我对ASV季度外部漏洞扫描的PCI DSS要求有疑问,特别是我需要在这些扫描中包含哪些公有IP。
该组织是一个零售连锁店(这些问题涉及实体部分 – 而不是他们的电子商务)。 除了内部业务需求外(如2FA远程访问等),任何实体场所都没有面向公众的服务。
我的问题:
1)某些地点有外部负载均衡器,多条互联网线路连接到不同的ISP。 所有这些互联网线路都映射到外围防火墙的相同外部接口,因此受到完全相同的防火墙规则的pipe理。 那么从安全的angular度来看,扫描其中一个IP就足够了,但是每个PCI DSS 3.0(或2.0)都允许这样做吗?
2)有MPLS路由器,它们具有公共IP,但是它们不能从MPLS之外到达。 他们需要扫描吗?
(3)有为MPLSnetworking提供备份VPN的路由器,这些VPN具有只接受来自MPLSnetworking的连接的公网IP(不ping,所有端口都被过滤)。 他们需要扫描吗?
4)将公共IP映射到内部pipe理入侵检测系统(IDS)设备,只有我们的IDS提供者才能访问(通过外围防火墙的IP和端口限制以及IDS设备的安全性)。 他们需要扫描吗?
这些问题是您需要询问您的评估者(或项目经理是否有领导项目)。
他们的意见是唯一重要的。
我已经和一个ASV以及一个QSA(来自不同的公司)进行了交stream,答案似乎是你需要扫描它们。
在我的文章中的每个点的推理:
1)在未来重新configuration的情况下,公共IP可能会有不同的映射。
2)在configuration错误的情况下,它们可能变得可达(但是我不确定这是否甚至可以用MPLSnetworking)
3)见#2(但这里错误configuration的可能性更真实)
4)错误configuration的白名单可能会打开IDS设备的IP,而不仅仅是IDS提供商。