасности AWS не является достаточным для сегментации сети и снижения области применения стандартов PCI DSS. Однако, правильно настроенные группы безопасности значительно облегчают этот процесс. Теперь давайте рассмотрим это более подробно.
1. Основы сетевой сегментации в AWS
При работе с AWS важно понимать, как работает сегментация сети. Внутри вашей VPC существует несколько уровней сегментации, которые можно использовать для защиты ваших данных и снижения области применения PCI DSS:
-
Сегментация по умолчанию: VPC от AWS обеспечивает изолированную среду для ваших ресурсов. По умолчанию VPC изолирует сети друг от друга, что означает, что без явного разрешения экземпляры в одной VPC не могут обмениваться данными с экземплярами в другой VPC. Это создает уровень изоляции и безопасности, но требует дополнительных мер для сегментации внутри самой VPC.
-
Transit Gateway: Использование Transit Gateway для настройки маршрутизации между несколькими VPC создает более сложные сценарии. Необходимо настроить политики доступа для обеспечения необходимых уровней безопасности, иначе можно случайно создать уязвимости.
-
Наслоенные сети: Если вы используете технологии, такие как Kubernetes или другие сетевые устройства, например, Palo Alto Networks, то возникает необходимость в дополнительной настройке сегментации. Эти технологии могут разрывать «гарантированную» сегментацию, предоставляемую VPC, и требуют от вас повторного внедрения мер безопасности и сегментации.
2. Роль групп безопасности
Группы безопасности AWS действуют как виртуальные файрволы, которые контролируют входящий и исходящий трафик экземпляров. Хотя они и являются мощным инструментом для управления сетевым доступом, полагаться исключительно на них недостаточно для выполнения требований PCI DSS. Основные недостатки включают:
-
Недостаточная изоляция: Группы безопасности управляют доступом на уровне экземпляров, но если у вас есть неправильные настройки, возможно, нежелательное взаимодействие между экземплярами.
-
Недостаточная видимость: Группы безопасности не предоставляют такой уровень мониторинга и аудита, который необходим для выполнения требований к соблюдению PCI DSS. Вам необходимо дополнительно отслеживать трафик и активности.
3. Рекомендации по достижению соответствия PCI DSS в облаке
Чтобы эффективно снизить область применения PCI DSS и обеспечить безопасность данных, рекомендуется:
-
Разработка архитектуры безопасности: Используйте встроенные возможности AWS, такие как AWS WAF, AWS Shield и AWS Config, для усиления безопасности на уровне приложения.
-
Многоуровневая безопасность: Включите несколько уровней средств защиты помимо групп безопасности, таких как сетевые ACL (Access Control Lists), VPN и VPC Peering для создания надежной архитектуры безопасности.
-
Регулярный аудит и тестирование: Проводите регулярные аудиты настроек безопасности, а также тестируйте конфигурации на наличие уязвимостей. Использование инструментов управления безопасностью поможет вам поддерживать уровень защиты.
-
Использование стандартов архитектуры PCI DSS: Изучите документы и архитектуры, такие как AWS PCI DSS Ready Architecture, чтобы понять лучшие практики в вашей конкретной среде.
Заключение
В заключение, сети AWS, хотя и предлагающие мощные средства сегментации, требуют комплексного подхода для успешного достижения соответствия PCI DSS. Надежные группы безопасности являются важным элементом, но не единственным. Необходимы дополнительные меры и понимание сетевой архитектуры AWS для уменьшения области применения и защиты данных. Не стоит забывать, что соблюдение требований безопасности — это постоянный процесс, который требует внимания и регулярного пересмотра ваших мер по обеспечению безопасности.