我们正在获取PCI级别1,如果有人能帮助我们了解PCI-DSS 1.3.3和1.3.5的要求,我将不胜感激:
1.3.3-“互联网和持卡人数据环境之间的流量不允许任何直接的入站或出站路线”
1.3.5-“限制从持卡人数据环境到互联网的出站流量,以便出站流量只能访问DMZ内的IP地址。”
现在,我们正在使用juniper srx防火墙,在dmz中有web服务器,mysql db服务器在trusted中。
对于Trusted,我们刚刚锁定了所有到Public的出口,并且必须在DMZ中设置一个代理服务器来获取更新(Yum、Clamav、WAF规则等)。
但我们并没有真的期望dmz也需要像trusted那样完全锁定出口。我确实觉得在dmz上执行出口锁定有点困难(除非我搞错了),因为我们的代理也住在那里,需要一个到公共场所的出站访问权限,以便获取更新和其他信息。由于第三方供应商拥有不断变化的IP,因此通过IP将它们白名单化是一项挑战。
所以我的问题是,到底需要多少“限制”?对于Trusted,我们有一个“Deny All”出口和它可以访问的选定IP地址的白名单。DMZ也需要这个吗?或者DMZ可以只基于端口“拒绝所有”,这将使事情变得容易得多,因为我们不必担心镜像和第三方服务的IP地址不断变化。
我发现一些代理设备可以根据“主机名”进行智能过滤(换句话说,动态IP白名单),但它们看起来确实要花很多钱。
正如你所看到的,我正在寻找一些答案,我们的审计人员并没有太大的帮助,他只是说它需要被锁定。如果这里有人有PCI审计的经验,我很想听听你的意见。

最佳答案

如果您限制了对DMZ的入站和出站访问,并且DMZ无法直接访问Internet,则您已满足要求。
通过使用代理,大多数qsa将同意您已删除直接访问。如果有没有代理的服务,那么您可以将它们从与卡持卡人数据环境相同的DMZ中删除(例如,如果它们不是即时服务的一部分),或者与QSA进行讨论。有可能你需要实施补偿控制或寻找其他创造性的解决方案。
你需要让你的qsa相信这些是对限制的合理放松。这确实是他们应该能够查看您的文档和实现并直接给出“是”或“否”的地方。
与许多PCI要求一样,解释具有灵活性。您可以在本文档中找到有关每个需求意图的更多信息:https://www.pcisecuritystandards.org/documents/navigating_dss_v20.pdf

关于linux - PCI-DSS 1.3.3/1.3.5,限制从DMZ到Internet的出站访问,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/12103826/

10-08 22:47