Slutet av red hat 6 livscykel, hur påverkar det PCI DSS efterlevnad?
2 min
I november 2020 nådde operativsystemet Red Hat 6 slutet på sin livscykel efter en tio år lång aktiv underhållsfas. Red Hat 6 befinner sig nu i en ettårig fas av förlängd livscykel, som avslutas i november 2021. Denna fas är redan halvvägs avklarad.
Vad innebär förlängd livscykel?
Under den förlängda livscykeln utförs inget ytterligare utvecklingsarbete på Red Hat 6. Det innebär att inga fler buggfixar släpps, inga säkerhetsuppdateringar tillkommer, inga programvaruförbättringar görs och inga nya versioner eller mindre uppdateringar ges ut.
Det tekniska stödet är också begränsat och gäller endast befintliga installationer. Om en paketuppdatering krävs kan endast paket från den tidigare underhållsfasen användas. Observera att den förlängda livscykeln är en betald prenumeration och endast tillgänglig för organisationer med en aktiv licens.
Påverkan på PCI DSS efterlevnad
Om er plattform omfattas av PCI DSS och ni ännu inte har migrerat till Red Hat Enterprise Linux (RHEL) 7 eller 8, kan detta leda till betydande efterlevnadsproblem.
Krav 6.2 – Säkerhetsuppdateringar
PCI DSS krav 6.2 anger:
Det tekniska stödet är också begränsat och gäller endast befintliga installationer. Om en paketuppdatering krävs kan endast paket från den tidigare underhållsfasen användas. Observera att den förlängda livscykeln är en betald prenumeration och endast tillgänglig för organisationer med en aktiv licens.
”Säkerställ att alla systemkomponenter och programvara är skyddade från kända sårbarheter genom att installera tillämpliga säkerhetsuppdateringar från leverantören. Installera kritiska säkerhetsuppdateringar inom en månad efter utgivningen.”
Eftersom inga nya säkerhetsuppdateringar längre släpps för RHEL 6 är det inte möjligt att uppfylla detta krav.
Krav 5 – Skydd mot skadlig kod
PCI DSS krav 5 kräver att antivirusprogram installeras på system som “ofta påverkas av skadlig kod”.
Erfarenhet från QSA:er (Qualified Security Assessors) visar att RHEL-system normalt inte klassas som sådana system, till skillnad från Windows.
Dock kan ett föråldrat system som RHEL 6, som nått end-of-life, mycket väl klassas som ett system med ökad risk för skadlig kod. Det innebär att antivirus från tredje part kan krävas och eftersom RHEL 6 saknar inbyggt virusskydd.
Krav 3 och 4 – Kryptering
PCI DSS krav 3 och 4 kräver att lagring och överföring av kortdata skyddas med branschaccepterad kryptering. Eftersom krypteringsstandarder och protokoll kontinuerligt utvecklas kan äldre system som RHEL 6 sakna stöd för moderna krypteringsmetoder, inte uppfylla framtida krav på stark kryptering och få problem när PCI DSS rör sig mot kryptering av all intern nätverkstrafik.
Erfarenhet från QSA:er (Qualified Security Assessors) visar att RHEL-system normalt inte klassas som sådana system, till skillnad från Windows.
Dock kan ett föråldrat system som RHEL 6, som nått end-of-life, mycket väl klassas som ett system med ökad risk för skadlig kod. Det innebär att antivirus från tredje part kan krävas och eftersom RHEL 6 saknar inbyggt virusskydd.