Per la conformità PCI, ogni richiesta deve essere registrata indipendentemente da come influenza le prestazioni del sistema?

Question

Per la conformità PCI, ogni richiesta deve essere registrata indipendentemente da come influenza le prestazioni del sistema?

#1 da (3 voti)

2

Il nostro servizio basato su cloud è attualmente in fase di modifica in vista della conformità PCI.

Si tratta di un servizio ad alto throughput e ci sono timori che l'abilitazione della giusta quantità di registrazione sulla nostra applicazione server Web possa ostacolare le prestazioni del nostro sistema ( Quali registri da conservare per PCI-DSS? - Conserva tutti i registri ). Durante il test delle prestazioni c'è un grande deficit di prestazioni quando la registrazione è abilitata. Questo post suggerisce cosa deve essere registrato da una prospettiva PCI.

Ignorando PCI, da un punto di sicurezza se la vista credo che avremo bisogno di registrare ogni richiesta HTTP come il server web httpd fa di default perché se c'è qualche violazione sarebbe difficile eseguire analisi forensi su un sistema se i log sono manca.

Ho ragione nel ritenere bisogno di registrare ogni richiesta e dovremo solo prendere il colpo e ridimensionarlo in modo appropriato? Sarebbe accettabile accedere al disco RAM ed esportare i log a intervalli regolari come possibile soluzione di reclamo PCI per il problema delle prestazioni?

logging webserver pci-dss

posta SilverlightFox 15.12.2014 - 16:26

fonte

1 risposta

Leggi altre domande sui tag logging webserver pci-dss

Esecuzione di codice Python non attendibile È sicuro fornire a terzi un server VPN a casa?

score 3 · Accepted Answer

Proviamo ad affrontare due problemi contemporaneamente. Prima di tutto sì, si verificherà un colpo di performance, specialmente se si sta effettuando l'accesso alla stessa macchina. L'idea è di non registrare tutto localmente, ma di utilizzare una connessione syslog crittografata (o simile) per registrare ogni richiesta su un server di registrazione separato.

Questo alleggerirà il webserver dall'essere occupato con i log. Normalmente questo non dovrebbe essere troppo difficile in quanto normalmente dovresti avere una sorta di SIEM implementato ( giusto ?) Dove puoi loggarti immediatamente. Ciò consentirà inoltre di scrivere regole di business SIEM specifiche per l'allert in tempo reale (oppure è possibile utilizzare i log per le statistiche). A seconda di quanti soldi hai, puoi andare con Splunk o cercare qualcosa di più conveniente come logstash con Kibana.

La rotazione e l'analisi dei registri in caso di violazione sono anche molto più facili quando hai già importato i registri in un database simile, dato che sono estremamente efficaci nel consentire l'aggregazione, la correlazione e la ricerca di registri veloci. Quando hai una breccia, l'ultima cosa che vuoi fare è passare un sacco di tempo a importare i log in strumenti simili per analizzarli.