PCI DSS(Payment Card Industry Data Security Standard,支付卡行业数据安全标准)是由PCI安全标准委员会(PCI SSC)制定和管理的一组全球性安全标准,旨在保护持卡人数据免受盗窃和滥用。该标准规定了一系列安全措施和最佳实践,以确保信用卡数据的安全处理、传输和存储,同时减少数据泄露和欺诈风险。支付处理商和处理在线支付的企业(如电子商务零售商)必须遵守这些要求,以保持PCI DSS合规性,避免处罚和补救措施。
为应对威胁环境的变化,2022年3月发布的PCI DSS v4.0版本,包含了若干新的安全要求。可以认为,满足PCI DSS v4.0的所有认证要求,这对企业来说可能是一个重大挑战。
在Akamai看来,微分段(Microsegmentation)技术可将网络分段成较小的部分,以便安全团队可以实施定制的安全策略,限制东西向流量。而有效的微分段可以简化组织达到PCI DSS合规性的流程
时间差不多咯~
2022年3月,PCI DSS v4.0版本发布,该版本包括了几项新的安全要求,主要是为了应对自2018年3.2.1版发布以来,威胁环境所发生的变化。
PCI DSS v3.2.1已于2024年3月31日停用,4.0版将于2025年3月生效。这意味着企业有一年时间来符合新标准的要求,但这对合规和安全团队来说是一项庞大的工作。
在能帮助企业实现PCI合规的众多工具中,微分段因为提供了更广泛、更强大的功能,能够迅速应对几项新的PCI要求而脱颖而出。
微分段到底是什么?
微分段(Microsegmentation)能将网络(包括工作负载、虚拟机、应用程序和操作系统)分段成更小、更精细的区域。这种安全解决方案比传统防火墙更健壮、更安全。安全团队可以为每个网络区域实施定制的安全策略(包括数据和应用程序访问控制策略),从而限制跨服务器和应用程序的多种东西向流量。
在微分段解决方案的帮助下,企业可以更好地查看网络内潜藏的恶意流量。它可以阻止基于横向移动的攻击,帮助安全团队更快地发现可能代表网络或数据泄露的潜在可疑行为。
客户在合规方面所面临的挑战
满足PCI DSS v4.0的每一项要求,这对企业来说可能是一个重大挑战。特别是,企业可能会遇到以下困难:
- 辨识和界定持卡人数据环境
- 隔离和分段PCI环境
- 应对多种安全控制的需求
辨识和界定持卡人数据环境
PCI DSS流程是详尽、耗时,而且成本高昂的。包含在PCI DSS范围内的应用程序和网络环境可能非常复杂,涉及多个系统,通常甚至会跨越混合云和多云基础架构。正确界定必须符合PCI DSS要求的环境,这需要IT安全和合规团队准确识别持卡人数据环境(CDE)的系统组件。
然后,IT安全和合规团队还必须证明自己已经完全将PCI DSS环境与范围外的系统隔离开来。如果对CDE缺乏可见性,安全团队就容易出现分段错误,并且可能会将网络环境暴露在安全漏洞中。
隔离和分段PCI环境
对于希望实现PCI DSS合规的企业来说,扁平网络是一个普遍关注的问题。在扁平网络中,持卡人数据环境(CDE)会与非卡片处理环境相连接,这可能导致企业的审计成本增加,因为审计员会将所有内容都视为PCI审计范围的一部分。
应对多种安全控制的需求
满足PCI DSS标准的每项要求,这需要实施多种独特的安全控制。例如,一个要求规定将网络安全控制放置在CDE与其他应用程序分隔开的位置,而另一个要求监控CDE。这些不同技术通常需要多个供应商,以及独特的支持和维护流程。
Akamai Guardicore Segmentation:使用微分段实现PCI DSS合规
凭借强大的网络分段解决方案,企业可以大幅减少在PCI DSS合规工作上花费的时间和成本。
Akamai Guardicore Segmentation可以帮助IT和合规管理人员向审计员展示自己在下列方面的能力:
- 通过实时可见性地图界定PCI环境的范围
- 使用全面的微分段将PCI环境与更大的网络隔离开来
- 通过一个工具解决所有要求,减轻合规和审计负担
使用实时网络地图更好地界定PCI DSS环境
Akamai Guardicore Segmentation的相互依赖性地图(interdependency map)可以帮助企业IT和合规管理人员识别CDE和范围外的系统,提供更广阔的可见性,从而更准确地界定整个环境。图1展示了在微分段后,Akamai Guardicore Segmentation通过地图呈现的一家企业的网络。
图1:Akamai Guardicore Segmentation网络分段地图
通过有效的分段将PCI DSS环境与网络隔离开来
Akamai Guardicore Segmentation可以分段企业的整个网络(包括存储敏感数据的数据中心和混合云)。通过这种统一的微分段解决方案,安全策略将与网络基础设施分离,可以随着工作负载在不同环境中灵活移动,而无需更改或重新配置网络。图2展示了如何从Akamai Guardicore Segmentation门户获取自动化策略建议和相应的地图。
图2:Akamai Guardicore Segmentation自动建议的规则
通过一个工具减轻合规和审计负担
Akamai Guardicore Segmentation使IT和合规管理人员能够通过一个工具解决许多PCI DSS要求,而并非必须使用多个单独解决方案。这样,企业就可以极大地节约时间和成本,同时使自己实现PCI DSS合规要求。
随着越来越多企业走向海外,合规问题变得愈加重要,PCI DSS合规也是诸多要求之一。Akamai Guardicore Segmentation使IT和合规性管理人员能够通过一个工具解决多种PCI DSS要求,从而减轻合规性和审计的负担。