Сбой проверки соответствия PCI: служба удаленного доступа обнаружена на порту 22

Question

Это элемент, который мне не удался в моем отчете проверки соответствия PCI:

Я использую порт 22 для соединений SFTP для передачи файлов с локального компьютера на сервер и наоборот. Я попытался оспорить эту ошибку, отправив это письмо:

Наше имя пользователя [имя пользователя]. Наши последние результаты сканирования, выполненные сегодня для IP [IP-адреса], показывают, что мы не смогли выполнить следующее:

Обнаружена служба удаленного доступа

Не похоже, что это на самом деле провал. Если это так, пожалуйста, предоставьте любую соответствующую информацию о том, почему это так.

Мы используем порт 22 для удаленного подключения с использованием SFTP, и это нормально.

Ответ от команды поддержки PCI Compliance:

Благодарим Вас за обращение в службу поддержки PCI.

Соответствие требованиям PCI требует, чтобы все службы удаленного доступа были отключены, когда они не используются, однако, если вам требуется, чтобы они всегда были включены для запуска бизнеса, вы можете подать спор.

Означает ли это, что мне нужно включить порт 22 только при наличии запроса на соединение SFTP и немедленно отключить порт 22, когда это соединение выполнено для передачи файлов? Я подумал, что это бинарное поведение, когда у меня либо был включен порт 22 на сервере, либо он отключен, но динамически не включался / не отключался на основании запросов соединения SFTP. Это так работает?

ОБНОВЛЕНИЕ 1: я нашел следующую информацию в «Приложении D: Сводный пример отчета о сканировании ASV» документа по адресу https://www.pcisecuritystandards.org/documents/ASV_Program_Guide_v3.0.pdf:

VPN обнаружен

Примечание для сканирования клиента:

Из-за повышенного риска для среды данных держателя карты при наличии программного обеспечения для удаленного доступа, пожалуйста, 1) обоснуйте бизнес-потребность в этом программном обеспечении для ASV и 2) подтвердите, что оно внедрено безопасно согласно Приложению C или отключено / удалено. Пожалуйста, проконсультируйтесь с вашим ASV, если у вас есть вопросы по поводу этой специальной заметки.

Нужно ли динамически включать / отключать порт 22 только при запросе удаленных соединений SFTP, например, или это двоичная конфигурация на сервере, где он либо включен, либо отключен?

ОБНОВЛЕНИЕ 2: я читал следующее по адресу https://medium.com/viithiisys/10-steps-to-secure-linux-server-for-production-environment-a135109a57c5:

Изменение порта Мы можем изменить порт SSH по умолчанию, чтобы добавить уровень прозрачности, чтобы обеспечить безопасность вашего сервера.

Откройте файл /etc /ssh /sshd_config

замените стандартный порт 22 на другой номер порта, скажем, 1110

сохранить и выйти из файла

Служба перезапуска sshd Теперь для входа в систему определите номер порта.

ssh username @ IP -p 1110

Это похоже на "безопасность через мрак". Это приемлемое решение или обходной путь? Пройдет ли сканирование на соответствие PCI, просто изменив порт с 22 на другое случайное число?

Answer 1

Прежде всего, IANAL, и я не эксперт по соответствию PCI DSS.

Тем не менее, это выглядит как простой случай недопонимания с вашей стороны. SFTP - это все еще доступ по SSH, это не доступ к оболочке. Для злоумышленника почти так же плохо иметь возможность читать и записывать произвольные файлы в вашей системе, как и для него иметь регулярный доступ к оболочке (он может проверять ваш код, загружать вредоносные полезные данные и т.д.). Таким образом, как и в случае с SSH, вы должны запускать его на другом порту, если вам требуется совместимость с PCI DSS.

Динамическое включение / отключение SFTP на порте 22 все еще нарушает соответствие PCI DSS. На самом деле, вы не соответствуете требованиям, пока этот порт открыт, независимо от того, ловит ли его проверка соответствия (точно так же, как кража незаконна независимо от того, пойманы вы или нет).

Кроме того, что касается соответствия PCI DSS, это легко исправить. Любой здравомыслящий SFTP-клиент позволит вам получить к нему доступ через нестандартный порт, и то же самое можно сказать почти о каждом существующем SFTP-сервере.

Теперь, несмотря на все это, вы все равно можете не соответствовать требованиям, если у вас включена эта служба на отдельном порту. Как упоминалось выше, я не являюсь экспертом по PCI DSS, но, учитывая ответ, полученный вами от эксперта, похоже, вам нужно отключить его за пределами окон обслуживания (что означает отсутствие работы SFTP-сервера).