Mi red está segmentada en interna (que contiene datos privados del titular de la tarjeta), DMZ y VPN. Hay una puerta de acceso intermedia que restringe el acceso, por ejemplo:
VPN: 10.0.0.0/24 DMZ: 10.1.0.0/24 INT: 10.2.0.0/24
GW / firewall tiene ip .1 en las tres redes. El acceso desde DMZ al titular de la tarjeta (INT) está limitado a través de FW y el acceso desde las redes públicas al titular de la tarjeta (INT) está completamente prohibido.
Estoy confundido por una cosa: si me conecto a la red VPN desde mi estación de trabajo, ¿puedo realizar conexiones a servidores en la red INT? Para fines de administración, necesito acceso ssh a esos nodos, y me parece lógico que la conexión a ellos desde IP VPN, a través de la puerta de enlace / firewall, esté bien.
Pero, estoy recibiendo respuestas confusas de otros colegas que trabajan en estos temas. Piensan que el acceso de VPN a INT debería estar prohibido, y la única forma de conectarse a los servidores de INT debería ser mediante la conexión a VPN, luego a uno de los servidores DMZ y luego a INT. No puedo encontrar ninguna noción en los documentos de PCI DSS ...
¿El motivo de esta explicación es que la máquina de conexión VPN no está bajo el alcance de PCI DSS, por lo que se trata como un acceso no seguro / público o VPN elimina esa noción?