Etiquetado: 

Mostrando 1 respuesta al debate
  • Autor
    Entradas
    • #55393
      Paco
      Participante

      Hola queria consultar sobre el pentest interno en la nube. ¿como podria hacerlo ya que en azure tengo varios proyectos divididos por suscripcion y uno de ellos es el de pago de tarjetas? Entiendo que para el pentest interno se debe hacer dentro de un segmento que no este alcanzado, pero al tenerlo dividido por suscripcion me genera duda de como podre hacerlo.

      gracias.

    • #55528
      David Acosta
      Participante

      Hola Paco:
      Antes que nada, es importante diferenciar entre una cuenta de MS Azure, una suscripción y una cuenta de directorio (Azure Account, Subscription and Directory):
      «The Azure account is a global unique entity that gets you access to Azure services and your Azure subscriptions. You can create multiple subscriptions in your Azure account to create separation e.g. for billing or management purposes. In your subscription(s) you can manage resources in resources groups. Azure subscription can have a trust relationship with an Azure Active Directory (Azure AD) instance«.
      En este caso, el alcance del pentest interno está descrito en el Information Supplement: Penetration Testing Guidance (https://www.pcisecuritystandards.org/documents/Penetration-Testing-Guidance-v1_1.pdf):
      «The scope of the internal penetration test is the internal perimeter of the CDE and critical systems from the perspective of the internal network. Testing must include both application-layer and network-layer assessments.»
      Esto quiere decir que se deberían analizar las redes colindantes con el CDE a nivel interno.
      Si las redes no están conectadas con el CDE (como sería el caso de las suscripciones, siempre y cuando se hayan implementado de forma correcta los elementos de segmentación y aislamiento), entonces la prueba asociada no es el pentest interno, sino el pentest de segmentación:
      «The intent of segmentation is to prevent out-of-scope systems from being able to communicate with systems in the CDE or impact the security of the CDE. When properly implemented, a segmented (out-of-scope) system component could not impact the security of the CDE, even if an attacker obtained control of the out-of-scope system. If segmentation controls are implemented, testing of the controls is required to confirm that the segmentation methods are working as intended and that all out-of-scope systems and networks are isolated from systems in the CDE. The scope of segmentation testing should consider any networks and systems considered as being out of scope for PCI DSS to verify they do not have connectivity to the CDE and cannot be used to impact the security of the CDE
      Espero que esta información sea útil.
      Saludos,
      David

Mostrando 1 respuesta al debate
  • Debes estar registrado para responder a este debate.