Rete PCI-DSS Segmentazione e interfacce amministrative crittografate

5

Sto utilizzando il modello di segmentazione di rete 3/2/1 dal open pci dss scope toolkit e io sto incontrando un po 'di blocco mentale. Ho un sistema telefonico (serie Mitel 5000, se è importante) che si trova sulla mia rete interna segmentata.

Il sistema telefonico sembra essere protetto da firewall. nmap mostra solo porte standard di gestione web e SSH. Tuttavia, questo sistema è tecnicamente di livello 1, in quanto prendiamo un gran numero di chiamate che contengono informazioni sui titolari di carta.

Sulla base del toolkit questo è tecnicamente una violazione poiché i sistemi L3 possono potenzialmente accedere a L1. Allo stesso tempo, l'unico accesso attraverso la rete è il traffico di gestione crittografato. Che soddisfi le specifiche PCI-DSS per qualsiasi rete disponibile pubblicamente.

Come considero questa situazione? Perché?

Nota - Sono consapevole che il QSA è la risposta finale su questo come qualsiasi domanda relativa al PCI. Cerco di più per le migliori pratiche e la logica dietro a questo tipo di casi.

    
posta Tim Brigham 02.08.2013 - 18:43
fonte

1 risposta

2

La rete telefonica è di portata perché trasmette i dati dei titolari di carta. La rete telefonica sembra essere sul proprio segmento di rete (L1) con accesso controllato solo per l'amministrazione.

Potresti usare un host bastion per l'amministrazione di tutti i sistemi L1. L'host bastion potrebbe trovarsi nel proprio segmento L2. Questo host bastion potrebbe essere utilizzato dai sistemi L3 come proxy amministrativo per i sistemi nei segmenti L1 / L2. L'accesso alle interfacce amministrative potrebbe essere limitato solo a quell'host del bastion.

Quanto sopra sarebbe adatto anche per un lavoratore remoto. Quel lavoratore userebbe l'autenticazione a due fattori per accedere alla rete interna quindi utilizzare una sessione sull'host bastion per gestire i sistemi all'interno delle reti L1 e L2.

Mentre l'Open PCI Scoping Toolkit ha i suoi meriti di guida, se lo segui rigorosamente, trovo che perda un po 'di senso.

Vale la pena ricordare che la prossima versione di PCI DSS verrà rilasciata nell'ottobre di quest'anno (2013) e probabilmente avrà nuovi requisiti in modo tale che la segmentazione non sarà più adeguata e sarà richiesto l'isolamento. Nel tuo esempio precedente, potresti avere un ambiente di dati di titolari di carta fidato e un ambiente aziendale non protetto completamente separato che richiederebbe un'autenticazione a due fattori e sistemi di autenticazione separati. Maggiori dettagli su questo dovrebbero essere disponibili a settembre.

    
risposta data 06.08.2013 - 15:57
fonte

Leggi altre domande sui tag