Dobbiamo configurare un'autenticazione centrale per la conformità PCI e mi chiedo se è consentito consentire il binding anonimo o dovrei creare un utente per eseguire il binding per i servizi che necessitano di ldap?
Se si consente il binding anonimo, è possibile che un host non autorizzato esegua tentativi di autenticazione se ha accesso alla porta LDAP. In realtà questo apre solo un vettore di attacco a forza bruta, che dovrebbe essere mitigato dai requisiti di blocco dell'account di PCI DSS 8.5 .13 e 8.5.14. Inoltre, è possibile presumibilmente documentare la segmentazione della rete per dimostrare che solo le reti relativamente affidabili dispongono dell'accesso necessario per sfruttare il protocollo LDAP. Dovresti essere in grado di dimostrare che i tuoi PCI DSS 10.2.5 controlli sono sufficienti per rilevare un tentativo di uso improprio dell'autenticazione LDAP canale. Naturalmente, è necessario utilizzare LDAPS (LDAP-over-SSL, 636 / tcp) anziché LDAP (non crittografato LDAP, 389 / tcp) per essere conforme a PCI DSS 8.4.
Tenendo conto di queste quattro attenuazioni, puoi probabilmente fare un buon esempio per il bind anonimo. Francamente, l'alternativa è dover archiviare e proteggere le credenziali di bind su tutti i tuoi endpoint, che a mio parere è più un problema che un bind anonimo.
Come per tutte le cose, la tua QSA potrebbe non essere d'accordo, e questo è ciò che devi convincere. La documentazione dei controlli e dei ragionamenti alla base della tua decisione dovrebbe aiutare.