在平台级别使用PCI 所需的VPC ?或者安全组可以单独实现PCI吗?
我只是问这个,因为我在这个问题上得到了亚马逊的不同反应,销售代表状态VPC需要符合PCI标准,但有几位工程师断言VPC不是必需的,标准安全组就足够了
我打破了一些PCI-DSS要求,我希望我们可以将其作为一个社区来解决。
1.3.5不允许从持卡人数据环境到Internet的未经授权的出站流量。 - 我应该能够在软件级别执行此操作,因为标准安全组不允许这样做。
1.1.3每个Internet连接和任何非军事区(DMZ)与内部网络区域之间的防火墙要求。 - 两者都允许这样做。
1.2构建防火墙和路由器配置,以限制不受信任的网络与持卡人数据环境中的任何系统组件之间的连接。 - 我可以轻松地为应用程序服务器和数据库创建安全组,然后只允许应用程序访问数据库组。
1.3禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。 - 我可以禁止所有公共访问安全组。
1.3.1实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务,协议和端口的系统组件。 - 我将使用负载均衡器来执行此任务。
1.3.2限制DMZ内IP地址的入站Internet流量。 - loadbalancer将是唯一可公开访问的服务器。
1.3.6实施状态检查,也称为动态包过滤。 (也就是说,只允许建立连接进入网络。) - 标准安全组执行状态检查。
基于该列表,我认为这并不能阻止我单独实现PCI安全组合规。如果您同意/不同意,请告诉我。
**另外,我没有存放任何PAN,这是一个干净的传递。
我很感激反馈。
答案 0 :(得分:2)
1.3.5不允许从持卡人数据环境到Internet的未经授权的出站流量。 - 我应该能够在软件级别执行此操作,因为标准安全组不允许这样做。
只能使用VPC安全组过滤出口流量。你不想依赖你的申请来做这件事;它必须在网络级别完成(当攻击者包含您的应用程序或只是安装另一个应用程序来窃取您的数据时会发生什么?)。使用VPC,您还可以使用网络ACL实现多层方法来过滤那里的出口流量 - “深度安全是正确的安全性。”
真的,仅此标准就足以让VPC成为明显的选择。为什么不情愿? VPC不会花费更多成本,大大提高安全性,并提供EC2所没有的一些附加功能(弹性网络接口,每个实例多个IP,IPSec VPN等)。