Whitelist ASV IP per scansione esterna PCI

In base alla Guida ASV PCI DSS :

5.6 ASV Scan Interference
If an ASV detects that an active protection system has actively blocked or filtered a scan, then the ASV is required to handle it in accordance with Section 7.6, “Resolving Inconclusive Scans.”

Nella sezione 7.6:

Scan customer makes proper temporary configuration changes to remove interference during an ASV scan

Poiché Cloudflare è una " difesa attiva " (WAF) secondo la definizione in PCI-DSS, ha senso che l'ASV lo escluda. Non sono sicuro che Cloudflare possa essere configurato per consentire le scansioni e, in definitiva, è solo più semplice consentire temporaneamente l'IP dell'ASV al firewall.

Sì, è normale che il software di scansione della conformità richieda che l'IP dello scanner sia autorizzato nel firewall locale.

Il concetto di scansione della conformità è di eseguire la scansione dell'intero sistema per garantire un completo rispetto della linea di base. È eccellente che il firewall stia facendo il suo lavoro, ora lo sai. Ma è anche necessario lo scanner di conformità per eseguire la scansione del sistema per garantire patch, account, sicurezza locale, impostazioni generali e così via. Per consentirlo, è necessario fornire allo scanner esterno l'accesso completo alla rete per i sistemi di destinazione, che include la whitelist degli IP degli scanner nel firewall.

Tutto questo ha senso?

I firewall non devono essere modificati per la scansione PCI, solo i sistemi IDS / IPS devono essere modificati.

Fonte: PCI DSS 3.2 e Guide ASV PCI DSS

Secondo PCI DSS 3.2, è necessario modificare solo i sistemi di sicurezza dinamici. I sistemi di sicurezza statici come gli elenchi di controllo di accesso, che non hanno un comportamento dinamico, incluse le porte disponibili e gli indirizzi IP di origine consentiti, NON devono essere modificati.