Para el cumplimiento de PCI, ¿es necesario registrar cada solicitud independientemente de cómo afecte el rendimiento del sistema?

Question

Para el cumplimiento de PCI, ¿es necesario registrar cada solicitud independientemente de cómo afecte el rendimiento del sistema?

#1 de Lucas Kauffman (3 votos)

2

Nuestro servicio basado en la nube está experimentando cambios con vistas al cumplimiento de PCI.

Es un servicio de alto rendimiento, y existe la preocupación de que habilitar la cantidad correcta de registro en nuestra aplicación de servidor web dificultará el rendimiento de nuestro sistema ( ¿Qué registros se deben conservar para PCI-DSS? - Retener todos los registros ). Durante las pruebas de rendimiento, existe un gran déficit de rendimiento cuando el registro está habilitado. Esta publicación sugiere lo que se debe registrar desde una perspectiva PCI.

Sin tener en cuenta el PCI, desde un punto de seguridad, si veo, creo que tendremos que registrar cada solicitud HTTP como lo hace el servidor web httpd por defecto porque si hay alguna violación sería difícil realizar un análisis forense en un sistema si los registros están falta.

¿Estoy en lo cierto al creer que necesitaremos registrar cada solicitud y solo tendremos que tomar el impacto y escalar de manera adecuada? ¿Sería aceptable iniciar sesión en el disco RAM y exportar los registros a intervalos regulares como una posible solución de quejas PCI al problema de rendimiento?

webserver pci-dss logging

pregunta SilverlightFox 15.12.2014 - 16:26

fuente

1 respuesta

Lea otras preguntas en las etiquetas webserver pci-dss logging

Ejecutando un código Python no confiable ¿Es seguro proporcionar a otros un servidor VPN en casa?

score 3 · Accepted Answer

Intentemos abordar dos problemas a la vez. En primer lugar, sí, tendrá un impacto de rendimiento, especialmente si está iniciando sesión en la misma máquina. La idea es que no registre todo de forma local, sino que utilice una conexión de syslog cifrada (o similar) para registrar cada solicitud en un servidor de registro independiente.

Esto evitará que el servidor web esté ocupado con los registros. Normalmente, esto no debería ser demasiado difícil, ya que normalmente debería tener algún tipo de SIEM implementado ( ¿correcto ?) En el que pueda iniciar sesión de inmediato. Esto también le permitirá escribir reglas de negocios específicas de SIEM para la notificación en tiempo real (o puede usar los registros para las estadísticas). Dependiendo de la cantidad de dinero que tengas, puedes ir con Splunk o buscar algo más asequible, como logstash con Kibana.

La rotación y el análisis de registros en caso de incumplimiento también son mucho más fáciles cuando ya ha importado registros en una base de datos similar, ya que son extremadamente buenos para permitir la rápida agregación, correlación y búsqueda de registros. Cuando tienes una violación, lo último que quieres hacer es pasar toneladas de tiempo importando registros en herramientas similares para analizarlos.