Les technologies de réseau étendu ( SD-WAN ) définies par le logiciel transforment la façon dont les entreprises abordent la connectivité et la mise en œuvre des fonctions de sécurité pour les succursales et les magasins. Ces technologies offrent aux entreprises une plus grande souplesse, visibilité et contrôle des réseaux de localisation par satellite et leurs connexions aux ressources de l’entreprise. Dans le même temps, ils peuvent minimiser les coûts du réseau étendu (WAN) en réduisant la dépendance à des circuits coûteux de commutation d’étiquettes multiprotocole (MPLS).

Simplement, SD-WAN offre l’occasion d’ améliorer la sécurité et les performances tout en réduisant les coûts. Étant donné que les entités avec des obligations de conformité de la norme de sécurité des données de la carte de paiement (PCI DSS) réorganisent leurs réseaux pour obtenir des technologies de conformité ou de mise à jour dans un environnement validé de l’industrie des cartes de paiement existantes, elles devraient sérieusement tenir compte des avantages et des impacts potentiels de SD-WAN.

Considérez SD-WAN pour chaque succursale ou magasin de rafraîchissement

Plutôt que d’utiliser des méthodes traditionnelles pour la conception de réseaux de succursales, les équipes de sécurité et réseau devraient envisager une approche stratégique axée sur les technologies SD-WAN. Les emplacements des satellites ne sont plus limités aux circuits MPLS pour la connectivité ou à l’implémentation du routeur du fournisseur de services Internet (ISP) pour la sécurité, qui a été historiquement une source de complexité dans les programmes de conformité PCI. Maintenant, les périphériques SD-WAN peuvent être déployés dans des magasins ou des branches pour créer un superposage de réseau sécurisé indépendant du transport qui est géré et orchestré via une console centralisée.

Les bords peuvent utiliser de multiples circuits publics, tels que le câble, la ligne d’abonné numérique (DSL) ou les connexions cellulaires, pour établir le réseau de recouvrement. Alternativement, une combinaison de circuits publics et privés peut être utilisée pour établir un réseau hybride. Cela signifie que les exigences de bande passante pour les circuits MPLS coûteux peuvent être réduites, ou MPLS peut être complètement supprimé alors que la technologie SD-WAN exploite activement tout le transport disponible.

De nombreuses solutions SD-WAN offrent des services de sécurité au bord et dans le cloud qui peuvent être facilement intégrés et intégrés dans le réseau de recouvrement. Par exemple, les capacités de pare-feu de prochaine génération peuvent être activées sur le périphérique Edge pour prendre en charge la segmentation du réseau PCI, et le trafic de navigation Internet non PCI peut être orienté vers les fournisseurs de sécurité Web basés sur le cloud pour une inspection.

Certaines solutions SD-WAN permettent la mise en forme et la direction du trafic avec des politiques très détaillées basées sur les applications. De telles fonctions peuvent prendre en charge la position de conformité PCI d’une organisation et améliorer les performances en éliminant la nécessité de transférer Internet ou le trafic relié au cloud vers le centre de données.

Les technologies SD-WAN ne sont que des composants supplémentaires du système

L’aspect le plus important d’un programme de conformité PCI est de définir avec précision et de maintenir la portée de l’obligation de conformité. Selon le PCI DSS 3.2 , «Les exigences de sécurité PCI DSS s’appliquent à tous les composants du système inclus ou connectés à l’environnement de données du titulaire de la carte».

À cet égard, l’utilisation des technologies SD-WAN dans un environnement PCI-pertinent introduit simplement des composants système supplémentaires qui doivent être considérés comme faisant partie de l’approche de conformité. Les entités doivent comprendre le rôle joué par chaque composant, ainsi que la façon dont les bords, les passerelles en nuage et l’orchestre peuvent avoir une incidence sur la portée ou le statut de la conformité PCI.

SD-WAN : réduire la portée et appliquer les exigences PCI

Le périphérique de bord SD-WAN peut former la limite de l’environnement de données du détenteur de la carte (CDE) par ses capacités de pare-feu natives de prochaine génération ou en exécutant un pare-feu virtualisé sur l’appareil à partir de son écosystème partenaire. La segmentation des segments de réseau pertinents pour PCI, tels que les terminaux de points de vente (POS) ou les distributeurs automatiques, du reste du réseau peut aider à réduire la portée de la conformité PCI. En outre, la capacité à prendre des décisions de direction du trafic basées sur les applications permet de contrôler directement les flux de données et, par conséquent, une opportunité de façonner la portée PCI prévue.

La fonction principale d’un SD-WAN est d’établir une superposition sécurisée entre les périphériques de bord des branches, les centres de données et les passerelles de nuages. Assurez-vous que l’algorithme de cryptage sous-jacent s’harmonise avec une norme de l’industrie telle que le Advanced Encryption Standard (AES). De cette façon, les exigences PCI pour protéger les données des détenteurs de carte en transit peuvent être facilement abordées, car tout le trafic provenant du bord de la branche peut être sécurisé en utilisant une cryptographie forte qui est découplée de la mise en œuvre du FSI sous-jacent. Cela facilite l’application cohérente des contrôles de sécurité, simplifiant le processus de validation PCI. Selon le modèle d’entreprise en place,

Comme tous les composants du système, les périphériques de bord doivent être protégés contre la falsification physique et prendre en charge les exigences PCI DSS pertinentes, y compris celles pour la configuration sécurisée, le contrôle d’accès et la journalisation. Si vous comptez sur le périphérique de bord pour définir la limite du CDE, évaluez les capacités du pare-feu natif et déterminez si des services tiers supplémentaires sont requis pour des fonctions telles que la prévention des intrusions.

Les bords SD-WAN effectuent généralement un certain type d’assainissement des performances WAN. Il est important de valider si de telles fonctions pourraient entraîner l’écriture de données de titulaire de carte dans une mémoire flash ou un disque. Dans l’affirmative, assurez-vous de respecter les exigences relatives au stockage sécurisé des données du titulaire de la carte. Les facteurs de forme de bord plus petits peuvent inclure des radios sans fil à bord, qui doivent être désactivées si elles ne sont pas utilisées ou incluses dans l’architecture de conformité globale.

Enfin, selon le fournisseur SD-WAN, le bord peut être déployé en tant qu’appareil matériel, ou sous forme virtuelle d’un hyperviseur ou d’un périphérique réseau. Si vous déployez un bord virtuel, évaluez les implications PCI pour l’hôte sous-jacent et d’autres machines virtuelles hébergées.

Comprendre l’impact des passerelles Cloud

La définition appropriée de la portée PCI nécessite une compréhension détaillée du flux étape par étape des données du titulaire de carte, y compris lorsque le cryptage et le décryptage se produisent. Cela ne change pas dans une architecture SD-WAN. Dans le cadre de leur offre de services, les fournisseurs de SD-WAN peuvent utiliser des passerelles en nuage multitenant pour diriger le trafic vers Internet ou des services de sécurité optionnels basés sur le cloud, fournir un accès direct à l’ infrastructure cloud en tant que service (IaaS) ou au logiciel-as- A-service (SaaS), ou connectez des bords à des sites sans autre périphérique de bord.

Dans chacun de ces cas, la passerelle en nuage met fin au tunnel sécurisé de la branche et, en fonction de la destination, peut établir un tunnel de sécurité de protocole Internet standard (IPsec) pour se connecter à un site sans périphérique SD-WAN. Si utilisé pour les flux de données pertinents pour le PCI, ce type de transition peut avoir des conséquences de portée, puisque le périphérique de passerelle de nuages ​​traite temporairement des données de titulaire de carte cleartext en mémoire.

La passerelle serait considérée comme un composant du système PCI dans un CDE. Parce qu’il est géré par le fournisseur SD-WAN, cela peut créer une relation fournisseur fournisseur de services PCI, augmentant considérablement la complexité de l’obligation de conformité et le processus de validation. Ce problème peut être évité en s’assurant que les données du titulaire de carte sont transmises directement entre les bords de SD-WAN ou en cryptant les données du titulaire de carte de bout en bout sur le calque d’application pour le trafic acheminé par les passerelles de cloud. Dans tous les cas, il est essentiel de comprendre les détails techniques de chaque flux de données pour déterminer de manière appropriée les impacts du PCI.

Décider sur le format de la couche Orchestration

Le cerveau derrière la superposition SD-WAN est la couche d’orchestration, généralement composée d’une console Web et de contrôleurs de réseau associés. Étant donné que ces composants peuvent avoir une incidence sur la configuration et la sécurité de l’environnement SD-WAN, ils seraient également considérés dans la portée PCI. La nature centralisée de l’orchestre peut rendre les processus de gouvernance mandatés par le PCI tels que les révisions des règles de pare-feu et l’application cohérente des normes de configuration plus efficaces.

Selon le fournisseur, ces composants peuvent être déployés sur place ou dans un format unique ou multitenant géré par un fournisseur, dont chacun a ses propres implications PCI. Dans les scénarios gérés par les fournisseurs, les contrôleurs peuvent être les mêmes que les passerelles cloud mentionnées précédemment. Cela signifie que les passerelles en nuage sont potentiellement utilisées pour les communications au plan de contrôle et au plan de données, qui doivent être prises en compte lors de la détermination de la portée PCI. Selon le format et les options de configuration choisis, le fournisseur de SD-WAN peut être considéré comme un fournisseur de services PCI. En tant que tel, les responsabilités en matière de conformité aux exigences PCI doivent être clairement définies entre le fournisseur de services et le client SD-WAN.

N’oubliez pas P2PE

Indépendamment de l’architecture WAN, les commerçants devraient toujours envisager d’utiliser des solutions de chiffrement point à point (P2PE) validées par PCI pour protéger les transactions de paiement et générer une réduction de portée. Dans un environnement qui ne prend en charge que les flux de données provenant d’un dispositif de point d’interaction au point de vente, l’utilisation d’une solution P2PE approuvée peut supprimer la technologie SD-WAN de la portée. Dans ce cas, les avantages financiers, de performance et de sécurité de la technologie SD-WAN peuvent être exploités en dehors du mandat de conformité.

En pratique, même l’utilisation de technologies P2PE peut ne pas dépouiller d’autres infrastructures de branche, en particulier dans des environnements complexes avec différents flux de données. Dans de tels cas, la solution SD-WAN pourrait faire partie du CDE, ou prendre en charge la sécurité des données du CDE et du titulaire de la carte. Ce serait alors soumis à des exigences PCI.

Démarrez un pilote SD-WAN aujourd’hui

SD-WAN est une technologie passionnante qui peut réduire les coûts tout en améliorant la sécurité et en prenant en charge la conformité PCI. La première étape d’une transformation SD-WAN consiste à créer un business business financier, puis à lancer un projet pilote sur un échantillon d’emplacements satellites représentatifs. Un partenaire de conseil et d’intégration qui possède de l’expérience avec cette technologie émergente et est également une société d’ évaluation de sécurité qualifiée PCI , peut vous aider tout au long de ce processus.

 

Source : Security Intelligence

 

Laisser un commentaire