El
primer requerimiento del estándar (Instalar y mantener una
configuración de firewall para proteger los datos de tarjeta) se
centra en la seguridad perimetral de la red con objeto de que se
instale y se mantenga una infraestructura de firewalls y otros
dispositivos de red que supongan un primer nivel de protección
frente amenazas que provengan del exterior de la red de nuestra
organización.
Analicemos
a continuación las implicaciones que se derivan de implantar cada
uno de los subrequerimientos enunciados por PCI DSS para alcanzar
este objetivo.
1.1
Establezca
normas de configuración para firewall y router que incluyan lo
siguiente:
1.1.1
Un proceso formal para aprobar y probar todos los cambios y las
conexiones de red en la configuración de los firewalls y los
routers.
1.1.2
Requisitos para tener un firewall en cada conexión a Internet y
entre cualquier zona desmilitarizada (DMZ) y la zona de red interna.
1.1.3
Descripción de grupos, roles y responsabilidades para una
administración lógica de los componentes de la red.
1.1.4
Documentación y justificación de negocio para la utilización de
todos los servicios, protocolos y puertos permitidos, incluida la
documentación de funciones de seguridad implementadas en aquellos
protocolos que se consideran inseguros. Entre los servicios,
protocolos o puertos no seguros se incluyen, a modo de ejemplo, FTP,
Telnet, POP3, IMAP y SNMP.
1.1.5
Requisito de la revisión de las normas del firewall y el router, al
menos, cada seis meses.
Los
firewalls y los routers son elementos claves en la arquitectura
defensiva de la red de la organización ya que controlan y gestionan
tanto la entrada como la salida de la misma bloqueando los accesos no
deseados. Es importante disponer de normativas y procedimientos
adecuadamente implementados que describan cómo se deben configurar
los firewalls y los routers por parte del personal responsable.
En
primer lugar, es necesario disponer de un procedimiento documentado
que incluya un proceso formal para probar y aprobar
cualquier cambio en las reglas de los firewalls o los routers con
objeto de prevenir problemas de seguridad derivados de este tipo de
cambios. Es importante señalar que los flujos de datos que se
produzcan entre sistemas virtualizados deberán ser regulados por
estas normativas y procedimientos como si se trataran de datos que
realmente se transmitieran por la red física.
Por
otro lado, debemos contar con diagramas de red actualizados
que permitan identificar claramente la situación de todos los
elementos de red y los flujos de datos de titulares de tarjeta que se
produzcan a través de la red, incluyendo los flujos que se produzcan
entre sistemas virtuales alojados en un mismo host físico.
Como
vemos en el punto 1.1.3, el estándar exige que las normativas
internas obliguen a que siempre se use un firewall para controlar y
monitorizar cada conexión, entrante o saliente, de la red de la
organización.
Además,
las normativas de gestión de los dispositivos de red deben incluir
la descripción de roles y responsabilidades garantizando que se
defina claramente de quien es la responsabilidad de gestionar la
seguridad de todos los componentes de red.
Así
mismo, la normativa y los procedimientos deben documentar claramente
qué servicios, protocolos y puertos son necesarios para el negocio
de nuestra organización. Las reglas configuradas en los firewalls
y/o routers de la organización deben garantizar que únicamente
estos servicios, protocolos o puertos sean permitidos en la red. Así
mismo, la configuración de los firewalls debe ser en modo “deny
all” permitiendo únicamente el tráfico explícitamente autorizado
(y documentado).
Por
otro lado, hay que tener en consideración que es muy común que el
negocio necesite servicios, protocolos o puertos “inseguros”, es
decir, que son frecuentemente usados por individuos maliciosos para
tratar de comprometer la red de sus objetivos (telnet, FTP, SNMP,
NetBIOS, etc..). En estos casos, lo que exige el estándar es que el
riesgo de utilizar estos servicios, protocolos o puertos debe ser
claramente entendido, aceptado y justificado por el negocio,
debiéndose documentar los controles de seguridad adicionales que
hayan sido implementados para proteger a la organización de los
riesgos derivados del uso de estos protocolos.
Finalmente,
es necesario que la normativa obligue a la revisión semestral
(aunque es aconsejable hacerla trimestral o incluso mensual) de las
reglas implementadas en los firewalls y routers de la organización
con objeto de validar que las reglas siguen vigentes y detectar
cualquier regla obsoleta, incorrecta o innecesaria que deba ser
eliminada o modificada garantizando que únicamente se permita el
tráfico necesario, documentado y justificado por el negocio.
Echémosle
ahora un vistazo al subrequerimiento 1.2:
1.2
Desarrolle configuraciones para firewalls y routers que restrinjan
las conexiones entre redes no confiables y todo componente del
sistema en el entorno de los datos del titular de la tarjeta. Nota:
Una “red no confiable” es toda red que es externa a las redes que
pertenecen a la entidad en evaluación y/o que excede la capacidad de
control o administración de la entidad.
1.2.1Restrinja
el tráfico entrante y saliente a la cantidad que sea necesaria en el
entorno de datos del titular de la tarjeta.
1.2.2
Asegure y sincronice los archivos de configuración de routers.
1.2.3
Instale
firewalls de perímetro entre las redes inalámbricas y el entorno de
datos del titular de la tarjeta y
configure
estos firewalls para negar o controlar (en caso de que ese tráfico
fuera necesario para fines de negocio) todo tráfico desde el entorno
inalámbrico hacia el entorno del titular de la tarjeta.
El
requerimiento 1.2 busca garantizar que se asegura correctamente la
red instalando, configurando y manteniendo firewalls entre la red
interna y cualquier red no confiable (incluyendo redes de partners o
proveedores).
El
requerimiento 1.2.1 exige que se limite todo el tráfico entrante y
saliente del entorno de datos de titulares de tarjeta al mínimo
imprescindible para el funcionamiento del negocio. Adicionalmente, el
estándar exige que todos los firewalls incluyan una regla que
deniegue todo el tráfico, tanto entrante como saliente, que no haya
sido explícitamente permitido por ser necesario.
El
requerimiento 1.2.2 indica que se debe asegurar y sincronizar los
archivos de configuración del router. Lo que busca este
requerimiento es garantizar que los archivos de arranque de los
routers tengan las mismas reglas y configuraciones de seguridad que
se hayan establecido en las configuraciones “on-line” de los
routers, de manera que ante un reinicio de los dispositivos se
conserven dichas conexiones seguras.
Finalmente,
el requerimiento 1.2.3 exige que siempre haya un firewall instalado
entre las redes inalámbricas y el entorno de datos del titular de la
tarjeta habiéndose configurado dicho firewall para negar o controlar
todo el tráfico existente entre el entorno inalámbrico y el entorno
de datos de titular de la tarjeta. Hay que tener en cuenta que las
tecnologías inalámbricas son un camino frecuentemente explotado por
individuos maliciosos para obtener acceso no autorizado a la red de
las organizaciones o al entorno de datos de titulares de tarjeta. La
ausencia de firewalls entre los entornos inalámbricos y el entorno
de titulares de tarjeta permitiría a un atacante que haya obtenido
acceso a la red inalámbrica acceder a si vez al entorno en el que se
almacenan, transmiten o procesan los datos de titulares de tarjetas
de pago. Por ello, el estándar obliga a que se instalen firewalls
entre el entorno de datos de tarjeta y cualquier red inalámbrica de
la organización, negando todo el tráfico entre ambos existentes
salvo aquel que esté debidamente justificado y documentado por
motivos de la operativa de negocio.
Dejaremos
para la próxima entrada el análisis del resto de los
subrequerimientos 1.3 y 1.4.
No hay comentarios:
Publicar un comentario