Probablemente una de las preguntas que más se suele escuchar durante los procesos de definición e implantación de controles de PCI DSS en una red es la de si es necesario (u obligatorio) usar segmentación de red (network segmentation) como parte de los requerimientos del estándar.

Antes de continuar, es importante definir el concepto de segmentación de red desde la perspectiva de PCI DSS:

La segmentación de red permite el aislamiento de componentes del sistema que almacenan, procesan o transmiten datos de titulares de tarjetas de pago de aquellos sistemas que no lo hacen.

No obstante, hay que tener en cuenta que la segmentación de red no es un requerimiento de PCI DSS, de tal forma que un entorno puede cumplir con el estándar sin la necesidad de implementar ningún control de segmentación en su red. En este caso, este entorno se catalogaría como una red simple o plana (flat network):

Una red simple o plana (flat network) es aquella red que no implementa ningún control de segmentación de red, de modo que toda la red se encuentra dentro del alcance de la evaluación de PCI DSS.

Con estos conceptos se puede inferir que la segmentación de red es una estrategia que le permite a las organizaciones minimizar el alcance de cumplimiento (scope) de PCI DSS con su consecuente optimización en los costes, tiempo y personal asociados a los procesos de implementación, operación y administración del entorno, así como en las evaluaciones formales de cumplimiento. Igualmente, implementando segmentación de red se minimiza el riesgo de la organización, ya que al consolidar los datos de tarjetas en ubicaciones más controladas y restringidas se reduce su superficie de ataque.

¿Qué controles se pueden implementar para realizar segmentación?

Como se explicó anteriormente, el objetivo de la segmentación es aislar los entornos que gestionan datos de tarjetas de pago del resto de la red de una entidad. Antes de proceder con el despliegue de estos controles de aislamiento a nivel de red, es muy importante que la organización haya analizado en detalle los flujos operativos involucrados con datos de tarjetas y las necesidades organizativas de comunicación entre la red. En este paso, el uso de los diagramas de red y los diagramas de flujos de datos son imprescindibles.

Una vez ya esto está listo, para realizar la segmentacion a nivel de red se pueden emplear diferentes controles físicos o lógicos aplicando el principio del mínimo privilegio, entre los cuales se encuentran:

  • Cortafuegos (firewalls) de red con reglas de filtrado (rulesets) robustos,
  • Enrutadores con listas de control de acceso (Access Control Lists – ACL) robustas,
  • Balanceadores (o equilibradores) de carga con políticas de distribución robustas,
  • Uso de Security Groups (SGNSG) en entornos en cloud,
  • Redes de área local virtual (Virtual LAN – VLAN y PVLAN) lógicas independientes dentro de una misma red física,
  • Aislamiento físico a nivel de hardware (uso de equipos independientes para el entorno PCI DSS),
  • Uso de cortafuegos en redes definidas por software (Software defined networking – SDN),
  • Uso de hipervisores (hypervisors) para virtualización exclusivos para el entorno PCI DSS,
  • Uso de recursos en cloud ubicados en diferentes cuentas (multi-account).

También hay que tener en cuenta que el componente del sistema que implementa la segmentación (cortafuegos, enrutadores, conmutadores, etc.) se encontrará siempre dentro del alcance de cumplimiento, convirtiéndose en la frontera entre los activos en el alcance (scope) y fuera del alcance (out-of-scope).

Figura 1. Ejemplo de red interna sin segmentación y con segmentación a nivel de capa de distribución

El uso de cualquiera de estas técnicas puede variar de un entorno a otro en función de la configuración de la red, la topología, las tecnologías utilizadas y otros controles adicionales que se implementen.

¿Cómo implementar controles de segmentación de red de forma adecuada?

Para que un entorno o un componente de sistema se considere separado (aislado) del entorno de datos de tarjetas (y – por lo tanto – fuera del alcance de cumplimiento (out-of-scope)) se debe garantizar que dicho entorno/componente no puede afectar la seguridad del entorno de tarjetas en el caso que llegase a ser comprometido. Para realizar esta verificación, el estándar PCI DSS establece la necesidad de ejecutar una prueba de penetración (penetration test) con la siguiente periodicidad:

  • Cada seis meses para proveedores de servicio (req. 11.3.4.1) y
  • Anualmente, para las demás entidades (req. 11.3.4)
  • Después de cualquier cambio a los controles o métodos de segmentación (para todas las entidades).

Para mayor información, os recomendamos revisar los artículos «La red ideal de PCI DSS» y «El PCI SSC publica una guía para la determinación del alcance y segmentación de red para PCI DSS«.

¿Conocéis otros métodos para implementar segmentación? ¿No estás seguro si la segmentación que estás implementando en tu entorno es correcta? Déjanos tus comentarios aquí o en el foro.

 

Avatar

Autor: David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS y TSP.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.