мы находимся в процессе получения PCI уровня 1, и я был бы очень признателен, если бы кто-нибудь помог пролить свет на требования PCI-DSS 1.3.3 и 1.3.5, в которых говорится:
1.3.3 — «Не разрешать никаких прямых входящих и исходящих маршрутов для трафика между Интернетом и средой данных о держателях карт». 1.3.5 — «Ограничить исходящий трафик из среды данных о держателях карт в Интернет таким образом, чтобы исходящий трафик мог иметь доступ только к IP-адресам. в демилитаризованной зоне».
Прямо сейчас мы используем брандмауэр Juniper SRX и имеем веб-серверы в DMZ, а серверы mysql db — в Trusted. Для Trusted мы только что закончили блокировать все исходящие данные для общего доступа и должны были настроить прокси-сервер в DMZ, который получает обновления (yum, clamav, waf-rules и т. д.), чтобы получать обновления.
Но мы действительно не ожидали, что DMZ также потребует полной блокировки выхода, как мы сделали на Trusted. И я нахожу это немного сложным (если я не ошибаюсь) для блокировки выхода в DMZ, поскольку наш прокси-сервер также находится там и нуждается в исходящем доступе к общедоступным для получения обновлений и чего-то еще. Внесение их в белый список через IP-адреса является сложной задачей, потому что сторонние поставщики постоянно меняют IP-адреса.
Итак, мой вопрос в том, насколько именно требуется «ограничение»? Для нашего доверенного у нас есть выход «запретить все» и белый список избранных IP-адресов, к которым он может получить доступ. Требуется ли это для DMZ? Или может быть DMZ просто иметь «запретить все» на основе портов, что значительно упростит задачу, поскольку нам не придется беспокоиться о постоянно меняющихся IP-адресах зеркал и сторонних сервисов.
Я нашел некоторые прокси-устройства, которые выполняют интеллектуальную фильтрацию на основе «имен хостов» (другими словами, динамический белый список IP-адресов), но они, похоже, стоят довольно много денег.
Как видите, я ищу ответы, наш аудитор не очень помогает, он просто говорит, что это нужно заблокировать. Если у кого-то здесь есть опыт аудита PCI, я хотел бы услышать, что вы хотите сказать.