Cuando nos enfrentamos a la normativa PCI-DSS, una de las acciones más importantes es definir de forma correcta nuestro alcance. En esta definición, uno de nuestros objetivos debería ser que este alcance sea el mínimo posible, ya que la normativa es muy exigente. Para esto, uno de los mecanismos que podemos utilizar es la segmentación.
La segmentación de la red es una práctica común hoy en día que nos permite aislar o limitar el tráfico entre segmentos de red. Esto nos ayuda a mejorar la seguridad, el control de acceso, la monitorización e incluso el rendimiento de la red. Debemos tener especial cuidado en cómo la realizamos en entornos PCI-DSS. De lo contrario, nuestro alcance para PCI-DSS puede acabar siendo más grande de lo esperado complicando así el cumplimiento de la norma.
Pasos a seguir
Primero, debemos tener claro a qué componentes aplica la normativa. PCI-DSS aplica a todos los componentes del sistema incluidos o conectados al entorno de datos del titular de la tarjeta, referido normalmente como CDE (cardholder data environment). El CDE se compone de personas, procesos y tecnologías que almacenan, procesan o transmiten datos de titulares de tarjetas o datos confidenciales de autenticación.
Con esto en mente, el primer paso y más crítico que debemos realizar es identificar todos los sistemas que almacenan, transmiten o procesan datos de tarjetas de crédito. Una vez identificados nuestro objetivo debe ser aislarlos en uno o varios segmentos de red. Considerando que todos los sistemas que estén en estos segmentos de red serán parte del CDE.
Después, y comenzando con un CDE totalmente aislado daremos acceso de entrada y/o salida a los equipos que sean estrictamente necesarios, documentado el porqué de la conexión y restringiéndola a la mínima necesaria. Debemos tener en cuenta que a todos los equipos a los cuales les permitamos el acceso al CDE, formarán parte automáticamente de nuestro alcance PCI DSS y deberán cumplir una serie de requisitos de la norma.
En el caso de crear reglas hacia redes públicas no confiables (por ejemplo, Internet) estas no estarán dentro del alcance de PCI-DSS. No obstante, deberemos implementar todas las medidas de protección requeridas por la norma.
Durante el proceso de segmentación y definición del alcance, es importante comprender los riesgos e impactos si los componentes conectados al sistema se excluyen o pasan por alto del alcance de PCI-DSS. A menudo que un componente conectado al CDE es comprometido, conduce al robo de datos de tarjetas de crédito.
Es por esto por lo que, una vez aplicada la segmentación es importante realizar pruebas que nos ayuden a confirmar que todos los equipos que consideramos fuera del alcance realmente lo están y no tienen posibilidades de llegar al CDE. En estas pruebas es necesario analizar las reglas aplicadas y ver si hay alguna manera de llegar al CDE desde equipos considerados fuera del alcance. Esto puede hacerse:
- directamente: en el caso de que una regla no esté correctamente aplicada
- indirectamente: aprovechando un error de configuración o una vulnerabilidad en un equipo que tiene permitido el acceso al CDE y obteniendo acceso a través de él.
Si necesitas soporte para realizar la segmentación de tu red o quieres que verifiquemos que esta es correcta, no dudes en ponerte en contacto con A2secure.
Autor: Adan Álvarez