Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PCI DSS 合规性

如果您的组织受支付卡行业数据安全标准 (PCI DSS) 要求的约束,请使用此信息了解Juniper Mist™云如何在有线、无线和 SD-WAN 域中支持 PCI DSS。

介绍

PCI DSS 是一种通用标准,旨在防止零售领域和其他行业(如银行业)进行在线支付的信用卡和支付数据欺诈。通过提供一致的安全策略和最佳实践,PCI DSS 使安全人员和网络管理员能够有效阻止对支付数据的各种威胁。PCI DSS 4.0 于 2022 年 3 月开始接受评估。

网络是 PCI DSS 合规性的关键基石,因为它是传输支付数据的主要通道。PCI DSS 要求旨在确保网络安全作和实践消除或最小化已知风险。PCI DSS 要求还确保组织定义可追溯的结构良好的政策、程序和可审计的实践。

无线网络对于零售环境尤为重要,因为业务运营和数字参与技术依赖于移动连接。例如,销售点设备、扫描仪、读码器、打印机和移动数据终端都在无线局域网 (WLAN) 上运行,而无线局域网是零售业务的命脉。无线网络的 PCI DSS 合规性规定了两种类型的要求:

  • 普遍适用的无线 — 即使无线网络不在持卡人数据环境 (CDE) 的范围内,这些要求也适用。其中包括强大的网络分段,可保护 CDE 网络和安全性免受来自恶意或未知无线接入点 (AP) 和客户端的攻击。
  • 在 CDE 中保护无线安全 — 这些要求适用于通过无线和有线技术传输支付卡信息的系统。除了普遍适用的无线要求外,它们还对更改默认密码和配置、使用强加密和身份验证、使用合规软件定期更新系统以及监控访问提出了额外的安全要求。

PCI DSS 4.0 合规性证明 (AOC)

Juniper Mist解决方案已经过独立 PCI DSS 安全评估员的评估,符合 PCI DSS 4.0 合规性认证 (AOC)。

云安全性

Juniper Mist云位于 CDE 环境之外,因为它不携带任何无线数据包数据。无论如何,Mist 都会采取其他措施来确保 Mist 云中的最高级别安全性,以确保安全性、处理完整性和可用性,如下所示:

  • 使用 SOC2 Type 2/ISO 27001/ PCI 云数据。
  • 维护信息安全策略。
  • 使用网络应用防火墙/访问控制列表。
  • 使用入侵检测系统 (IDS) / 入侵防御系统 (IPS)。
  • 在各个级别使用行业标准加密。
  • 对存储在云中的数据进行混淆处理。
  • 将安全性与开发周期集成,并执行渗透测试以检测网络和应用中的漏洞。
  • 定期执行安排的内部和外部漏洞扫描。
  • 对所有范围内的员工实施年度安全意识培训。
  • 执行年度风险评估。
  • 包括事件响应计划。
  • 订阅由独立 PCI DSS 安全评估员提供的年度 PCI DSS 合规性证明 (AOC)。

可以在Mist环境中实施以下架构,以确保网络分段:

  • 物理分段 — 实现网络分段的一种方法是将无线接入点连接到物理上与 CDE 网络分离的有线网络上。这意味着要有一个与 CDE 环境的有线网络没有任何交集的叠加有线和无线基础架构。在此方案中,CDE 和非 CDE 网络之间没有共享的防火墙或 Internet 连接。

  • 基于 VLAN 的逻辑分段 — 通常使用虚拟 LAN (VLAN) 将网络分段为逻辑子网。虽然可以通过将无线网络和 CDE 置于不同的 VLAN 中来实现逻辑分段,但如果 VLAN 之间没有访问控制策略,则这种方法并不安全。

  • 防火墙分离 — 如果 WLAN 连接到 CDE,则在无线网络和 CDE 网络之间建立防火墙是一种可接受的分段形式,符合 PCI DSS 4.0 要求。

  • 软件定义的策略引擎 — Mist 的集成 WxLAN 策略引擎可用于将任何无线流量隔离到 CDE 环境中。Mist通过其内联策略引擎 WxLAN 为网络上的角色、用户、应用和基于资源的访问创建策略,提供了一个强大的平台。Mist无线基础架构允许在任何有线网络上实施策略,而系统中配置的所有 WLAN 都阻止了对 LAN 的访问。

为确保无线网络符合 PCI DSS 的普遍适用要求,零售商需要特别注意以下几点:

  • 非法设备 — 这些是有线网络上的意外或恶意接入点,可用于侵犯有权访问所有网络资源的内部网络。
  • 蜜罐设备 — 这些意外或恶意接入点伪装成经批准的接入点,发送零售商的接入点信标。
  • 不合规和未经批准的接入点 — 此类别包括不合规且运行旧固件且缺乏关键安全性的已批准接入点。它还包括作为邻居或对零售店或仓库内的无线作造成意外干扰的接入点。

需要无线 IDP 来处理这些外部设备,以监控射频环境并隔离不用于持卡人数据的接入点。传统上,WLAN 供应商主要通过两种方式来满足 WIDS/WIPS 合规性要求:

  • 兼职 — 不为客户端提供服务时,接入点会扫描频谱以查找恶意设备。此方法类似于安全解决方案仅在某些时间有效,而不是 24x7。
  • 专用接入点 — 这些接入点提供对无线网络的全天候安全监控。虽然这种方法可确保持续保护,但它会增加额外接入点的部署成本,以及将 PoE 电缆安装到 IDF/MDF 以给传感器供电的相关成本。

一些供应商在接入点中使用双频射频,并在接入点内窃取射频用于传感器实现。这种方法可能会在信道规划中引起噩梦,并可能导致覆盖范围不足。一些供应商在提供带有专用第三类无线信号的三频接入点解决方案的同时,会部署与其余无线基础架构和控制器解决方案正交的完整叠加监控解决方案。它们使用数据源、数据库、可视化的孤立孤岛,甚至单独控制无线配置、控制和调配。

Mist AP 提供连续的 24X7 频谱扫描以及 2.4 GHz、5 GHz 和 6 GHz 客户端接入。通过这种方法,Mist 持续扫描频谱,以发现恶意、蜜罐、干扰和异常情况,例如站点连接尝试失败(这可能是 DDoS 攻击的来源)。

Mist平台维护所有接入点、客户端、位置、站点和站点组的关键指标基准。Mist 的人工智能基础架构可以识别网络各个层面的异常活动。Mist 平台可以检测现有威胁和零日威胁。此外,Mist 的定位技术可用于准确定位意外或恶意流氓设备,并提供基于位置的资源访问。

Mist的机器学习框架可以扩展到行为分析,从而根据“正常”基线检查客户端设备的功能。当关键状况发生变化时,例如显示为 2x2 设备的 4x4 客户端设备,或因加利福尼亚位置从纽约访问网络而获准的客户端设备,将生成警报。

在持卡人数据环境 (CDE) 中保护无线安全

第二组要求适用于处理信用卡数据的同一网络上的无线设备。Mist允许您对范围内的 VLAN 和无线 LAN 执行 PCI 扫描。它可以帮助您修复无线网络上的漏洞,并在无线管理系统上实施策略。

无线 符合
表 1:Juniper Mist PCI DSS 合规性
MIST 的 PCI DSS 要求MIST 的价值主张
1.1.2 当前网络图,用于识别持卡人数据环境与其他网络(包括任何无线网络)之间的所有连接。 Mist 的 PCI 扫描报告可识别与 CDE 连接的无线 SSID 和 AP 列表。
1.2.3 维护一个准确的网络图,显示CDE与其他网络之间的所有连接,包括任何无线网络。 网络图包括 WLAN、SSID 和接入点库存。
2.1.1 对于连接到持卡人数据环境或传输持卡人数据的无线环境,请在安装时更改所有无线供应商默认值,包括但不限于默认无线加密密钥、密码和 SNMP 社区字符串。 Mist没有默认密码、加密密钥或 SNMP 社区字符串。
2.4 维护 PCI DSS 范围内的系统组件清单。维护 PCI DSS 范围内的系统组件清单。 Mist提供了 PCI DSS 范围内的无线网络和接入点列表。
4.1.1 确保无线网络传输持卡人数据或连接到持卡人数据环境,使用行业最佳实践实施强加密进行身份验证和传输。 Mist支持强加密标准,包括 WPA2-PSK 和具有 AES 加密的 WPA2-Enterprise。作为其PCI扫描报告的一部分,Mist指出了CDE范围内SSID上使用的任何弱加密。

6.2 通过安装供应商提供的适用安全修补程序,确保所有系统组件和软件都受到保护,免受已知漏洞的影响。在发布后的一个月内安装重要的安全补丁。

注意:应根据要求 6.1 中定义的风险排名流程识别关键安全补丁。

 Mist提供最新发布的固件,其中包括无线网络完整性所需的任何关键修复程序。Mist识别尚未升级到最新固件的任何接入点。
7.1 将对系统组件和持卡人数据的访问限制为仅其工作需要此类访问的个人。 无线网络访问仅限于授权管理员。所有授权管理员都列在Mist PCI 扫描报告中。
7.2 为系统组件建立一个访问控制系统,该系统根据用户的需要限制访问,并设置为“拒绝所有”,除非特别允许。 Mist网络管理员被分配了具有有限访问范围的角色。默认管理员角色为观察者(仅查看)。
8.1.1 在允许所有用户访问系统组件或持卡人数据之前,为所有用户分配一个唯一的 ID。 Mist 的 PCI 扫描报告可识别与 CDE 连接的无线 SSID 和 AP 列表。

8.2 除了分配唯一 ID 外,通过至少采用以下一种方法来对所有用户进行身份验证,确保对所有系统组件上的非使用者用户和管理员进行适当的用户身份验证管理:

• 您知道的信息,例如密码或密码

• 您拥有的东西,例如令牌设备或智能卡

• 你是什么东西,比如生物识别

 所有Mist管理员都使用复杂密码或双因素身份验证 (2FA) 进行身份验证。
8.2.8 如果用户会话空闲超过 15 分钟,则需要用户重新进行身份验证以重新激活终端或会话。 设置身份验证参数以满足这些要求。

8.3.4 无效的身份验证尝试受以下限制:

  • 尝试不超过 10 次后锁定用户 ID。

  • 将锁定持续时间设置为至少 30 分钟,或直到确认用户的身份。

 设置身份验证参数以满足这些要求。

8.3.6 如果使用密码/密码短语作为身份验证因素来满足要求 8.3.1,则它们满足以下最低复杂程度:

  • 最小长度为 12 个字符(如果系统不支持 12 个字符,则最小长度为 8 个字符)。

  • 同时包含数字字符和字母字符。

 设置身份验证参数以满足这些要求。
9.1.3 限制对接入点、网关、手持设备、网络/通信硬件和电信线路的物理访问。 借助接入点套件中的螺钉和托架,可以使接入点Mist物理固定。AP 上的 Kensington 锁插槽支持额外的物理安全。
10.1 实施审计跟踪,将对系统组件的所有访问链接到每个单独的用户。 所有系统访问、更新和配置更改都在审计日志中进行跟踪。
10.5.4 将面向外部的技术的日志写入安全、集中的内部日志服务器或媒体设备上。 所有事件日志都存储在 SOC 2 Type 2 数据中心托管的 Mist 云平台的集中式服务器中。

11.1 实施流程以测试是否存在接入点 (802.11),并每季度检测和识别所有已授权和未授权的接入点。

注意:该过程中可能使用的方法包括但不限于无线网络扫描、系统组件和基础架构的物理/逻辑检查、网络访问控制 (NAC) 或无线 IDS/IPS。无论使用哪种方法,它们都必须足以检测和识别已授权和未授权的设备。

 Mist WIDS/WIPS 可以检测网络上的已授权和未授权接入点,无需进行密集的手动无线扫描。具体而言,恶意接入点检测和遏制可保护 CDE 网络免受攻击。

结论

随着组织越来越依赖无线网络作为业务服务的关键推动因素,PCI DSS 需要特别关注 WLAN 安全性。

幸运的是,Mist可以满足您的需求。通过保护无线网络免受外部攻击并确保在 CDE 网络上传输的数据始终安全,Mist 学习型 WLAN 是 PCI 环境中关键业务无线网络的安全选择。Mist架构的主要区别在于工作流程是如何简化的,以便为网络 IT、安全运维团队、营销和其他业务线提供一致的体验。借助Mist,接入层连接和相关应用现在的关键就是提供全面、出色和安全的体验。