PCI使用IPv6

PCIDSS真需要NATIPv6吗

  • 分享脸书
  • 分享Twitter
  • 共享链接
  • 共享eddit
  • 分享邮箱
  • 打印资源

上头PCIDSSIPv4笔试要求使用NAT保护嵌入持卡者信息服务器IPv6网络不需要NAT,事实上NAT使用不理想PCIDSS不处理IPv6使用问题,有些组织担心他们的IPCI审计员会要求他们在使用IPv6时执行NAT

信用卡公司协作编程指导商家、处理商、服务提供商和其他组织处理持卡人数据以确保敏感持卡人信息Visa、MasterCard、AmericanExpress、Discept和JCB协作,要求银行向商人转移风险,操作不安全系统,获取失密持卡者数据目标是制定一套最低标准和要求,银行、商商和服务提供者必须遵循这些标准和要求,以确保其支付系统完整性得到维护。

上头支付卡行业数据安全标准PCI-DSS文件12焦点区帮助安全持片人数据支付卡行业数据安全标准、需求和安全评估程序内的第一个领域(Version2.0,2010年10月)是关于遵守PCI的组织应如何 " 。构建并维护安全网保护持有卡数据系统

let us检查其中某一段PCIDSS文档内节标题为“需求1:安装并维护防火墙配置保护持片人数据 ” 。 当前PCIDSS2.0版(第23页1.3.8节)中有一项任务使用NAT处理IPv4服务器敏感信息引文摘自此文档

PCIDSS需求 1.3.8 不向未经授权方透露私有IP地址和路由信息隐蔽IP地址方法可能包括但不仅限于:-网络地址翻译-将嵌入持卡者数据服务器置入代理服务器/防火墙或内容缓存-清除或过滤使用注册地址的私有网络线路广告-内部使用RFC1918地址空间取代注册地址测试程序1.3.8.a验证有方法防止公开私有IP地址和从内部网络到互联网路由信息验证私密IP地址和路由信息向外部实体披露是否授权

表示含有持片人数据服务器应使用RFC1918IPv4地址并嵌入防火墙、IPS和其他安全控件

深入了解需求后,可查支付卡行业数据安全标准导航PCIDSS理解需求意图文件(Version2.0,2010年10月)。本1.3.8节指南说明如下:

限制IP地址广播对防止黑客学习内部网络IP地址并使用这些信息访问网络至关重要满足此需求意图的有效手段视环境使用的具体网络技术而变化举例说,IPv4网络满足这一要求所用的控件可能不同于IPv6网络防止IP地址信息在IPv4网络上被发现的一种技术是实施网络地址翻译NAT通常由防火墙管理,允许组织内部地址仅在网络内可见,外部地址外部可见防火墙不隐藏或掩蔽内部网络IP地址,恶意个人可发现内部IP地址并试图用假IP地址访问网络IPv4网络RFC1918地址空间预留内部地址,不应在互联网上流传正因如此,IP优先处理内部网络组织可能有理由使用内部网络非RFC1918地址空间防止路由广告或其他技术用于防止内部地址空间在互联网上广播或向未经授权方披露

至少此文档确认IPv6并提示IPv6事物可能不同,但它不提供更深层次解释除此引用IPv6外,文档中其他地方未提及下一代互联网协议

PCI理事会顾问和特殊兴趣集团(SIGs)有时为寻求遵守的组织提供补充指导无线SIG为使用无线局域网环境提供附加信息但没有PCISIG覆盖IPv6专题

再者,如果我们搜索PCI网站IPv6, 则无法获得更多信息了解IPv6在PCI认证环境的使用

有两个问题第一大问题就是PCI标准与时间不相适应并考虑IPv6并非所有符合PCI组织内部服务器-农场服务器都即时启动IPv6系统,但随着时间的推移双协议将规范化事实事实就是所有现代计算机操作系统默认安装IPv6并经常函数偏爱协议装有持片人数据的大多数计算机运行IPv6,没有设置IPv6安全度量

第二题是NAT不用于IPv6环境你可以读这个博客文章iv6和相关问题为何不需要NAT组织并不想使用NATIPv6部署即便组织想使用NATIPv6网络前缀翻译今日许多防火墙或路由器可能甚至无法配置少数设备支持今天的《不扩散条约》

引出问题:如果组织部署IPv6,是否有可能实现PCI组织若不使用NAT,则必须显示使用“补偿控件”。通过多样性防御深度防火墙使用IPv6容量防火墙代理服务器或SLB/ADCUnncast逆向前进路(Unicast RPF)访问列表等逆向代理服务器可放在相关PCI服务器前并配置外向端IPv6贵宾并使用RFC 1918IPv4专用通信可能这是实现“法律精神”而没有实际部署《不扩散条约》的一种方式

即便你拥有各种双协议补偿控件,但您的PCI审计师遵守当前DSS第1.3.8节中的法律字母,除非使用NATIPv6大型商家一级a合格安全评估器现场审查每年均需进行深入研究PCIDSS中1.3.8.a和1.3.8.b,有可能使用IPv6功能系统实现上述目标

如果审计师坚持你对IPv6执行NATNATIPv6文章向审计师解释您的IPv6系统安全而不使用NAT好消息是贵组织可选择QSA下次你接近年度评审时,应选择QSAIPv6可识别性

期望下一版PCIDSS对IPv6启动系统指南进行重大更新PCIDSS新版注解中写道:“所有这些要求对IPv4和IPv6系统都有效。”IPv4和IPv6以隐蔽方式互不相同,需要在标准中无歧义处理。留置空间供审计师解释,而审计师不知道IPv4和IPv6之间的细微差别,只会导致过于保守PCI审计或审计,完全忽略IPv6并导致安全漏洞

斯科特

下一读此 :

关联性 :

ScottHogg共同创建HexaBuild.ioIPv6咨询培训公司,拥有超过25年云化网络安全经验

Raybet2版权2012IDG通信公司

十大企业联网2022