俄罗斯少女组合Ylonen
SSH Communications security的首席执行官Tatu Ylonen说,使用SSH密钥对服务器进行安全访问的组织应该意识到,在管理与支付卡处理相关的任何网络时,他们可能需要很快做出一些改变。
这是因为支付卡行业(PC)标准的下一个版本将在11月初发布,即PCI v。预计将包括一些新的指导,关于身份验证和远程访问任何处理或存储支付款卡的网络段,这些可能会影响安全Shell (SSH)加密技术的使用,Ylonen说。
“密钥访问显然可以在PCI环境中使用,”Ylonen指出。但关键的跨界访问力问题。任何存储或处理支付卡的组织必须遵循PCI标准的网络安全要求。
Ylonen指出,SSH密钥通常用于自动化机器对机器的安全性,SSH密钥使用密码授予访问权限。PCI网络的边界定义了卡存储或处理发生的部分——通常称为PCI网络“范围”——它必须符合PCI数据安全标准委员会发布的PCI数据安全标准(DSS)中定义的PCI要求。
Ylonen说,他正在鼓励系统管理员——通常负责为企业网络设置SSH密钥管理的个人——开始讨论即将到来的PCI DSS v。3标准与那些在他们的组织中最参与确保将有一种总线标准依从。例如,这些人可能是首席安全官、首席信息官或内部审计师。从他所看到的PCI v. 3标准草案来看,Ylonen说,“规则本身是好的,但是指导是模糊的。”
Ylonen说,任何使用SSH的企业都必须确切地知道SSH是如何部署的。他承认,在大型组织中,SSH密钥的使用有时没有得到充分的管理,并且已经变得越来越多。例如,一些大型金融机构拥有超过150万个授权SSH密钥,但有时“80%到90%都被遗忘了,”他指出。
最近几周,Ylonen开始了一项积极的活动,说服PCI数据安全标准委员会调整即将发布的PCI v. 3标准,以澄清SSH的机器对机器的使用以及与SSH相关的PCI边界“范围”问题。
该委员会首席技术官特洛伊•利奇(Troy Leach)表示,在过去几周的最后冲刺中,伊洛宁在这方面表现得很强硬。
委员会的总经理Bob Russo注意到Ylonen在委员会最近组织的关于PCI的会议上公开讨论了他的关注,并且也私下会见了委员会成员。Russo指出,PCI v. 3标准草案在11月7日发布之前仍有可能发生变化。Russo说,委员会在PCI v. 3标准草案发布之前仍在“调整”。预计未来几周,欧洲和亚洲的企业和供应商也将提供更多信息。
Leach说,就SSH而言,是PCI v。3 . standard for card-processing environments旨在“修复SSH的糟糕实现”。“委员会希望确保SSH以安全的方式被适当地使用。密码的问题”是一个大焦点”与Ylonen讨论,似乎想要一些变化在PCI诉3有关SSH和密码给SSH通信安全更多的杠杆,Leach说,并补充道,“他为我们想要的是什么,包括约定俗成的语言”的SSH在本质上是技术相关的银行业。
Russo和Leach指出,在即将到来的PCI v中还有更多的东西。标准,而不仅仅是可能影响SSH的指导。
一个新的要求,预计在PCI。3节涉及到持卡人数据环境的网络细分,需要通过一种渗透测试的形式来验证该细分,Leach说。还将更加强调安全开发生命周期,以及如何在共享区域设置销售点终端的一些“常识需求”。以前从简单的需求列表中分离出来的总体PCI“指南”将作为解释需求意图的专栏编入标准。
Russo说,一旦最终的PCI v. 3规则在11月发布,它将在2014年1月1日生效,但公司可以继续使用PCI v. 2标准的支付卡安全,最迟到2014年12月31日。
艾伦·梅斯默(Ellen Messmer)是IDG出版物和网站Net足球竞猜app软件work World的高级编辑,她报道与信息安全相关的新闻和技术趋势。Twitter: MessmerE。电子邮件:emessmer@nww.com