Açık Kaynak Kodlu Yazılımlar ve PCI DSS Uyumu
PCI DSS kontrollerinde beklenen ürünler nelerdir? PCI DSS uyumu genel olarak kontrollerin kritik sistemlerde işleyiş ve kontrolünü içermektedir. Bu kontroller sağlanırken PCI DSS standardı açık kaynak veya kurumsal ürün arayışından ziyade kontrolün etkin işlerliğini kontrol etmektedir. Genel olarak ilk akla gelen ürünler; • Güvenlik Duvarı ve Router Ürünleri • Application Intrusion Detection/Prevention Systems (IPS/IDS), Web Application Firewall (WAF) • Veritabanı ve Depolama Çözümleri • Şifreleme Çözümleri • Denetim İzi (Log) Yönetim Sistemleri • Dosya Bütünlük Kontrol (FIM) • Zararlı Yazılım Korunma (AV) • Zafiyet Taraması Çözümleri Söz konusu ürünlerin hepsinde gerek kurumsal gerekse açık kaynak kodlu çözümler bulunmaktadır. Peki ürünleri nasıl seçeceğiz?
PCI DSS ürün seçimi nasıl yapılmalıdır? PCI DSS ürün seçimi yapılırken altın kural her kontrolü bir arada yapan, kurtaran veya sağlayan sihirli ürünler olmadığını unutmayalım. Ürün testleri öncesinde reklamlardaki özelliklerden ziyade PCI DSS beklentilerini listeleyip, ihtiyacı tam buna uygun şekilde belirlemek gerekiyor. Kritik olan ürünler için gelin birlikte bir analiz gerçekleştirelim. Birinci kritik ürünümüz güvenlik duvarıdır, PCI DSS bir güvenlik duvarından neler bekliyor özetleyelim: 1. Yönetim standart ve dokümantasyonu olmalı 2. VLAN Segmentasyonunu ve DMZ yapısını desteklemeli 3. Port ve IP bazlı kural yazılabilmeli 4. Değişiklik yönetimi ile takip edilebilmeli 5. Değişiklik ve erişim logları olmalı 6. İnternete açık arayüzlerinde anti-spoofing koruması olmalı 7. Güncellenebilmeli ve güvenlik yamaları önerilen en üst seviyede olabilmeli Bu kontrolleri değerlendirdiğimizde PCI QSA gözünde binlerde dolarlık bir yapı ile pfSense benzeri bir açık kaynak kodlu ürün arasında fark bulunmamaktadır. Söz konusu kontrolleri otomatik çözümlerle işletebileceğiniz gibi manüel süreçlerle de işletmeniz mümkündür. Denetçi için güvenlik, denetlenebilirlik ve hesap verilebilirlik önemlidir. İkinci kritik ürünümüz denetim izi (log) yönetim sistemidir, PCI DSS log yönetim ürününde neler bekliyor özetleyelim: 1. Kapsamdaki sistemlerdeki denetim izleri merkezi log yapısında toplanmalıdır 2. Loglar hesap verilebilirlik ilkesine uygun olmalıdır. 3. Log toplama durduğu, kapatıldığı, silindiği ve sıfırlandığı durumlarda log ürünü uyarı vermelidir 4. Zaman bilgisi merkezi ile uyumlu olmalıdır (NTP) 5. Denetim izlerine müdahale yapılamamalıdır 6. Gerekli kişilerin erişimine açık olmalıdır 7. Düzenli gözden geçirilmelidir ve gerekli uyarılar tanımlanmalıdır Baktığımızda bu beklentiyi sağlayan Kibana ve benzeri ürünler olduğu gibi çok daha gelişmiş sistemlerde bulunmaktadır. Loglar konusunda özetle denetçi yaptığı testlerde kapsamdaki sistemlere erişim izlerini, kredi kartı bilgilerine erişimi, uygulama izlerini, değişiklik izlerini ve müdahale girişimlerini kayıt altında görmeyi beklemektedir.
2
Peki iki kritik yapıda alternatif olabildiği gördük peki neden şirketler paralı çözümlere gitmeyi tercih edebiliyor? Bu sorunun cevabı iki probleme genelde dayanıyor: 1. Açık kaynak kodlu ürünlerde yerel veya global destek durumu bulunmuyor. Bir sorun çıktığında yayınlanan belge ve forumlarda yazanlar size yol göstermesi gerekecektir. 2. Açık kaynak kodlu ürünlerde geliştirme ve konfigürasyon göreceli olarak paralı ürünlere göre daha zordur. Yetişmiş iç kaynak veya danışman gerektirmektedir. Covid-19 sonrası gündemimizde maliyetlerin düşürülmesi, öte yandan makul güvenlik ortamının da sağlanması öne çıkmaktadır. Açık kaynak kodlu ürünler bu noktada pek çok işletmeye çözüm sunmaktadır. Uyarlamayı yaparken problem olabilecek durumlar hep akılda kalıyor. Olumsuz bir duruma doğru sürüklendiğinizde genelde verdiğimiz bir örnek bulunmaktadır. Varsayalım ki bir ödeme geçidi firmasısınız ödeme kabul eden ve işleyen uygulamanızı kendiniz yazdınız ve gidip hazır ürün almadınız. Bu ürünü uyarlarken neler yapıyoruz? Seçtiğiniz yazılım dilinde uzman geliştiriciler ile çalışıyoruz. Benzer şekilde konu uzmanlarını kadronuza kattığınızda veya danışman olarak destek aldığınızda yazılımdan süreçlerinde çok farklı değildir ve korkulduğu kadar bu ürünler sorun çıkarmaz. Öte yandan açık kaynak kodlu ürünler limit ve yetkinliklerini iyi bilmek gerekiyor ve buna uygun işletim sağlamak gerekmektedir. PCI denetimlerinde unutmayın! Aşağıdaki durumlarda bir olumsuzluk gördüğünüz denetçi bağımsızlığını yitirmiş demektir ve PCI Konseyine derhal bildirilmelidir. - PCI QSA Denetçi kendi ürünü ve hizmetleri haricinde ürünleri için yol gösterebilmelidir ve bağımsız olmalıdır. - Önerdiğimiz ürünü almazsanız sizi denetimden geçiremeyiz demek YASAKTIR.
3
Ateş Sünbül
BT Denetim, Güvenlik ve Danışmanlık - Partner
PCI QSA, CISA, CISM, ISO 27001 LA - BDDK BS Başdenetçi asunbul@mazarsdenge.com.tr