Varreduras externas trimestrais de vulnerabilidades, IPs a incluir

1

Tenho dúvidas sobre os requisitos do PCI DSS para varreduras externas trimestrais de vulnerabilidades por um ASV, especificamente quais IP públicos eu preciso incluir nessas verificações.

A organização é uma cadeia de lojas de varejo (as questões pertencem à porção física - não ao comércio eletrônico). Não há serviços voltados ao público em qualquer local físico, a não ser para necessidades comerciais internas (como acesso remoto [com 2FA], etc.).

Minhas perguntas:

1) Alguns locais têm balanceadores de carga externos, aos quais várias linhas de Internet se conectam (ISPs diferentes). Todas essas linhas de Internet são mapeadas para a mesma interface externa do firewall de perímetro e, portanto, são regidas pelas mesmas regras de firewall. Portanto, do ponto de vista de segurança, a varredura de um desses IPs deve ser suficiente, mas isso é permitido por PCI DSS 3.0 (ou 2.0)?

2) Existem roteadores MPLS que possuem IPs públicos, mas eles não podem ser acessados fora do MPLS. Eles precisam ser escaneados?

3) Existem roteadores que fornecem VPNs de backup para o MPLS que possuem IPs públicos que aceitam somente conexões da rede MPLS (sem ping, todas as portas filtradas). Eles precisam ser escaneados?

4) Existem IPs públicos mapeados para dispositivos IDS (Intrusion Detection System) gerenciados internos, que são acessíveis apenas ao nosso provedor de IDS (por meio de restrições de IP e de porta no firewall de perímetro, bem como pela segurança do IDS) dispositivos). Eles precisam ser escaneados?

    
por Zek 08.01.2014 / 02:44

2 respostas

1

Estas são perguntas que você precisa perguntar ao seu avaliador (ou ao gerente do programa se houver um líder no projeto).

A opinião deles é a única que importa.

    
por 08.01.2014 / 03:38
0

Falei com um ASV, bem como com um QSA (de empresas diferentes), e a resposta parece ser que você precisa verificar todos eles.

Raciocínio para cada ponto da minha postagem:

1) No caso de uma reconfiguração no futuro, os IPs públicos podem ser mapeados de forma diferente.

2) Em caso de uma configuração incorreta, eles podem se tornar acessíveis (mas não tenho certeza se isso é possível com uma rede MPLS)

3) Veja # 2 (mas aqui a possibilidade de um erro de configuração é mais real)

4) Uma lista branca mal configurada pode abrir os IPs para os dispositivos IDS até mais do que apenas o provedor IDS.

    
por 09.01.2014 / 01:00