PCI-DSS 1.3.3/1.3.5, ограничивающий исходящий доступ из DMZ в Интернет

мы находимся в процессе получения PCI уровня 1, и я был бы очень признателен, если бы кто-нибудь помог пролить свет на требования PCI-DSS 1.3.3 и 1.3.5, в которых говорится:

1.3.3 — «Не разрешать никаких прямых входящих и исходящих маршрутов для трафика между Интернетом и средой данных о держателях карт». 1.3.5 — «Ограничить исходящий трафик из среды данных о держателях карт в Интернет таким образом, чтобы исходящий трафик мог иметь доступ только к IP-адресам. в демилитаризованной зоне».

Прямо сейчас мы используем брандмауэр Juniper SRX и имеем веб-серверы в DMZ, а серверы mysql db — в Trusted. Для Trusted мы только что закончили блокировать все исходящие данные для общего доступа и должны были настроить прокси-сервер в DMZ, который получает обновления (yum, clamav, waf-rules и т. д.), чтобы получать обновления.

Но мы действительно не ожидали, что DMZ также потребует полной блокировки выхода, как мы сделали на Trusted. И я нахожу это немного сложным (если я не ошибаюсь) для блокировки выхода в DMZ, поскольку наш прокси-сервер также находится там и нуждается в исходящем доступе к общедоступным для получения обновлений и чего-то еще. Внесение их в белый список через IP-адреса является сложной задачей, потому что сторонние поставщики постоянно меняют IP-адреса.

Итак, мой вопрос в том, насколько именно требуется «ограничение»? Для нашего доверенного у нас есть выход «запретить все» и белый список избранных IP-адресов, к которым он может получить доступ. Требуется ли это для DMZ? Или может быть DMZ просто иметь «запретить все» на основе портов, что значительно упростит задачу, поскольку нам не придется беспокоиться о постоянно меняющихся IP-адресах зеркал и сторонних сервисов.

Я нашел некоторые прокси-устройства, которые выполняют интеллектуальную фильтрацию на основе «имен хостов» (другими словами, динамический белый список IP-адресов), но они, похоже, стоят довольно много денег.

Как видите, я ищу ответы, наш аудитор не очень помогает, он просто говорит, что это нужно заблокировать. Если у кого-то здесь есть опыт аудита PCI, я хотел бы услышать, что вы хотите сказать.


linux centos sysadmin pci-dss
person Jae Lee    schedule 24.08.2012    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Если вы ограничили входящий и исходящий доступ к вашей демилитаризованной зоне и нет прямого доступа из демилитаризованной зоны к Интернету, значит, вы выполнили требования.

Используя прокси, большинство QSA согласятся с тем, что вы удалили прямой доступ. Если есть услуги, для которых недоступны прокси-серверы, вы можете либо удалить их из той же демилитаризованной зоны, что и среда данных о держателях карт (например, если они не являются частью непосредственной службы), либо обсудить это с вашим QSA. Возможно, вам потребуется реализовать компенсирующие элементы управления или рассмотреть другие творческие решения.

Вам нужно будет убедить QSA в том, что это законное ослабление ограничений. Это действительно то, где они должны иметь возможность взглянуть на вашу документацию и реализацию и сказать вам прямо да или нет.

Как и в случае со многими требованиями PCI, существует гибкость в интерпретации. Подробнее о назначении каждого требования можно узнать в этом документе: https://www.pcisecuritystandards.org/documents/navigating_dss_v20.pdf

person dfbpdave    schedule 24.08.2012
comment
что делать, если есть некоторые службы, где прокси не применимы? - person Jae Lee; 27.08.2012