[PCI Community Meeting 2017] การนำมาตรฐาน PCI-DSS ไปใช้ในระบบ Cloud

Narendra Sahoo ผู้อำนวยการจาก VISTA InfoSec ออกมาแนะนำถึงการนำมาตรฐาน PCI-DSS และแนวทางปฏิบัติต่างๆ ไปใช้บนระบบ Cloud ไม่ว่าจะเป็น IaaS, PaaS หรือ SaaS เพื่อเพิ่มความมั่นคงปลอดภัยในการทำธุรกรรมการเงินผ่านบัตรเครดิต รวมไปถึงประเด็นสำคัญที่ต้องพิจารณาเมื่อต้องดำเนินการตรวจประเมิน (Audit) ภายในงาน PCI APAC Community Meeting 2017 ที่เพิ่งจัดไปเมื่อกลางเดือนพฤษภาคมที่ผ่านมา

หน้าที่ความรับผิดชอบในการดำเนินการตามมาตรฐาน PCI-DSS ขึ้นอยู่กับโมเดลของ Cloud ที่ใช้

Sahoo ระบุว่า โมเดลระบบ Cloud ในปัจจุบันสามารถแบ่งออกเป็นแบบใหญ่ๆ ได้ 3 แบบ คือ Infrastructure-as-a-Service, Platform-as-a-Service และ Software-as-a-Service ซึ่งแต่ละแบบจะมีผู้รับผิดชอบในต่างๆ แตกต่างกันไป ดังแสดงตามตารางด้านล่าง

Service Owner SaaS PaaS IaaS
Data ร่วมกัน ผู้ใช้บริการ ผู้ใช้บริการ
Application ร่วมกัน ร่วมกัน ผู้ใช้บริการ
Compute ผู้ให้บริการ ร่วมกัน ผู้ใช้บริการ
Storage ผู้ให้บริการ ผู้ให้บริการ ร่วมกัน
Network ผู้ให้บริการ ผู้ให้บริการ ร่วมกัน
Physical ผู้ให้บริการ ผู้ให้บริการ  ผู้ให้บริการ

เมื่อแต่ละโมเดลมีผู้รับผิดชอบแตกต่างกันไป ส่งผลให้ความรับผิดชอบในการดำเนินการตามมาตรฐานและแนวทางปฏิบัติของ PCI แตกต่างกันไปด้วย ซึ่งความต้องการของ PCI-DSS สำหรับระบบ Cloud มีทั้งหมด 12 รายการ แต่ละรายการกำหนดผู้รับผิดชอบของแต่ละโมเดล ดังแสดงในตารางด้านล่าง

การแบ่งส่วน (Segmentation) เป็นหัวใจสำคัญของระบบ Cloud

Sahoo ระบุว่า เมื่อองค์กรหันไปใช้ระบบ Cloud สิ่งสำคัญที่องค์กรจำเป็นต้องพิจารณาถึงคือ “การแบ่งส่วน (Segmentation)” ซึ่งต้องกระทำในระดับเดียวกับการแบ่งส่วนระบบเครือข่ายเชิงกายภาพที่ทำใน Data Center เช่น ต้องมีการแบ่งข้อมูลบัตรเครดิตออกมาแยกเก็บจากข้อมูลอื่นๆ ต้องไม่มีการเชื่อมต่อกันระหว่างเครื่อง Client หรือโครงข่ายพื้นฐานที่มีส่วนเกี่ยวข้องกับการทำธุรกรรมก็ถือว่าอยู่ในขอบเขตของการประเมิน PCI-DSS ด้วย เป็นต้น โดยลิสต์สิ่งที่พึงกระทำมีดังนี้

  • มี Firewall และ Network Segmentation ในระดับ Infrastructure
  • มี Firewall ในระดับ Hypervisor และ VM
  • มีการทำ VLAN Tagging หรือ Zoning เพิ่มเติมจาก Firewall
  • มี IPS ในระดับ Hypervisor และ/หรือ VM เพื่อตรวจจับและบล็อกทราฟฟิกที่ไม่พึงประสงค์
  • มี Data Loss Prevention ในระดับ Hypervisor และ/หรือ VM
  • มีมาตรการควบคุมสำหรับป้องกันการติดต่อสื่อสารจากภายนอก (Out-of-band Communication) ที่เกิดขึ้นบน Infrastructure เดียวกัน
  • มีการแบ่งแยกโปรเซสและทรัพยากรที่แชร์ร่วมกัน Client ออกมา
  • มีการแบ่งส่วนข้อมูลสำคัญที่ถูกจัดเก็บอยู่ในเครื่อง Client
  • ใช้การพิสูจน์ตัวตนแบบ 2-Factor Authentication ที่แข็งแกร่ง
  • มีการแบ่งแยกหน้าที่ความรับผิดขอบ (Segregation of Duties) และไม่ให้สิทธิ์มากจากเกินไป
  • จัดเก็บหลักฐาน (Log) และเฝ้าระวังทราฟฟิกตลอดเวลา รวมไปถึงมีการตอบสนองแบบเรียลไทม์

5 คำถามสำคัญที่ต้องถามผู้ให้บริการระบบ Cloud เมื่อต้องการผ่านมาตรฐาน PCI-DSS

Sahoo ได้กล่าวแจ้งเตือนผู้ที่ใช้บริการระบบ Cloud พึงระลึกไว้เสมอว่า ถึงแม้ว่าผู้ให้บริการระบบ Cloud จะผ่านมาตรฐาน PCI-DSS แต่ไม่ได้หมายความว่าผู้ที่ใช้บริการจะผ่านมาตรฐานตาม ในทางตรงกันข้าม ต่อให้ผู้ที่ใช้บริการระบบ Cloud ผ่านมาตรฐาน PCI-DSS ก็ไม่ได้หมายความว่าผู้ให้บริการระบบ Cloud จะผ่านมาตรฐานดังกล่าว ดังนั้น เพื่อให้มั่นใจว่าผู้ให้บริการระบบ Cloud ได้รับการรับรองตามมาตรฐาน PCI-DSS ผู้ใช้บริการควรพิจารณาถึงคำถาม 5 ข้อ ดังนี้

  1. ผู้ให้บริการระบบ Cloud ผ่านมาตรฐาน PCI-DSS มานานเท่าไหร่แล้ว ตรวจประเมินครั้งสุดท้ายเมื่อไหร่
  2. Services และ Requirement ของ PCI-DSS ข้อใดบ้างที่ผ่านการตรวจประเมิน
  3. Facilities และ System Components ใดบ้างที่ผ่านการตรวจประเมิน
  4. มี System Components ใดที่ใช้เพื่อให้บริการ Services แต่ไม่อยู่ในการตรวจประเมินบ้าง
  5. ผู้ให้บริการระบบ Cloud มีวิธีอย่างไรที่จะทำให้มั่นใจว่า ผู้ที่ใช้บริการที่ผ่านมาตรฐาน PCI-DSS จะปฏิบัติตามมาตรฐานและไม่บายพาสมาตรการควบคุมของ PCI

สำหรับผู้ที่สนใจนำมาตรฐาน PCI-DSS มาใช้เป็นแนวทางหรือประยุกต์ใช้กับกับระบบ Cloud ขององค์กร สามารถดาวน์โหลดเอกสารได้ที่ https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_Cloud_Guidelines.pdf

เกี่ยวกับ PCI Security Standards Council

PCI SSC เป็นสมาคมที่ถูกก่อตั้งขึ้นโดยมีจุดประสงค์เพื่อให้บริการมาตรฐานด้านความมั่นคงปลอดภัยข้อมูลสำหรับอุตสาหกรรมที่ต้องมีการชำระเงินผ่านบัตร (Payment Card Industry Data Security Standard: PCI-DSS) ซึ่งปัจจุบันมีคณะกรรมการบริหารจาก 5 ผู้ให้บริการบัตรเครดิตรายใหญ่ ได้แก่ American Express, Discover, JCB, MasterCard และ Visa รวมไปถึงมี Board of Advisor อีก 39 ราย ไม่ว่าจะเป็น Amazon, Cisco, Citibank, Microsoft, Paypal, Starbucks และอื่นๆ สำหรับให้คำปรึกษา ข้อเสนอแนะ และความคิดเห็นต่างๆ เกี่ยวกับความมั่นคงปลอดภัยของการใช้บัตรชำระเงิน

PCI SSC มีศูนย์ปฏิบัติการกระจายอยู่ 9 แห่งทั่วโลก ครอบคลุมทุกภูมิภาค และมีการประสานการทำงานร่วมกับหน่วยงานรัฐและสถาบันการเงินมากมาย เช่น APCA, Bank of India, FBI, Interpol, JCDSC และ Ministry of Economy, Trade and Industry เพื่อให้มั่นใจว่ามาตรฐานและแนวทางปฏิบัติต่างๆ ที่นำเสนอ นอกจากจะช่วยปกป้องข้อมูลการชำระเงิน ยังสอดคล้องกับกฏหมายและข้อบังคับของแต่ละประเทศอีกด้วย

ปัจจุบันนี้มีองค์กรทั่วโลกที่เป็นสมาชิกของ PCI แล้ว 816 องค์กร ซึ่งเป็นองค์กรในภูมิภาคเอเชียแปซิฟิก (รวมประเทศไทย) 49 องค์กร



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือนช่องโหว่ RSA Implementation บน F5 Big-IP เสี่ยงถูกดักฟังข้อมูลที่เข้ารหัส

F5 Networks ผู้นำด้านเทคโนโลยี Application Delivery Networking ออกมาแจ้งเตือนถึงช่องโหว่ RSA Implementation บน F5 Big-IP ซึ่งช่วยให้แฮ็คเกอร์สามารถดักฟังข้อมูลที่ถูกเข้ารหัสหรือโจมตีแบบ Man-in-the-Middle โดยไม่จำเป็นต้องทราบ …

รู้จักบริการ DNS ฟรีใหม่ 9.9.9.9 เสริมความปลอดภัยด้วย IBM X-Force Threat Intelligence

ก่อนหน้านี้เราอาจคุ้นเคยกับบริการ DNS ที่ 8.8.8.8 ของ Google ที่เปิดให้ใช้งานกันได้ฟรีๆ มาโดยตลอดเป็นอีกทางเลือกหนึ่ง แต่ตอนนี้ทาง Global Cyber Alliance (GCA) นั้นได้ร่วมกับ IBM …