Il punto da PCI 1.3.1 a 1.3.3

Question

Il punto da PCI 1.3.1 a 1.3.3

#1 da (1 voti)
#2 da (1 voti)

2

In espansione alla mia domanda precedente che cosa si qualifica come accesso pubblico? Sto cercando di comprendere le intenzioni dei punti 1.3.1 e 1.3.2 e 1.3.3 dello standard PCI.

Ho quattro DMZ al mio attuale lavoro (usando una configurazione sidearm), e questo è più piccolo delle mie implementazioni precedenti. Questi sono sempre costruiti in un approccio di sicurezza top-down - una scatola di sicurezza più alta raggiunge sempre la DMZ e estrae le informazioni necessarie di cui ha bisogno o spinge i bit che devono essere accessibili al pubblico.

Ricevo totalmente l'idea di fermare e analizzare il traffico prima di passare a un sistema interno potenzialmente soffocante. La lingua in uso implica dei buchi nella direzione opposta. Implica anche l'uso di un motore di analisi all'interno della DMZ.

Forse quello che non capisco è come viene usato il termine DMZ. Le funzioni delineate molto sono più simili a ciò che viene fatto con un firewall a livello di applicazione:

Termination of IP connections at the DMZ provides opportunity for inspection and
restriction of source/destination, and/or inspection / blocking of content, thus
preventing unfiltered access between untrusted and trusted environments.

Termination of IP connections both inbound and outbound provides opportunity for
inspection and restriction of source/destination, and/or inspection / blocking of
content, thus preventing unfiltered access between untrusted and trusted
environments. This helps prevent, for example, malicious individuals from sending
data they've obtained from within your network out to an external untrusted server
in an untrusted network.

Queste descrizioni suonano esattamente come quello che TMG fa fuori dalla scatola.

Prendendo questo alla lettera, avrei una seconda scatola TMG che si trova all'interno della DMZ fornita dalla mia prima scatola TMG .. Mi sembra pazzesca. Sembra che lo standard sia stato scritto per una configurazione precedente, qualcosa come avere un PIX che blocca tutto il traffico e rimbalza tutto attraverso un secondo server che esegue qualcosa come ISA / Forefront che si trova all'interno della DMZ.

Per quanto posso immaginare, non ci sarebbe alcun vantaggio per la sicurezza di avere una scatola separata nella DMZ per questo uso la mia configurazione, a parte se ho una scatola Apache esterna e IIS all'interno (o viceversa).

Fornire alcune informazioni su come o perché interrompere queste connessioni in una DMZ anziché all'interno del firewall stesso sarebbe vantaggioso. Non lo vedo.

network pci-dss compliance

posta Tim Brigham 21.02.2012 - 22:11

fonte

2 risposte

1

Per la progettazione di riferimento su DMZ- questo documento di lavoro ha un buon feedback:

link

Inoltre - sono d'accordo con il poster sopra - è una linea guida. Sei sotto un audit PCI di livello 1 di audit QSA, il tuo QSA può fornire commenti. In caso contrario, se si è sottoposti all'autocontrollo PCI autonomo, ma si riferiscono al CIO, la raccomandazione per Dual FW e DMZ è la progettazione dell'architettura standard in chiunque lavori sul Web.

risposta data 22.02.2012 - 19:11

fonte

Leggi altre domande sui tag network pci-dss compliance

Pagamento con carta di credito per iPhone Come condurre l'attacco DDoS praticamente? [duplicare]

score 1 · Accepted Answer

Ti stai riferendo alla guida all'interpretazione qui nella tua domanda. La guida all'interpretazione è intesa a fornire una visione approfondita della giustificazione del requisito nonché alcune indicazioni aggiuntive, se necessario. Non sei valutato rispetto alla Guida all'interpretazione, quindi se vedi affermazioni contraddittorie, è sempre meglio cercare prima nello standard.

Requisito (dallo standard)

1.3.1 Implement a DMZ to limit inbound traffic to only system components that provide authorized publicly accessible services, protocols, and ports.

Testing Procedures:
1.3.1 Verify that a DMZ is implemented to limit inbound traffic to only system components that provide authorized publicly accessible services, protocols, and ports.

Dichiarazione di orientamento (dalla guida all'interpetazione):

1.3.2 Limit inbound Internet traffic to IP addresses within the DMZ.

Termination of IP connections at the DMZ provides opportunity for inspection and restriction of source/destination, and/or inspection / blocking of content, thus preventing unfiltered access between untrusted and trusted environments.

Quindi lo standard non dice che è necessario implementare un motore di analisi. Dice solo nel documento di orientamento che hai l'opportunità di analizzare. I firewall dell'applicazione sono gestiti nella sezione 6.6.