Hôte Bastion pour conformité PCI

Un client de l'indussortinge de la vente au détail dispose d'un réseau avec des terminaux de sharepoint vente (POS) qui se connectent à un server POS. En outre, la plupart des posts de travail Windows dans les zones non commerciales se connectent également au même server. Cela s'explique par le fait que le logiciel POS n'est qu'un module d'une application héritée plus vaste qui exécute tout pour l'entreprise (inventaire, achat, comptabilité, etc.).

Selon notre auditeur PCI (QSA), tout système qui se connecte directement à l'environnement de données du titulaire de carte est pris en count (pas seulement les systèmes qui stockent, traitent ou transmettent des données CC).

Le problème est de savoir comment limiter la scope afin que les centaines de stations Windows qui n'ont rien à voir avec datatables CC ne sont pas compatibles avec PCI DSS.

Ce diagramme montre comment les stations POS et Windows se connectent actuellement au server: entrez la description de l'image ici

Ce diagramme montre comment ils se connectent avec un hôte Bastion implémenté: entrez la description de l'image ici

Windows WS utilise Putty ou similaire à SSH à l'hôte Bastion en utilisant une authentification basée sur le mot de passe. Le script de connection ou le shell personnalisé sur l'hôte de Bastion auto-SSH au server de sharepoint vente en utilisant l'authentification par key et l'user entre dans l'application commerciale de manière transparente (l'user n'a jamais un shell ou une capacité à sortir du shell).

Mais qu'est-ce que cela accomplit vraiment en termes de security améliorée?

Sans un hôte Bastion: si le Windows WS est compromis et ils obtiennent le mot de passe de connection au server POS, ils peuvent SSH, mais ils ne sont encore entrés dans l'application commerciale qu'avec un access shell.

Avec un hôte Bastion: si Windows WS est compromis et qu'il obtient le mot de passe de connection au server Bastion, ils peuvent SSH, mais ils ne sont encore entrés dans l'application commerciale qu'avec un access shell.

Je ne vois pas que l'hôte Bastion offre beaucoup de security supplémentaire dans ce scénario.

Des commentaires et / ou des suggestions à ce sujet seraient appréciés.

One Solution collect form web for “Hôte Bastion pour conformité PCI”

J'ai passé les dernières années à travailler sur les initiatives PCI-DSS. À la place de moi, essayer de paraphraser et de vous l'expliquer, je vous recommand vivement de lire la trousse à outils ouverte de IT Revolution.

Ce que vous essayez d'atteindre dans votre réduction de scope est la segmentation de réseau. Cette coalition explique exactement à quel point pourquoi vous devriez le faire. Il existe des exemples précis qui vous aideront à mieux comprendre. Lire l'introduction et ensuite examiner l'exemple à la page 26 serait un bon endroit pour vous de commencer.

  • Comment configurer sshd sur Mac OS X pour autoriser uniquement l'authentification par key?
  • Est-ce que / etc / fstab doit être lisible dans le monde entier?
  • Faire passer HTTPS via .htaccess
  • Comment download et installer le patch wannacry pour les petites entresockets Windows 2011 standard
  • Bitlocker équivalent pour Linux
  • Est-ce que la request GET redirigée vers HTTPS est sécurisée?
  • Pourquoi certaines caisses CentOS 5 sont-elles encore vulnérables à ShellShock après la mise à niveau de Bash?
  • (Tough) Sécurité Queston à propos des entresockets ISP
  • Quelle est la différence entre les adresses locales et les adresses distantes en 2008, l'adresse du pare-feu
  • Une véritable expérience de piratage sur linux?
  • Désactiver complètement l'access CD / DVD Rom à tous les users sur Ubuntu 12.04 LTS?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.