Payment Card Industry Data Security Standard (PCI DSS)

Master, Visa, American Express, JCB အစရှိတဲ့ Credit Card တွေနဲ့ ကိုယ့် Infra နဲ့ ချိတ်ဆက် အလုပ်လုပ်ရတော့မယ်ဆိုရင် PCI DSS ဆိုတာကြီးကို ခေါင်းထဲ ထည့်ထားရပါတယ်။

အဲလို Industry အတွက် Network Design လုပ်တဲ့ အခါ သတ်မှတ်ထားတဲ့ PCI Level နဲ့ PCI Requirement ဆိုတာတွေကို အခြေခံလောက်တော့ သိထားဖို့လိုပါတယ်။

ဒီအတွက် ကျတော် အနည်းငယ် ပြန်လည်ဝေမျှချင်ပါတယ်။

PCI DSS ကောင်စီက PCI Level ကို

Level 1 - တနှစ်ကို Credit Card Transaction ပေါင်း ၆ မီလီယံ နဲ့ အထက်

Level 2 - တနှစ်ကို Credit Card Transaction ပေါင်း ၁ မီလီယံ နဲ့ ၆ မီလီယံ ကြား

Level 3 - တနှစ်ကို Credit Card Transaction ပေါင်း ၂ သောင်း နဲ့ ၁ မီလီယံ ကြား

Level 4 - တနှစ်ကို Credit Card Transaction ပေါင်း ၂ သောင်း အောက်

ဆိုပြီး ၄ မျိုး ခွဲထားပါတယ်။

PCI DSS ကောင်စီရဲ့ Requirement တွေကို Compliant ဖြစ်ဖို့ အတွက်ဆိုရင် အောက်က အခြေခံ ၁၂ ချက်လိုပါတယ်။

၁) Data Protection အတွက် Firewall ရှိရပါမယ်။
၂) Vendor ရဲ့ Default Configuration, Default User Account, Password တွေ မသုံးရပါဘူး။ (ဒါကတော့ တော်တော်များများ မလိုက်နာကြပါဘူး :P)
၃) Store လုပ်ထားတဲ့ Data မှန်သမျှ Protection ရှိရပါမယ်။
၄) Cardholder ရဲ့ Data နဲ့ Sensitive အချက်အလက်တွေအားလုံးကို Public Network တွေကနေဖြတ်သန်းစေတဲ့ အခါ Encrypt လုပ်ရပါမယ်။
၅) Antivirus Software တွေ update အမြဲဖြစ်နေရပါမယ်။
၆) Develop လုပ်တဲ့ Infra နဲ့ Application တွေ ကို အမြဲ Secure ဖြစ်နေစေရပါမယ်။ (Plain Text အစား Encrypted Hash password လိုမျိုးပေါ့)
၇) Data Access မှန်သမျှ Access လုပ်သင့်တာထက် လုပ်ဖို့လိုတဲ့သူထက် ပိုမပေးထားရပါဘူး။ (HR က Finance ကို မကြည့်ရသလို။ HR Staff က HR Manager ပဲကြည့်ရတဲ့ Data ကို access မရသင့်သလိုပေါ့)
၈) System Access တွေအတွက် တယောက်ကို ID တခု Unique ID ပဲ ဖြစ်ရပါမယ်။
၉) Cardholder ရဲ့ Data ကို Physically access ရတဲ့နေရာ တိုင်း restricted access ဖြစ်နေရပါမယ်။
၁၀) Infra Resource နဲ့ Cardholder Data တွေ ရဲ့ access လုပ်သမျှကို အမြဲစောင့်ကြည့်နေရပါမယ်။
၁၁) System တွေနဲ့ Process တွေရဲ့ Security ကို ပုံမှန် စစ်ဆေးမှုရှိရပါမယ်။
၁၂) Information Security နဲ့ ပတ်သက်တဲ့ Policy ရှိနေရမှာ ဖြစ်ပြီး အချိန်နဲ့ တပြေးညီ update ဖြစ်နေရပါမယ်။


ဒါတွေကတော့ Credit Card Company တွေ စုပေါင်းဖွဲ့ထားတဲ့ PCI DSS ကောင်စီရဲ့ Requirement တွေပဲ ဖြစ်ပြီး Credit Card Company တခုချင်းစီမှာလဲ သူတို့ ကိုယ်ပိုင် Requirement တွေရှိပါသေးတယ်။

ကျတော်တို့ ပုံမှန် System, Network သမားတွေက PCI DSS ဆိုရင် မြင်ဖူးကြားဖူးပေးမယ့် အပေါ်က PCI DSS requirement တွေကို တော့ သတိမထားမိတတ်ပါဘူး။


တကယ်လို့များ အခုဖတ်ကြည့်ရင်း ကိုယ့် Infra ကို စစ်ကြည့်ပါ။ ပြီးရင် ဘယ်အချက်တွေတော့ Compliance မဖြစ်ဖူးလဲ တွေးကြည့်ပြီး ပြုံးလိုက်ပါအုံး။
နောက်ဆုံး ဒါတွေကို တီးမိခေါက်မိသွားပြီဆိုရင် ရေးရတဲ့ ကျတော် ကျေနပ်ပါပြီ။

ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)




Solving NTP Sync issue in Cisco FirePower IPS

Cisco FirePower IPS Sensor နဲ့ Management Centre တွေမှာ NTP configuration တွေလုပ်ရတာ GUI မှာ လက်ဝင်ပါတယ်။

ဒီတော့ CLI ကနေ NTP Server တွေ ထည့်ပုံနဲ့ basic troubleshooting လုပ်ပုံလေးကို အောက်မှာ ရှင်းပြထားပါတယ်။

FMC (FirePower Management Centre) မှာ ဆိုရင်

NTP Server နဲ့ Peering Connection ကို စစ်ဖို့

"show ntp" နဲ့ "ntpq -pn" ဆိုတဲ့ command ကို သုံးပါတယ်.

တကယ်လို့ NTP Server က ကိုယ် sync စေချင်တဲ့ Server မဟုတ်ခဲ့ရင် "sudo ntpdate -u <ကိုယ် Sync စေချင်တဲ့ Server IP address>" ဆိုတဲ့ command ကို သုံးပြီး force sync လုပ်ပါ။

Clock Time က မတိကျသေးရင် "sudo pmtool restartbyid ntpd" command ကို သုံးပြီး ntp daemon ကို restart လုပ်ပါ။

Hardware Clock Time ကို ကြည့်ဖို့ကတော့ "sudo hwclock" ဆိုတဲ့ command ကို သုံးပါတယ်။

ဒါကတော့ FMC ရဲ့ NTP ကို troubleshooting လုပ်တာပါ။

တကယ်လို့ Sensor တွေရဲ့ NTP ကို troubleshoot လုပ်မယ်ဆိုရင်တော့။ အပေါ်က Command တွေ အတိုင်း လုပ်နိုင်ပါတယ်။
လုပ်ရင်းနဲ့မှ မရရင်တော့ ntp.conf ကို manual ဝင်ပြင်ရပါမယ်။
ပြင်ဖို့အတွက် "sudo cat /etc/ntp.conf" ဆိုပြီး ntp.conf ထဲက NTP Server တွေ မှန် မမှန် အရင် စစ်ပါ။
မမှန်ရင်တော့ ကိုယ်လိုချင်တဲ့ NTP Server IP ကို vi text editor သုံးပြီး ထည့်ပြီး ntp daemon ကို restart လုပ်ပေါ့။
ပြီးရင် hardware clock time ပြန်စစ်ပါ။ အချိန်မှန်ပြီဆိုရင် ပျော်လိုက်ပါတော့။

တခုတော့ ရှိတာပေါ့။ ကိုယ့် NTP Server က FMC, Sensor တွေ ping (တနည်းအားဖြင့် reachability ရှိနေဖို့) လို့တော့ ရမှ ဖြစ်မှာနော်။

ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)