El punto de PCI 1.3.1 a 1.3.3

Question

El punto de PCI 1.3.1 a 1.3.3

#1 de logicalscope (1 votos)
#2 de SecurityCrunch (1 votos)

2

En la expansión a mi pregunta anterior ¿Qué califica como acceso público? Estoy tratando de envolver mi cabeza en torno a la intención de los puntos 1.3.1 y 1.3.2 y 1.3.3 del estándar PCI.

Tengo cuatro DMZ en mi trabajo actual (usando una configuración de arma lateral), y esto es más pequeño que mis implementaciones anteriores. Estos siempre se incorporan en un enfoque de seguridad de arriba hacia abajo: una caja de seguridad más alta siempre llega a la DMZ y extrae los bits de información necesarios que necesita o empuja los bits que deben ser de acceso público.

Tengo totalmente la idea de detener y analizar el tráfico antes de que se dirija a un sistema interno potencialmente peligroso. El lenguaje en uso implica hacer agujeros en la dirección opuesta. También implica el uso de un motor de análisis dentro de la DMZ.

Tal vez lo que no entiendo es cómo se usa el término DMZ. Las funciones descritas suenan mucho más como lo que se hace con un firewall de nivel de aplicación:

Termination of IP connections at the DMZ provides opportunity for inspection and
restriction of source/destination, and/or inspection / blocking of content, thus
preventing unfiltered access between untrusted and trusted environments.

Termination of IP connections both inbound and outbound provides opportunity for
inspection and restriction of source/destination, and/or inspection / blocking of
content, thus preventing unfiltered access between untrusted and trusted
environments. This helps prevent, for example, malicious individuals from sending
data they've obtained from within your network out to an external untrusted server
in an untrusted network.

Estas descripciones suenan exactamente como lo que hace TMG fuera de la caja.

Tomando esto literalmente, tendría una segunda caja de TMG dentro de la DMZ que me proporciona mi primera caja de TMG ... Eso me parece una locura. Parece que el estándar fue escrito para una configuración más antigua, algo así como tener un PIX bloqueando todo el tráfico y rebotando todo a través de un segundo servidor que ejecuta algo como ISA / Forefront que se encuentra dentro de la DMZ.

Hasta donde puedo imaginar, no habría ningún beneficio de seguridad de tener una caja separada en la DMZ para este uso de mi configuración, excepto si tengo una caja de Apache fuera e IIS dentro (o viceversa).

Proporcione información sobre cómo o por qué sería beneficioso terminar estas conexiones en una DMZ en lugar de hacerlo dentro del propio firewall. Simplemente no lo estoy viendo.

network pci-dss compliance

pregunta Tim Brigham 21.02.2012 - 22:11

fuente

2 respuestas

1

Para el diseño de referencia en DMZ, este documento de trabajo tiene algunos comentarios positivos:

enlace

Además, estoy de acuerdo con el póster de arriba, es una guía. Si se encuentra bajo una auditoría PCI de nivel 1 de auditoría de QSA, su QSA puede proporcionar comentarios. Si no es así y está bajo la auditoría de auto PCI, pero informe al CIO, la recomendación de Dual FW y DMZ es un diseño de arquitectura estándar para cualquiera que haga negocios en la web.

respondido por el SecurityCrunch 22.02.2012 - 19:11

fuente

Lea otras preguntas en las etiquetas network pci-dss compliance

La mejor manera de implementar PGP en toda la empresa [cerrado] Para sitios de carga de usuarios no confiables: ¿cuál debería ser el contenido de crossdomain.xml y clientaccesspolicy.xml?

score 1 · Accepted Answer

Usted se refiere a la guía de interpretación aquí en su pregunta. La guía de interpretación está destinada a dar una idea de la justificación del requisito, así como algunas orientaciones adicionales si es necesario. No se lo evalúa según la Guía de Interpretación, por lo que si ve declaraciones contradictorias, siempre es mejor obtener la fuente del Estándar, en primer lugar.

Requisito (de la Norma)

1.3.1 Implemente una DMZ para limitar el tráfico entrante a solo componentes del sistema que Proporcionar servicios, protocolos y puertos de acceso público autorizados.

Procedimientos de prueba :
1.3.1 Verifique que se implementa una DMZ para limitar el tráfico entrante solo a los componentes del sistema que proporcionan servicios, protocolos y puertos de acceso público autorizados.

Declaración de orientación (de la Guía de Interpetación):

1.3.2 Limitar el tráfico entrante de Internet a direcciones IP dentro de la DMZ.

La terminación de las conexiones IP en la DMZ brinda la oportunidad de inspeccionar y restringir el origen / destino, y / o inspeccionar / bloquear el contenido, evitando así el acceso sin filtro entre entornos confiables y no confiables.

Por lo tanto, el estándar no dice que es necesario implementar un motor de análisis. Simplemente dice en el documento guía que tienes la oportunidad de analizar. Los firewalls de aplicaciones se manejan en la sección 6.6.