whitelist IP come metodo di autenticazione a due fattori per l'accesso al server sotto PCI DSS

0

Nella risposta alla mia domanda: Autenticazione a due fattori per l'applicazione Web sotto PCI DSS gowenfawr ha dichiarato:

I have seen other methods used for 2FA than those you mention; IP whitelisting and adaptive authentication specifically. If you can convince your auditor it qualifies, you're all set.

Mi chiedo se possiamo utilizzare la whitelist IP per l'accesso ai nostri server come secondo metodo di autenticazione. Requisito 8.6 degli stati PCI DSS:

8.6 Where other authentication mechanisms are used (for example, physical or logical security tokens, smart cards, certificates, etc.), use of these mechanisms must be assigned as follows:

  • Authentication mechanisms must be assigned to an individual account and not shared among multiple accounts.

La whitelist IP consentita come metodo 2FA in questa situazione, in quanto gli utenti sysadmin potrebbero condividere gli IP quando si connettono al nostro CDE e ad altri server nell'ambito (cioè l'indirizzo IP pubblico del nostro ufficio)?

    
posta SilverlightFox 26.01.2015 - 14:44
fonte

1 risposta

2

La whitelist IP potrebbe essere accettata da un QSA quest'anno e potrebbe non essere accettata dallo stesso QSA o da un altro QSA il prossimo anno. Se si utilizza certificato, token o OTP 2FA, verrà accettato da qualsiasi QSA in qualsiasi momento.

Potrebbe valere la pena chattare con la QSA su ambito, segmentazione, server di salto e accesso remoto e concordare esattamente quando è richiesto 2FA. A seconda della configurazione, potrebbe non essere necessario 2FA dall'ufficio a un server Jump per la gestione del CDE se l'ufficio è segmentato, non nell'ambito ma non costituisce un accesso remoto.

    
risposta data 27.01.2015 - 04:08
fonte

Leggi altre domande sui tag