Назад | Перейти на главную страницу

Хост Bastion для соответствия PCI

У клиента в сфере розничной торговли есть сеть с кассовыми терминалами (POS), которые подключаются к POS-серверу. Кроме того, большинство рабочих станций Windows, не связанных с продажей, также подключаются к одному серверу. Это связано с тем, что программное обеспечение POS - это только один модуль более крупного устаревшего приложения, которое выполняет все для компании (инвентаризация, закупки, бухгалтерский учет и т. Д.).

Согласно нашему аудитору PCI (QSA), любая система, которая напрямую подключается к среде данных держателя карты, рассматривается в объеме (а не только системы, которые хранят, обрабатывают или передают данные CC).

Проблема в том, как ограничить область действия, чтобы сотни станций Windows, не имеющих ничего общего с данными CC, не подпадали под действие PCI DSS.

На этой схеме показано, как станции POS и Windows в настоящее время подключаются к серверу:

На этой схеме показано, как они соединяются с реализованным хостом Bastion:

Windows WS использует Putty или аналогичный SSH для хоста Bastion с использованием аутентификации на основе пароля. Сценарий входа в систему или настраиваемая оболочка на хосте Bastion автоматически подключается к серверу POS по SSH, используя аутентификацию на основе ключей, и пользователь прозрачно входит в бизнес-приложение (пользователь никогда не получает оболочку или возможность выхода из оболочки).

Но что это действительно дает с точки зрения повышения безопасности?

Без хоста Bastion: если Windows WS скомпрометирована и они получат пароль для входа на POS-сервер, они могут подключиться к нему по SSH, но они все равно попадают только в бизнес-приложение без доступа к оболочке.

С хостом Bastion: если Windows WS скомпрометирована и они получают пароль для входа на сервер Bastion, они могут подключиться к нему по SSH, но они все равно попадают только в бизнес-приложение без доступа к оболочке.

Я не думаю, что хост Bastion обеспечивает много дополнительных мер безопасности в этом сценарии.

Мы будем благодарны за отзывы и / или предложения по этому поводу.

Последние несколько лет я работал над инициативами PCI-DSS. Вместо того, чтобы пытаться перефразировать и объяснить вам это, я бы очень рекомендую вам прочитать набор инструментов для открытого анализа от IT Revolution.

То, что вы пытаетесь достичь в сокращении масштабов, - это сегментация сети. Эта коалиция точно объясняет, как и почему вы должны это делать. Есть точные примеры, которые помогут вам лучше понять. Для начала было бы неплохо прочитать вступление, а затем изучить пример на странице 26.