PCI-DSS网络分割和加密管理接口

Question

我正在使用来自开放pci dss作用域工具包的3/2/1网络分割模型，我遇到了一些心理障碍。我有一个电话系统(米塔尔5000系列，如果它重要的话)，是在我的内部网络分割。

电话系统似乎是有防火墙的。nmap只显示标准web和SSH管理端口。然而，从技术上讲，这个系统是一级的，因为我们确实接收了大量包含持卡人信息的电话。

基于工具包，这在技术上是一个漏洞，因为L3系统可能会访问L1。同时，通过网络的唯一访问是加密的管理流量。这符合任何公开可用网络的PCI规范。

我该怎么处理这种情况？为什么？

注意-我知道QSA作为任何与PCI相关的问题都是这个问题的最终答案。我更多的是寻找最佳实践，以及这类案例背后的逻辑。

Answer 1

电话网络是在范围内，因为它传输持卡人的数据。电话网络似乎是在它自己的网段(L1)上，仅用于管理控制访问。

您可以使用一个堡垒主机来管理所有L1系统。堡垒主机可以位于自己的L2段中。该堡垒主机可被L3系统用作L1/L2段系统的管理代理。对管理接口的访问可能仅限于该堡垒主机。

以上内容也适用于远程工作人员。该工作人员将使用双因素身份验证来访问内部网络，然后使用堡垒主机上的会话来管理L1和L2网络中的系统。

虽然Open作用域工具包有其指导价值，但如果您严格遵循它，我会发现它失去了一些意义。

值得记住的是，下一个版本的PCI将于今年10月(2013年)发布，并且可能会有新的需求，这样分割将不再足够，并且需要隔离。在上面的示例中，您可能有一个可信的持卡人数据环境和一个完全独立的不受信任的公司环境，这将需要双因素身份验证和单独的身份验证系统。有关这方面的更多细节将在9月份公布。