Il requisito PCI DSS 10.4.3 chiede di:
Examine systems configurations to verify that the time server(s) accept time updates from specific, industry-accepted external sources (to prevent a malicious individual from changing the clock)...
Perché solo le fonti temporali esterne sono accettabili? Se limito l'accesso all'origine temporale interna, dov'è il pericolo? Ho bisogno di usare una fonte temporale interna. Puoi suggerire idee per compensare i controlli per questo requisito?
Questo non è diverso da altri aspetti della configurazione di rete e di sistema. PCI si occupa principalmente della separazione dei compiti, quindi il sysadmin non è anche il dba e non è anche lo sviluppatore, e con auditabilità, in modo che le modifiche siano registrate e approvate e la politica di corrispondenza delle implementazioni. Quindi i siti possono eseguire server NTP interni. Dimostrare che esiste una politica formale per il loro uso, che sono sotto la custodia sufficiente per essere precisi e affidabili, che le modifiche alla loro configurazione passano attraverso la gestione delle modifiche e che gli host nello spazio PCI non possono essere utilizzati per utilizzare la fonte interna approvata .
Se il tuo server temporale NTP interno utilizza un ricevitore GPS, la sincronizzazione dell'orario dal ricevitore GPS utilizza tecnicamente un satellite come sorgente temporale esterna che sarebbe considerata una valida sorgente temporale esterna anche se non stai utilizzando un dispositivo esterno Server NTP.
Tutto quello che Johna B ha menzionato è anche corretto, ma ci sono anche altri modi per creare controlli di compensazione a seconda del tipo di ambiente che hai.
Un controllo di compensazione per garantire un tempo preciso sarebbe disporre di un secondo sistema (non gestito dalla persona che gestisce il server temporale) che verifica e registra l'ora dai diversi server di tempo interni a intervalli di tempo casuali non meno di ogni 60 secondi per garantire che il / i server / i di tempo non sia stato manomesso e avvisare il personale se si verifica una variazione o una deriva negli orologi. Ciò garantirebbe che il tempo da una delle fonti temporali interne non sia stato manomesso e fornisca una sorta di audit trail per l'orologio. Analogamente, registrando tutti gli accessi ai server orari e assicurando che siano adeguatamente protetti, dispongono di una registrazione esterna e tutti gli altri controlli PCI standard dovranno ancora essere installati su tali sistemi.
Il PCI-DSS 3.2 10.4.1.a specifica che gli orologi devono essere sincronizzati con International Atomic Time.
Come sempre PCI non è una legge e il tuo QSA ha l'ultima parola sull'approvazione del tuo ROC.
Aggiornamento: oltre alla raccomandazione di sebastian nielsen qui di seguito ci sono anche una vasta gamma di altre soluzioni di temporizzazione che potrebbero essere sincronizzate con International Atomic Time e anche essere al 100% interne per un tempo piuttosto lungo con risultati di tempo molto precisi. Molte delle soluzioni vendute da provider come questo potrebbero essere utilizzate in diversi modi:
Il motivo per cui è necessario sincronizzare il timeserver con un'origine esterna è proprio questo, verificabilità. Come altri hanno sottolineato, un ricevitore GPS è una valida fonte esterna. L'utilizzo di un ricevitore GPS o di una sorgente radio temporizzata è in effetti un modo preferito per i server di tempo gestiti in scenari con gap d'aria, in quanto ciò significa che nessun dato sensibile può fuoriuscire dall'area con gap d'aria e nessun dato dannoso può fuoriuscire nel area con aria compressa.
Sì, un avversario malintenzionato potrebbe essere in grado di modificare il tempo all'interno dell'area con gap d'aria inviando falsi segnali GPS o radio, ma niente di più.
NON dice che è necessario lasciare che le connessioni del server time escano dal limite PCI DSS, dice semplicemente che è necessario, in qualche modo, mantenere l'orologio sincronizzato con l'ora internazionale.
Il motivo per cui non puoi semplicemente "gestire il tuo timeserver interno", senza aria condizionata, senza alcun mezzo per ricevere nulla dall'esterno, è perché immagina che si verifichi una violazione. Quindi collabori con le forze dell'ordine e l'hacker viene catturato. Immagina quindi che tutti i tuoi registri siano completamente sincronizzati internamente, ma il tuo timeserver interno è a 1 minuto dall'ora esterna.
E ora, il criminale ha un alibi, diciamo che l'hacker era, secondo le registrazioni ufficiali, detenuto dalla polizia per sospetta guida ubriaco ma poi è stato trovato innocente, nel momento esatto in cui si è verificata la violazione.
Ora, la tua prova è fondamentalmente non valida, perché mostra qualcosa che non può accadere.
Ecco perché è necessario sincronizzare il time server con una fonte esterna. Quale fonte esterna viene utilizzata, non importa, purché il suo "accettato dal settore", ad esempio un modo comune per sincronizzare i timeserver, sia valido dal punto di vista dell'applicazione della legge.
Se si deve ASSOLUTAMENTE mantenere l'area PCI DSS a cielo aperto per qualche motivo, diciamo all'interno di uno spesso deposito, è comunque possibile fornire servizi temporali, avendo un ricevitore orario esterno (che riceve segnali da un ricevitore GPS o simile) , che emetterà quindi PPS (Pulse per second) tramite un laser che viene pulsato in una piccola finestra * nel vault, e all'interno del vault, si avrà un ricevitore, che sincronizzerà il server orario interno. (e quindi, il server orario interno avanza solo sull'impulso laser, e se il time server esterno deriva dal tempo mondiale, si correggerà inviando impulsi più veloci o più lenti)
* Questa finestra deve anche essere fatta in un modo tale da non compromettere la sicurezza del vault.
Tieni presente che hai anche bisogno di un mezzo per sincronizzare inizialmente il server orario interno se segui questa rotta.
Questo non ha nulla a che fare con la separazione dei compiti. La separazione dei compiti è richiesta solo se gestisci una tale quantità di transazioni che rendono necessario questo.
Se una società individuale processa i dettagli della carta di credito, verrà accettato un unico dazio, ma solo per una piccola quantità di transazioni, in cui il rischio di corruzione è basso.
Quello che Trey Blalock ha detto sull'avere 2 server di tempo interni che si registrano l'un l'altro, non gestiti dagli stessi amministratori di sistema, non verrebbe accettato come controllo di compensazione, perché non hai i mezzi per assicurarti che questa volta sia correttamente sincronizzata con l'ora mondiale. Sì, è possibile sincronizzarli manualmente da una fonte esterna, ma ciò significherebbe il server temporale nel frattempo, deriva dal tempo mondiale.
Un controllo di compensazione sarebbe comunque quello di avere un OCXO (oscillatore a cristallo compensato con forno) che è una volta sincronizzato con il tempo esterno, prima di essere introdotto nell'area PCI DSS. Questo OCXO potrebbe anche essere sigillato con sigilli antimanomissione.
Notate che anche una deriva OCXO con il tempo, e deve essere periodicamente controllata e resincisa.