我们正在获得 PCI 1 级,如果有人能帮助阐明 PCI-DSS 1.3.3 和 1.3.5 要求,我将非常感激,其中规定:
1.3.3 - “不允许任何直接路由入站或出站用于 Internet 和持卡人数据环境之间的流量” 1.3.5 - “限制从持卡人数据环境到 Internet 的出站流量,使得出站流量只能访问 IP 地址在非军事区内。”
现在,我们正在使用瞻博网络 SRX 防火墙,并且在 DMZ 中有网络服务器,在 Trusted 中有 mysql 数据库服务器。对于 Trusted,我们刚刚完成了对公开的所有出口的锁定,并且必须在 DMZ 中设置一个代理服务器来获取更新(yum、clamav、waf-rules 等)以从中获取更新。
但我们并没有真正期望 DMZ 也需要像我们在 Trusted 上所做的那样完全锁定出口。而且我确实发现在 DMZ 上进行出口锁定有点挑战(除非我弄错了),因为我们的代理也住在那里,需要对公众进行出站访问以获取更新等等。通过 IP 将它们列入白名单具有挑战性,因为第 3 方供应商拥有不断变化的 IP。
所以我的问题是,究竟需要多少“限制”?对于我们的 Trusted,我们有一个“拒绝所有”出口和一个它可以访问的选定 IP 地址的白名单。DMZ 也需要这个吗?或者 DMZ 是否可以仅基于端口进行“全部拒绝”,这会使事情变得容易得多,因为我们不必担心镜像和 3rd 方服务的不断变化的 IP 地址。
我发现了一些基于“主机名”进行智能过滤的代理设备(换句话说,动态 IP 白名单),但它们似乎确实要花很多钱。
如您所见,我正在寻找一些答案,我们的审计员帮不上什么忙,他只是说需要锁定它。如果这里有人有 PCI 审计经验,我很想听听您的意见。