Достаточно ли групп безопасности AWS для сегментации сети и сокращения области применения PCI?

Вопрос или проблема

Я читал этот документ

https://d1.awsstatic.com/whitepapers/pci-dss-scoping-on-aws.pdf

В нём показано это изображение

введите описание изображения здесь

Правильно ли я говорю, что, пока экземпляры имеют соответствующие группы безопасности, которые ограничивают соединение, это выведет их из области действия PCI?

Дополнительно: только мне кажется ужасно трудным найти лучшие практики для PCI в облачных средах – похоже, что всё в беспорядке.

Короткий ответ: Нет. Но это очень помогает.

В AWS VPC есть как минимум 3 (я предпочитаю 4, но упомяну об этом в этом ответе, к тому же, возможно, их больше чем 4) типа сетевой сегментации:

  1. Настройки по умолчанию VPC сегментируют себя от других VPC в том же аккаунте и других аккаунтах; т.е. это не транзитивная маршрутизация, так что учтите, что у вас есть VPC Peering; VPC A может говорить с VPC B, B может говорить с C, но A не может говорить с C через B. По сути, VPC по своей сути обеспечивает независимую проверяемую сегментацию, и вам не нужно ничего делать, если вы не хотите проводить дальнейшую сегментацию в пределах одного и того же VPC.

  2. Конфигурации детальной маршрутизации Transit Gateway, которые обременительные и не являются поведением по умолчанию, и фактически полностью нарушают (1) не транзитивную маршрутизацию VPC, поэтому теперь вы не получаете “сегментацию по умолчанию”, предоставляемую AWS VPC по умолчанию, вам нужно самостоятельно добавить эту сегментацию и затем добавить любые дополнительные правила сегментации, если это необходимо.

  3. Сетевые наложения, такие как те, что развёртываются с Kubernetes или сетевыми устройствами, такими как Palo Alto. Эти сетевые наложения похожи на Transit Gateway и нарушают гарантии внутренней сегментации, поэтому вам снова придется сначала вернуть конфигурацию сегментации вашего сетевого наложения на тот же уровень, который вы имели по умолчанию в VPC, а затем подумать о добавлении дальнейшей сегментации, если это необходимо.

Вы также можете найти некоторые архитектуры AWS, готовые к PCI DSS здесь (требуется вход в систему)

Ответ или решение

Краткий ответ на ваш вопрос: нет, использование только групп безопасности AWS не является достаточным для сегментации сети и снижения области применения стандартов PCI DSS. Однако, правильно настроенные группы безопасности значительно облегчают этот процесс. Теперь давайте рассмотрим это более подробно.

1. Основы сетевой сегментации в AWS

При работе с AWS важно понимать, как работает сегментация сети. Внутри вашей VPC существует несколько уровней сегментации, которые можно использовать для защиты ваших данных и снижения области применения PCI DSS:

  • Сегментация по умолчанию: VPC от AWS обеспечивает изолированную среду для ваших ресурсов. По умолчанию VPC изолирует сети друг от друга, что означает, что без явного разрешения экземпляры в одной VPC не могут обмениваться данными с экземплярами в другой VPC. Это создает уровень изоляции и безопасности, но требует дополнительных мер для сегментации внутри самой VPC.

  • Transit Gateway: Использование Transit Gateway для настройки маршрутизации между несколькими VPC создает более сложные сценарии. Необходимо настроить политики доступа для обеспечения необходимых уровней безопасности, иначе можно случайно создать уязвимости.

  • Наслоенные сети: Если вы используете технологии, такие как Kubernetes или другие сетевые устройства, например, Palo Alto Networks, то возникает необходимость в дополнительной настройке сегментации. Эти технологии могут разрывать «гарантированную» сегментацию, предоставляемую VPC, и требуют от вас повторного внедрения мер безопасности и сегментации.

2. Роль групп безопасности

Группы безопасности AWS действуют как виртуальные файрволы, которые контролируют входящий и исходящий трафик экземпляров. Хотя они и являются мощным инструментом для управления сетевым доступом, полагаться исключительно на них недостаточно для выполнения требований PCI DSS. Основные недостатки включают:

  • Недостаточная изоляция: Группы безопасности управляют доступом на уровне экземпляров, но если у вас есть неправильные настройки, возможно, нежелательное взаимодействие между экземплярами.

  • Недостаточная видимость: Группы безопасности не предоставляют такой уровень мониторинга и аудита, который необходим для выполнения требований к соблюдению PCI DSS. Вам необходимо дополнительно отслеживать трафик и активности.

3. Рекомендации по достижению соответствия PCI DSS в облаке

Чтобы эффективно снизить область применения PCI DSS и обеспечить безопасность данных, рекомендуется:

  • Разработка архитектуры безопасности: Используйте встроенные возможности AWS, такие как AWS WAF, AWS Shield и AWS Config, для усиления безопасности на уровне приложения.

  • Многоуровневая безопасность: Включите несколько уровней средств защиты помимо групп безопасности, таких как сетевые ACL (Access Control Lists), VPN и VPC Peering для создания надежной архитектуры безопасности.

  • Регулярный аудит и тестирование: Проводите регулярные аудиты настроек безопасности, а также тестируйте конфигурации на наличие уязвимостей. Использование инструментов управления безопасностью поможет вам поддерживать уровень защиты.

  • Использование стандартов архитектуры PCI DSS: Изучите документы и архитектуры, такие как AWS PCI DSS Ready Architecture, чтобы понять лучшие практики в вашей конкретной среде.

Заключение

В заключение, сети AWS, хотя и предлагающие мощные средства сегментации, требуют комплексного подхода для успешного достижения соответствия PCI DSS. Надежные группы безопасности являются важным элементом, но не единственным. Необходимы дополнительные меры и понимание сетевой архитектуры AWS для уменьшения области применения и защиты данных. Не стоит забывать, что соблюдение требований безопасности — это постоянный процесс, который требует внимания и регулярного пересмотра ваших мер по обеспечению безопасности.

Оцените материал
Добавить комментарий

Капча загружается...