14 julio 2011

Guía para cumplir con PCI DSS si usamos virtualización

El pasado 14 de junio, el PCI Council publicaba la segunda versión del suplemento informativo titulado "PCI DSS Virtualization Guidelines" (pdf) elaborado por el grupo de virtualización [como es lógico].

El documento está muy bien trabajado, a mi entender, y recoge los principales aspectos relacionados con esta tecnología. En concreto, la guía incluye:
  • Una descripción a alto nivel de lo que es la virtualización.
  • Cómo la virtualización afecta a la definición del alcance.
  • Los principales riesgos que supone su uso.
  • Recomendaciones a la hora de implantarla, tanto con carácter general, como cuando se mezclan entornos de distintos niveles de riesgo o afectados o no por PCI DSS.
  • Recomendaciones para entornos de computación en la nube.
  • Una pequeña guía para realizar una evaluación de riesgos en entornos virtuales.
  • Y finalmente, un repaso de cómo afecta la virtualización en cada uno de los 12 requerimientos del estándar (anexo).
Como decía, un documento muy bien trabajado, en el que no nos encontramos con grandes sorpresas y del que destacaría lo siguiente:
  • Lógicamente, si cualquier componente virtual está conectado o es parte del CDE (cardholder data environment), entonces el hipervisor también está dentro del alcance, de forma que si es una máquina virtual la que está en el alcance, tanto el sistema que la aloja como el hipervisor también deberían considerarse dentro del alcance.
  • A nivel de riesgos, la virtualización supone una nueva superficie de ataque que hay que considerar, además de añadir cierta complejidad que nos dificultará la implantación de algunas medidas de seguridad. En especial, la mezcla de máquinas virtuales con diferentes niveles de seguridad es un aspecto que tendremos que valorar con mucha cautela para no poner en riesgo nuestros sistemas.
  • En cuanto a las recomendaciones que nos proponen son las de esperar (evaluar los riesgos asociados a su uso, entender el impacto sobre el alcance, utilizar los menores privilegios y la segregación de funciones...), pero quizás habría que hacer énfasis en que incluye, cierta orientación para asegurar el hipervisor y las máquinas y el resto de componentes virtuales.
  • Para lo que denomina entornos mixtos (es decir, donde se mezclan componentes virtuales con diferentes requisitos de seguridad), básicamente, la recomendación es segregar. Pero segregar de verdad, entendiendo que no es tan sencillo como en entornos físicamente separados ya que, en algunos casos, por la propia naturaleza de este tipo de sistemas no será factible y nos veremos abocados a que todo este incluido en el alcance.
  • Respecto a la computación en la nube, el resumen sería depende. Depende del tipo de nube, de los servicios que se utilicen, etc. [muy en línea con el documento que elaboramos en el CSA-ES] En general, lo que nos viene a decir es que hay que definir muy bien quién se encarga de qué en relación a la seguridad (ver tabla al comienzo de esta entrada, también muy parecida a la que hicimos para el CSA-ES, por otra parte) y que recaerá sobre el proveedor esencialmente demostrar que se cumple con los requisitos del estándar puesto que el usuario no tendrá visibilidad sobre muchos elementos de la provisión del servicio, siendo prácticamente imposible en algunas modalidades cumplir (nubes públicas, por ejemplo).
En fin, un documento imprescindible dada la profusión de uso de la virtualización en las arquitecturas actuales.

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)