Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PCI DSS 규정 준수

조직에 PCI DSS(Payment Card Industry Data Security Standard) 요구 사항이 적용되는 경우 이 정보를 사용하여 Juniper Mist™ 클라우드가 유선, 무선 및 SD-WAN 도메인에서 PCI DSS를 지원하는 방법을 이해하십시오.

소개

PCI DSS는 소매 공간 및 온라인 결제가 이루어지는 은행과 같은 기타 산업에서 신용 카드 및 결제 데이터 사기로부터 보호하기 위한 공통 표준으로 만들어졌습니다. PCI DSS는 일관된 보안 정책과 모범 사례를 제공함으로써 보안 담당자와 네트워크 관리자가 결제 데이터에 대한 다양한 위협을 효과적으로 차단할 수 있도록 합니다. PCI DSS 4.0은 2022년 3월에 평가를 위해 적용되었습니다.

네트워크는 결제 데이터를 전송하기 위한 기본 채널이기 때문에 PCI DSS 규정 준수의 중요한 초석입니다. PCI DSS 요구 사항은 네트워크 보안 운영 및 관행이 알려진 위험을 제거하거나 최소화하도록 설계되었습니다. PCI DSS 요구 사항은 또한 조직이 감사할 수 있는 추적 가능하고 잘 구조화된 정책, 절차 및 관행을 정의하도록 합니다.

무선 네트워크는 비즈니스 운영 및 디지털 참여 기술이 모바일 연결에 의존하기 때문에 소매 환경에서 특히 중요합니다. 예를 들어, POS 디바이스, 스캐너, 바코드 리더기, 프린터 및 모바일 컴퓨터는 모두 소매 운영의 원동력 역할을 하는 무선 LAN(WLAN)에서 작동합니다. 무선 네트워크에 대한 PCI DSS 규정 준수는 다음 두 가지 유형의 요구 사항을 지정합니다.

  • 일반적으로 적용 가능한 무선 - 이러한 요구 사항은 무선 네트워크가 카드 소지자 데이터 환경(CDE)의 범위에 속하지 않는 경우에도 적용됩니다. 여기에는 CDE 네트워크를 보호하기 위한 강력한 네트워크 세그먼테이션과 불량 또는 알 수 없는 무선 액세스 포인트(AP) 및 클라이언트의 공격에 대한 보안 기능이 포함됩니다.
  • CDE의 무선 보안 - 이러한 요구 사항은 무선 및 유선 기술을 통해 결제 카드 정보를 전송하는 시스템에 필수입니다. 일반적으로 적용 가능한 무선 요구 사항 외에도 기본 암호 및 구성 변경, 강력한 암호화 및 인증 사용, 호환 소프트웨어로 시스템 정기 업데이트 및 액세스 모니터링에 대한 추가 보안 요구 사항을 부과합니다.

PCI DSS 4.0 규정 준수 증명(AOC)

Juniper Mist 솔루션은 독립적인 PCI DSS 보안 평가자에 의해 PCI DSS 4.0 AOC(규정 준수 증명)를 충족하는 것으로 평가되었습니다.

클라우드 보안

Juniper Mist 클라우드는 무선 패킷 데이터를 전달하지 않기 때문에 CDE 환경 외부에 있습니다. 그럼에도 불구하고 Mist는 다음과 같이 보안, 처리 무결성 및 가용성을 보장하기 위해 Mist 클라우드에서 최고 수준의 보안을 보장하기 위한 추가 조치를 취합니다.

  • SOC2 Type 2/ISO 27001/PCI 클라우드 데이터를 사용합니다.
  • 정보 보안 정책을 유지 관리합니다.
  • 네트워크 애플리케이션 방화벽/액세스 제어 목록을 사용합니다.
  • 침입 탐지 시스템(IDS)/침입 방지 시스템(IPS)을 사용합니다.
  • 다양한 수준에서 업계 표준 암호화를 사용합니다.
  • 클라우드에 저장된 데이터를 난독 처리합니다.
  • 보안과 개발 주기를 통합하고 침투 테스트를 수행하여 네트워크 및 애플리케이션의 취약점을 감지합니다.
  • 정기적으로 예약된 내부 및 외부 취약성 검사를 수행합니다.
  • 범위 내 모든 직원을 대상으로 매년 보안 인식 교육을 실시합니다.
  • 연간 위험 평가를 수행합니다.
  • 인시던트 대응 계획이 포함됩니다.
  • 독립적인 PCI DSS 보안 평가 기관이 매년 발행하는 PCI DSS 규정 준수 증명(AOC)을 구독합니다.

네트워크 세그먼테이션을 보장하기 위해 Mist 환경에서 다음 스키마를 구현할 수 있습니다.

  • 물리적 세그먼테이션 - 네트워크 세그먼테이션을 달성하는 한 가지 방법은 CDE 네트워크와 물리적으로 분리된 유선 네트워크에 무선 AP를 연결하는 것입니다. 이는 CDE 환경에서 유선 네트워크와 교차하지 않는 오버레이 유선 및 무선 인프라가 있음을 의미합니다. 이 체계에서는 CDE 네트워크와 비 CDE 네트워크 간에 공유되는 방화벽 또는 인터넷 연결이 없습니다.

  • VLAN 기반 논리적 세그먼테이션 - 일반적으로 VLAN(가상 LAN)을 사용하여 네트워크를 논리적 서브넷으로 세그먼테이션합니다. 무선 네트워크와 CDE를 서로 다른 VLAN에 배치하여 논리적 세그먼테이션을 달성하는 것이 가능하지만, VLAN 간의 액세스 제어 정책 없이는 이러한 방법론이 안전한 것으로 간주되지 않습니다.

  • 방화벽 분리—WLAN이 CDE에 연결된 경우 무선 네트워크와 CDE 네트워크 사이에 방화벽을 설정하는 것은 PCI DSS 4.0 요구 사항을 준수하는 허용 가능한 세그멘테이션 형식입니다.

  • 소프트웨어 정의 정책 엔진 - Mist의 통합 WxLAN 정책 엔진을 사용하여 모든 무선 트래픽을 CDE 환경으로 격리할 수 있습니다. Mist는 인라인 정책 엔진인 WxLAN을 통해 네트워크에서 역할, 사용자, 애플리케이션 및 리소스 기반 액세스를 위한 정책을 생성할 때 강력한 플랫폼을 제공합니다. Mist 무선 인프라를 통해 시스템에 구성된 모든 WLAN에 대해 차단된 LAN에 대한 액세스를 통해 모든 유선 네트워크에서 정책을 시행할 수 있습니다.

무선 네트워크가 PCI DSS에 일반적으로 적용되는 요구 사항을 준수하도록 하려면 소매업체는 다음 사항에 특히 주의해야 합니다.

  • 불량 디바이스 - 유선 네트워크에 있는 우발적이거나 악의적인 AP로, 모든 네트워크 리소스에 액세스하면서 내부 네트워크를 위반하는 데 사용될 수 있습니다.
  • 허니팟 디바이스 - 유통업체의 AP 비콘을 전송하는 승인된 AP로 가장하는 우발적이거나 악의적인 AP입니다.
  • 규정을 준수하지 않고 승인되지 않은 AP—이 범주에는 규정을 준수하지 않고 중요한 보안 없이 오래된 펌웨어를 실행하는 승인된 AP가 포함됩니다. 또한 인접 AP이거나 소매점 또는 창고 내부의 무선 작업에 의도치 않은 간섭을 일으키는 AP도 포함됩니다.

무선 IDP는 RF 환경을 모니터링하고 카드 소지자 데이터에 사용되지 않는 AP를 격리하기 위해 이러한 외부 디바이스를 처리하는 데 필요합니다. 전통적으로 WLAN 공급업체는 WIDS/WIPS 규정 준수에 대한 요구 사항을 해결하는 두 가지 주요 방법이 있었습니다.

  • 파트타임—클라이언트에 서비스를 제공하지 않을 때 AP는 스펙트럼에서 불량 디바이스를 스캔합니다. 이 접근 방식은 연중무휴 24시간 작동하지 않고 일부 시간만 작동하는 보안 솔루션을 사용하는 것과 유사합니다.
  • 전용 AP - 무선 네트워크에 대한 연중무휴 24시간 보안 모니터링을 제공합니다. 이 접근 방식은 지속적인 보호를 보장하지만 추가 AP에 대한 구축 비용과 센서 전원을 켜기 위해 IDF/MDF에 PoE 케이블을 설치하는 관련 비용을 폭발적으로 증가시킵니다.

일부 벤더는 AP에서 듀얼 밴드 라디오를 사용하고 센서 구현을 위해 AP 내에서 라디오를 훔칩니다. 이러한 접근 방식은 채널 계획에 악몽을 야기할 수 있으며 커버리지가 충분하지 않을 수 있습니다. 일부 벤더는 전용 세 번째 라디오가 있는 트라이 라디오 AP 솔루션을 제공하면서 나머지 무선 인프라 및 컨트롤러 솔루션과 직교하는 완전한 오버레이 모니터링 솔루션을 구축합니다. 이들은 데이터 소스, 데이터베이스, 시각화 및 무선 구성, 제어 및 프로비저닝을 위해 격리된 섬에 있는 데이터 소스, 데이터베이스, 시각화 및 심지어 별도의 컨트롤을 사용합니다.

Mist AP는 2.4GHz, 5GHz 및 6GHz 클라이언트 액세스와 함께 스펙트럼에 대한 지속적인 24x7 스캔 기능을 제공합니다. 이러한 접근 방식을 통해 Mist는 불량 네트워크, 허니팟, 간섭 및 사이트에서 연결 시도 실패(DDoS 공격의 원인이 될 수 있음)와 같은 이상 징후가 있는지 스펙트럼을 지속적으로 스캔합니다.

Mist 플랫폼은 모든 AP, 클라이언트, 위치, 사이트 및 사이트 그룹의 주요 메트릭에 대한 기준을 유지합니다. Mist의 AI 기반 인프라는 네트워크의 모든 수준에서 비정상적인 활동을 식별합니다. Mist 플랫폼은 기존 위협과 제로데이 위협을 탐지할 수 있습니다. 또한 Mist의 위치 기술을 사용하여 우발적이거나 악의적인 비인가 장치의 위치를 정확하게 찾고 리소스에 대한 위치 기반 액세스를 제공할 수 있습니다.

Mist의 기계 학습 프레임워크는 동작 분석으로 확장될 수 있으며, 이를 통해 클라이언트 디바이스 기능을 "정상적인" 기준선과 비교하여 확인할 수 있습니다. 4x4 클라이언트 디바이스가 2x2 디바이스로 나타나거나 뉴욕에서 네트워크에 액세스하는 캘리포니아 위치에 대해 승인된 클라이언트 디바이스와 같이 키 상태가 변경될 때 알림이 생성됩니다.

카드 소지자 데이터 환경(CDE)에서의 무선 보안

두 번째 요구 사항 집합은 신용 카드 데이터가 처리되는 동일한 네트워크의 무선 장치에 적용됩니다. Mist 범위 내의 VLAN 및 무선 LAN에 대한 PCI 스캔을 수행할 수 있습니다. 이 서비스는 무선 네트워크의 취약성을 수정하고 무선 관리 시스템에서 정책을 시행하는 데 도움이 됩니다.

준수
표 1: PCI DSS 규정 준수 Juniper Mist
무선에 대한 PCI DSS 요구 사항 , MIST 가치 제안
1.1.2 카드 소지자 데이터 환경과 무선 네트워크를 포함한 기타 네트워크 간의 모든 연결을 식별하는 현재 네트워크 다이어그램. Mist의 PCI 스캔 보고서는 CDE에 연결된 무선 SSID 및 AP 목록을 식별합니다.
1.2.3 무선 네트워크를 포함하여 CDE와 다른 네트워크 간의 모든 연결을 보여주는 정확한 네트워크 다이어그램이 유지됩니다. 네트워크 다이어그램에는 WLAN, SSID 및 AP 인벤토리가 포함됩니다.
2.1.1 카드 소유자 데이터 환경에 연결되거나 카드 소유자 데이터를 전송하는 무선 환경의 경우 기본 무선 암호화 키, 암호 및 SNMP 커뮤니티 문자열을 포함하되 이에 국한되지 않는 설치 시 모든 무선 공급업체 기본값을 변경합니다. Mist에는 기본 암호, 암호화 키 또는 SNMP 커뮤니티 문자열이 없습니다.
2.4 PCI DSS 범위에 속하는 시스템 구성 요소의 인벤토리를 유지 관리합니다. PCI DSS 범위에 있는 시스템 구성 요소의 인벤토리를 유지 관리합니다. Mist는 PCI DSS 범위에 속하는 무선 네트워크 및 AP 목록을 제공합니다.
4.1.1 카드 소지자 데이터를 전송하거나 카드 소지자 데이터 환경에 연결된 무선 네트워크를 확인하고 업계 모범 사례를 사용하여 인증 및 전송을 위한 강력한 암호화를 구현합니다. Mist는 WPA2-PSK 및 AES 암호화를 사용하는 WPA2-Enterprise를 포함한 강력한 암호화 표준을 지원합니다. PCI 스캔 보고서의 일부로, Mist는 CDE 범위의 SSID에 사용되는 취약한 암호화를 호출합니다.

6.2 공급업체에서 제공하는 해당 보안 패치를 설치하여 모든 시스템 구성 요소 및 소프트웨어가 알려진 취약성으로부터 보호되는지 확인합니다. 릴리스 후 1개월 이내에 중요한 보안 패치를 설치합니다.

참고: 중요한 보안 패치는 요구 사항 6.1에 정의된 위험 순위 프로세스에 따라 식별되어야 합니다.

 Mist는 무선 네트워크의 무결성에 필요한 모든 중요한 수정 사항이 포함된 최신 릴리스 펌웨어를 제공합니다. Mist 아직 최신 펌웨어로 업그레이드되지 않은 AP를 식별합니다.
7.1 시스템 구성 요소 및 카드 소지자 데이터에 대한 액세스를 업무상 액세스가 필요한 개인으로만 제한합니다. 무선 네트워크 액세스는 권한이 있는 관리자로 제한됩니다. 권한이 있는 모든 관리자는 Mist PCI 스캔 보고서에 나열됩니다.
7.2 사용자가 알아야 할 필요성에 따라 액세스를 제한하고 특별히 허용되지 않는 한 "모두 거부"하도록 설정된 시스템 구성 요소에 대한 액세스 제어 시스템을 설정합니다. Mist 네트워크 관리자에게는 제한된 액세스 범위를 가진 역할이 할당됩니다. 기본 관리자 역할은 참관인(보기 전용)입니다.
8.1.1 시스템 구성 요소 또는 카드 소지자 데이터에 액세스할 수 있도록 허용하기 전에 모든 사용자에게 고유 ID를 할당합니다. Mist의 PCI 스캔 보고서는 CDE에 연결된 무선 SSID 및 AP 목록을 식별합니다.

8.2 고유 ID를 할당하는 것 외에도 모든 사용자를 인증하기 위해 다음 방법 중 하나 이상을 사용하여 모든 시스템 구성 요소에서 비소비자 사용자 및 관리자에 대한 적절한 사용자 인증 관리를 보장합니다.

• 암호 또는 암호와 같이 사용자가 알고 있는 것

• 사용자가 가지고 있는 것(예: 토큰 장치 또는 스마트 카드)

• 생체 인식과 같은 사용자 상태

 모든 Mist 관리자는 복잡한 비밀번호 또는 이중 인증(2FA)을 사용하여 인증됩니다.
8.2.8 사용자 세션이 15분 이상 유휴 상태인 경우 사용자는 터미널 또는 세션을 다시 활성화하기 위해 다시 인증해야 합니다. 인증 매개 변수는 이러한 요구 사항을 충족하도록 설정됩니다.

8.3.4 유효하지 않은 인증 시도는 다음과 같이 제한됩니다.

  • 10회 이하의 시도 후에 사용자 ID를 잠급니다.

  • 잠금 기간을 최소 30분으로 설정하거나 사용자의 ID가 확인될 때까지 설정합니다.

 인증 매개 변수는 이러한 요구 사항을 충족하도록 설정됩니다.

8.3.6 암호/암호가 요구 사항 8.3.1을 충족하기 위한 인증 요소로 사용되는 경우 다음과 같은 최소 복잡성 수준을 충족합니다.

  • 최소 길이는 12자(또는 시스템이 12자를 지원하지 않는 경우 최소 길이 8자)여야 합니다.

  • 숫자와 알파벳을 모두 포함합니다.

 인증 매개 변수는 이러한 요구 사항을 충족하도록 설정됩니다.
9.1.3 AP, 게이트웨이, 핸드헬드 디바이스, 네트워킹/통신 하드웨어 및 통신 회선에 대한 물리적 액세스를 제한합니다. Mist AP는 AP 키트의 일부로 제공되는 나사와 브래킷을 사용하여 물리적으로 보호할 수 있습니다. AP의 Kensington 잠금 슬롯을 통해 추가적인 물리적 보안이 지원됩니다.
10.1 감사 추적을 구현하여 시스템 구성 요소에 대한 모든 액세스를 각 개별 사용자에게 연결합니다. 모든 시스템 액세스, 업데이트 및 구성 변경 사항은 감사 로그에서 추적됩니다.
10.5.4 외부 연결 기술에 대한 로그를 안전하고 중앙 집중식 내부 로그 서버 또는 미디어 장치에 기록합니다. 모든 이벤트 로그는 SOC 2 유형 2 데이터 센터에서 호스팅되는 Mist 클라우드 플랫폼의 중앙 집중식 서버에 저장됩니다.

11.1 AP(802.11)의 존재를 테스트하는 프로세스를 구현하고, 분기별로 승인된 AP와 승인되지 않은 모든 AP를 탐지하고 식별합니다.

참고: 이 프로세스에 사용될 수 있는 방법에는 무선 네트워크 스캔, 시스템 구성 요소 및 인프라의 물리적/논리적 검사, NAC(네트워크 액세스 제어) 또는 무선 IDS/IPS가 포함되지만 이에 국한되지 않습니다. 어떤 방법을 사용하든 승인된 디바이스와 승인되지 않은 디바이스를 모두 감지하고 식별하기에 충분해야 합니다.

 Mist WIDS/WIPS를 사용하면 네트워크에서 승인된 AP와 승인되지 않은 AP를 감지할 수 있으므로 무선 스캔을 수동으로 처리할 필요가 없습니다. 특히, 비인가 AP 탐지 및 차단은 CDE 네트워크가 손상되지 않도록 보호합니다.

결론

조직이 비즈니스 서비스의 핵심 요소로서 무선 네트워크에 점점 더 의존함에 따라 PCI DSS는 WLAN 보안에 세심한 주의를 기울여야 합니다.

다행히도, Mist 당신을 덮었습니다. Mist Learning WLAN은 외부 공격으로부터 무선 네트워크를 보호하고 CDE 네트워크에서 전송되는 데이터가 항상 안전하도록 보장함으로써 PCI 환경의 미션 크리티컬 무선 네트워크를 위한 안전한 선택입니다. Mist 아키텍처의 주요 차이점은 네트워크 IT, 보안 운영 팀, 마케팅 및 기타 사업 부서가 일관된 경험을 할 수 있도록 워크플로우가 간소화되었다는 것입니다. Mist 통해 액세스 레이어 연결 및 관련 애플리케이션은 이제 포괄적이고 놀라운 보안 경험을 제공합니다.