web-dev-qa-db-ja.com

LinuxでPCI DSS 2.0アンチウイルス要件(5.1)を渡す方法は?

PCI DSS 2.0要件5.1の状態:

5.1悪意のあるソフトウェアによって特に影響を受けるすべてのシステム(特にパーソナルコンピュータおよびサーバー)にウイルス対策ソフトウェアを展開します。

この要件(私は100%肯定的ではありませんが、これが唯一の要件です)により、社内のITセキュリティチームは、何らかの方法で運用環境に接続できるすべてのワークステーション(およびおそらくすべてのCHDサーバー)にウイルス対策とファイアウォールを要求しました。インストールされています。

私の意見では、ワークステーションまたはサーバーの唯一のOSがGNU/Linux(この場合は、Debian Wheezy)である場合、この要件はやや厄介です。私が知る限り、Linuxディストリビューションで実行するAVソフトウェアの主な目的は、Windowsマルウェアを検出することです。言うまでもなく、これらのツールはどれも「ライブ」保護を提供しません。あなたが得ることができる最高の保護は、スケジュールされたスキャンです(そして、要件5.1.1以降はかなり問題です)。

さらに、ファイアウォールはすべてのワークステーションにも必要です(PCI DSS 1.4))おもしろい部分は、実質的にすべてのLinuxインストールにファイアウォール(iptables)がある一方で、実質的にそれらにはルールがありません。

すべてのLinuxワークステーションおよびサーバーにアンチウイルスをインストールせずに、PCI DSSをパスできますか?

追加のファイアウォールをインストールしたり、すべてのLinuxワークステーションにiptablesを構成したりせずに、PCI DSSをパスできますか?

[〜#〜] added [〜#〜]:AVが必要な場合、要件5.1.1はどうですか?

5.1.1すべてのウイルス対策プログラムがすべての既知の種類の悪意のあるソフトウェアを検出、削除、および保護できることを確認します。

ユーザーが実行する、または実行しようとしているすべてをスキャンする場合のように、「ライブプロテクション」を実行できるLinux AVはないと思います。少なくとも最近のカーネルとの互換性はありません。

POST-CERTIFICATION UPDATE:弊社は現在PCI DSS .認定されており、GNU /を実行しているすべてのコンピューターにアンチウイルスをインストールする必要はありませんでした。 Linux。評価者がLinuxワークステーションでAVは必要ないという意見ですぐに言ったので、評価者と議論する必要はありませんでした。

linuxpci-dssantivirus
16
OhJeez

すべてのLinuxワークステーションおよびサーバーにアンチウイルスをインストールせずに、PCI DSSをパスできますか?

そのとおり。

追加のファイアウォールをインストールしたり、すべてのLinuxワークステーションにiptablesを構成したりせずに、PCI DSSをパスできますか?

そのとおり。

どちらの場合も、PCI-DSSには、特定のシステムへの要件の適用可能性(または適用不可)について妥当な議論をすることを可能にするステートメントが含まれています。

  1. 悪意のあるソフトウェアによって一般的に影響を受けるすべての "システムにAVを配置する必要があります"。 Linuxに配置したくない場合は、システムがAVパッケージが検出したものの影響を受けないようにする必要があります。そして明らかに、そのLinuxサーバーが何百ものWindowsクライアント用のSambaファイルサーバーである場合、それは不思議であり、とにかくそれを行う必要があります。
  2. DSS 1.4は、すべてのワークステーションにファイアウォールが必要であるとは言っていません。インターネットに直接接続できるすべての「モバイルおよび/または従業員所有のコンピューター)にファイアウォールが必要であると言っています "。

現在、@ graham-hillは、これらのことの真実を他の人々に説得する必要があることを正しく指摘しています。多分それらの他の人々はあなたの監査人であるかもしれません、多分それらの他の人々はあなた自身の同僚です。多分それらは合理的であり、おそらくそうではありません。簡単かもしれませんし、難しいかもしれません。要件をお読みくださいあなたのケースを文書化、議論を行い、勝つようにしてください...そしてそれが不当な世界であり、とにかく失う可能性があることを認識してください。

14
gowenfawr

Linuxサーバーに影響を与えるウイルス対策マルウェアに関しては、より一般的にはルートキットです。したがって、CHKRootkitとRKHunterを展開して、このウイルス対策要件を満たす必要があると思います。これは監査人によって受け入れられました。

NetstatやTopなどのアプリケーションの変更を検出する保護機能がないことはお勧めできません。 PCI-DSS要件だけでなく、システムセキュリティ実装における一般的なベストプラクティス。 Samhainデーモンのようなものは、そのようなアプリケーションのハッシュの変更を定期的に通知でき、そのような変更が検出された場合にrkhunterをバックグラウンドで実行するスクリプトを作成できます。

すでに述べたもう1つのことは、サーバーがファイルストレージまたは電子メール用である場合、着信メールまたはsamba共有をスキャンするClamAVの実装も使用できることです。私が多くの会社で働いていた監査人に、この監査人を解任させただけでは幸運だったと思います。これが、運用チームの他のメンバーと私自身が管理した方法です。

幸運を!

1
Sean Smith