Voglio aprire e inoltrare la porta SSH a uno dei nostri computer interni.
Il problema è che utilizzerà lo stesso indirizzo IP dell'ambiente PCI-DSS (dove è in esecuzione il gatway di pagamento HTTPS)
Fondamentalmente il firewall inoltrerà la porta 22 al server ssh, la porta 443 all'ambiente PCI-DSS
È compatibile con PCI-DSS?
Se il firewall è al di fuori di ciò che costituisce il tuo "ambiente PCI-DSS", allora questo è semplice routing. Per dire senza mezzi termini, tutte le macchine condividono la stessa Internet. PCI-DSS si baserà su una sorta di limite che delimita ciò che è all'interno (e nell'ambito di PCI-DSS) e il resto del mondo. Quest'ultimo include il firewall, il server SSH ...
In particolare, il livello SSL crea un tunnel che garantisce la protezione dei dati in transito tra il client SSL (HTTPS) e il server e che la protezione tiene contro tutte le altre macchine intermedie, che includono il firewall.
Tutto si riduce a questo: se la conformità PCI-DSS non dipende dalle proprietà del firewall (ad esempio, si continuerà a rispettare PCI-DSS se il firewall è stato rimosso e i server sono stati messi direttamente in contatto con il Internet), quindi il firewall può fare tutto ciò che desidera, incluso inoltrare le connessioni SSH ad altri server, senza influire sulla conformità PCI-DSS.
Non sono sicuro al 100%, ma credo che finché isolerai il sistema SSH dal gateway di pagamento, tutto andrà bene. Il fatto che stiano utilizzando lo stesso IP all'esterno non ha importanza dal momento che il port forwarding sta semplicemente indirizzando il traffico verso due reti separate. Credo che la separazione di rete sia la parte importante e il routing delle porte non abbia un impatto diretto su questo.
Assicurati che il tuo server SSH sia conforme:
E puoi usare le restrizioni della rete di origine / IP (SSH raggiungibile solo da 172.16.x.y).
Ma sicuro al 100%, parla con il tuo auditor.