我目前正在评估在我们的架构中实现 Web 应用程序防火墙 (WAF) 的不同方法。由于 PCI DSS,我们需要 WAF。
我更喜欢使用基于云的 WAF(例如 CloudFlare 或 Incapsula)。但是,我担心它是否符合 PCI。
设置如下:
客户端---> WAF ---> 源服务器
源站服务器(我们的 Web 服务器)可以检查源 IP 地址以保护服务器。然而,源 IP 地址可以被欺骗,因此攻击者可以绕过 WAF。
根据响应是否可以通过带有欺骗性 IP 地址的 TCP 握手?理论上可以欺骗第 7 层(WAF 应该保护它)。在实践中,这似乎不是一种可行的攻击。
基于云的 WAF PCI 是否兼容?
编辑:对于这个特定的问题,我发现 CloudFlare 提供客户端证书身份验证。这是在过去几天添加的:https : //blog.cloudflare.com/protecting-the-origin-with-tls-authenticated-origin-pulls/ 但是其他问题仍未得到解答。
我应该认为 QSA 会满足于 IP 地址不能被欺骗以绕过在应用层运行的设备。
只要您可以证明访问被正确锁定到正确的 IP 范围,因为 Cloudflare 符合 PCI,我希望这应该没问题。
另请注意,如果您至少每年一次以及在每次部署时进行漏洞评估和扫描您的 Web 基础架构(强调我的),则您不需要拥有 WAF:
6.6 对于面向公众的 Web 应用程序,持续解决新的威胁和漏洞,并确保通过以下任一方法保护这些应用程序免受已知攻击:
通过手动或自动应用程序漏洞安全评估工具或方法审查面向公众的 Web 应用程序,至少每年一次并在任何更改后进行 注意:此评估与针对要求 11.2 执行的漏洞扫描不同。
在面向公众的 Web 应用程序前安装检测和阻止基于 Web 的攻击(例如,Web 应用程序防火墙)的自动化技术解决方案,以持续检查所有流量。
您可能想亲自询问专家,因为 PCI 合规性本身就是一项专业,但至少 Cloud Flare 表明它们符合 PCI 标准:
https://blog.cloudflare.com/cloudflare-is-pci-certified/
他们似乎经过了一些严格的测试才能获得认证,所以如果你必须做出一个快速的决定,看起来你可能没问题。但是,我会亲自咨询该过程的绝对专家。
完全披露,我在 Incapsula 工作,我们是云 WAF 提供商。
回答您的问题
要通过欺骗 IP 进行 TCP 握手,您需要控制路由器,这意味着您需要处于类似 ISP 的位置。有关更多信息,请参阅此讨论中的@gowenfawr 答案(也在 OP 中链接)。简而言之,虽然理论上可行,但允许您通过带有欺骗性地址的 TCP 握手的访问将使您做得更糟(很多)。
是的,云 WAF 可以符合 PCI 标准。我们的产品在过去 3 年都如此:
https ://www.incapsula.com/website-security/pci-compliance.html
这意味着您可以使用该产品来遵守 6.6 可怕条款,该条款要求您使用符合 PCI 的 WAF 或定期进行应用程序代码审查(每次更新后)。