PCI DSS - ¿red VPN?

5

Mi red está segmentada en interna (que contiene datos privados del titular de la tarjeta), DMZ y VPN. Hay una puerta de acceso intermedia que restringe el acceso, por ejemplo:

VPN: 10.0.0.0/24 DMZ: 10.1.0.0/24 INT: 10.2.0.0/24

GW / firewall tiene ip .1 en las tres redes. El acceso desde DMZ al titular de la tarjeta (INT) está limitado a través de FW y el acceso desde las redes públicas al titular de la tarjeta (INT) está completamente prohibido.

Estoy confundido por una cosa: si me conecto a la red VPN desde mi estación de trabajo, ¿puedo realizar conexiones a servidores en la red INT? Para fines de administración, necesito acceso ssh a esos nodos, y me parece lógico que la conexión a ellos desde IP VPN, a través de la puerta de enlace / firewall, esté bien.

Pero, estoy recibiendo respuestas confusas de otros colegas que trabajan en estos temas. Piensan que el acceso de VPN a INT debería estar prohibido, y la única forma de conectarse a los servidores de INT debería ser mediante la conexión a VPN, luego a uno de los servidores DMZ y luego a INT. No puedo encontrar ninguna noción en los documentos de PCI DSS ...

¿El motivo de esta explicación es que la máquina de conexión VPN no está bajo el alcance de PCI DSS, por lo que se trata como un acceso no seguro / público o VPN elimina esa noción?

    
pregunta Jakov Sosic 06.08.2015 - 14:05
fuente

3 respuestas

4

Según PCI, tienes 3 tipos de redes: 1. INTERNO (Entorno de datos del titular de la tarjeta) 2. DMZ 3. INSEGURAR

Si su red VPN se considera una red DMZ, entonces está bajo el alcance de PCI, al igual que cualquier otro dispositivo en la zona DMZ.

Si su red VPN se considera una red INSECURE, no debe permitir la conexión directa a los servidores en la red INTERNAL.

Entonces, o estás en el ámbito de PCI, o estás INSEGURADO. El cortafuegos debe configurarse para no permitir la comunicación directa entre INSECURE y la red INTERNA.

    
respondido por el Tomislav Parčina 06.08.2015 - 14:16
fuente
2

IANAQSA ...

  

El motivo de esta explicación es que la máquina de conexión VPN no está bajo el alcance de PCI DSS, por lo que se trata como un acceso no seguro / público.   o VPN elimina esa noción?

En primer lugar, si tiene una VPN, debe tener autenticación de 2 factores para que sea compatible con PCI. No mencionaste eso, así que pensé que debería ser explícito.

Una vez que tenga su VPN de 2 factores, la pregunta de si puede acceder a su CDE (en alcance) viene a continuación. Puedes hacerlo, o no hacerlo. Si lo hace, puede poner su red VPN dentro del alcance o no, según los controles de separación ( DSS 3.1 p11 ):

To be considered out of scope for PCI DSS, a system component must
be properly isolated (segmented) from the CDE, such that even if the
out-of-scope system component was compromised it could not impact the
security of the CDE. 

Por lo tanto, ejemplos confeccionados aquí - si sus usuarios pueden acceder a un portal web en la red de alcance de CDE a través de la VPN, y ese portal les permite administrar pagos pero no para ver descifrado Datos PAN, entonces probablemente no estés poniendo tus dispositivos VPN en el alcance.

Por otra parte, si los usuarios de su VPN pueden ejecutar una herramienta de consulta de base de datos y exportar datos PAN descifrados de la base de datos del CDE a su host de VPN, entonces la red VPN no está correctamente segregada y está dentro del alcance.

  

Pero, estoy recibiendo respuestas confusas de otros colegas que trabajan en   estos asuntos. Piensan que el acceso desde VPN a INT debería estar prohibido,   y la única forma de conectarse a los servidores INT debe ser conectándose a   VPN, luego ssh-ing a uno de los servidores DMZ y luego saltando en INT.   No puedo encontrar ninguna noción en los documentos de PCI DSS ...

Todo esto es una cuestión de juicio de QSA, pero mi experiencia sugiere que cualquier interacción entre la red VPN y las redes de alcance de CDE debe estar mediada por proxies u otros puntos de control de la capa de aplicación para mantener la red VPN fuera de alcance. Si el simple salto de una isla como lo describe es suficiente o no depende de la QSA.

Los "documentos" tratan estos temas sin abordarlos claramente. El Open PCI Scoping Toolkit fue un intento de regularizar el enfoque que las entidades y los QSA se dedicaron al diseño, descripción y auditoría de redes; una forma de compensar esa falta en el propio DSS. No es un estándar, pero puede ser muy útil leerlo y, si su QSA lo respeta (algunos sí lo hacen, otros no), puede aliviar las dificultades para trabajar con ellos dentro de los límites del alcance de la red.

    
respondido por el gowenfawr 06.08.2015 - 14:54
fuente
1

Déjame darte un descargo de responsabilidad primero. Cualquier consejo dado será superado por su QSA y, como tengo un alcance limitado de su red, solo puedo proporcionar orientación.

Según su pregunta, debe tener, como mínimo, dos zonas, su DMZ donde se está ejecutando su aplicación y su zona interna donde se guardan los datos (normalmente, me refiero a esto como la zona de la base de datos como PCI requiere). para separar específicamente esto de tu DMZ.

También tiene una tercera zona para acceso remoto (su zona VPN).

Voy a asumir que su VPN no transfiere CHD a través de su cable y su El objetivo es acceder a sus servidores de forma remota. En resumen, puede VPN y SSH en sus servidores back-end desde la red VPN, pero se le pedirá que implemente Two-Factor Autenticación .

Un entorno PCI es todo lo que toca a CHD, básicamente cualquier parte de su red que transfiera o almacene CHD. Como usted bien sabrá, limitamos el alcance al segregar las redes. Una red VPN que está segregada puede eliminarse del alcance, pero su entorno PCI aún debe mantener parte de las directrices.

Esto significa que las conexiones al entorno deben registrarse, de forma centralizada, y debe usar la autenticación de dos factores, con una cuenta individual. Proxying a través de un servidor en la DMZ puede ser una capa adicional de seguridad, pero esto no le exime de necesitar los requisitos que enumeré.

    
respondido por el Shane Andrie 06.08.2015 - 18:37
fuente

Lea otras preguntas en las etiquetas