PCI DSS合规太难?Akamai有妙招

已于 2024-09-25 02:17:48 修改
阅读量816 收藏 8
点赞数 13
分类专栏: 云计算 文章标签: 容器 云原生 Akamai Linode 安全 云服务 云计算
于 2024-09-25 02:17:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AKAMAI_CHINA/article/details/142503939
版权

​PCI DSS(Payment Card Industry Data Security Standard,支付卡行业数据安全标准)是由PCI安全标准委员会(PCI SSC)制定和管理的一组全球性安全标准,旨在保护持卡人数据免受盗窃和滥用。该标准规定了一系列安全措施和最佳实践,以确保信用卡数据的安全处理、传输和存储,同时减少数据泄露和欺诈风险。支付处理商和处理在线支付的企业(如电子商务零售商)必须遵守这些要求,以保持PCI DSS合规性,避免处罚和补救措施。

为应对威胁环境的变化,2022年3月发布的PCI DSS v4.0版本,包含了若干新的安全要求。可以认为,满足PCI DSS v4.0的所有认证要求,这对企业来说可能是一个重大挑战。

在Akamai看来,微分段(Microsegmentation)技术可将网络分段成较小的部分,以便安全团队可以实施定制的安全策略,限制东西向流量。而有效的微分段可以简化组织达到PCI DSS合规性的流程

时间差不多咯~

2022年3月,PCI DSS v4.0版本发布,该版本包括了几项新的安全要求,主要是为了应对自2018年3.2.1版发布以来,威胁环境所发生的变化。

PCI DSS v3.2.1已于2024年3月31日停用,4.0版将于2025年3月生效。这意味着企业有一年时间来符合新标准的要求,但这对合规和安全团队来说是一项庞大的工作。

在能帮助企业实现PCI合规的众多工具中,微分段因为提供了更广泛、更强大的功能,能够迅速应对几项新的PCI要求而脱颖而出。

微分段到底是什么?

​微分段(Microsegmentation)能将网络(包括工作负载、虚拟机、应用程序和操作系统)分段成更小、更精细的区域。这种安全解决方案比传统防火墙更健壮、更安全。安全团队可以为每个网络区域实施定制的安全策略(包括数据和应用程序访问控制策略),从而限制跨服务器和应用程序的多种东西向流量。

在微分段解决方案的帮助下,企业可以更好地查看网络内潜藏的恶意流量。它可以阻止基于横向移动的攻击,帮助安全团队更快地发现可能代表网络或数据泄露的潜在可疑行为。

客户在合规方面所面临的挑战

满足PCI DSS v4.0的每一项要求,这对企业来说可能是一个重大挑战。特别是,企业可能会遇到以下困难:

  • 辨识和界定持卡人数据环境
  • 隔离和分段PCI环境
  • 应对多种安全控制的需求

辨识和界定持卡人数据环境

PCI DSS流程是详尽、耗时,而且成本高昂的。包含在PCI DSS范围内的应用程序和网络环境可能非常复杂,涉及多个系统,通常甚至会跨越混合云和多云基础架构。正确界定必须符合PCI DSS要求的环境,这需要IT安全和合规团队准确识别持卡人数据环境(CDE)的系统组件。

​然后,IT安全和合规团队还必须证明自己已经完全将PCI DSS环境与范围外的系统隔离开来。如果对CDE缺乏可见性,安全团队就容易出现分段错误,并且可能会将网络环境暴露在安全漏洞中。

隔离和分段PCI环境

对于希望实现PCI DSS合规的企业来说,扁平网络是一个普遍关注的问题。在扁平网络中,持卡人数据环境(CDE)会与非卡片处理环境相连接,这可能导致企业的审计成本增加,因为审计员会将所有内容都视为PCI审计范围的一部分。


应对多种安全控制的需求

​满足PCI DSS标准的每项要求,这需要实施多种独特的安全控制。例如,一个要求规定将网络安全控制放置在CDE与其他应用程序分隔开的位置,而另一个要求监控CDE。这些不同技术通常需要多个供应商,以及独特的支持和维护流程。

Akamai Guardicore Segmentation:使用微分段实现PCI DSS合规

凭借强大的网络分段解决方案,企业可以大幅减少在PCI DSS合规工作上花费的时间和成本。

Akamai Guardicore Segmentation可以帮助IT和合规管理人员向审计员展示自己在下列方面的能力:

  • 通过实时可见性地图界定PCI环境的范围
  • 使用全面的微分段将PCI环境与更大的网络隔离开来
  • 通过一个工具解决所有要求,减轻合规和审计负担

使用实时网络地图更好地界定PCI DSS环境

Akamai Guardicore Segmentation的相互依赖性地图(interdependency map)可以帮助企业IT和合规管理人员识别CDE和范围外的系统,提供更广阔的可见性,从而更准确地界定整个环境。图1展示了在微分段后,Akamai Guardicore Segmentation通过地图呈现的一家企业的网络。

图1:Akamai Guardicore Segmentation网络分段地图

通过有效的分段将PCI DSS环境与网络隔离开来

Akamai Guardicore Segmentation可以分段企业的整个网络(包括存储敏感数据的数据中心和混合云)。通过这种统一的微分段解决方案,安全策略将与网络基础设施分离,可以随着工作负载在不同环境中灵活移动,而无需更改或重新配置网络。图2展示了如何从Akamai Guardicore Segmentation门户获取自动化策略建议和相应的地图。

图2:Akamai Guardicore Segmentation自动建议的规则

通过一个工具减轻合规和审计负担

Akamai Guardicore Segmentation使IT和合规管理人员能够通过一个工具解决许多PCI DSS要求,而并非必须使用多个单独解决方案。这样,企业就可以极大地节约时间和成本,同时使自己实现PCI DSS合规要求。

随着越来越多企业走向海外,合规问题变得愈加重要,PCI DSS合规也是诸多要求之一。Akamai Guardicore Segmentation使IT和合规性管理人员能够通过一个工具解决多种PCI DSS要求,从而减轻合规性和审计的负担。

Akamai中国
关注
专栏目录
博客
成本翻倍!媒体上云可能并不像看起来那么美
10-16 166
最近,Akamai委托Forrester开展了一项针对媒体和娱乐(M&E)行业云计算应用趋势的全球调研。本文我们会重点介绍其中的一些主要结论,并阐述这些结论吸引我们注意的原因。
博客
应用商店上新:MainConcept Transcoder和Live Streaming Software App
10-14 793
在Akamai云计算平台上运行工作负载的你也许还不知道,为了帮助用户更容易地找到并快速部署各类解决方案,Akamai提供了一个丰富的应用商店(Marketplace),其中包含各类经过验证,可以在Akamai云计算平台上轻松部署并顺利运行的应用程序。
博客
使用HashiCorp Nomad Cluster App管理高可用集群
10-09 805
容器化和Kubernetes如今已成为创建可扩展云原生应用程序的基本要素。但并非每个应用程序工作负载都需要容器或Kubernetes资源。HashiCorp Nomad是一个轻量级的工作负载调度程序,提供了与Kubernetes相似的优势,但不仅可以管理容器,还能管理其他很多东西。Akamai与HashiCorp合作,通过Akamai云计算服务为用户提供了快速、简洁、流畅的高可用集群部署服务。Nomad既可以作为Kubernetes的替代品,也可以作为其补充。
博客
全球55%的开发者都在用的分布式云到底怎么样?
09-30 715
各种云计算平台和丰富的云服务发展到现在已经很成熟了,全世界范围内被绝大部分企业所接受。然而今天,Akamai想要跟大家讨论一个不太一样的话题:分布式云计算。简单来说,分布式云计算是指将云资源和服务分散到离数据源或用户更近的地方,同时仍接受集中的统一管理。云计算提供商不能因为自己的数据中心遍布全球各地就简单粗暴地宣称自己是“分布式”的。真正的分布式云,必须拥有一个分布式的计算区域网络,从而让云的处理运算能力更接近最终用户和开发者。
博客
一文带你看懂并优化AI应用的架构设计
09-23 892
AI技术现在很火,各大公司都开始朝着这个领域发力。他们不仅创建出很多出色成果,还通过一系列技术、工具和服务,帮助普通开发者也能轻而易举地开发出新颖的AI应用。本文将告诉大家如何在Akamai云计算平台上优化一个基于Qwik和OpenAI服务的Web项目。
博客
更广、更全、更强,Akamai准备从这几方面为用户持续赋能
09-18 895
本文作者:Tom Leighton博士。他于1998年以共同创始人的身份创立了Akamai Technologies并担任Akamai首席科学家,直至2013年出任首席执行官。在Leighton博士的领导下,Akamai已从最初的(CDN)平台发展成为值得信赖的云分发和网络安全平台之一,许多优秀品牌和企业都在这个平台上构建和保护其数字体验。一年前,我们推出了涵盖云计算、安全和内容分发等功能的大规模分布式平台Akamai Connected Cloud。
博客
在任何云上运行:云的可移植性你考虑过吗?
09-16 561
​云可移植性是构建可扩展、有弹性、云原生应用程序的一种策略。谈到云原生,通常也会暗含地考虑到云的可移植性。云原生是一种应用程序开发和部署架构方法,可最大限度利用云计算资源的弹性和敏捷性。然而,当团队开始使用单一云平台,并围绕这个平台的供应商所提供的专用工具和托管服务进行构建时,很快就会面临供应商锁定的局面。可移植的工作负载能在不同计算环境和基础设施平台上轻松迁移、部署和管理。借此,企业能够避免被供应商锁定,并保持云战略的灵活性。
博客
启动配置管理一步搞定!体验元数据服务公测版,获得新一代配置管理体验
09-11 366
以前,用户会依赖 StackScripts或修改后的 bash 脚本,这些脚本在新配置的计算实例启动时执行。Cloud-init 提供了一个用 YAML 编写的简化配置文件,该文件受到所有主要云提供商的普遍支持,并且可以配置详细信息,包括主机名、区域设置、SSH 密钥生成和临时挂载点。近期Akamai已经开始通过公开测试版的方式为用户提供元数据服务,目前该测试版可以在特定区域使用,并且提供了由行业标准 cloud-init提供的支持,帮助用户实现云实例的免安装以及便捷的首次启动配置管理。
博客
如何通过Autoscaler实现Kubernetes的伸缩?
09-09 970
KEDA cron自动伸缩器可以让我们定义一个时间范围,在此范围内缩放工作负载。这有助于在流量高峰之前扩展Pod,从而提前触发Cluster Autoscaler。本文介绍了Cluster Autoscaler的工作原理、水平扩展和向集群添加节点需要的时间,以及如何使用KEDA根据Cron表达式扩展应用程序。
博客
报告下载丨以开发者为中心,重塑企业云服务
09-04 493
面向 IT 基础设施升级新趋势,Akamai Linode 正是一款出众的分布式云服务,在虚拟机计算效能、容器编排、存储功能、数据库扩展以及便捷易用的高级编程工具等方面,都能够支持企业以更具成本优势的方式布局全球数字基建,让开发者拥有一处得心应手、沉浸编程的创新环境。相比于超大规模云,分布式边缘云同样具有全球服务范围,可凭借自身的灵活性、易用性,高效扩展客户应用程序环境、加速 API 先行的软件开发、加强 PaaS 和第三方插件的集成力度,以及支持 Kubernetes 等现代部署平台的应用。
博客
拥抱分布式云:云基础设施的下个新时代
09-02 1020
在技术不断发展的过程中,云计算早已成为一股变革力量,使企业能够以前所未有的速度进行扩展、创新和适应。虽然世界仍然需要大规模集中式数据中心所产生的强大计算能力,但“提供更好体验”这个需求正在将云计算进一步地推向边缘。​这种需求需要一种不同的云模式:一种、云原生多于平台限制的云模式;一种为下一个年代而非上一个年代构建的云。这就是分布式云。分布式云到底是什么意思,相比传统的云有什么不同和独特价值?
博客
分布式云扩展 AI 边缘算力,助力用户智能化创新
08-28 1158
近期,AI 创新圈再次发布重磅产品更新。OpenAI 全新旗舰版多模态模型 GPT-4o 横空出世,其打通文本、图像、视频的富媒体理解能力以及敏捷的智能化对话,将 AI 助手的人性化表达效果,提升至更高水平。​从技术源头来看,AI 大模型的卓越表现,得益于高效的 AI 训练与推理的过程,这正需要有规模化的云计算作为算力支撑。“云+AI”两者之间才能如鱼得水、相辅相成。
博客
揭示灵活分布式云平台的速效降本之道
08-26 514
对于像许多商业公司一样的全球企业来说,有必要在全球多个国家和地区运行工作负载。分散这些工作负载不仅可以提高性能,还可以满足越来越严格的数据驻留和管控法规要求。Akamai委托Forrester进行的研究显示,商业专业人士几乎一致认为:转向分布式云计算平台是构建和部署云原生应用程序的正确解决方案。这一举措有助于推动竞争优势,提高客户体验,并提升底线。
博客
跟我一起做:借助VPC打造专属的迷你Internet
08-21 1003
希望本文能让大家了解到VPC是什么,有什么用,以及何时应该考虑使用。这就像拥有了自己的小型私有互联网。严格意义上来说,VPC并不是为了替代VLAN或防火墙,但它是现有安全实践很好的补充。
博客
供应链违规,同比增长 68%
08-19 231
面临当下 AIGC 威胁激增趋势,Reality Defender 基于多模型的深度伪造检测平台和 API 能力,可助力企业安全团队,以安全 AI 击败入侵 AI,实时识别欺诈、虚假信息等威胁。目前,缓解方法的有效策略,是在网络适配器未设为桥接模式的虚拟机内运行虚拟专用网,或使用手机 Wi-Fi 连入虚拟专用网。戴尔也发布了数据泄露通告,指出自身门户网站遭入侵,泄露数据包含消费者购买戴尔产品的相关信息,包括用户姓名、订单信息、收件地址等。值得警惕的是,黑客可能以此个人信息发起钓鱼攻击,进行身份盗用和欺诈。
博客
影子 AI 难防,员工输入敏感数据激增156%
08-14 182
从攻防视角来看,Wi-Fi 标准未始终要求 SSID 或服务集标识符的身份验证,致使攻击者可发起中间人攻击,破坏 Wi-Fi 安全环境。鉴于实现 AI 即服务解决方案的租户分离十分困难,AI 即服务提供商面临着该漏洞带来的直接威胁,若 AI 团队在工作站或服务器运行来自不受信任来源的 AI 模型时,也面临着攻击威胁。AI 驱动运营趋势下,员工在工作场景中使用 AI 个人帐户,若未设置与公司帐户同等的安全措施,且处于监管视野之外,企业可能难以及时发现与阻止内部敏感数据泄露。
博客
如何打造爆款游戏?开发由你操刀,运维交由我托管,合作共赢创造更大成功
08-12 1084
Linode提供的云计算服务都有哪里的哪些人在用,又都用来做什么?简而言之:世界各地!各行各业!!丰富多彩!!!今天我们将关注云计算在游戏行业的应用。在这篇文章里,一家名为Rivet的Linode客户将向我们讲述一个创作者互助的故事:来自美国亚利桑那州一个小镇的两位精力充沛、雄心勃勃的小伙子,利用创业计划启动并发展了一个利基游戏平台,借此帮助游戏开发者快速、轻松地将自己的项目带给互联网上的游戏玩家。
博客
跟超大规模云说拜拜,下一个更乖
08-07 622
尽管云产业已经成为数字化时代所必备的底层基础,但随着多元化的业务需求的增多,多云战略、本地部署形成混合环境,云复杂性将随着时间的推移日渐增加,并可能导致成本上升、资源利用效能降低。消除复杂性、提高创新力!Akamai 云计算服务,灵活的开放式架构,简化开发体验!个性化IaaS服务,低至0.005 美元/GB的出站流量费!应对开发实验环境、测试环境以及多云环境等场景需求,能够全面保证数据中心、网络、产品的安全性,开启云备份模式,加强风险防控、隐私保护。
博客
EdgeWorkers 最佳实践丨助力流媒体创新
08-05 309
作为本届挑战赛一等奖获得者,爱奇艺开发团队使用 EdgeWorkers 本着尽可能靠近终端用户的原则,在 HTTPS (DoH) 上部署 Edge DNS,以便保证高品质服务。参赛团队使用 Akamai EdgeWorkers 和 EdgeKV 无服务器计算解决方案,开发的自定义使用案例最终都部署在 Akamai 平台上,取得了边缘创新的规模化效应。爱奇艺基础架构和智能内容分发事业群(IIG)高级总监秦建华表示:“本次比赛中,我们开发的解决方案,对爱奇艺 DoH 服务有着显著提升作用,并能避免超载压力。
博客
Akamai对象存储大提速:大容量“固态硬盘”隆重登场
07-31 403
全球各行各业的大量客户选择并信赖Akamai(Linode)云计算服务,我们自然也不负重托,通过不断完善的服务来回馈广大客户。为了进一步改善云服务的性能,最近我们正在将NVMe技术集成到对象存储服务中。简单来说,用户已经可以在Akamai云计算平台上选择使用由高速固态硬盘支撑的对象存储服务了!这种增强型的服务可在目前支持创建对象存储桶的所有核心计算区域中使用。凭借NVMe固态硬盘的速度和灵活性,我们还会进一步提高数据访问和检索速度,为用户提供更好的存储服务使用体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值