原文はこちら。
https://blogs.oracle.com/cloud-infrastructure/pci-compliance-on-oracle-cloud-infrastructure-is-easy
Oracle Cloud InfrastructureサービスにはPCI DSS Attestation of Compliance(準拠証明)があります。対象範囲はBlock Volumes、Object Storage、Archive Storage、File Storage、Data Transfer Service、Database、Exadata、Container Engine for Kubernetes、Container Registry、FastConnect、そしてGovernanceです。このエントリでは、Oracle Cloud Infrastructureの顧客がOracle IaaS上で実行するワークロードに対してPCIコンプライアンスを達成するのに役立つガイドラインを説明します。
お客様は、Oracle Cloud Infrastructureでのワークロードの保護に対する責任があります。場合によっては、Oracleが提供するサービスを構成する必要があります。この責任は共有対象、つまりOracleはサービス基盤を維持し、お客様はそのサービスを使用し、セキュリティおよびコンプライアンスの要件に従って管理・制御を設定します。Information System Security Certification Consortium [ (ISC)2] による以下の図では、IaaS、PaaS、およびSaaSに関する責任分野を明確にしています。
当社は、お客様のセキュリティおよびコンプライアンスの要件を満たすソリューションを開発するために、Oracleの7 Pillars of Trusted Secure Enterprise Platformに従っています。
それでは詳細に入っていきましょう。
Install and maintain a firewall configuration to protect cardholder data.(カード会員データを保護するためのファイアウォールをインストール、構成して設定を維持する)
Solution:
Oracle Cloud Infrastructureのセキュリティ・リスト(Oracle Cloud Infrastructureの管理下のサブネット固有のファイアウォール・ルール)を使用する。
Do not use vendor-supplied defaults for system passwords and other security parameters.(ベンダー提供のデフォルトをシステムパスワードやその他のセキュリティパラメータとして利用しない)
Solution
PCIドキュメントのガイダンスを確認する。Oracle Cloud Infrastructureでのユーザー資格証明の管理方法に関する詳細なドキュメントも用意している。
Protect stored cardholder data.(格納しているカード会員データの保護)
Solution
これは保存データの保護を対象としている。デフォルトでは、Oracle Cloud InfrastructureのBlock StorageおよびObject Storageは暗号化されている。さらに、将来登場する予定のKMS、または任意のサポート対象のHSM、Oracle Wallet、Oracle Key Vault、およびサードパーティのVault製品では、キーと秘密の管理で無類の柔軟性を提供する。データセキュリティについては、Transparent Data Encryption (TDE、透過データ暗号化)と列レベルの暗号化を提供している。
Requirement 4
Encrypt transmission of cardholder data across open, public networks.(オープンかつパブリックなネットワーク間でカード会員データの送信を暗号化)
Solution
すべての制御および管理プレーンの通信は、PCI DSS準拠証明に必要なTLSで保護されている。また、(SSLではなく)TLSを使用し、必要に応じてロードバランサでアプリケーションの前さばきをすることを推奨する。
Protect all systems against malware and regularly update antivirus software or programs.(マルウェアから全てのシステムを保護し、定期的にウイルス対策ソフトウェアやプログラムを更新)
Solution
Dyn Malware Protectionサービスを使用して、Oracle Cloud Infrastructure上で動作するWebアプリケーションに感染する前に、論理ネットワークのEdgeでマルウェアをブロックする。
Requirement 6
Develop and maintain secure systems and applications.(セキュアなシステムやアプリケーションの開発・維持)
Solution
我々はセキュアなシステムを開発し、維持するための多くの推奨事項を有している。パッチ管理ポリシーを策定し、この目的のためにマネージドクラウドサービスプロバイダを使用する。マネージドクラウドサービスプロバイダをお探しの場合、多くのOracle Cloud Infrastructure MSPパートナーとならんで、Oracle Managed Cloud Servicesもその選択肢の一つである。
Restrict access to cardholder data by business need-to-know.(ビジネスニーズによるカード会員データへのアクセス制限)
Requirement 8
Identify and authenticate access to system components.(システムコンポーネントへのアクセスを識別、認証する)
Solution
IAMアクセス制御(コンパートメントとポリシー)に関するドキュメントを確認する。
Requirement 9
Restrict physical access to cardholder data.(カード会員データへの物理的なアクセス制限)
Solution
これは、アベイラビリティ・ドメインやリージョン・レベルでのデータセンターの物理的なセキュリティ管理の対象です。物理的なセキュリティ要件に対応するよう、ISO 27001、SOC 1、SOC 2、およびSOC 3の認証を取得済みである。これらの認定は、PCI DSS準拠証明の基礎となるものである。
Track and monitor all access to network resources and cardholder data(ネットワークリソースおよびカード会員データへのすべてのアクセスの追跡および監視)
Requirement 11
Regularly test security systems and processes.(セキュリティシステムとプロセスの定期的なテスト実施)
Solution
監視にはOracle CASBおよびOracle Cloud Infrastructure Audit Servicesを使用する。
Maintain a policy that addresses information security for all personnel.(すべての人員の情報セキュリティに対処するポリシーの維持)
Solution
お客様はセキュリティポリシーに対する責任がありますが、Oracleは可能な限りお手伝いします。ほとんどのお客様はすでにセキュリティポリシーをお持ちなので、弊社チームはクラウド(IaaS、PaaS、SaaS)固有の視点でご支援できます。以下のURLはSANS Instituteの業界別のセキュリティポリシーテンプレートの一覧です。
結論として、これらの手順により、Oracle Cloud Infrastructure上の環境のPCIコンプライアンスが簡単に達成できることを願っています。Oracle Cloudへの移行を容易にするための、クラウドでのセキュリティ、コンプライアンスのためのブログ、ホワイトペーパー、Infrastructure Security as Code(ISaC)などを今後ご用意していきます。.
https://blogs.oracle.com/cloud-infrastructure/pci-compliance-on-oracle-cloud-infrastructure-is-easy
Oracle Cloud InfrastructureサービスにはPCI DSS Attestation of Compliance(準拠証明)があります。対象範囲はBlock Volumes、Object Storage、Archive Storage、File Storage、Data Transfer Service、Database、Exadata、Container Engine for Kubernetes、Container Registry、FastConnect、そしてGovernanceです。このエントリでは、Oracle Cloud Infrastructureの顧客がOracle IaaS上で実行するワークロードに対してPCIコンプライアンスを達成するのに役立つガイドラインを説明します。
Background
PCIコンプライアンスを達成するためのガイドラインは、クラウドセキュリティの連続体の共有責任スペクトラムに基づいています。下図は、クラウドのセキュリティとクラウド上のセキュリティの責任の分離を示しています。お客様は、Oracle Cloud Infrastructureでのワークロードの保護に対する責任があります。場合によっては、Oracleが提供するサービスを構成する必要があります。この責任は共有対象、つまりOracleはサービス基盤を維持し、お客様はそのサービスを使用し、セキュリティおよびコンプライアンスの要件に従って管理・制御を設定します。Information System Security Certification Consortium [ (ISC)2] による以下の図では、IaaS、PaaS、およびSaaSに関する責任分野を明確にしています。
当社は、お客様のセキュリティおよびコンプライアンスの要件を満たすソリューションを開発するために、Oracleの7 Pillars of Trusted Secure Enterprise Platformに従っています。
Oracle IaaS and PaaS Security and Complianceこれについては、Security Solutions Architectureの次回のエントリで詳説しますが、今回はOracle Cloud Infrastructure上のPCIに焦点を当てます。
https://cloud.oracle.com/en_US/iaas-paas-compliance
Recommended High-Level Solutions for PCI Compliance on Oracle Cloud Infrastructure
PCI Security Standards Council (R) の最新のRequirements and Security Assessment Procedures version 3.2.1 (May 2018)に従います。Requirements and Security Assessment Procedures文書ごとに、6つのセクションにわたって12の詳細な要件があります。
https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf?agreement=true&time=1533259034559
- Build and Maintain a Secure Network and System
- Protect Cardholder Data
- Maintain a Vulnerability Management Program
- Implement Strong Access Control Measures
- Regularly Monitor and Test Networks
- Maintain an Information Security Policy
それでは詳細に入っていきましょう。
Section 1: Build and Maintain a Secure Network and System
Requirement 1Install and maintain a firewall configuration to protect cardholder data.(カード会員データを保護するためのファイアウォールをインストール、構成して設定を維持する)
Solution:
Oracle Cloud Infrastructureのセキュリティ・リスト(Oracle Cloud Infrastructureの管理下のサブネット固有のファイアウォール・ルール)を使用する。
Security Listsさらに、MarketplaceからFortinetまたはCheckpointのファイアウォール・イメージをダウンロードし、Oracle Cloud Infrastructureでファイアウォール・アプライアンスをプロビジョニングする。
https://docs.cloud.oracle.com/iaas/Content/Network/Concepts/securitylists.htm?tocpath=Services|Networking|Access%20and%20Security|_____3
Fortinet FortiGate-VM Next-Generation Firewall (NGFW) v5.6/v6.0 for OCIRequirement 2
https://cloudmarketplace.oracle.com/marketplace/en_US/listing/42416321
Check Point CloudGuard IaaS Security Gateway
https://cloudmarketplace.oracle.com/marketplace/en_US/listing/37604515
Do not use vendor-supplied defaults for system passwords and other security parameters.(ベンダー提供のデフォルトをシステムパスワードやその他のセキュリティパラメータとして利用しない)
Solution
PCIドキュメントのガイダンスを確認する。Oracle Cloud Infrastructureでのユーザー資格証明の管理方法に関する詳細なドキュメントも用意している。
User Credentials
https://docs.cloud.oracle.com/iaas/Content/Identity/Concepts/usercredentials.htm
Section 2: Protect Cardholder Data
Requirement 3Protect stored cardholder data.(格納しているカード会員データの保護)
Solution
これは保存データの保護を対象としている。デフォルトでは、Oracle Cloud InfrastructureのBlock StorageおよびObject Storageは暗号化されている。さらに、将来登場する予定のKMS、または任意のサポート対象のHSM、Oracle Wallet、Oracle Key Vault、およびサードパーティのVault製品では、キーと秘密の管理で無類の柔軟性を提供する。データセキュリティについては、Transparent Data Encryption (TDE、透過データ暗号化)と列レベルの暗号化を提供している。
Requirement 4
Encrypt transmission of cardholder data across open, public networks.(オープンかつパブリックなネットワーク間でカード会員データの送信を暗号化)
Solution
すべての制御および管理プレーンの通信は、PCI DSS準拠証明に必要なTLSで保護されている。また、(SSLではなく)TLSを使用し、必要に応じてロードバランサでアプリケーションの前さばきをすることを推奨する。
Overview of Load BalancingFastConnectと共にSSHとIPSec VPNの使用を強く推奨する。
https://docs.cloud.oracle.com/iaas/Content/Balance/Concepts/balanceoverview.htm?tocpath=Services%7CLoad%20Balancing%7C_____0
Section 3: Maintain a Vulnerability Management Program
Requirement 5Protect all systems against malware and regularly update antivirus software or programs.(マルウェアから全てのシステムを保護し、定期的にウイルス対策ソフトウェアやプログラムを更新)
Solution
Dyn Malware Protectionサービスを使用して、Oracle Cloud Infrastructure上で動作するWebアプリケーションに感染する前に、論理ネットワークのEdgeでマルウェアをブロックする。
Malware Protection to Block Malicious Malwareまた、ウイルス対策ソフトウェアがOSレベルでデプロイされていることを確認する。
https://dyn.com/malware-protection/
Requirement 6
Develop and maintain secure systems and applications.(セキュアなシステムやアプリケーションの開発・維持)
Solution
我々はセキュアなシステムを開発し、維持するための多くの推奨事項を有している。パッチ管理ポリシーを策定し、この目的のためにマネージドクラウドサービスプロバイダを使用する。マネージドクラウドサービスプロバイダをお探しの場合、多くのOracle Cloud Infrastructure MSPパートナーとならんで、Oracle Managed Cloud Servicesもその選択肢の一つである。
Oracle Advanced Customer Services
https://www.oracle.com/support/advanced-customer-services/index.html
Section 4: Implement Strong Access Control Measures
Requirement 7Restrict access to cardholder data by business need-to-know.(ビジネスニーズによるカード会員データへのアクセス制限)
Requirement 8
Identify and authenticate access to system components.(システムコンポーネントへのアクセスを識別、認証する)
Solution
IAMアクセス制御(コンパートメントとポリシー)に関するドキュメントを確認する。
Overview of IAMさらに、Oracle CASBおよびOracle IDCSを使用して、アクセス・ポリシーに関するさらなるセキュリティ制御を行うことを推奨する。
https://docs.cloud.oracle.com/iaas/Content/Identity/Concepts/overview.htm?tocpath=Services%7CIAM%7C_____0
Oracle CASB: Cloud Access Security BrokerOracle Container Engine for Kubernetesの場合、IAMに加えてKubernetes Role Based Access Controlを使用する。
https://cloud.oracle.com/ja_JP/casb
Identity Cloud Service
https://www.oracle.com/cloud/paas/identity-cloud-service.html
Container Engine for KubernetesOracle Cloud InfrastructureでのKubernetesセキュリティに関して将来エントリを記載する予定です。
https://cloud.oracle.com/containers/kubernetes-engine
About Access Control and Container Engine for Kubernetes
https://docs.cloud.oracle.com/iaas/Content/ContEng/Concepts/contengaboutaccesscontrol.htm
Requirement 9
Restrict physical access to cardholder data.(カード会員データへの物理的なアクセス制限)
Solution
これは、アベイラビリティ・ドメインやリージョン・レベルでのデータセンターの物理的なセキュリティ管理の対象です。物理的なセキュリティ要件に対応するよう、ISO 27001、SOC 1、SOC 2、およびSOC 3の認証を取得済みである。これらの認定は、PCI DSS準拠証明の基礎となるものである。
Section 5: Regularly Monitor and Test Networks
Requirement 10Track and monitor all access to network resources and cardholder data(ネットワークリソースおよびカード会員データへのすべてのアクセスの追跡および監視)
Requirement 11
Regularly test security systems and processes.(セキュリティシステムとプロセスの定期的なテスト実施)
Solution
監視にはOracle CASBおよびOracle Cloud Infrastructure Audit Servicesを使用する。
Overview of AuditCASBと監査ログを既存のSIEMソリューションと統合し、以下のリンクを参考に、Oracle Cloud Infrastructureベースの環境の定期的な侵入テストを計画・実行する。
https://docs.cloud.oracle.com/iaas/Content/Audit/Concepts/auditoverview.htm?tocpath=Services%7CAudit%7C_____0
Oracle® Cloud Managing and Monitoring Oracle Cloud多くの遠隔測定および監視機能が登場しており、現在自動化されたOpenVASソリューションを開発中です。
Oracle Cloud Security Testing Policy
https://docs.oracle.com/en/cloud/get-started/subscriptions-cloud/mmocs/oracle-cloud-security-testing-policy.html
Penetration and Vulnerability Testing
https://docs.oracle.com/en/cloud/get-started/subscriptions-cloud/mmocs/oracle-cloud-security-testing-policy.html#GUID-7238434F-6541-4FF7-9E79-E90A48631413
Section 6: Maintain an Information Security Policy
Requirement 12Maintain a policy that addresses information security for all personnel.(すべての人員の情報セキュリティに対処するポリシーの維持)
Solution
お客様はセキュリティポリシーに対する責任がありますが、Oracleは可能な限りお手伝いします。ほとんどのお客様はすでにセキュリティポリシーをお持ちなので、弊社チームはクラウド(IaaS、PaaS、SaaS)固有の視点でご支援できます。以下のURLはSANS Instituteの業界別のセキュリティポリシーテンプレートの一覧です。
Information Security Policy Templates
https://www.sans.org/security-resources/policies