哪些系统符合PCI标准?  如果你去看PCI DSS需求文档,这就是他们所说的PCI范围.

PCI DSS安全要求适用于包含在持卡人数据环境中或连接到持卡人数据环境中的所有系统组件. 持卡人数据环境(CDE)由人组成, 存储的过程和技术, 过程, 或传输持卡人数据或敏感身份验证数据. “系统组件”包括网络设备、服务器、计算设备和应用程序.

来源:需求和安全评估程序

这归结为您环境中的所有系统都在PCI范围内,所有PCI需求都应该应用于它们.

研讨会:提示 & 你的组织需要了解的技术

网络研讨会:如何缩小PCI范围:您的组织需要知道的技巧和技术

在本次网络研讨会中,您将学习如何:

  • 减小PCI范围
  • 通过减少PCI义务来节省资金
  • 避免罚款和处罚

网络研讨会时长:51分钟

演讲者:
Stewart Fey, QSA, CISSP, CISA -股东,PCI合规实践领导者
Brian Willis, QSA, CISSP, CCSK -高级经理

减少PCI范围,什么使网络分割好?

如果您是QSA或熟悉PCI要求,那么您知道可以使用网络分段将持卡人数据环境(CDE)与网络的其余部分隔离开来,并缩小PCI的范围. 然而,这到底是什么意思呢? 我能装上防火墙就完事了吗? 在PCI社区中,为了缩小PCI的范围,关于什么是“适当的网络分段”有很多争论. 我要告诉你我对事情的看法.

来自真实PCI评估和渗透测试的示例

对于如何在QSA社区之外(甚至在QSA社区内部)缩小范围,确实缺乏理解。. 在我看来, PCI委员会在教育商家和服务提供商适当的网络分段的来龙去脉方面做得很差. 这应该是PCI理事会近期关注的焦点. 当我第一次进行PCI ROC时,我总是问客户几个问题:1)他们是否分割了他们的网络以减少范围2)我要求他们解释他们的逻辑,为什么他们认为他们所做的减少了PCI范围. 我的第一个问题的答案总是肯定的. 问题2的答案是很多茫然的目光, “嗯”或“我不确定。, 那不是我的责任.”

我最喜欢的PCI分段失败的例子:

几年前,我在进行一个支持PCI业务的渗透测试时,一家公司(一家PCI服务提供商)告诉我,他们在内部防火墙后面有一个公司网络和一个分段的“生产环境”,而生产网络不属于PCI范围. 在我的渗透测试期间,我注意到从他们分配给我的IP地址(在一个正常的工作站子网中),我可以使用Windows资源管理器直接连接到分段生产环境中的系统. 我在约会结束时问了这个问题, 他们的回答是,是的,他们确实在两个环境之间设置了防火墙,但没有设置限制流量的规则,过去也没有人要求他们审查这些规则.

一个更常见的例子:

我一直看到的一个更常见的场景是这样的. 公司设置了防火墙或路由器,并对进出CDE的连接进行了一些限制. 然而, 对防火墙规则集的检查显示,由于各种原因,许多系统被允许进出PCI环境. 大多数公司无法证明这些限制是否适当. 那么,公司该怎么做呢?

以下是我对适当的网络分段最重要方面的看法. 在PCI合规性上下文中,分段的全部目的是减少与PCI流程无关的系统泄露的风险,从而导致受保护的卡数据(信用卡信息)泄露。. 大多数公司在Windows服务器上运行他们的CDE系统,并使用一个域(或几个共享信任的域)来管理身份验证. 因此,Active Directory控制CDE内PCI系统和环境中所有其他Windows系统的身份验证. 在这个场景中, 即使有非常有限的连接和锁定的防火墙规则, 必须通过Windows网络端口授予域控制器和其他支持服务器(如SSCM)访问权限.g.(TCP 445),以使共享AD身份验证工作. 这就是挑战, 对隔离的CDE之外的系统的妥协仍然很容易导致持卡人数据的直接妥协. 公司员工被钓鱼,他们的电脑或网络证书被泄露,黑客可以进入你的公司, non-CDE网络. 在理论上, 由于只有CDE通过PCI要求应用了强大的安全控制,黑客很容易危及公司环境, 给他们域管理权限. 此时,黑客只需连接到域控制器,然后以管理员级别的访问权限连接到CDE.

如何解决这个问题? 最好的方法是为不绑定到非CDE系统的CDE提供单独的身份验证. 对于Windows系统,这通常意味着两件事中的一件:1)CDE系统需要自己的AD域,不受信任或绑定到公司AD; 2) PCI系统应该使用独立身份验证. So, 如果你采纳我的建议, 当黑客入侵非cde公司环境并获得域管理访问权限时,1)域控制器和其他支持系统不会在环境之间打开身份验证端口,但2)最重要的是,即使是域管理凭证的妥协也不会授予您访问PCI系统的权限,因为它们不会在环境之间共享身份验证. 您必须拥有一组单独的凭据才能访问CDE系统. 对于适当的网络分段,还有其他细节, 没有完美的安全措施,但对我来说,这是最重要的,对降低风险有最大的影响.

LBMC网络安全审查合规工作, 是否可以通过测试来确保遵从性,并帮助您的团队制定一个行动计划来纠正遵从性. 如果你有问题,请提问 明升体育app下载. 进一步了解明升体育app下载 PCI合规性服务.

内容由LBMC网络安全专家Stewart Fey提供.