Безопасность аппаратной и сетевой инфраструктуры
Безопасность аппаратной и сетевой инфраструктуры
Общие вопросы организации сетевой безопасности
Наряду с организацией физической безопасности процессинговых центров (ПЦ) немаловажную роль играют меры логической и сетевой безопасности. Процессинговый центр можно считать разновидностью современного центра обработки данных (ЦОД), представляющего собой сложную систему взаимосвязанных компонентов, которые взаимодействуют между собой через сетевые инфраструктуры[106]. Вместе с тем ПЦ — не только центр обработки данных, но и центр их передачи/получения, вследствие чего встает очень сложная задача в защите передаваемых данных.
Несмотря на многолетний опыт проектирования, создания и эксплуатации ПЦ на сегодня не существуют однозначно регламентирующего документа по обеспечению безопасности при организации сетевой инфраструктуры. Хотя существует ряд общих стандартов (таких как, например, PCI DSS, PA DSS[107]), которые охватывают значительный объем основных требований. Но надо понимать, что данные стандарты описывают основные тезисы или постулаты безопасности, которые необходимо соблюсти, но не способны охватить все многообразие существующих технологий, протоколов, внутренних региональных стандартов, которые применяются в современном динамичном мире информационных технологий. В качестве примера можно привести неоднозначность в требованиях по алгоритмам шифрования, применяемым в РФ и за рубежом. На территории РФ единственным узаконенным алгоритмом шифрования является стандарт ГОСТ, в то время как в других странах применяется DES, 3DES. И при прохождении сертификации на соответствие требованиям PCI DSS процессинговому центру, использующему алгоритмы ГОСТа, необходимо убеждать международные платежные системы в том, что в РФ используется иной алгоритм шифрования и электронно-цифровой подписи, нежели предусмотренный в стандарте.
Также стоит отметить, что не существует однозначных требований по протоколам передачи данных, способам передачи или используемому оконечному оборудованию. Таким образом, каждому ПЦ присуща индивидуальность и некая уникальность. В этой связи можно лишь обобщить то, что присуще большинству ПЦ, и рассмотреть те проблемы, которые затрагивают большинство из них.
Процессинговому центру (вне зависимости от того, является ли он самостоятельной организацией или же входит в состав как структурное подразделение финансового института) приходится иметь дело с ограничением несанкционированного доступа к данным карт, персональной информации клиентов банка/банков или к аппаратным средствам шифрования секретных данных (HSM). Существует немало примеров, когда секретная информация различных ПЦ была получена третьими лицами с целью ее использования в преступной деятельности. В результате такой деятельности ущерб, нанесенный ПЦ и финансовым институтам, насчитывал миллионы долларов США. Конечно, однозначно невозможно сказать, что похищенные данные были получены только благодаря брешам в системах сетевой безопасности ПЦ, но в мировой практике существуют примеры использования сетевых уязвимостей для получения и передачи данных по сетям общего пользования.
Так, например, в середине 1990-х годов для передачи данных от терминалов самообслуживания (АТМ, CAT) повсеместно использовался алгоритм шифрования DES. Оборудование терминалов (в частности клавиатуры для ввода секретного кода — ПИН-клавиатуры) также было рассчитано на работу только по алгоритму DES. С увеличением тактовых частот вычислительной техники и возможностей программного обеспечения алгоритм DES был взломан за сравнительно небольшой временной интервал. Но оборудование терминалов и процессинговые системы, настроенные на работу по алгоритму шифрования DES, не могли оперативно перестроиться на работу по более стойкому алгоритму 3DES, что и стало причиной использования злоумышленниками зашифрованных данных ПИН-блоков и данных на магнитной полосе. Последующий взлом полученных ПИН-блоков и получение секретного ключа шифрования терминала (Terminal Pin Key) позволяли получить практически неограниченный доступ ко всем счетам клиентов различных банков, которые когда-либо пользовались данным терминалом. Факты незаконного использования данных с магнитной полосы и ПИНов были зафиксированы международными платежными системами (МПС), и в настоящее время по правилам МПС одинарный алгоритм DES уже не может использоваться в терминалах.
Это лишь один наглядный пример того, как могут быть использованы бреши в системах сетевой безопасности. В приведенном примере можно было бы сократить степень риска с применением нестойких алгоритмов при шифровании ПИН-блока, если бы канал передачи данных между ПЦ и терминалом был бы зашифрован более стойким алгоритмом шифрования (двойное шифрование: канал передачи данных и шифрование ПИН-блока). Более того, многие терминалы способны самостоятельно шифровать передаваемые данные, пусть даже нестойким алгоритмом шифрования. В любом случае это намного усложнит жизнь злоумышленнику, поскольку помимо транзакционной информации передается и служебная, которую расшифровать намного сложнее, нежели ПИН-блок. Совокупность применения двух методов позволила бы многократно повысить безопасность системы в целом, даже с применением нестойких алгоритмов.
Поэтому когда речь заходит о защите ПЦ, в первую очередь тщательно анализируются возможные риски и степень снижения этих рисков при доступе и передаче секретных данных. В данной ситуации необходимо также учитывать тот факт, что построение системы сетевой защиты ПЦ оказывает значительное влияние на рядовой персонал, работающий в ПЦ. Чем больше барьеров защиты, тем сложнее злоумышленнику получить данные, но также и труднее работать в условиях полного ограничения доступа и самим сотрудникам ПЦ. Необходимый баланс между удобством доступа к данным и их безопасностью регламентируется определенным правилами внутри ПЦ. Подразделения сетевой безопасности ПЦ разрабатывают комплекс документации, внутренних правил, согласно которым уполномоченные сотрудники имеют право получать доступ к данным для их обработки.
Задача строгого разделения прав пользователей присуща всем ПЦ, и ей уделяется огромное значение. При разделении прав пользуются основным принципом: предоставление прав, необходимых только для выполнения служебных обязанностей. Так, например, сотруднику договорного отдела для выполнения служебных обязанностей доступ к устройству шифрования (HSM) вряд ли будет необходим, но с большой вероятностью понадобится доступ в публичную сеть Интернет для получения дополнительной информации о контрагентах. И наоборот, сотруднику отдела персонализации потребуется доступ к данным магнитной полосы печатаемых карт и вряд ли будет необходим доступ к публичным сетям. Руководствуясь такими правилами, администраторы вычислительных сетей ПЦ совместно с сотрудниками отдела сетевой безопасности устанавливают соответствующие права доступа для каждого из сотрудников. На практике такую политику организовать очень сложно, поскольку за понятием «необходимые права» стоит большое количество различных комплексов: сетевые маршрутизаторы, брандмауэры, операционные системы, базы данных, программные комплексы и т. д.
Таким образом, весь комплекс мер, направленных на обеспечение сетевой безопасности, можно условно разделить на несколько уровней:
• сетевой уровень;
• пользовательский уровень;
• уровень приложений.
Каждый из перечисленных уровней может пересекаться с другим в некоторой области или быть полностью интегрирован в него. Поэтому в данном контексте разделение довольно условное, поскольку известны системы, где практически все перечисленные выше уровни являют собой единый неделимый комплекс.
Но несмотря на этот факт уровни организации сетевой безопасности (барьеры) встречаются во всех ПЦ и их следует рассмотреть более детально.
Сетевой уровень безопасности
К данному уровню безопасности можно отнести технические средства, позволяющие обеспечить ограничение прохождения данных между различными зонами сети ПЦ. На рис. 5.1 приведен типичный пример сетевой инфраструктуры ПЦ (в том числе может использоваться и при организации сети любого предприятия). В приведенном примере сетевая инфраструктура имеет зональное распределение. Все зоны связаны между собой с помощью сетевых маршрутизаторов, призванных осуществлять перенаправление сетевых пакетов из одной зоны в другую. Также каждая из зон снабжается сетевым брандмауэром (межсетевым экраном), который ограничивает или разрешает прохождение сетевых пакетов между зонами. На практике часто используют совмещение этих двух устройств (маршрутизатор и брандмауэр) в одно, в котором прохождение трафика ограничивается на сетевом интерфейсе маршрутизатора.
Все представленные зоны служат для увеличения степени защиты ПЦ в целом, а также для более гибкого управления списками контроля доступа (ACL). Так, например, зона 1 служит для публикации серверных приложений для доступа извне, ее еще называют демилитаризованной зоной (DMZ). К публикуемым приложениям могут относиться, например, службы интернет-банка, службы доступа к электронной почте ПЦ или службы организации коллективного доступа в публичные сети. Доступ к сетевым службам ПЦ извне ограничивается с помощью сетевого экрана, правила которого обеспечивают прохождение только разрешенного трафика (например, по TCP портам 110,25 в случае электронной почты).
В зоне 2 расположены серверы ПЦ, обеспечивающие его жизнедеятельность. Там могут находиться серверы баз данных, использующиеся как хранилище в процессе авторизации и последующих клиринговых расчетов. В этой же зоне, как правило, находятся серверы уровня приложений (host), получающие доступ к серверам баз данных и осуществляющие процессирование авторизационных и клиринговых потоков. Также в данную зону могут быть помещены средства сбора лог-информации и серверы управления доступом уровня приложений. Зона 2 является целью любого злоумышленника, поэтому ее защиту разрабатывают самым тщательным образом. Для усиления мер защиты могут использоваться дополнительные межсетевые экраны и/или персональные брандмауэры. На особо важных узлах должны быть включены средства аудита доступа. Основным правилом при настройке политики безопасности серверов в зоне 2 является отключение ненужных служб и процессов, открывающих потенциальные уязвимости в системе. Например, для серверов баз данных необходимо отключать сетевой доступ к операционной системе (ftp, telnet) и разрешать только доступ к базе данных по защищенным протоколам передачи данных (например, IPSEC). Хорошим дополнением к системе безопасности в зоне 2 могут служить системы предупреждения и предотвращения вторжения (IPS/IDS). Они позволяют заблокировать определенные сетевые адреса в случае обнаружения потенциально опасного сетевого трафика (например, сканеры сетевых портов, попытки атаки типа Bruteforce, DDOS-атаки и пр.). Повышенным интересом у злоумышленника могут пользоваться и маршрутизаторы/межсетевые экраны. Для повышения безопасности данные сетевые компоненты могут иметь специальный сетевой интерфейс (management), который используется для проведения настройки оборудования. В штатном режиме этот интерфейс не имеет подключения к какой-либо сети, и конфигурация с других сетевых интерфейсов этого оборудования невозможна.
В зоне 3 располагаются рабочие места сотрудников ПЦ. Данная зона также выделена в единую сеть, поскольку управление рабочими местами — задача отнюдь непростая и также требует повышенных мер безопасности. В данной зоне помимо рабочих мест персонала располагается сетевое оборудование ввода/вывода (принтеры, факсы, сканеры и т. д.). Также может быть размещен дополнительный контроллер рабочих мест (domain controller) для повышения отказоустойчивости системы в целом. Доступ сотрудников к тем или иным приложениям управляется на уровне политики безопасности и на уровне межсетевых экранов.
Пользовательский уровень безопасности
Данный уровень безопасности в ПЦ обеспечивается за счет возможности разделить доступ к тем или иным ресурсам в разрезе пользователя или группы пользователей.
Практически в любой современной операционной системе существует возможность разграничить доступ к определенным ресурсам на уровне пользователей. Таким образом, каждый пользователь в сети ПЦ (в том числе и рабочую станцию, и сервер можно отнести к пользователям) имеет определенные права, которые должны быть формализованы и закреплены в письменном виде. Права и полномочия предоставляются каждому сотруднику ПЦ согласно его должностным обязанностям. В случае если сотрудник совмещает несколько обязанностей (например, администратор ЛВС и администратор БД), удобнее оперировать ролями. Каждой роли отводятся определенные полномочия, в рамках которых предоставляется доступ к ресурсам ПЦ.
Служебные роли ПЦ могут быть отождествлены с группой пользователей. В роли администратора ЛВС может выступать группа пользователей «администраторы», в роли сотрудников отдела архивных копий — «операторы архивов» и т. д. В каждой из групп может быть несколько пользователей сети, в то же время один пользователь сети может быть наделен несколькими полномочиями.
Все сотрудники обязаны иметь учетную запись, с помощью которой осуществляется регистрация в сети ПЦ. Далее эта учетная запись используется для доступа к любым сетевым ресурсам, будь то принтер или база данных.
При разработке политики безопасности для сотрудников должно быть установлено правило секретности собственных имени пользователя и пароля при регистрации в сети. Также должен быть установлен запрет на передачу персональных имени пользователя и пароля третьим лицам. В ходе формирования политики должны быть приняты меры по снижению вероятности компрометации паролей: установлены ограничения на минимальную длину пароля, его сложность и частоту смены.
Согласно последним данным[108] рекомендуемая длина пароля может быть принята свыше 8 символов. Существуют и рекомендации по сложности пароля, в которых определяют, что пароль может состоять из строчных и заглавных букв и цифр. Частота смены пароля позволяет уменьшить вероятность его подбора за определенный срок его жизни. Хорошей практикой может служить блокировка учетной записи в случае набора неправильного пароля N раз (как правило, N принимают равным от 3 до 5 раз).
В политике учетных записей помимо сотрудников ведется контроль доступа к ресурсам рабочих станций и серверов. Такая политика позволит, например, ограничить доступ к ресурсам в случае подмены сетевого адреса.
Отдельно могут быть введены дополнительные средства аутентификации пользователей. Использование сертификатов (цифровых удостоверений) с единым центом сертификации позволит многократно повысить стойкость системы безопасности. Использование двухфакторной аутентификации, в которой пользователь помимо данных учетной записи (имя пользователя, пароль) должен предоставить физический ключ доступа. Он позволит избежать компрометации учетной записи в случае успешной атаки подбора пароля. Физический ключ может быть заменен считывателем биометрических данных пользователя.
Еще одним способом, повышающим уровень безопасности ПЦ, является блокировка встроенных учетных записей администратора (root). В этом случае происходит делегирование прав администратора сети другому пользователю, так называемое переименование администратора. В этом случае, если пароль учетной записи «администратор» или «root» будут взломаны, администраторские права предоставлены не будут.
Одним из важных моментов при формировании политики безопасности является правило, обязывающее администратора ЛВС производить блокировку учетной записи пользователя в случае его болезни или увольнения. Также должны быть заблокированы гостевые учетные записи, присутствующие по умолчанию в операционных системах и СУБД.
Таким образом, пользовательский уровень безопасности вводит дополнительный барьер на пути несанкционированного доступа к ресурсам ПЦ и позволяет проводить разделение ресурсов на основе ролей, описанных в политике безопасности ПЦ.
Безопасность уровня приложений
Описанные меры безопасности позволяют усилить безопасность в сетевой инфраструктуре ПЦ. Но, как и на любом предприятии, в ПЦ существует прикладное программное обеспечение, на которое возлагается основная функциональная обязанность. Даже если будут приняты все меры по обеспечению безопасности сетевого и пользовательского уровня, брешь в системе безопасности уровня приложений позволит получить доступ к самой важной составляющей ПЦ — данным о платежных картах, к которым в итоге стремится потенциальный злоумышленник. Приведенный выше печальный пример бреши в системе безопасности уровня приложений с терминалами самообслуживания помог злоумышленнику получить данные по платежным картам, причем он не нарушил ни один из периметров защиты самого ПЦ.
Таким образом, безопасность уровня приложений можно оценить как один из самых важных пунктов в обеспечении сетевой безопасности ПЦ в целом.
Какие меры необходимо принять для снижения такого рода угрозы? На этот вопрос в первую очередь поможет ответить относительно недавно принятый стандарт в области защиты данных PA DSS[109]. Данный стандарт описывает предъявляемые требования к программному обеспечению, работающему с данными о платежных картах. После принятия данного стандарта каждый из поставщиков решения для работы с пластиковыми картами обязан будет иметь сертификат соответствия данному стандарту. Данный сертификат должен быть предъявлен в ходе проверки ПЦ на соответствие требованиям PCI DSS.
Одним из требований в стандарте является отсутствие данных о платежных картах в открытом виде. К таким данным относятся данные о номерах карт, о сроке их действия и CVC2/CVV2. Также запрещено хранение данных с магнитной полосы и ПИН-блока.
Помимо запрета на хранение данных безопасность уровня приложений обеспечивается регулярными критическими обновлениями операционных систем и СУБД. Такие обновления позволяют исправить найденные уязвимости в операционных системах и СУБД.
Также необходимо устанавливать обновления программного обеспечения на межсетевых экранах и маршрутизаторах. В случае наличия систем IPS/IDS необходимо проводить обновление сигнатур сетевых угроз.
К сожалению, не всегда то или иное обновление может быть безболезненно установлено. В практике любого ПЦ бывали случаи, когда обновление ПО на ключевых узлах приводило к частичной или полной его остановке. Для снижения вероятности такого рода чрезвычайных ситуаций используются тестовые среды, где каждое планируемое обновление должно проходить тщательную проверку и тестирование на совместимость с другими узлами процессинговой системы. Поскольку процессинговые комплексы представляют собой взаимосвязанную систему, тестирование очередного критического обновления на одном из комплексов может происходить длительное время, порой до нескольких недель или месяцев. В данный период, пока обновление находится в стадии тестирования, сотрудниками ПЦ должны быть приняты дополнительные меры по обеспечению безопасности. Например, если найдена уязвимость в интернет-браузере, используемом сотрудниками ПЦ, до момента установки вышедшего обновления сотрудникам отдела сетевой безопасности и администратору ЛВС необходимо принять меры для исключения использования данного рода уязвимости. Одним из вариантов решения может быть выделение специальной рабочей станции, с помощью которой будет осуществлен доступ в публичную сеть. Рабочая станция не должна быть подключена к общей локальной сети. На остальных рабочих местах использование браузера без установленного обновления необходимо запретить.
В случае тестирования обновлений на серверных компонентах процессинговых систем необходимо подготовить и провести тесты на тех компонентах, которые подвергаются изменениям. Тесты должны охватывать полный цикл прохождения транзакции, чтобы исключить вероятность сбоев после установки этого обновления на рабочих системах.
Еще одним из обязательных требований в обеспечении безопасности ПЦ является необходимость использования антивирусных средств защиты. Антивирусные средства должны быть установлены на всех рабочих станциях и серверах ПЦ без исключений, даже если на данный момент не существует вирусов под определенные операционные системы. Базы данных антивирусного программного обеспечения должны регулярно обновляться и иметь актуальные версии.
Отдельное внимание необходимо уделить аудиту доступа к ресурсам (логам) ПЦ. Поскольку ПЦ является сложной взаимосвязанной системой и состоит из различных компонентов, в том числе разных производителей, задача о фиксировании событий доступа к объектам такой системы требует отдельного решения. На современном рынке производителей ПО существует множество решений, которые решают такие задачи.
Данные программные продукты помогают осуществить централизованный сбор данных из различных источников, таких как:
• различные операционные системы;
• СУБД;
• сетевые маршрутизаторы и брандмауэры;
• антивирусное ПО;
• компоненты уровня приложений.
Использование таких комплексных решений позволяет сотрудникам службы сетевой безопасности оперативно реагировать на критические инциденты и предотвращать их в дальнейшем. Более того, централизация сбора данных аудита доступа к объектам может помочь в восстановлении хронологии попытки атаки и предупредить ее в дальнейшем.
В связи с этим должны быть приняты меры по защите сервера централизованного сбора логов доступа. Логи сервера должны быть защищены от удаления, а их изменение должно быть доступно только тем процессам, которые осуществляют логирование. Для ПЦ хранение логов доступа в режиме онлайн обязательно в течение трех месяцев. После архивации лог-файлов необходимо рассчитать контрольные суммы, которые должны быть документально зафиксированы. Архивные копии записей аудита доступа к ресурсам должны быть записаны на носитель типа «только для чтения» и преданы на хранение.
Таким образом, задача обеспечения безопасности в ПЦ является многогранной, а ее комплексное решение требует тщательной проработки всех деталей от логической организации до фактической реализации.
Инновационные решения в области обеспечения безопасности ПЦ
В современном быстроменяющемся мире техники и технологии довольно трудно предугадать дальнейшее их развитие даже на ближайший год, не говоря уже о десятилетии. Но, тем не менее, основные тенденции в развитии прослеживаются. Так, одним из перспективных направлений в развитии процессинговых услуг на рынке может быть решение, которое давно уже получило всемирное признание в других крупных корпоративных предприятиях. Данное решение уходит своими корнями в период становления компьютерных сетей и систем совместного доступа на базе терминалов. В то время пользователи получали централизованный доступ к вычислительным ресурсам главного компьютера при помощи терминалов удаленного доступа, подключенных к нему по общей шине передачи данных. Каждый пользователь производил регистрацию на центральном компьютере и получал соответствующие права доступа.
Как ни странно, но в современной IT-индустрии продолжают существовать такие системы, но выведенные на новый виток развития технологии. В мире процессинговых услуг также известно применение аналогичной технологии. Эта технология получила название «тонкий клиент»[110]. В основу этой технологии положен принцип удаленного терминального доступа, когда пользователь, пройдя аутентификацию на центральном компьютере, удаленно получает доступ к его ресурсам в соответствии с предоставленными правами. Передавая информацию от терминала о действиях пользователя (нажатия клавиатуры или действия с мышью), терминал получает в ответ от сервера изменения удаленного экрана пользователя. Использование такого рода подхода позволяет получать безопасный доступ к процессинговым системам. У такого подхода есть множество плюсов, которые могут быть хорошим подспорьем в решении вопросов сетевой безопасности ПЦ.
Так, например, данный подход позволяет исключить необходимость защиты рабочих станций от вирусной угрозы, угрозы брешей в безопасности рабочей станции, несанкционированного доступа к данным на сервере. Централизованное управление терминальным доступом, удаленное подключение к открытой сессии пользователей, централизованное администрирование всех пользователей и терминалов облегчает работу администраторов ЛВС. Также есть и экономическая составляющая, при которой установленное на сервер приложение может быть растиражировано между всеми пользователями удаленного доступа без необходимости приобретения дополнительных лицензий (это актуально для крупных ПЦ). Одним из главных преимуществ данной технологии является то, что критические данные, такие как номера карт, авторизационные данные, невозможно сохранить на внешних носителях информации без специальных средств, которые могут быть предоставлены администраторами в исключительных ситуациях. Таким образом, утечка данных из ПЦ сводится практически к нулю. Но данная технология требует повышенной защиты сервера приложений, т. е. все программные компоненты, установленные на сервер приложений, должны быть полностью защищены. Для укрепления защиты передаваемых данных могут быть использованы протоколы шифрования трафика, а также двухфакторная аутентификация на основе USB-ключей.
В данном разделе были рассмотрены основные аспекты обеспечения безопасности в сфере процессинговых центров. Разумеется, все перечисленное в данной главе является только обобщением накопленного мировым сообществом опытом создания и эксплуатации процессинговых центров. Необходимо понимать, что каждый ПЦ, как и любое другое предприятие, имеет свои особенности и тонкости и, естественно, что задачи по обеспечению безопасности в том или ином предприятии имеют характерную специфику. Любому ПЦ присуща работа с персональными данными владельцев пластиковых карт, а это означает, что репутация и надежность процессингового центра целиком и полностью зависят от степени безопасности составляющих его систем. Вот поэтому так важно уделять максимум внимания для решения вопросов, связанных с обеспечением не только отказоустойчивости систем при работе в режиме 24 ? 7, но и степени защиты доверяемых процессинговому центру данных.