根据 PCI，您有 3 种网络： 1. INTERNAL（持卡人数据环境） 2. DMZ 3. INSECURE

如果您的 VPN 网络被视为 DMZ 网络，那么它就在 PCI 范围内，就像 DMZ 区域中的所有其他设备一样。

如果您的 VPN 网络被认为是不安全的网络，那么您不应该允许直接连接到 INTERNAL 网络中的服务器。

所以，要么你在 PCI 范围内，要么你不安全。防火墙应配置为不允许不安全和内部网络之间的直接通信。

安纳克萨...

这种解释的原因是 VPN 连接机器不在 PCI DSS 范围内，所以它被视为不安全/公共访问，还是 VPN 消除了这个概念？

首先，如果您有 VPN，则必须进行 2 因素身份验证才能使其符合 PCI 标准。你没有提到这一点，所以我认为它应该明确。

拥有 2 因素 VPN 后，接下来是您是否可以访问 CDE（范围内）的问题。你可以做，也可以不做。如果您这样做，那么您要么将 VPN 网络置于范围内，要么不在范围内，具体取决于隔离控制 ( DSS 3.1 p11 )：

To be considered out of scope for PCI DSS, a system component must
be properly isolated (segmented) from the CDE, such that even if the
out-of-scope system component was compromised it could not impact the
security of the CDE. 

所以 - 这里是虚构的例子 - 如果您的用户可以通过 VPN 访问 CDE 范围内网络中的门户网站，并且该门户网站允许他们管理付款但不能查看解密的 PAN 数据，那么您可能不会放您的 VPN 设备在范围内。

另一方面，如果您的 VPN 用户可以运行数据库查询工具并将解密的 PAN 数据从 CDE 范围内的数据库导出到他们的 VPN 主机，则该 VPN 网络没有正确隔离并且在范围内。

但是，我从处理这些问题的其他同事那里得到了模糊的答复。他们认为应该禁止从 VPN 访问 INT，连接到 INT 服务器的唯一方法应该是连接到 VPN，然后 ssh-ing 到其中一个 DMZ 服务器，然后跳到 INT。我在 PCI DSS 文档中找不到任何这样的概念......

这在很大程度上取决于 QSA 的判断，但我的经验表明，VPN 网络和 CDE 范围内网络之间的任何交互都应由代理或其他应用层控制点进行调解，以使 VPN 网络保持在范围之外。您描述的简单跳岛是否足够取决于 QSA。

“文档”在没有明确解决的情况下围绕这些问题进行讨论。Open PCI Scoping Toolkit试图规范实体和 QSA 设计、描述和审计网络的方法；一种弥补 DSS 本身不足的方法。这不是一个标准，但通读它可能非常有用，如果您的 QSA 尊重它（有些人这样做，有些人不这样做），那么它可以减轻与他们一起通过网络范围边界工作的困难。

我先给你一个免责声明。您的 QSA 将胜过任何给出的建议，并且由于您的网络范围有限，我只能提供指导。

根据您的问题，您至少应该有两个区域，即运行应用程序的 DMZ 和保存数据的内部区域（我通常将此称为数据库区域，因为 PCI 需要专门分离这来自您的 DMZ。

您还有第三个远程访问区域（您的 VPN 区域）。

我将假设您的 VPN 不会通过它的线路传输CHD，而您的目标是远程访问您的服务器。简而言之，您可以通过 VPN 和 SSH 从 VPN 网络进入您的后端服务器，但您将需要实施双重身份验证。

PCI 环境是任何涉及 CHD 的东西，基本上是网络中传输或存储 CHD 的任何部分。如您所知，我们通过隔离网络来限制范围。隔离的 VPN 网络可以从范围中消除，但您的 PCI 环境仍然必须保持它是指南的一部分。

这意味着必须集中记录与环境的连接，并且您必须使用双因素身份验证和个人帐户。通过 DMZ 上的服务器进行代理可以增加一层安全性，但这并不能免除您需要我列出的要求。