Segmentación de red PCI-DSS e interfaces administrativas cifradas

5

Estoy usando el modelo de segmentación de red 3/2/1 del open pci dss scoping toolkit y yo Me estoy topando con un poco de un bloqueo mental. Tengo un sistema telefónico (Mitel 5000 series, si es importante) que está en mi red interna segmentada.

El sistema telefónico parece tener firewall. nmap muestra solo los puertos de administración web y SSH estándar. Sin embargo, técnicamente este sistema es de nivel 1, ya que recibimos una gran cantidad de llamadas que contienen información del titular de la tarjeta.

Basado en el kit de herramientas, esto es técnicamente una infracción, ya que los sistemas L3 pueden acceder a un L1. Al mismo tiempo, el único acceso a través de la red es el tráfico de administración cifrado. Eso cumple con las especificaciones de PCI-DSS para cualquier red disponible públicamente.

¿Cómo trato esta situación? ¿Por qué?

Nota: soy consciente de que el QSA es la respuesta final a esta pregunta relacionada con PCI. Estoy buscando más prácticas recomendadas y la lógica detrás de este tipo de casos.

    
pregunta Tim Brigham 02.08.2013 - 18:43
fuente

1 respuesta

2

La red de telefonía está dentro del alcance porque transmite datos del titular de la tarjeta. La red de telefonía parece estar en su propio segmento de red (L1) con acceso controlado solo para administración.

Podría usar un host de bastión para la administración de todos los sistemas L1. El host bastion podría estar ubicado en su propio segmento L2. Los sistemas L3 podrían usar este host bastion como un proxy administrativo para los sistemas en los segmentos L1 / L2. El acceso a las interfaces administrativas podría estar limitado únicamente a ese host de bastión.

Lo anterior también sería adecuado para un trabajador remoto. Ese trabajador usaría la autenticación de dos factores para acceder a la red interna y luego una sesión en el host del bastión para administrar sistemas dentro de las redes L1 y L2.

Si bien el Open PCI Scoping Toolkit tiene sus méritos como guía, si lo sigues estrictamente, creo que pierde algo de sentido.

Vale la pena recordar que la próxima versión de PCI DSS se lanzará en octubre de este año (2013) y probablemente tendrá nuevos requisitos, por lo que la segmentación ya no será adecuada y se requerirá aislamiento. En el ejemplo anterior, es posible que tenga un entorno de datos de titulares de tarjetas de confianza y un entorno corporativo no confiable completamente separado que requeriría una autenticación de dos factores y sistemas de autenticación separados. Más detalles sobre esto deberían estar disponibles en septiembre.

    
respondido por el AndyMac 06.08.2013 - 15:57
fuente

Lea otras preguntas en las etiquetas