IANAQSA ...
Is the reason for this explanation that the VPN connecting machine is not under PCI DSS scope, so it's treated as unsecure/public access,
or does VPN eliminate that notion?
Prima di tutto, se si dispone di una VPN, è necessario disporre dell'autenticazione a 2 fattori per renderla conforme PCI. Non l'hai menzionato, quindi ho pensato che fosse esplicitato.
Una volta che hai la tua VPN a 2 fattori, la domanda se puoi accedere al tuo CDE (in-scope) viene dopo. Puoi farlo, o non farlo. Se lo fai, allora stai mettendo la tua rete VPN in-scope, o non lo sei, a seconda dei controlli di segregazione ( DSS 3.1 p11 ):
To be considered out of scope for PCI DSS, a system component must
be properly isolated (segmented) from the CDE, such that even if the
out-of-scope system component was compromised it could not impact the
security of the CDE.
Ecco alcuni esempi fatti qui - se i tuoi utenti possono accedere a un portale web nella rete in-scope di CDE tramite la VPN, e tale portale consente loro di gestire i pagamenti ma non per vedere decrittografati Dati PAN, quindi probabilmente non stai mettendo i tuoi dispositivi VPN in portata.
D'altra parte, se i tuoi utenti VPN possono eseguire uno strumento di query database ed esportare dati PAN decifrati dal database in-scope CDE al loro host VPN, allora quella rete VPN non è propriamente segregata ed è in-scope.
But, I'm getting fuzzy responses from other colleagues working on
these issues. They think access from VPN to INT should be forbidden,
and the only way to connect to INT servers should be by connecting to
VPN, then ssh-ing to one of the DMZ servers and then hopping into INT.
I can't find any such notion in PCI DSS docs...
Questo è tutto un aspetto del giudizio di QSA, ma la mia esperienza suggerisce che qualsiasi interazione tra la rete VPN e le reti in ambito CDE dovrebbe essere mediata da proxy o da altri punti di controllo del livello dell'applicazione al fine di mantenere la rete VPN fuori di scopo. Indipendentemente dal fatto che il semplice "island-hopping" come descritto sia sufficiente o meno dipende dal QSA.
I "documenti" parlano di questi problemi senza affrontarli chiaramente. Il Open PCI Scoping Toolkit è stato un tentativo di regolarizzare l'approccio che le entità e i QSA hanno preso a progettare, descrivere e controllare le reti; un modo per compensare tale mancanza nel DSS stesso. Non è uno standard, ma può essere molto utile da leggere e se il tuo QSA lo rispetta (alcuni lo fanno, altri no), allora può alleviare le difficoltà a superare i confini dell'ambito della rete.