[Cloud, Security] PCI Compliance on Oracle Cloud Infrastructure is EASY!

原文はこちら。
https://blogs.oracle.com/cloud-infrastructure/pci-compliance-on-oracle-cloud-infrastructure-is-easy

Oracle Cloud InfrastructureサービスにはPCI DSS Attestation of Compliance(準拠証明)があります。対象範囲はBlock Volumes、Object Storage、Archive Storage、File Storage、Data Transfer Service、Database、Exadata、Container Engine for Kubernetes、Container Registry、FastConnect、そしてGovernanceです。このエントリでは、Oracle Cloud Infrastructureの顧客がOracle IaaS上で実行するワークロードに対してPCIコンプライアンスを達成するのに役立つガイドラインを説明します。

Background

PCIコンプライアンスを達成するためのガイドラインは、クラウドセキュリティの連続体の共有責任スペクトラムに基づいています。下図は、クラウドセキュリティとクラウドのセキュリティの責任の分離を示しています。

お客様は、Oracle Cloud Infrastructureでのワークロードの保護に対する責任があります。場合によっては、Oracleが提供するサービスを構成する必要があります。この責任は共有対象、つまりOracleはサービス基盤を維持し、お客様はそのサービスを使用し、セキュリティおよびコンプライアンスの要件に従って管理・制御を設定します。Information System Security Certification Consortium [ (ISC)2] による以下の図では、IaaS、PaaS、およびSaaSに関する責任分野を明確にしています。

当社は、お客様のセキュリティおよびコンプライアンスの要件を満たすソリューションを開発するために、Oracleの7 Pillars of Trusted Secure Enterprise Platformに従っています。
Oracle IaaS and PaaS Security and Compliance
https://cloud.oracle.com/en_US/iaas-paas-compliance
これについては、Security Solutions Architectureの次回のエントリで詳説しますが、今回はOracle Cloud Infrastructure上のPCIに焦点を当てます。

Recommended High-Level Solutions for PCI Compliance on Oracle Cloud Infrastructure

PCI Security Standards Council (R) の最新のRequirements and Security Assessment Procedures version 3.2.1 (May 2018)に従います。
Requirements and Security Assessment Procedures
https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf?agreement=true&time=1533259034559
文書ごとに、6つのセクションにわたって12の詳細な要件があります。
  1. Build and Maintain a Secure Network and System
  2. Protect Cardholder Data
  3. Maintain a Vulnerability Management Program
  4. Implement Strong Access Control Measures
  5. Regularly Monitor and Test Networks
  6. Maintain an Information Security Policy
Oracleのような共有ホスティングプロバイダには追加の要件がありますが、我々はすでに準拠証明を通して要件を満たしています。

それでは詳細に入っていきましょう。

Section 1: Build and Maintain a Secure Network and System

Requirement 1
Install and maintain a firewall configuration to protect cardholder data.(カード会員データを保護するためのファイアウォールをインストール、構成して設定を維持する)

Solution:
Oracle Cloud Infrastructureのセキュリティ・リスト(Oracle Cloud Infrastructureの管理下のサブネット固有のファイアウォール・ルール)を使用する。
Security Lists
https://docs.cloud.oracle.com/iaas/Content/Network/Concepts/securitylists.htm?tocpath=Services|Networking|Access%20and%20Security|_____3
さらに、MarketplaceからFortinetまたはCheckpointのファイアウォール・イメージをダウンロードし、Oracle Cloud Infrastructureでファイアウォール・アプライアンスをプロビジョニングする。
Fortinet FortiGate-VM Next-Generation Firewall (NGFW) v5.6/v6.0 for OCI
https://cloudmarketplace.oracle.com/marketplace/en_US/listing/42416321
Check Point CloudGuard IaaS Security Gateway
https://cloudmarketplace.oracle.com/marketplace/en_US/listing/37604515
Requirement 2
Do not use vendor-supplied defaults for system passwords and other security parameters.(ベンダー提供のデフォルトをシステムパスワードやその他のセキュリティパラメータとして利用しない)

Solution
PCIドキュメントのガイダンスを確認する。Oracle Cloud Infrastructureでのユーザー資格証明の管理方法に関する詳細なドキュメントも用意している。
User Credentials
https://docs.cloud.oracle.com/iaas/Content/Identity/Concepts/usercredentials.htm

Section 2: Protect Cardholder Data

Requirement 3
Protect stored cardholder data.(格納しているカード会員データの保護)

Solution
これは保存データの保護を対象としている。デフォルトでは、Oracle Cloud InfrastructureのBlock StorageおよびObject Storageは暗号化されている。さらに、将来登場する予定のKMS、または任意のサポート対象のHSM、Oracle Wallet、Oracle Key Vault、およびサードパーティのVault製品では、キーと秘密の管理で無類の柔軟性を提供する。データセキュリティについては、Transparent Data Encryption (TDE、透過データ暗号化)と列レベルの暗号化を提供している。


Requirement 4
Encrypt transmission of cardholder data across open, public networks.(オープンかつパブリックなネットワーク間でカード会員データの送信を暗号化)

Solution
すべての制御および管理プレーンの通信は、PCI DSS準拠証明に必要なTLSで保護されている。また、(SSLではなく)TLSを使用し、必要に応じてロードバランサでアプリケーションの前さばきをすることを推奨する。
Overview of Load Balancing
https://docs.cloud.oracle.com/iaas/Content/Balance/Concepts/balanceoverview.htm?tocpath=Services%7CLoad%20Balancing%7C_____0
FastConnectと共にSSHとIPSec VPNの使用を強く推奨する。

Section 3: Maintain a Vulnerability Management Program

Requirement 5
Protect all systems against malware and regularly update antivirus software or programs.(マルウェアから全てのシステムを保護し、定期的にウイルス対策ソフトウェアやプログラムを更新)

Solution
Dyn Malware Protectionサービスを使用して、Oracle Cloud Infrastructure上で動作するWebアプリケーションに感染する前に、論理ネットワークのEdgeでマルウェアをブロックする。
Malware Protection to Block Malicious Malware
https://dyn.com/malware-protection/
また、ウイルス対策ソフトウェアがOSレベルでデプロイされていることを確認する。


Requirement 6
Develop and maintain secure systems and applications.(セキュアなシステムやアプリケーションの開発・維持)

Solution
我々はセキュアなシステムを開発し、維持するための多くの推奨事項を有している。パッチ管理ポリシーを策定し、この目的のためにマネージドクラウドサービスプロバイダを使用する。マネージドクラウドサービスプロバイダをお探しの場合、多くのOracle Cloud Infrastructure MSPパートナーとならんで、Oracle Managed Cloud Servicesもその選択肢の一つである。
Oracle Advanced Customer Services
https://www.oracle.com/support/advanced-customer-services/index.html

Section 4: Implement Strong Access Control Measures

Requirement 7
Restrict access to cardholder data by business need-to-know.(ビジネスニーズによるカード会員データへのアクセス制限)

Requirement 8
Identify and authenticate access to system components.(システムコンポーネントへのアクセスを識別、認証する)

Solution
IAMアクセス制御(コンパートメントとポリシー)に関するドキュメントを確認する。
Overview of IAM
https://docs.cloud.oracle.com/iaas/Content/Identity/Concepts/overview.htm?tocpath=Services%7CIAM%7C_____0
さらに、Oracle CASBおよびOracle IDCSを使用して、アクセス・ポリシーに関するさらなるセキュリティ制御を行うことを推奨する。
Oracle CASB: Cloud Access Security Broker
https://cloud.oracle.com/ja_JP/casb
Identity Cloud Service
https://www.oracle.com/cloud/paas/identity-cloud-service.html
Oracle Container Engine for Kubernetesの場合、IAMに加えてKubernetes Role Based Access Controlを使用する。
Container Engine for Kubernetes
https://cloud.oracle.com/containers/kubernetes-engine
About Access Control and Container Engine for Kubernetes
https://docs.cloud.oracle.com/iaas/Content/ContEng/Concepts/contengaboutaccesscontrol.htm
Oracle Cloud InfrastructureでのKubernetesセキュリティに関して将来エントリを記載する予定です。

Requirement 9
Restrict physical access to cardholder data.(カード会員データへの物理的なアクセス制限)

Solution
これは、アベイラビリティ・ドメインやリージョン・レベルでのデータセンターの物理的なセキュリティ管理の対象です。物理的なセキュリティ要件に対応するよう、ISO 27001、SOC 1、SOC 2、およびSOC 3の認証を取得済みである。これらの認定は、PCI DSS準拠証明の基礎となるものである。

Section 5: Regularly Monitor and Test Networks

Requirement 10
Track and monitor all access to network resources and cardholder data(ネットワークリソースおよびカード会員データへのすべてのアクセスの追跡および監視)

Requirement 11
Regularly test security systems and processes.(セキュリティシステムとプロセスの定期的なテスト実施)

Solution
監視にはOracle CASBおよびOracle Cloud Infrastructure Audit Servicesを使用する。
Overview of Audit
https://docs.cloud.oracle.com/iaas/Content/Audit/Concepts/auditoverview.htm?tocpath=Services%7CAudit%7C_____0
CASBと監査ログを既存のSIEMソリューションと統合し、以下のリンクを参考に、Oracle Cloud Infrastructureベースの環境の定期的な侵入テストを計画・実行する。
Oracle® Cloud Managing and Monitoring Oracle Cloud
Oracle Cloud Security Testing Policy
https://docs.oracle.com/en/cloud/get-started/subscriptions-cloud/mmocs/oracle-cloud-security-testing-policy.html
Penetration and Vulnerability Testing
https://docs.oracle.com/en/cloud/get-started/subscriptions-cloud/mmocs/oracle-cloud-security-testing-policy.html#GUID-7238434F-6541-4FF7-9E79-E90A48631413
多くの遠隔測定および監視機能が登場しており、現在自動化されたOpenVASソリューションを開発中です。

Section 6: Maintain an Information Security Policy

Requirement 12
Maintain a policy that addresses information security for all personnel.(すべての人員の情報セキュリティに対処するポリシーの維持)

Solution
お客様はセキュリティポリシーに対する責任がありますが、Oracleは可能な限りお手伝いします。ほとんどのお客様はすでにセキュリティポリシーをお持ちなので、弊社チームはクラウド(IaaS、PaaS、SaaS)固有の視点でご支援できます。以下のURLはSANS Instituteの業界別のセキュリティポリシーテンプレートの一覧です。
Information Security Policy Templates
https://www.sans.org/security-resources/policies
結論として、これらの手順により、Oracle Cloud Infrastructure上の環境のPCIコンプライアンスが簡単に達成できることを願っています。Oracle Cloudへの移行を容易にするための、クラウドでのセキュリティ、コンプライアンスのためのブログ、ホワイトペーパー、Infrastructure Security as Code(ISaC)などを今後ご用意していきます。.

0 件のコメント:

コメントを投稿