1

我们正在获得 PCI 1 级,如果有人能帮助阐明 PCI-DSS 1.3.3 和 1.3.5 要求,我将非常感激,其中规定:

1.3.3 - “不允许任何直接路由入站或出站用于 Internet 和持卡人数据环境之间的流量” 1.3.5 - “限制从持卡人数据环境到 Internet 的出站流量,使得出站流量只能访问 IP 地址在非军事区内。”

现在,我们正在使用瞻博网络 SRX 防火墙,并且在 DMZ 中有网络服务器,在 Trusted 中有 mysql 数据库服务器。对于 Trusted,我们刚刚完成了对公开的所有出口的锁定,并且必须在 DMZ 中设置一个代理服务器来获取更新(yum、clamav、waf-rules 等)以从中获取更新。

但我们并没有真正期望 DMZ 也需要像我们在 Trusted 上所做的那样完全锁定出口。而且我确实发现在 DMZ 上进行出口锁定有点挑战(除非我弄错了),因为我们的代理也住在那里,需要对公众进行出站访问以获取更新等等。通过 IP 将它们列入白名单具有挑战性,因为第 3 方供应商拥有不断变化的 IP。

所以我的问题是,究竟需要多少“限制”?对于我们的 Trusted,我们有一个“拒绝所有”出口和一个它可以访问的选定 IP 地址的白名单。DMZ 也需要这个吗?或者 DMZ 是否可以仅基于端口进行“全部拒绝”,这会使事情变得容易得多,因为我们不必担心镜像和 3rd 方服务的不断变化的 IP 地址。

我发现了一些基于“主机名”进行智能过滤的代理设备(换句话说,动态 IP 白名单),但它们似乎确实要花很多钱。

如您所见,我正在寻找一些答案,我们的审计员帮不上什么忙,他只是说需要锁定它。如果这里有人有 PCI 审计经验,我很想听听您的意见。

4

1 回答 1

1

如果您限制了对 DMZ 的入站和出站访问,并且没有从 DMZ 直接访问 Internet,那么您已满足要求。

通过使用代理,大多数 QSA 将同意您已删除直接访问。如果某些服务的代理不可用,那么您可以将它们从与持卡人数据环境相同的 DMZ 中删除(例如,如果它们不属于即时服务的一部分),或者与您的 QSA 进行讨论。您可能需要实施补偿控制或查看其他创造性解决方案。

您需要让您的 QSA 相信这些是对限制的合法放宽。这确实是他们应该能够查看您的文档和实施并给您直接是或否的地方。

与许多 PCI 要求一样,解释具有灵活性。您可以在本文档中找到有关每个要求的意图的更多信息:https ://www.pcisecuritystandards.org/documents/navigating_dss_v20.pdf

于 2012-08-24T15:23:14.473 回答