A hálózati szegmentáció a PCI DSS hatókör-csökkentésének egyik legfontosabb eszköze: ha a kártyaadatokat kezelő rendszereket fizikailag vagy logikailag elkülönítik a többi rendszertől, a CDE-be kerülő komponensek száma drámaian csökkenthető.
Miért szükséges a szegmentáció?
A PCI DSS nem írja elő kötelezően a szegmentációt, de ha nincs szegmentáció, a teljes hálózat a CDE-be kerül. Egy nem szegmentált hálózaton minden eszköz (irodai PC-k, nyomtatók, szerverek) a PCI DSS hatókörébe esik. Szegmentációval a CDE a kártyaadat-kezelő rendszerekre szűkíthető, a többi rendszer kimarad az auditból.
Szegmentációs technikák
A leggyakoribb PCI DSS-szegmentációs megközelítések: VLAN (Virtual LAN) – logikai hálózatszeparáció; tűzfal zónák (DMZ, belső zóna, CDE zóna) – forgalom-ellenőrzési kontrollok; mikro-szegmentáció (SDN/NFV alapú) – granulárisan konfigurálható, minden VM-szintű forgalom-ellenőrzés; fizikai szeparáció – külön hálózati infrastruktúra a CDE számára (legbiztonságosabb, de legköltségesebb). Mindegyiknél fontos: a szegmentáció hatékonyságát évente tesztelni kell (penetrációteszt szegmentáció-ellenőrzéssel).
Szegmentáció-tesztelés PCI DSS v4.0-ban
A PCI DSS v4.0 megköveteli a szegmentáció évenkénti tesztelését. A teszt célja annak ellenőrzése, hogy: a CDE-n kívüli rendszerekből nem lehet elérni a CDE-t jogosulatlanul; a szegmentációs kontrollok valóban működnek (nem csak papíron); a tűzfalszabályok és ACL-ek (Access Control Lists) aktuálisak és hatékonyak. A szegmentáció-tesztelést a penetrációteszt során szimulált CDE-n kívüli támadóként kell elvégezni.
Szegmentáció tokenizációval kombinálva
A tokenizáció és a szegmentáció kombinációja a legerősebb CDE-csökkentési stratégia: a tokenizáció eliminálija a PAN-t a kereskedő rendszereiből (a CDE-be kerülő rendszerek száma csökken); a szegmentáció izolálija a maradék CDE-t (pl. fizetési API-szerveres a többi infrastruktúrától). A kettő együtt alkalmazva akár az egész CDE minimalizálható néhány dedikált rendszerre.
CDE minimalizálás tokenizációval és szegmentációval
Segítünk megtervezni az optimális hálózati szegmentációs és tokenizációs architektúrát a PCI DSS hatókör minimalizálásához.
Konzultáljon szakértőnkkel