1

私たちは PCI レベル 1 を取得する過程にあり、誰かが PCI-DSS 1.3.3 および 1.3.5 要件に光を当てるのを助けることができれば、本当に感謝しています:

1.3.3 - 「インターネットとカード所有者データ環境の間のトラフィックのインバウンドまたはアウトバウンドの直接ルートを許可しない」 DMZ内。」

現在、Juniper SRX ファイアウォールを利用しており、Web サーバーを DMZ に配置し、mysql db サーバーを Trusted に配置しています。Trusted の場合、パブリックへのすべてのエグレスのロックダウンが完了し、更新を取得するために更新 (yum、clamav、waf-rules など) を取得するプロキシ サーバーを DMZ にセットアップする必要がありました。

しかし、Trusted で行ったように、DMZ でエグレスの完全なロックダウンも必要になるとは予想していませんでした。そして、私たちのプロキシもそこに住んでいて、更新などを取得するためにパブリックへのアウトバウンドアクセスが必要なため、DMZ でエグレスロックダウンを行うのは (私が間違っていない限り) 少し難しいと思います。サードパーティ ベンダーの IP は絶えず変化しているため、IP を使用してそれらをホワイトリストに登録することは困難です。

私の質問は、正確にどの程度の「制限」が必要かということです。信頼できるものについては、「すべて拒否」の出口と、アクセスできる選択された IP アドレスのホワイトリストがあります。DMZ もこれを必要としますか? または、ポートに基づいて DMZ に「すべて拒否」を設定することもできます。これにより、ミラーやサードパーティ サービスの絶え間なく変化する IP アドレスについて心配する必要がなくなるため、作業がはるかに簡単になります。

「ホスト名」に基づいてインテリジェントなフィルタリング (つまり、動的 IP ホワイトリスト) を行うプロキシ アプライアンスをいくつか見つけましたが、かなりの費用がかかるようです。

ご覧のとおり、私はいくつかの回答を探しています。私たちの監査人はあまり役に立たず、ロックダウンする必要があると言っているだけです。ここに PCI 監査の経験がある方がいらっしゃいましたら、ぜひご意見をお聞かせください。

4

1 に答える 1

1

DMZ へのインバウンドおよびアウトバウンド アクセスを制限していて、DMZ からインターネットへの直接アクセスがない場合は、要件を満たしています。

プロキシを使用することで、ほとんどの QSA は直接アクセスを削除したことに同意します。プロキシが利用できないサービスがある場合は、カード所有者データ環境と同じ DMZ からそれらを削除するか (たとえば、それらが即時サービスの一部でない場合)、QSA と話し合うことができます。補完的なコントロールを実装するか、他のクリエイティブなソリューションを検討する必要がある可能性があります。

これらが制限の正当な緩和であることを QSA に納得させる必要があります。これは実際には、彼らがあなたのドキュメントと実装を見て、あなたにイエスかノーかをはっきりさせられるべきものです。

多くの PCI 要件と同様に、解釈には柔軟性があります。各要件の意図について詳しくは、https ://www.pcisecuritystandards.org/documents/navigating_dss_v20.pdf のドキュメントを参照してください。

于 2012-08-24T15:23:14.473 に答える