Con la tasa de vulnerabilidades de seguridad que se duplican cada siete años y salen de uno de los ataques de infraestructura más grandes conocidos (tifón de sal), la seguridad moderna a velocidad y costo no es negociable para asegurar las transacciones financieras. Para garantizar la seguridad de los entornos de titulares de tarjetas, las instituciones financieras deben comprender la guía sobre tecnologías modernas y controles aplicables.
A fines del año pasado, el Consejo de Seguridad de Estándares de la Industria de Tarjetas de pago (PCI SSC) Publicado un suplemento de información Eso puede ayudar a las empresas y los auditores a tener una mejor claridad sobre los diseños más nuevos y en evolución que se están generalizando en la industria y en los escenarios del mundo actual para aplicar técnicas de alcance y segmentación de PCI DSS en una variedad de arquitecturas de redes modernas.
Este suplemento no reemplazó los requisitos o la orientación anteriores, sino que aumentó la guía de alcance y segmentación existente para incluir tecnologías más nuevas. Estas tecnologías incluyen servicios en la nube, modelos de confianza cero y cobertura de entornos de microservicio.
Siga leyendo para obtener más información sobre lo que cubre el suplemento informativo de PCI SSC y cómo las instituciones financieras pueden lograr estas mejores prácticas, a escala, velocidad y costo con Cisco Hypershield y Flojo.
Las arquitecturas cubiertas en el suplemento de segmentación y alcance
Los grandes temas en esta guía son las arquitecturas de múltiples nubes, las arquitecturas de confianza cero, los entornos de datos de titulares de tarjetas híbridos, las tecnologías de virtualización de redes (malla híbrida y SDN) y el desarrollo de software program seguro. Si planea implementar estas tecnologías, o las ha implementado, debe considerar la orientación e incorporar a su planificación basic de riesgos y auditorías.
- Entornos de múltiples nubes Presente desafíos únicos para el alcance y la segmentación de PCI DSS. Las organizaciones que utilizan múltiples proveedores de servicios en la nube (CSP) deben establecer controles de seguridad consistentes en entornos dispares, cada uno con sus propios mecanismos de implementación. El documento aborda cómo los controles de segmentación deben funcionar a través de estos límites y cómo las pruebas de penetración deben verificar su efectividad.
- Arquitectura de confianza cero Los modelos se centran en el management de acceso granular y la verificación de cada transacción basada en la identidad, la postura del dispositivo y los factores contextuales en lugar de la ubicación de la crimson. Este enfoque complementa los principios de computación en la nube, pero introduce sus propias consideraciones de implementación para el cumplimiento de PCI DSS.
- Entornos de datos de titulares de tarjetas híbridas Muchas organizaciones mantienen entornos híbridos donde los datos de los titulares de tarjetas atraviesan tanto la infraestructura en las instalaciones como en la nube. La orientación aborda los desafíos de segmentación únicos que presentan estos entornos, incluido el mantenimiento de controles consistentes entre diversas tecnologías y establecer límites claros de responsabilidad entre la organización y los proveedores de servicios.
- Virtualización de crimson Introduce una complejidad adicional para los esfuerzos de segmentación. Las redes virtuales, las redes definidas por software program y las redes superpuestos crean segmentos lógicos que pueden no asignar directamente a la infraestructura física. El documento proporciona orientación sobre la implementación y verificación de la segmentación efectiva en estos entornos virtualizados. Hay nuevos controles y capacidades correspondientes a nuevas tecnologías, que se discuten en este documento.
- Despliegue de software program seguro El documento aborda brevemente cómo las prácticas de DevOps se cruzan con el alcance de PCI DSS, destacando la importancia de integrar los controles de seguridad en todo el ciclo de vida del desarrollo de software program.
Ingrese a Cisco Hypershield y Good Change
Cisco Hypershield fue lanzado para los casos de uso exactos discutidos en el suplemento de segmentación de seguridad PCI. El cambio a tecnologías más modernas ha provocado que las instituciones repensen los controles de seguridad.
Cisco Hypershield es seguridad nativa de la nube para aplicaciones modernas. Se basa en bloques de construcción modernos, como EBPF, aceleración de {hardware} e inteligencia synthetic. Funciona con EBPF para proporcionar un agente que pueda pensar en el espacio del usuario y actuar en el espacio del núcleo. Se puede utilizar en entornos locales y en la nube, para una seguridad constante de cualquier núcleo a cualquier nube.
Cisco Good Change Aborda un punto clave en el centro de datos a gran escala y los viajes de segmentación de colocación: la capacidad de ampliar exponencialmente su seguridad de datos para la expansión de la nube pública y la segmentación de la zona múltiple, sin escala exponencial de su crimson eléctrica. Tradicionalmente, resolvimos problemas de firewall ampliando software program cambiados de firewalls, pero esto es computacionalmente costoso e ineficiente. La moneda del reino en la colocación es el estante y la potencia, y la capacidad de ofrecer un firewall L4 estado de 800 g para la segmentación de zona, con la clase de firewall registrando 1 Ru, a una fracción del costo, es exactamente lo que se necesita para el entorno multicloud con conectaciones directas de alta velocidad.
Splunk cumple con los requisitos de registro automatizados y visibilidad
Se describe la necesidad de registro y automatización de registro extensamente en PCI DSS 4.0 y reiterado en la nueva guía. El registro extenso y la capacidad de aplicar el aprendizaje automático y la alarma automatizada son fundamentales para respaldar estas nuevas tecnologías.
El suplicante de segmentación es explícito: “Implemente un registro extenso. Cuando una política de crimson niega el tráfico, debe registrarse y revisarse”.
La escalada de esto a cualquier nivel de organización appreciable exigirá la automatización y las capacidades AI/ML que están integradas en la plataforma Splunk. Los desafíos de la observabilidad de los flujos en los entornos de malla de servicio y la naturaleza externa de las nubes públicas hacen que la capacidad de detectar y alertar en tiempo actual sea uno de los cambios más significativos en la especificación PCI DSS 4.0 (y el suplemento correspondiente). La importancia de la visibilidad en la seguridad no puede ser exagerada. Usted es tan seguro y solo tan appropriate como sabrán. No puede proteger de lo que no puede detectar, y Splunk agrega la capacidad de detectar.
En conclusión, ahora es el momento para que las instituciones financieras aborden la guía proporcionada por PCI SSC para asegurar entornos de titulares de tarjetas en el panorama tecnológico precise. Le recomendamos que continúe la conversación con su representante de ventas sobre cómo Cisco puede ayudar a escalar estas mejores prácticas para su institución financiera a velocidad y costo.
Compartir:
