PCI-DSS-サーバーごとに1つのアプリケーション?
PCI-DSSの2.2.1ポイントを解釈するにはどうすればよいですか? 「アプリケーションサーバー」は「1つの主要機能」ですか、それとも「プログラムxサーバー」、「プログラムyサーバー」などである必要がありますか?
環境内でサーバー側を実行するアプリケーションのコレクションがあります。これらの一部は、カード会員データが存在するアプリケーションと間接的に相互作用しますが、そうでないものもあります。これらのアプリケーションには、さまざまなグループの役割と、それらのアプリケーション内で割り当てられた権限があり、さまざまな部門にサービスを提供しています。
2.2.1異なるセキュリティレベルを必要とする機能が同じサーバーに共存しないようにするには、サーバーごとに1つの主要機能のみを実装します。 (たとえば、Webサーバー、データベースサーバー、DNSは別々のサーバーに実装する必要があります。)
例えば:
強力なセキュリティ対策を講じる必要があるデータベースは、サーバーをWebアプリケーションと共有する危険にさらされます。Webアプリケーションは、開いていて直接インターネットに面している必要があります。一見マイナーな機能にパッチを適用しないと、同じサーバー上の他のより重要な機能(データベースなど)に影響を与える妥協につながる可能性があります。
この要件は、カード会員データ環境(通常、Unix、Linux、またはWindowsベース)内のすべてのサーバーを対象としています。この要件は、単一のサーバー(メインフレームなど)にセキュリティレベルをネイティブに実装できる機能には適用されない場合があります。
したがって、基本的に要件が言っていることは、サーバーごとに1つの主要機能を割り当てる必要があるということです。
あなたが説明したサーバーは、本番ユーザーが利用するいくつかのアプリケーションを実行しているように聞こえます。これは「アプリケーション」サーバーとして分類されます。ただし、そのサーバーには複数のアプリケーションがあり、一部は間接的にCDEにアクセスし、他のアプリケーションはそうでないことも述べました。このサーバーは1つの主要な役割を持つと見なされますが、CDEに影響を与えないアプリケーションの制御が考慮されます。
私の場合は、CDEと対話しないアプリケーションをそのボックスから移動し、可能であれば別のサーバーの別のサーバーに移動します。セグメント化されたネットワークがない場合(実際にそうする必要があります)、すべてがとにかく範囲内にあるため、このアドバイスは重要ではありません。
PCI-DSSコンプライアンスの1つの自明はこれです:
QSAがPSI-DSSに準拠していると言っている場合、あなたはPCI-DSSに準拠しています。
私は、PCI評議会が、少なくとも標準に関しては、非常に明確で標準に準拠するように非常に悪臭を放つという意見を持っています。とはいえ、これは、要件が意図的に多少変更されていないように見える興味深いケースの1つです。
要件からリテラルテキストを取得します。
2.2.1異なるセキュリティレベルを必要とする機能が同じサーバーに共存しないようにするには、サーバーごとに1つの主要機能のみを実装します。 (たとえば、Webサーバー、データベースサーバー、DNSは別々のサーバーに実装する必要があります。)
そこには、primary関数があり、不一致が生じる可能性があります。特定のサーバーの主な目的は、プロセッサのデータベースを格納することであると言えますが、レポートエンジンを二次機能として実行するようにも構成されています。
評議会はまた、「PCIのナビゲートDSS v2.0」と呼ばれる別のドキュメントも作成します。これは、規格自体と同じ場所からダウンロードできます。このドキュメントでは、各要件と試行についてより詳細に説明していますそれらの背後にある意図を説明します。
これは、組織のシステム構成標準と関連プロセスが、異なるセキュリティレベルを必要とする、または同じサーバー上の他の機能にセキュリティ上の弱点をもたらす可能性があるサーバー機能に対処することを保証することを目的としています。
わかりました、いいですね。問題のデータのセキュリティレベルに基づいて分離しようとしていることを示しています。したがって、理論で、カード所有者データを含むデータベースへの直接アクセスを許可するWebアプリケーションがあり、それにアクセスできる唯一の人が最高データの機密性はWebアプリケーションにアクセスできます。コンプライアンスを維持しながら、同じシステムで両方をホストできる場合があります。ただし、カード会員データ自体ではなく、トランザクションに関する統計データを提供するレポートツールがあり、別の人々がそれにアクセスできる場合はどうでしょうか。ええ、あなたはそれを分割したいと思うでしょう。
ただし、QSAを使用して最後に行うことは、毛をより小さなスライバーにスライスすることです。したがって、一般的に保持されている意見は次のとおりです。
上記の情報は、公式のアドバイスとして解釈されることを意図したものでは決してなく、保証、誠実、または十分な朝のコーヒー摂取なしに提供されています。提供されたステートメントは、PCIカウンシル、QSA/ASV、私の雇用主、雇用主、このサイト、その他のサイト、またはこのメッセージを表示しているISPの見解を表すものではありません。
PCIは環境全体ではなく特定のアプリケーションに適用されないため、すべてのアプリケーションを同じシステムの一部と見なしていると言えます。
つまり、アプリケーションサーバーレイヤーは、システムのすべての部分(アプリケーション)に対して、いくつあっても「単一の主要機能」です-それらがすべて適用可能なシステムの一部であり、すべて同時に信頼レベル。
したがって、いくつかの内部アプリケーションがある場合、またはクレジットカードとは関係のない公開Webサイト-それらを別の環境(つまり、サーバー、ネットワークなど)に移動する必要があります。それ以外の場合は、せいぜいPCI要件の範囲内にあります。それ。最悪の場合、この要件は満たされません。
そうは言っても、とにかくQSAに相談する必要があることに注意してください。あなたは彼/彼女がそれをサインオフする必要があるでしょう、そしてあなたの特定の文脈に基づいて解釈の余地がまだあります。
「アプリケーションサーバー」は「1つの主要機能」ですか、それとも「プログラムxサーバー」、「プログラムyサーバー」などである必要がありますか?
これは、XとYのプログラムの関連性と類似性に基づいた解釈です。この種の質問は、QSAが異なり、代替コントロールを探し回っている灰色の領域に向かう傾向があります。
しかし、ルールのintentを見てください。異なる「セキュリティレベル」を別々に保つことを求めています。
したがって、同じ資格情報を使用してすべてが(独自のコントロールを持つ別のサーバー上の)同じWebサービスまたはデータベースと通信する多数のアプリケーションがある場合、それらを1つの機能と見なすことは理にかなっています。攻撃者がプログラムXを危険にさらし、同じサーバー上にあるプログラムYを危険にさらした場合、プログラムXを危険にさらすことで、彼らがまだ持っていなかったものを手に入れますか?
これらのアプリケーションには、さまざまなグループの役割と、それらのアプリケーション内で割り当てられた権限があり、さまざまな部門にサービスを提供しています。
これにより、サーバー上で実際に異なる機能と異なるセキュリティレベルを使用しているように聞こえます。
これらの一部は、カード会員データが存在するアプリケーションと間接的に相互作用しますが、そうでないものもあります。
間接的な相互作用の性質は何ですか?対話がCDEにないゲートウェイ(効果的な制御点として機能するもの)を経由する場合、サーバーをPCIスコープから完全に除外できます。
サーバーをスコープ内に配置することを避けられない場合は、CDEと対話する必要のないアプリケーションをサーバーに移動して、スコープ内にない別のサーバーに移動することを強くお勧めします。