4. Uma introdução rápida ao PCI
• PCI DSS – Payment Card Industry Data Security Standard
• PCI Council – PCISecurityStandards.org
5. Uma introdução rápida ao PCI
• Fundada pela cinco maiores marcas de cartão
• American Express
• Discover Financial Services
• JCB International
• MasterCard
• Visa
6. Uma introdução rápida ao PCI
• Aplicada ao Primary Account Number – PAN
• Aplicada quando você “armazena, processa ou transmite” PANs
7. Uma introdução rápida ao PCI
Níveis dos Comerciantes
• NÍVEL 1:
• > 6 milhões de transações por ano
• Requer um QSA para validação
• NÍVEL 2:
• 1 a 6 milhões de transações por ano
• Requer um QSA para validação
• NÍVEIS 3 & 4:
• < 1 milhão de transações por ano
• Pode usar uma avaliação via SAQ
Conhecer o seu
nível é
fundamental
para obter a
conformidade
com o PCI
efetivamente
Requisitos v. Validação
SAQ v. QSA
9. Dúvidas Frequentes
• “Há varias maneiras de arquitetar para atender a norma PCI”
“Como eu sei se o meu auditor irá aceitar isto?”
10. Dúvidas Frequentes
Implicações para
conformidade em uma
estratégia “All in” na
nuvem
“Como embuto os
requisitos de
conformidade em projetos
ágeis?”
“Quais fornecedores
preciso envolver neste
processo?”
11. Dúvidas Frequentes
• Arquitetura de referência para conformidade
• Endereçar as melhores práticas da AWS
• Artefatos prontos para serem usados
• Design personalizado e orientação detalhada
12. Dúvidas Frequentes
• Quick Starts
• https://aws.amazon.com/quickstart/
• Orientação geral para casos de uso comuns
• Disponíveis publicamente
13. Dúvidas Frequentes
• Aceleradores de conformidade para Enterprises
• Engajamento do time de Professional Services
• Playbooks de conformidade
• Casos de uso complexos
• Ambientes com controles únicos
15. Implementando controles PCI
Plataforma, Aplicações, Identidade & Controle de Acesso
Configuração do Sistema Operacional, Rede & Firewall
Encriptação do lado do
cliente & Autenticação da
integridade dos dados
Lado do Servidor
(Sistema de arquivos e/ou
dados)
Proteção do tráfego de rede,
Encriptação, Integridade,
Identidade
Dados dos Clientes
Armazena-
mento
Banco de
Dados
Rede
Edge Locations
Regiões
Zonas de Disponibilidade
Computação
Infraestrutura
Global
Responsabilidade do Cliente
Segurança na nuvem
Responsabilidade da AWS
Segurança da nuvem
Modelo de Responsabilidade
Compartilhada
16. Implementando controles PCI
Requirement
AWS
Responsibility
Customer
Responsibility
Req. 1 Install and maintain a firewall configuration to protect cardholder data.
Req. 2 Do not use supplier-supplied defaults for system passwords and other security parameters.
Req. 3 Protect stored cardholder data.
Req. 4 Encrypt transmission of cardholder data across open, public, networks
Req. 5 Use and regularly update anti-virus software or programs.
Req. 6 Develop and maintain secure systems and applications.
Req. 7 Restrict access to cardholder data by business need-to-know.
Req. 8 Assign a unique ID to each person with computer access.
Req. 9 Restrict physical access to cardholder data.
Req. 10 Track and monitor all access to network resources and cardholder data.
Req. 11 Regularly test security systems and processes.
Req. 12 Maintain a policy that addresses information security for employees and contractors.
18. Implementando controles PCI
• Cada aplicação PCI é única
• Paridade e progresso
• Paridade de proteção vs. Paridade de controle
• Progredindo de manual e com etapas para automatizado e contínuo
19. Implementando controles PCI
• Controles precisam ser escolhidos baseados no
risco
• Por exemplo, requisito 6.6 do PCI DSS
SE {aplicação web exposta na internet == Verdadeiro} ENTÃO
Implementar WAF
OU
Realizar um teste web de penetração anualmente
• Notificar a AWS antes de realizar um teste de
penetração
20. Implementando controles PCI
• Fase 1 – Revisão geral do design
• Fase 2 – Recomendações e matriz de
fornecedores
• Fase 3 – Playbook
• Referências prontas para conformidade contínua
22. Padrões de Implementação
• Credenciais das contas da AWS
• Papéis com privilégio elevados
• Baseadas em papéis – sudo
• Autenticação usando múltiplos fatores (MFA)
• Federação
23. Padrões de Implementação
NACL
• Stateless
• Use NACLs como barreiras de alto nível
• Sub redes != Zonas de Segurança
Security Groups
• Stateful
• Modelo em camadas
• Monitorar mudanças
• Procurar por anti-padrões comuns
24. Padrões de Implementação
VPC de Serviços Compartilhados
• Logging e análise de logs
• Identidade e autenticação
• IAM roles e policies
• DNS
• Descoberta de serviços
• Monitoração
25. Padrões de Implementação
Subrede de Serviços Compartilhados
• Console de antivirus
• Console de sistemas de detecção
de intrusão baseados em host
• Console de monitoração de
integridade de arquivos
• Scanners de vulnerabilidade
• Console de WAF
• Ferramentas para deployment
26. Padrões de Implementação
Recursos PCI dedicados
• Maior isolamento
• Menor peso de auditoria
• Políticas IAM mais simples
• Foco nos dados do cartão
• Menor custo com licenciamento
das ferramentas
Recursos PCI compartilhados
• Mais fácil de gerenciar
• Baseline comum
• Controle de acesso padronizado
• Visão geral dos riscos
• Eficiência operacional
27. Padrões de Implementação
Serviços AWS validados para PCI
• Lista atualizada:
https://aws.amazon.com/compliance
/pci-dss-level-1-faqs/
• Cobre a infraestrutura física e
lógica
• Cobre os processos de operação
e gerenciamento envolvidos na
entrega do serviço
• Não cobre casos de uso
específicos
Outros serviços da AWS
• Envolva o seu arquiteto de
soluções da AWS
• Decida sobre o uso de um serviço
considerando o risco
• Verifique com o seu QSA
• Arquitete para minimizar os seus
riscos
29. Padrões de Implementação
• Vá com calma
• Network Time Protocol (NTP)
• Acesso aos bastion hosts e sistemas operacionais (SO)
• Server-side encryption (SSE)
• Intrusion detection System/intrusion prevention System
(IDS/IPS) – baseado em host vs. baseado em rede
30. Padrões de Implementação
• Vá com calma
• Algoritmos criptográficos no Elastic Load Balancing (ELB)
• Política de segurança automatizada
• Múltiplas fontes para trilhas de auditoria
• Inclua os parceiros o quanto antes
32. Próximos passos
• Reveja o quick start para PCI DSS
• http://docs.aws.amazon.com/quickstart/latest/accelerator-pci/welcome.html
• Construa uma arquitetura de referência para a sua empresa
• Continue monitorando o escopo
• Automatize controles bem entendidos
Data security standard
PCI DSS operado pelo PCI Council - Independent standard body
PCI Council tem outras normas, mas vamos focar no DSS
The reason of why pci is import is because of the founders
The reason of why pci is import is because of the founders
Applies to everyone
- Pequenas lojas até grandes cadeias
Numero do cartao do credito – PAN
Senha – PIN
Certificacao com escopo contaminante (entra no escopo)
Tokenizar
Complita refund
A AWS esta vaildada para operar em qualquer um dos niveis
Documentacao suplementar que podem ajudar
Nao se aplicam no caso especifico
Amazon is part of the board
O que os clientes estao dando de feedback para a AWS
Muitos servicos – mais de 90 de servicos
Com este monte de servicos e diversas maneiras de junta-los corretamente
Qual e a forma de usa-los que esteja em conformidade
Como eu mostro as estrategias de mitigacao que estou usando
Como eu mostro para o meu auditor que estou em conformidade
QSA – Qualified security assessor
Alguns clientes optaram por rodar totalmente na AWS
Onde eu guardo as minhas trilhas de auditoria
Uso os mesmos processos ou nao?
Velocidade de deployment, CI , CD, Devops
Tenho expertise em CI/CD, Devops
Como fazer isto com PCI
Meu auditor tem expertise em nuvem para me ajudar?
Fornecedores
Eles conseguem trabalhar com infra que e mutavel ou que escala
Cloudformation template
General guidance nao funciona para todos
– ponto de vendas, processadoras de pagamentos, grandes empresas
As necessidades sao diferentes
A primeira solucao para os casos gerais
Um cloudformation template que voce pode lancar na sua conta
Documentacao adicional para ajudar a mostrar como os reuqisitos de conformidade sao atendidos
Nos temos como preparer um playbook de conformidade
Casos de uso complexo
Clientes que sao parte de um stream de pagamento
O time de professional services pode ajudar a preparar isto
AWS calls it the “AWS Shared Responsibility Model”
You the customer, are responsible for security in the cloud. AWS is responsible for security of the cloud.
AWS is responsible for protecting the global infrastructure for services that run in the cloud… you are responsible for security that you use to protect your content, platform, applications, systems, and network.
It is important for AWS customers to understand the responsibilities.
This presents the shared responsibility model between you and AWS. This shared model can reduce your operational burden as AWS manages operates manages and controls the components from the host operation system and virtualization layer all the way down the physical security of the AWS facilities that host your applications.
In turn, you assume responsibility of the management of the guest operating system including: updates and security patches, other associated application software, as welll as the application of built-in aws security features including: security groups, encryption, and ACLs.
AWS calls it the “AWS Shared Responsibility Model”
You the customer, are responsible for security in the cloud. AWS is responsible for security of the cloud.
AWS is responsible for protecting the global infrastructure for services that run in the cloud… you are responsible for security that you use to protect your content, platform, applications, systems, and network.
It is important for AWS customers to understand the responsibilities.
This presents the shared responsibility model between you and AWS. This shared model can reduce your operational burden as AWS manages operates manages and controls the components from the host operation system and virtualization layer all the way down the physical security of the AWS facilities that host your applications.
In turn, you assume responsibility of the management of the guest operating system including: updates and security patches, other associated application software, as welll as the application of built-in aws security features including: security groups, encryption, and ACLs.
Politica de senha
A norma e igual, mas a forma de atende-la e particular de cada aplicacao
Cada aplicacao trata os dados de cartao de maneira diferente. Umas guardam o numero, outras transmitem, transformando o valor e mandando para outro lugar
Os controles sao diferentes
Nao e necessario replica exatamente os mesmos controles
Preferir controles que podem ser automatizados
Devops
- Validar automaticamente os requisitos
O controle permite escolher a forma de atender baseada na maneira de avaliar os riscos.
Avisar seguranca AWS - Agendar o teste de penetracao
O controle permite escolher a forma de atender baseada na maneira de avaliar os riscos.
Avisar seguranca AWS - Agendar o teste de penetracao
Em um implementacao tradicional
Como o time de consultoria, aborda este tema
Fase 1 –
Como montar VPC
Como monitorar logs
Como controlar as contas
Quantas contas
Interar com o time
Fase 2 –
Identificar parceiros para ajudar a implementar os controles (antivirus)
Fase 3 –
Vou focar nos pontos que chamam a atencao dos auditores
Usuarios nao precisam acessar o ambiente
Segregar coisas importantes
– poder para deletar bucket de log
- Desligar o cloudtrail – seu auditor nao vai gostar se perder 3 meses de trilha de auditoria
- Assume role para funcoes criticas
Federacao – gerenciar novos funcionarios, saida de funcionarios ou troca de area. Evitar ter mecanismos diferentes para isto
Falar de NACLS -desenho
Segmentacao – requisito 0
Subnet e a forma tradicional de lidar com segmentacao – criar uma nova interface no fw, criar uma nova rede e rotear o dado pelo fw
NACLs podem ser usadas como barreiras adicionais – nao devem entrar no detalhes de portas . Em caso de porblema na configuracao do SG o NACL e guard rails
Na amazon temos security groups
3 redes – poderiamos usar 2
2 SG per tier or per instance
1st – para funcionar o servidor (NTP, DNS, logging)
2nd – tier focused – permitir trafego entre as camadas
Automacao
-Monitorar regras como 0.0.0.0/0 e um sinal de que algo esta errado
Quais antipadroes?
VPC de servicos compartilhados e comum em ambientes
NO caso do PCI, uma subrede de servicos facilita
Service discovery??
Shared subnet – especifico para PCI
Voce pode relacionar o que vai na subrede com os controles do PCI
Fica mais facil ter estes consoles proximos aos recusros que ele precisa proteger. Abrir porta para a tarefa
Deployment tools
Ter as ferramentas dentro
Tem acesso privilegiado
Um volume restrito de pessoas pode usar as ferramentas
Homologar somente as necessarias
VPC de servicos compartilhados e comum em ambientes
NO caso do PCI, uma subrede de servicos facilita
Service discovery??
Shared subnet – especifico para PCI
Voce pode relacionar o que vai na subrede com os controles do PCI
Fica mais facil ter estes consoles proximos aos recusros que ele precisa proteger. Abrir porta para a tarefa
Deployment tools
Ter as ferramentas dentro
Tem acesso privilegiado
Um volume restrito de pessoas pode usar as ferramentas
Homologar somente as necessarias
Recursos dedicados
Menos pessoas acessando, mais facil de fazer o assessment
IAM policies mais simples
Recursos compartilhados (permitido, mas nao e o mais indicado)
Se for um unico time
Caveat – ter um baseline para todos os workloads
Se usar o mesmo processo de deployment
O cliente ainda tem que usar os servicos da maneira correta
Se nao for homologado
- Verificar se o uso vale a pena
Falar com o arquiteto
Falar com o QSA para verificar como usa-lo
Falar com o seu qsa sobre usar um servico nao validado
Clientes estao acostumados a usar um servidor interno para fornecer NTP (construidos e operados para atender o PCI)
Se o seu expertise nao for em NTP ou nao quer fazer isto pode usar os enderecos de NTP oferecidos pelo DNS da AWS para o ntp.org
Pode casar com os outros logs gerados pela AWS
Bastion host padrao comum
Minimizar superficie de ataque
Implementar MFA para acessar Sistema Operacional
Adicionais Session recording ou monitoracao de logs adicionais
SSE
Bom controle, facil habilitar, servicos de storage suportam
SSE nao atende os requisitos para encriptacao precisa Complementar com sua solucao de criptografia (CloudHSM, KMS)
IDS/IPS
Nao precisa portar o seu network iPs/ids
Clientes usam host based
Nao e certo quanto tempo demorara para desabilitar os algoritmos inseguros
O que fazer com os algoritmos legados ou aplicacoes legadas
O ELB pode fazer o offload do TLS usando algoritmos seguros e ajudar a voce a atender os requisitos
Tentar criar uma politica com permissao alta. Voce pode suspender o usuario ou ate que uma analise seja feita
ELB, S3, CloudFront tem logs
Tenha um Inventario de logs
SIM - Avaliada diariamente
Parceiros
Construir uma arquitetura que atenda as suas necessidades
Scope creep ocorre com frequencia pois aplicacoes mudam, leem dados diferntes, gravam em lugares diferentes
Tem certeza que nao tera uma surpresa for avaliar. Automatize na sua jornada para PCI
Quickstart
Cloudfromation template
Security control matrix
https://docs.aws.amazon.com/quickstart/latest/accelerator-pci/welcome.html
https://aws.amazon.com/pt/quickstart/architecture/accelerator-pci/