У клиента в сфере розничной торговли есть сеть с кассовыми терминалами (POS), которые подключаются к POS-серверу. Кроме того, большинство рабочих станций Windows, не связанных с продажей, также подключаются к одному серверу. Это связано с тем, что программное обеспечение POS - это только один модуль более крупного устаревшего приложения, которое выполняет все для компании (инвентаризация, закупки, бухгалтерский учет и т. Д.).
Согласно нашему аудитору PCI (QSA), любая система, которая напрямую подключается к среде данных держателя карты, рассматривается в объеме (а не только системы, которые хранят, обрабатывают или передают данные CC).
Проблема в том, как ограничить область действия, чтобы сотни станций Windows, не имеющих ничего общего с данными CC, не подпадали под действие PCI DSS.
На этой схеме показано, как станции POS и Windows в настоящее время подключаются к серверу:
На этой схеме показано, как они соединяются с реализованным хостом Bastion:
Windows WS использует Putty или аналогичный SSH для хоста Bastion с использованием аутентификации на основе пароля. Сценарий входа в систему или настраиваемая оболочка на хосте Bastion автоматически подключается к серверу POS по SSH, используя аутентификацию на основе ключей, и пользователь прозрачно входит в бизнес-приложение (пользователь никогда не получает оболочку или возможность выхода из оболочки).
Но что это действительно дает с точки зрения повышения безопасности?
Без хоста Bastion: если Windows WS скомпрометирована и они получат пароль для входа на POS-сервер, они могут подключиться к нему по SSH, но они все равно попадают только в бизнес-приложение без доступа к оболочке.
С хостом Bastion: если Windows WS скомпрометирована и они получают пароль для входа на сервер Bastion, они могут подключиться к нему по SSH, но они все равно попадают только в бизнес-приложение без доступа к оболочке.
Я не думаю, что хост Bastion обеспечивает много дополнительных мер безопасности в этом сценарии.
Мы будем благодарны за отзывы и / или предложения по этому поводу.
Последние несколько лет я работал над инициативами PCI-DSS. Вместо того, чтобы пытаться перефразировать и объяснить вам это, я бы очень рекомендую вам прочитать набор инструментов для открытого анализа от IT Revolution.
То, что вы пытаетесь достичь в сокращении масштабов, - это сегментация сети. Эта коалиция точно объясняет, как и почему вы должны это делать. Есть точные примеры, которые помогут вам лучше понять. Для начала было бы неплохо прочитать вступление, а затем изучить пример на странице 26.