PCI DSS и ГОСТ 57580: все радости финтеха из облака
Привет, Хабр! Недавно мы проводили сертификацию нашего облака (а точнее его части) по стандартам PCI DSS и ГОСТ57580. В этом посте я хочу рассказать о том, что потребовалось сделать для завершения этой сертификации, и зачем нам — облачному провайдеру — проходить сертификацию по указанным стандартам. Быть может вам самим после прочтения поста захочется (или, наоборот, не захочется) подтвердить, что ваши новые ИТ-активы работают согласно требованиям регуляторов.
Навряд ли сегодня стоит еще раз рассказывать о том, чего именно требуют нормативы PCI DSS или ГОСТ 57580. Если кратко, то они диктуют положения по защите инфраструктур (и содержащихся в них данных), когда они имеют отношение к работе финансовых институтов самых разных типов.
В целом, если говорить о безопасности и защите данных, то соблюдение любых требований и лучших практик — это хорошо. Они уже кем-то выверены и помогают сделать систему более защищенной, стабильной и доступной. И любой провайдер услуг ЦОДа (как облачных, так и Collocation) стремиться и так обезопасить предоставляемые сервисы от различных угроз, иначе придется платить по счетам согласно условиям SLA. Так что же стоит облачному провайдеру сертифицировать свои сети, а также SaaS- и IaaS-платформы по банковским стандартам?
Готовимся к сертификации
Надо сказать, что мы оптимистично подходили к процессу, потому что у нас уже установлены и локальные системы фильтрации трафика, и модули защиты на уровне систем виртуализации. В машинном зале уже есть решения для контроля доступа и видеонаблюдения, чтобы кто попало не мог подойти к серверу физически, а также развернуты надежные средства вентиляции, кондиционирования и пожаротушения. Сильно помогло то, что сертифицируемая область облака Oxygen уже была аттестована по требованиям Приказов ФСТЭК №17 и 21, для нее были реализованы технические и организационные меры защиты.
Строго говоря, от нас требовалось обеспечить безопасность на физическом уровне — то есть оградить серверы от возможного вмешательства, обеспечить защиту сегментов управления инфраструктурой от угроз на сетевом уровне и слое виртуализации, поскольку мы предоставляем именно виртуальные машины. Впрочем, как у облачного провайдера уровня Tier 3, все это уже было продумано и проработано.
Тем не менее, сертификацию мы проходили в два этапа. Первым был аудит, который помог оценить, что еще нам нужно «подкрутить», чтобы облако Oxygen стало соответствовать строгим требованиям регуляторов. И, знаете, таких пунктов набралось немало. Часть из них, конечно, относилась к подготовке документации, которую будут изучать аудиторы. Но были и некоторые интересные моменты:
Срок хранения журналов — по требованиям необходимо обеспечить 5 лет хранения. Мы раньше хранили только 3, потому что обычно так долго не требуется.
Безопасность виртуализации — по требованиям ГОСТ 57580 необходимо обеспечить двухфакторную аутентификацию администраторов.
Скорректирована парольная политика на целевых системах, увеличена минимальная длина паролей (не менее 15 символов).
К SIEM подключены новые источники для своевременного выявления и реагирования на инциденты ИБ
Важным моментом в прохождении аудита является проведение теста на проникновение. Специалист от аудиторской компании специально искал бреши в системе защиты — как внешние (сеть Интернет) так и внутренние. Мы не выставляли каких-либо ограничений в выборе средств и методов, и это максимально приблизило условия к реальным, напоминающим действия злоумышленников. Затем мы получили результаты проверки. Внешнее тестирование не выявило каких-либо серьезных уязвимостей на периметре сети. Проверка показала, что выстроенная система защиты информации защищаемого объекта успешно прошла тест. Одновременно мы проверили и нашу систему мониторинга ИБ, нашли, что можно усовершенствовать.
В результате мы устранили все эти мелкие недочеты и успешно прошли сертификацию на предмет соответствия требованиям PCI DSS и ГОСТ57580. И теперь можем делать все что угодно… хоть предоставлять финансовые услуги!
Так зачем нам это нужно?
Нет, конечно, мы не надумали запускать свой банкинг как Wildberries, и даже не планируем открывать криптовалютную биржу. Oxygen остается специализированным облачным MSP, и это никак не меняется. Но зато теперь мы можем удовлетворить требования наших клиентов, в числе которых — финансовые организации и страховые компании.
Коллеги уже говорили в своих постах о том, что сегодня компаниям как никогда ранее невыгодно вкладывать средства в собственную инфраструктуру, потому что процесс закупок стал сложным и непредсказуемым. А расширение машинных залов и введение в строй новых ЦОДов оказывается еще более сложной задачей, потому что все эти кондиционеры, шкафы, сетевые элементы и остальное тоже стало сложно закупать.
Тем временем, финансовые организации активно развивают свои сервисы, борются за клиентов (Кстати, вы знали, что далеко не в каждой развитой стране можно вот так как у нас просто перевести деньги по номеру телефона клиенту любого банка?). А для запуска новых сервисов нужны новые мощности. В общем стандартная облачная история, которая стара как мир (то есть ей лет 10 уже, наверное). Просто сегодня она стала еще более актуальна. А для запуска сервисов, даже чтобы проверить какую-то концепцию, нужны не просто ресурсы, но сертифицированные ресурсы.
Таким образом, мы сертифицировали специальную зону своего облака для того, чтобы банки, страховые компании, биржи, брокеры, микрофинансовые организации могли просто брать и использовать облако, не отказываясь от работы с финансовыми и персональными данными в своих новых и существующих сервисах.
Дополнительные сервисы
Интересно, что при обсуждении доступа от потенциальных и существующих клиентов из финансовой и околофинансовой сферы, интерес был направлен не только на сертифицированное облако — чтобы запустить там закрытые сервисы в изолированном формате. Напротив, оказалось, что вместе с защищенным IaaS-сервисом востребованы оказались сопутствующие услуги:
Подключение S3 — работа с внешним хранилищем, в том числе с подключением через VPN
Репликация на резервные площадки
Мощный Firewall или VPN
Защита от DDoS
PAM
То есть облачная модель позволяет сегодня сочетать уже готовые дополнительные сервисы с сертифицированной средой работы, что позволяет резидентам облака выполнить все требования регулятора с оплатой по подписке. Конечно, задачи защиты собственно содержимого виртуальных машин остается на стороне заказчика, но зато все остальное оказывается уже готово и защищено как надо.
Что в итоге?
Можно ли сказать, что наше облако стало лучше после прохождения сертификации? Объективно, наверное нет. 5 лет хранения событий, тюнинг настроек безопасности и несколько новых регламентов не изменили кардинально уровень безопасности. То есть мы и до этого работали хорошо.
Однако, выполнив этот небольшой набор улучшений мы создали условия для того, чтобы можно было перенести существующие сервисы из собственной среды финансовой организации или запустить новые сервисы в полном соответствии с требованиями регулятора. А дальше уже можно запускать проекты, направленные на снижение CAPEX, оптимизировать затраты на ИТ и так далее.
Как заключение, я скажу, что многие действительно надежные ЦОДы при небольшой доработке могут быть сертифицированы для соответствия PCI DSS и ГОСТ 57580. Но если дата-центр создается с нуля или не обладает достаточными системами обнаружения, контроля доступа, пожаротушения, резервирования, восстановления и так далее, сертификация может стать действительно сложным процессом, а облако, в котором уже есть эти сервисы, способно предложить более выгодный вариант решения задачи соответствия требованиям регулятора.