对于某些类型的服务提供商而言,PCI DSS 4.0 版的一大变化是附录 A1 的范围发生了变化。在 PCI DSS v3.2.1 中,附录 A1 的标题是 "共享托管服务提供商的附加 PCI DSS 要求",而在 PCI DSS v4.0 中,附录 A1 的标题是 "多租户服务提供商的附加 PCI DSS 要求"。
虽然 "共享主机提供商 "和 "多租户服务提供商 "之间的措辞变化看似微妙,但受影响的服务提供商范围的增加却是显著的。也就是说,"多租户托管服务提供商 "的更广泛定义将包括许多软件即服务(SaaS)提供商,否则他们将不属于托管服务提供商的定义范围。
让我们从更好地定义 "多租户服务提供商 "开始,然后浏览附录 A1 中的各种要求,特别是附录 A1 中的两个新要求。
什么是多租户服务提供商?
附录 A1 首先将多租户服务提供商简单定义为 "向商家和其他服务提供商提供各种共享服务 "的服务提供商。然后,附录 A1 举例说明了客户共享计算资源的情况,"对这些资源或服务的访问受到逻辑控制或分区,以保持云客户之间的资源控制和数据隔离"。A1 还进一步说明,数据中心/共环不包括在内。
随着 SaaS 服务在企业中的普及,新的适用性指定将适用于比传统云托管提供商更广泛的服务提供商。
A1 要求审查
既然了解了 A1 适用于哪些服务提供商,我们就来看看实际要求。在七项 A1 要求(A1.1.1-1.4、A.2.1-2.3)中,有三项是新要求(A1.1.1、A1.1.4、A1.2.3),其他要求没有明显变化,但有一些说明。有几点需要注意:
与 PCI DSS v4.0 中的许多新要求一样,这些要求都是未来的要求。
A1.1.1 - 1.4 均侧重于客户(租户)细分
A1.2.1-2.3 涉及审计日志和事件响应 (IR)。
环境之间的细分: A1.1.1
第一个新要求 A1.1.1 要求在客户环境之间以及客户环境与服务提供商环境(通常称为控制背板)之间进行分段。虽然多租户提供商类型的多样性可能会让这一点显得有些抽象,但我认为这与虚拟机(VM)隔离类似,客户虚拟机就是客户环境,而服务提供商环境就是管理程序。
A1.1.2-1.3 是传统要求,侧重于客户权限,确保他们只能访问自己的环境、数据和资源。同样,设想两个独立的客户虚拟机,它们的存储都在 SAN 上。客户 1 不能访问客户 2,反之亦然;客户 1 只能访问自己在 SAN 上的存储,而不能访问客户 2 的存储,反之亦然。
分段测试: A1.1.4
A1.1.4 是另一项新要求,是渗透测试要求 11.4.6 的延伸,用于分段测试。PCI DSS v4.0 要求 11.4.6(原 PCI DSS 3.2.1 中的 11.3.4.1)要求所有服务提供商至少每六个月执行一次分段测试,而不是像一般网络渗透测试那样每年执行一次。A1.1.4 进一步扩展了这一概念,要求每六个月执行一次客户分段控制测试(而不仅仅是控制背板的分段测试)。 请注意,虽然 11.4.6 也要求在重大变更后进行分段测试,但 A1.1.4 并不要求。
按照我们对虚拟机的比喻,这就像是针对其他客户机和管理程序的虚拟机逃逸攻击测试。由于 A1.1.1-1.3 要求对服务提供商环境和客户环境(包括所有客户数据和其他资源)进行分段,因此应测试所有这些控制措施。由于潜在的复杂性以及客户数据隔离的要求,A1.1.4 与其他 PCI DSS 测试要求的显著区别在于,它明确允许创建测试客户环境,并据此执行测试。虽然这无疑最大限度地减少了对客户的潜在影响,但却使服务提供商(和渗透测试人员)有责任记录测试环境如何准确复制生产环境的各个方面,而不仅仅是生产分段控制。
审计日志和 IR 流程: A1.2.1 - A1.2.3
A1.2.1-2.3 都是关于确保多租户服务提供商具备审计日志和 IR 流程,不仅能够检测和应对任何潜在的违规行为,还能向客户提供这些信息。虽然这一原则并非 PCI DSS v4.0 的新原则,但要求 A1.2.3 是
标签:要求,DSS,A1,PCI,服务提供商,A1.1 From: https://blog.51cto.com/u_41084/7483628