Etiquetado: ,

Este debate contiene 3 respuestas, tiene 2 mensajes y lo actualizó David Acosta David Acosta hace 3 meses.

  • Autor
    Publicaciones
  • #50075
    Avatar
    luvelazquez_1410
    Participante

    Buenas tardes, tengo una serie de dudas para definir el alcance en la infraestructura en la nube de amazon. si se tiene toda la infraestructura incluyendo el CDE (la misma esta segmentada por security groups) como quedaría tener el inventario de componentes y que tipo de seguridad debe haber en la conexión entre los administradores y la nube

  • #50078
    David Acosta
    David Acosta
    Participante

    Buenas tardes:

    Bueno, esta es una pregunta corta pero bastante compleja.

    Hace ya algún tiempo publiqué un artículo con detalles acerca del proceso de despliegue de un entorno alineado con PCI DSS en AWS. Lo puedes revisar aquí: Amazon y PCI DSS: Guía práctica para alinear AWS en un entorno de datos de tarjeta de pago.

    Respecto al tema del alcance, hay varias cosas a tener en cuenta:

    • Si el entorno está desplegado bajo una misma cuenta de AWS junto con otros entornos o está en una cuenta independiente y aislada.
    • Si alguno de los componentes del servicio se encuentra compartido con otras redes.
    • Si hay conexión entre el entorno AWS con el entorno on-premises.
    • Si hay alguna conectividad con otros entornos externos.

    Hay que recordar que los SG sirven para cumplir con el requerimiento 1. No obstante, la segmentación y el aislamiento no son requisitos sino que son recomendaciones para minimizar el ámbito. Puedes revisar más información aquí: El PCI SSC publica una guía para la determinación del alcance y segmentación de red para PCI DSS.

    Respecto a los administradores, creo que ya había una pregunta similar en el foro. También, todo depende de cómo se conecte al entorno, si una una VPN, si solamente se conecta empleando SSH o algún otro servicio (Terminal Services, por ejemplo) y desde dónde lo hace. Dependiendo de ello, a esas estaciones de trabajo les aplicarían ciertos controles del estándar.

    Lo siento, pero es que la respuesta a esta pregunta es muy compleja y para darte una respuesta más detallada tendría que tener acceso a los diagramas de red, de flujo e inventarios de activos. Como siempre, mi sugerencia es revisar el tema con tu QSA y que sea él quien te ayude a definir e identificar el entorno.

    Espero que esta información te sea de utilidad.

  • #50103
    Avatar
    luvelazquez_1410
    Participante

    Si es bastante complejo el escenario, la conexion la realizan desde las workstations por VPN, deberia haber algun tipo de seguridad adicional?.
    por otro lado lo del inventario de componentes, entonces, deberían tener en este caso todos los recursos en AWS donde se transmita, almacene y procese datos de tarjeta.

  • #50188
    David Acosta
    David Acosta
    Participante

    Buenas tardes:

    Respecto a la conexión por VPN por parte de las estaciones de los administradores, estas estaciones están totalmente dentro del alcance (The Admin workstation is fully in scope for PCI DSS and all applicable PCI DSS requirements are applied), conforme se indica en el apartado 4.2 «Example 2: CDE Administration Workstation outside of the CDE» del Information Supplement-Guidance for PCI DSS Scoping and Network Segmentation.
    Esto quiere decir que, como mínimo, las estaciones de trabajo de los administradores deben cumplir con los siguientes controles:
    – Personal Firewall (req. 1.4)
    – Hardening (req. 2.2)
    – Antimalware (req. 5)
    – Actualizaciones de seguridad (req. 6.2)
    – Autenticación multifactor (req. 8.3)
    Otros controles pueden ser aplicables, pero esto debe valorarlo directamente el QSA en función del tipo de conexión y accesos que tenga dicho administrador a la red.
    Por otro lado, en la guía de segmentación del PCI SSC también se hace referencia a una estación de salto (jump server) o host bastión, para permitir las conexiones remotas al entorno. Sería importante que analizaras este tipo de topología.

    Respecto al inventario, conforme se indica en el req. 2.4 se debe mantener un inventario de los activos en el alcance de cumplimiento de PCI DSS («Maintain an inventory of system components that are in scope for PCI DSS»). Lo importante es que cuando se habla de «alcance de cumplimiento» («scope») se hace referencia no solamente a los activos que procesan, almacenan y/o transmiten datos de tarjeta (denominado «Cardholder Data Environment» (CDE)), sino también a aquellos que estén conectados a este entorno o que puedan impactar su seguridad:

    Esto se puede hacer manualmente (empleando una «Cardholder Data Matrix«), a través de la propia consola de AWS o empleando herramientas externas (como Qualys CloudView, que es una solución gratuita).

    Espero que esta información te sirva.

Debes estar registrado para responder a este debate.