Sono curioso di sapere se necessitiamo di un server di aggiornamento separato nel nostro ambiente PCI basato su cloud. Nel nostro attuale server di configurazione, appserver, dbserver, logserver e jump server sono istanze indipendenti. Non sono sicuro di poter aggiornare direttamente (pacchetti) questi server Centos Linux da yum o abbiamo bisogno di un server di aggiornamento locale (Spacewalk) che sincronizzi da repository software esterni e quindi sincronizzi internamente i pacchetti.
PCI richiede, tra le altre cose, la separazione degli ambienti di produzione e di test; cambiare i comandi; e gestione delle patch / politiche di implementazione. Ricollegare innanzitutto l'ambiente di test e inserire le patch / gli aggiornamenti nella produzione in conformità con le politiche di controllo delle modifiche e di gestione delle patch del negozio. Documenta tutto compreso gli URL o gli indirizzi IP ai quali hai ottenuto i pacchetti di aggiornamento.
I tuoi server non dovrebbero connettersi direttamente a Internet, quindi sarebbe molto meglio avere un repository yum locale come Spacewalk per i tuoi sistemi CentOS. Ci sono alcuni sistemi che non vedo nell'elenco di cui sopra che potresti voler considerare: server di autenticazione utente (LDAP), server NTP, server di scansione delle vulnerabilità interne, server di monitoraggio dell'integrità dei file.
Potresti avere un DMZ con il tuo web server, una rete interna con i tuoi server di applicazioni e database, un ambiente di server jump e un ambiente di infrastruttura di supporto. Il tuo server Spacewalk può essere utilizzato per gestire gli aggiornamenti per tutti i sistemi.
Leggi altre domande sui tag pci-dss