Всемогущий DevOps: безопасность в финтех

Как команда DevOps NAN agency с первой попытки и без единого замечания обеспечила прохождение сертификации PCI DSS для сервиса приёма платежей (NDA).

Когда речь заходит о финтех проектах, первое, что заботит заказчика и исполнителя, — безопасность. Как должна быть организована инфраструктура и работа в ней, чтобы все платежные данные клиентов были под надежной защитой?

Это задача для специалистов по автоматизации технологических процессов сборки, настройки и развертывания программного обеспечения — девопсов. Одна из зон ответственности команды DevOps для финтех — это прохождение стандарта PCI DSS (Payment Card Industry Data Security Standard). Компания, работающая с платежными картами, должна ежегодно подтверждать своё соответствие стандарту безопасности.

Это максимально важно, потому что этот стандарт определяет строгие правила для защиты финансовых операций и инфраструктуры — 12 требований, которые затрагивают многие бизнес-процессы и технологии обеспечения безопасности и выполнение которых дает организации право заявлять о своём соответствии глобальному стандарту PCI DSS. Сертификацию проводит аккредитованная компания со статусом QSA (список таких организаций), которая проверяет систему на уязвимости и выполнение стандарта. 

Справка:

PCI DSS представляет собой список комплексных мер, соблюдение которых позволяет организациям предотвращать инциденты безопасности и обеспечивать необходимый уровень защиты всей платёжной системы. Если компания проходит процедуру подтверждение стандарта PCI DSS, это значит, что её платежная система отвечает международным требованиям безопасности данных держателей карт на момент проверки. Сертификат действует 1 год, после чего аудит повторяется.

NAN agency уже несколько лет работает с сервисом приема платежей Закзчика, и наша команда DevOps отвечала за его подготовку к сертификации PCI DSS.

Девопсы NAN тщательно подготавливали инфраструктуру клиента с амбициозной целью — пройти процедуру подтверждения стандарта безопасности с первого раза.

Это не прихоть и не пища для гордыни, а суровая бизнес-необходимость. Если организация подает заявку на сертификат PCI DSS, но не дотягивает до него, то это означает сразу две серьезные вещи:

1 — в системе безопасности есть бреши, которые делают организацию ненадежным поставщиком платежных услуг;

2 — вся команда занимается доработками под стандарт вместо того, чтобы брать новые задачи для расширения возможностей сервиса. 

1. Защита вычислительной сети — установить и поддерживать в актуальном состоянии брандмауэры для защиты периметра сети и внутренних сегментов, где обрабатываются или хранятся данные карт, контролируя сетевой трафик.
2. Отказ от паролей по умолчанию — не использовать предоставленные поставщиком значений по умолчанию для системных паролей и других параметров безопасности
3. Защита хранимых данных о держателях карт — шифровать хранимые данные для защиты от утечек
4. Защита передаваемых данных о держателях карт — шифровать передачу данных держателей карт через открытые публичные сети для предотвращения перехвата.
5. Антивирусная защита информационной инфраструктуры — использовать антивирусное ПО и регулярно обновлять базы для защиты от вредоносных программ.
6. Разработка и поддержка безопасных систем и приложений — внедрить методологию безопасной разработки программного обеспечения (Secure SDLC), установить последние патчи безопасности и обновлений для всех систем и приложений, включая исправление уязвимостей и проведение тестирования на проникновение.
7. Ограничение доступа к данным держателей карт по служебной необходимости — доступ к критической инфраструктуре предоставляется только по принципу минимально необходимых привилегий (principle of least privilege).
8. Механизмы аутентификации — назначить каждому пользователю уникальный ID для аутентификации вместо общих паролей.
9. Физическая защита информационной инфраструктуры — ограничить физический доступ к серверам, сетевому оборудованию и другим компонентам инфраструктуры, где хранятся или обрабатываются данные карт.
10. Отслеживание и контроль доступа к сетевым ресурсам и данным держателей карт — внедрить механизмы логирования действий администраторов через систему SIEM.
11. Протоколирование событий и действий — вести журнал событий, регулярно тестировать системы и процессы безопасности.
12. Контроль защищённости — поддерживать политику информационной безопасности, обучая персонал и контролируя ее соблюдение.

Для кого-то этот набор требований звучит, как «красный — стой, зелёный — иди» или «брокколи — хорошо, чипсы — плохо, не ешь чипсы». Но часто то, что в теории звучит просто и красиво, на практике начинает сиять нюансами. Согласно результатам исследования Analysys Mason, только 42% поставщиков облачных сервисов соблюдают стандарты безопасности данных отрасли платежных карт.

1. Выбрали критерии стандарта, по которым необходимы работы.
2. Организовали безопасность контура передачи данных клиентских карт, изолировав виртуальные машины (далее ВМ) с приложением и базами данных.
3. Внедрили мониторинг безопасности, установив специальное ПО.
4. Ограничили доступ к машинам с приложениями до минимума. 
5. Реализовали программу управления уязвимостями: сделали своевременное обнаружение потенциальных уязвимостей новым, пока ещё не созданным, хакерским ПО, чтобы на перспективу предотвратить появление брешей.
6. Подготовили актуальную документацию и список ПО — большой пакет документов, включая полные сведения о системе, технике и сотрудниках компании.

Первое, с чего начали наши девопсы, — организация безопасность контура, где передаются данные карт клиентов. Это система, где вводятся пользовательские данные и где собственно происходит оплата.

Есть две основные стратегии защиты: отбиваться и прятаться. Наши специалисты выбрали вторую, изолировав порты части ВМ от внешнего мира: защита инфраструктуры основывается на принципе минимизации поверхностей атаки и изоляции критических систем.

Сам по себе сервис оплат нашего клиента — это платформа, у которой есть, условно говоря, две зоны:

1. продакшн, где находится часть серверов с приложением — отсюда поступают данные клиентов нашего заказчика;
2. изолированная часть приложений (то есть без публичных адресов) с ВМ, которые отвечают за обработку информации с продакшена — это и есть наша зона PCI DSS.

Ещё есть база данных, она развернута в облаке как отдельная сущность — с серверов клиентского приложения в неё не зайти.

Задача — максимально изолировать эти зоны друг от друга. Решали её программным способом: поставили несколько видов определенного софта — каждый софт отвечает за свою часть в общей работе по отслеживанию безопасности ВМ, на которых вертятся приложения. Один софт, чтобы, например, создавать слепок всего того, что установлено на машине, и потом каждый день или через день делать анализ и сравнивать этот слепок по контрольным суммам с тем, что в момент анализа содержится на машине. Если не сходится, то мы выясняем причины — расхождение легитимного происхождения или нет. Если нет, то устраняем «лазутчика».

Чтобы эти машины выполняли свою функцию (на них приходят данные для обработки), существует ещё одна машина, которая эти данные и пропускает. У нее одна задача — пропускать легитимное в скрытую зону PCI DSS. То есть это такой контур безопасности, своего рода пограничник или даже отряд морской пехоты, охраняющий периметр.

Закрытые порты — это основа основ. Доступы к ВМ получило строго ограниченное число людей по  IP-адресам. Одно это ликвидирует 80% потенциальных проблем. Поэтому дальше всё, что нам нужно было сделать, это организовать предотвращение угроз, возможных только при доступе к этим портам.

Поступающий трафик на машины PCI DSS обрабатывается средствами защиты — ПО, о котором рассказано выше (конкретные инструменты и технологии перечислим чуть ниже), — именно они и установлены на ВМ PCI DSS. Эти системы сами по себе отбрасывают подозрительную активность, удаляют с ВМ то, что считают вредоносным, проводят регулярные сканирования и передают логи в Yandex Cloud Logging для последующего хранения и анализа. На основании этого анализа выявляется, были ли попытки взлома, если были, то какие. Дополнительно есть оперативная работа систем, благодаря которой мы узнаем о нежелательных «гостях», топчущихся у дверей нашей зоны PCI DSS.

Ещё важный момент — закрытие дыр в безопасности на перспективу. Мы предвосхищаем возможные уязвимости, которые могут быть обнаружены новым ПО, в будущем созданным злоумышленниками для обхода нашего софта. Хакеры выпускают такое ПО постоянно в большом количестве. Поэтому мы не стали расслабляться от того, что наш контур уже надежно защищен. Напротив, наши девопсы сделали своевременное обнаружение потенциальных уязвимостей, чтобы предотвратить появление брешей и взлом системы через них.

Список того, что мы внедрили для соответствия требованием PCI DSS

Мониторинг безопасности:

• Audit Trails — для отслеживания действий пользователей и важных системных событий
• TD Agent Bit — для централизованного сбора и передачи логов

Управление уязвимостями:

• Nmap с дополнениями nmap-vulners и nmap-bootstrap-xsl — для сканирования сети, обнаружения уязвимостей и генерации отчетов
• AIDE — для контроля целостности файловой системы

Защита и контроль трафика:

• ClamAV — антивирусное решение для защиты от вредоносного ПО
• Chrony — для синхронизации времени на серверах
• Обновленный OpenSSH — для безопасного удаленного доступа
• Snort3 с PulledPork3 — система обнаружения и предотвращения вторжений
• Nemesida WAF Community Edition — веб-приложение файрвол для защиты от атак

Эти инструменты в совокупности обеспечивают выполнение ключевых требований PCI DSS по защите данных держателей карт.

Организовать безопасность — это лишь полдела в вопросе прохождения PCI DSS. Необходимо всю реализацию ещё и описать. На самом деле именно в подготовке документации кроется больше всего работы: это вся информация о том, какие компьютеры и сеть в офисе компании, как работают сотрудники, какие у каждого права доступа, кто куда может ходить в системе, а кто вообще туда ходить не может — то есть это пакет документов не только про саму систему и сайт, а вообще про всю организацию заказчика! Эта задача самая объемная и затратная по времени, которой также занимаются специалисты DevOps в команде с заказчиком.

Коротко о том, как выглядит сама сертификация PCI DSS. Приходит аккредитованная организация и начинает сканировать нашу систему: пытается всячески её ломать, выуживать слабые места, точки для взлома, ищет открытые порты — делает всё, чтобы то, над чем работали девопсы, сдалось. 

Итог: в 2024 году наш клиент успешно прошел сертификацию PCI DSS с первой попытки без каких-либо замечаний вообще, подтверждая этим надежность платежной системы. Сейчас девопсы NAN готовятся повторить этот успех в уже наступившем новом году.

Если ваша компания работает с платежными данными, то соответствие PCI DSS — не просто требование, а бизнес-необходимость. Мы рекомендуем:

1. Ставить безопасность в приоритет — строить инфраструктуру с учётом требований стандарта.
2. Использовать DevOps-подход — автоматизировать процессы обновления, мониторинга и управления доступом.
3. Реализовывать централизованный мониторинг — внедрение SIEM-систем значительно повышает уровень защиты.
4. Регулярно тестировать систему — сканирование уязвимостей и пентесты должны быть частью стратегии безопасности.

Мы помогли нашему клиенту пройти сертификацию с первой попытки, и готовы сделать то же самое для вашего финтех-проекта. Если вам нужно соответствовать PCI DSS — свяжитесь с нами, и мы подготовим вашу инфраструктуру к сертификации!

Готовы к PCI DSS? Давайте обсудим ваш проект!