Com a taxa de vulnerabilidades de segurança dobrando a cada sete anos e saindo de um dos maiores ataques de infraestrutura conhecidos (Hurricane), a segurança moderna a velocidade e custo é não negociável para garantir transações financeiras. Para garantir a segurança dos ambientes do titular do cartão, as instituições financeiras devem entender as orientações sobre tecnologias modernas e controles aplicáveis.
No ultimate do ano passado, o Conselho de Segurança da Indústria de Cartas de Pagamento (PCI SSC) publicou um suplemento de informação Isso pode ajudar empresas e auditores a ter melhor clareza sobre os designs mais novos e em evolução que estão se tornando difundidos nos cenários da indústria e do mundo actual para aplicar técnicas de escopo e segmentação do PCI DSS em uma variedade de arquiteturas de rede modernas.
Este suplemento não substituiu os requisitos ou orientações anteriores, mas aumentou as orientações existentes de escopo e segmentação para incluir tecnologias mais recentes. Essas tecnologias incluem serviços em nuvem, modelos de confiança zero e cobertura de ambientes de microsserviço.
Proceed lendo para saber mais sobre o que o PCI SSC informou o suplemento e como as instituições financeiras podem alcançar essas melhores práticas, em escala, velocidade e custo com Cisco Hypershield e Splunk.
As arquiteturas abordadas no suplemento de segmentação e escopo
Os grandes tópicos deste guia são arquiteturas de várias nuvens, arquiteturas de confiança zero, ambientes de dados híbridos do titular do cartão, tecnologias de virtualização de rede (malha híbrida e SDN) e desenvolvimento seguro de software program. Se você planeja implantar essas tecnologias ou as implantar, considere as orientações e incorporar seu risco geral e planejamento de auditoria.
- Ambientes de várias nuvens Apresente desafios exclusivos para o escopo e segmentação do PCI DSS. As organizações que usam vários provedores de serviços em nuvem (CSPs) devem estabelecer controles de segurança consistentes em ambientes díspares, cada um com seus próprios mecanismos de implementação. O documento aborda como os controles de segmentação precisam funcionar nesses limites e como o teste de penetração deve verificar sua eficácia.
- Zero Belief Structure Os modelos se concentram no controle de acesso granular e na verificação de todas as transações com base na identidade, postura do dispositivo e fatores contextuais, em vez de localização da rede. Essa abordagem complementa os princípios de computação em nuvem, mas apresenta suas próprias considerações de implementação para a conformidade com PCI DSS.
- Ambientes de dados híbridos do titular do cartão Muitas organizações mantêm ambientes híbridos em que os dados do titular do cartão atravessam o native e a infraestrutura em nuvem. A orientação aborda os desafios de segmentação exclusivos que esses ambientes estão presentes, incluindo a manutenção de controles consistentes em diversas tecnologias e estabelecendo limites claros de responsabilidade entre a organização e os prestadores de serviços.
- Virtualização de rede Introduz complexidade adicional aos esforços de segmentação. Redes virtuais, redes definidas por software program e redes de sobreposição criam segmentos lógicos que podem não mapear diretamente para a infraestrutura física. O documento fornece orientações sobre a implementação e verificação da segmentação eficaz nesses ambientes virtualizados. Existem novos controles e recursos correspondentes a novas tecnologias, que são discutidas neste documento.
- Implantação segura de software program O documento aborda brevemente como o DevOps pratica se cruzar com o escopo do PCI DSS, destacando a importância de integrar controles de segurança ao longo do ciclo de vida do desenvolvimento de software program.
Digite Cisco Hypershield e Good Swap
Cisco Hypershield foi liberado para os casos de uso exatos discutidos no suplemento de segmentação de segurança do PCI. A mudança para tecnologias mais modernas fez com que as instituições repensassem os controles de segurança.
A Cisco Hypershield é a segurança nativa em nuvem para aplicações modernas. Ele é construído em blocos de construção modernos, como EBPF, aceleração de {hardware} e inteligência synthetic. Ele funciona com o EBPF para fornecer um agente que possa pensar no espaço do usuário e atuar no espaço do kernel. Ele pode ser usado em locais no native e em ambientes em nuvem, para segurança consistente de qualquer núcleo para qualquer nuvem.
Swap Good Cisco aborda um ponto-chave em jornadas de segmentação de knowledge de dados em larga escala e segmentação de colocação-a capacidade de ampliar exponencialmente sua segurança de dados para expansão pública em nuvem e segmentação de várias zonas, sem escala exponencial da sua grade de energia. Tradicionalmente, resolvemos problemas de firewall, dimensionando os firewalls de software program, mas isso é computacionalmente caro e ineficiente. A moeda do reino na colocação é o rack e a potência, e a capacidade de oferecer um firewall L4 de 800g para a segmentação de zona, com a classe de firewall registrando 1 ru, a uma fração do custo, é exatamente o que é necessário para o ambiente multicloud com conexão direta de alta velocidade.
Splunk atende aos requisitos de visibilidade e registro automatizado
A necessidade de log e automação de log é descrita extensivamente no PCI DSS 4.0 e reiterou nas novas orientações. A extração de madeira extensa e a capacidade de aplicar aprendizado de máquina e alarmação automatizada são essenciais para apoiar essas novas tecnologias.
O suplicante de segmentação é explícito: “Implemente o log extenso. Quando uma política de rede nega o tráfego, ela deve ser registrada e revisada.”
Escalar isso para qualquer nível de organização considerável exigirá recursos de automação e IA/ML que são incorporados na plataforma Splunk. Os desafios da observabilidade dos fluxos nos ambientes de malha de serviço e a natureza externa das nuvens públicas facilitam a detecção e alerta em tempo actual uma das mudanças mais significativas nas especificações do PCI DSS 4.0 (e do suplemento correspondente). A importância da visibilidade na segurança não pode ser exagerada. Você é tão seguro e apenas tão compatível quanto está ciente. Você não pode proteger daquilo que não pode detectar, e o Splunk acrescenta a capacidade de detectar.
Em conclusão, é agora que as instituições financeiras abordam as orientações fornecidas pelo PCI SSC para proteger ambientes do titular do cartão no cenário de tecnologia atual. Incentivamos você a continuar a conversa com seu representante de vendas sobre como a Cisco pode ajudar a dimensionar essas melhores práticas para sua instituição financeira em velocidade e custo.
Compartilhar: