我对 ASV 每季度进行外部漏洞扫描的 PCI DSS 要求存在疑问,特别是我需要在这些扫描中包含哪些公共 IP。
该组织是一家零售连锁店(问题涉及实体店部分 - 而非其电子商务)。除了满足内部业务需求(例如远程访问 [使用 2FA] 等)外,任何实体店均不提供面向公众的服务。
我的问题:
1) 某些位置有外部负载平衡器,多条 Internet 线路(不同的 ISP)连接到这些负载平衡器。所有这些 Internet 线路都映射到外围防火墙的同一外部接口,因此受完全相同的防火墙规则的约束。因此从安全角度来看,扫描其中一个 IP 应该就足够了,但 PCI DSS 3.0(或 2.0)是否允许这样做?
2) 确实存在具有公共 IP 的 MPLS 路由器,但无法从 MPLS 外部访问它们。是否需要对它们进行扫描?
3) 有些路由器为 MPLS 提供备份 VPN,这些路由器具有公共 IP,仅接受来自 MPLS 网络的连接(无 ping,所有端口均被过滤)。它们需要扫描吗?
4) 有公共 IP 映射到内部管理的入侵检测系统 (IDS) 设备,只有我们的 IDS 提供商才能访问这些 IP(通过外围防火墙中的 IP 和端口限制以及 IDS 设备的安全性)。它们需要扫描吗?
答案1
这些是您需要向评估员(或项目经理,如果有项目负责人)询问的问题。
他们的意见才最重要。
答案2
我已经与 ASV 和 QSA(来自不同的公司)进行了交谈,答案似乎是您需要对它们全部进行扫描。
我文章中每一点的理由如下:
1)如果将来重新配置,公共 IP 可能会被以不同的方式映射。
2)如果配置错误,它们可能会变得可访问(但我不确定在 MPLS 网络上是否可行)
3)参见#2(但此处配置错误的可能性更大)
4) 错误配置的白名单可能会使 IDS 设备的 IP 不仅仅向 IDS 提供商开放。