PCI proibisce le connessioni dirette in uscita su EC2

0

Sto utilizzando istanze EC2 per alimentare il nostro servizio Web che deve essere conforme a PCI SAQ-C. Sto cercando di capire quale punto 1.3 dell'autovalutazione significhi veramente:

1.3 La configurazione del firewall proibisce l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nei dati del titolare della carta ambiente, come segue:

1.3.3 Sono vietate le connessioni dirette per l'entrata o l'uscita traffico tra Internet e i dati del titolare della carta ambiente?

1.3.5 Il traffico in uscita dall'ambiente dei dati dei titolari di carta a Internet è esplicitamente autorizzato?

1.3.6 Is inspection stateful, noto anche come pacchetto dinamico filtraggio, implementato (cioè, solo connessioni stabilite sono ammessi nella rete)?

Dato che sono su EC2 una DMZ non è realmente un'opzione perché tutte le istanze hanno un IP pubblico. Ho cercato per diversi giorni sul web cercando di capire cosa significa e cosa devo fare per rispettare, ma non riesco a trovare nulla. Questo è probabilmente in gran parte perché ho un background di programmazione non di sicurezza, o amministrazione del sistema. Quindi immagino che sto cercando nel posto sbagliato. Ma non sono sicuro di quale sia il posto giusto. Quindi, se puoi raccomandare una risorsa che spieghi questo in modo più approfondito, o un software che soddisfi questo requisito, lo apprezzerei.

    
posta Josh Moore 10.12.2012 - 04:30
fonte

3 risposte

3

La sezione 1.3 ha lo scopo di impedire che archivi di informazioni sensibili (nel mondo PCI DSS - datastore di carte di credito e motori di elaborazione) possano offrire un servizio con connessione a Internet o inviare dati direttamente dal loro negozio a Internet. Il concetto alla base della prima parte è di minimizzare la superficie di attacco disponibile per un outsider ostile, e la seconda parte è di fornire una certa difesa in profondità, in modo che se si verifica una violazione, c'è una barriera per un attaccante che semplicemente trasmette i dati alla loro posizione.

Come con un sacco di PCI DSS, se puoi evitare di archiviare i dati dopo l'autorizzazione risparmierai il tuo cuore (ei costi). Potrebbe valere la pena di valutare se è possibile ottenere i risultati desiderati utilizzando un fornitore di servizi di pagamento come worldpay anziché eseguire il rollover del proprio sistema di pagamento.

Un sacco di "siti di riferimento" per PCI DSS sono semplicemente venditori che cercano di spingere i loro prodotti come soluzione per PCI DSS ( tip: non lo sono, di solito ), tuttavia PCI Council vale la pena leggere, così come Amazon Riferimento AWS (dato che stai usando EC2)

    
risposta data 10.12.2012 - 11:40
fonte
2

Since I am on EC2 a DMZ is not really an option because all instances have a public IP

Una DMZ è definita dalle regole del firewall, non dalla presenza di NAT. Stabilisci le regole del firewall appropriate per il tuo gruppo di sicurezza che consentono solo ai server di gestione delle carte di credito di parlare con i server front-end e avrai l'effetto che stai cercando.

Inoltre, "DMZ" è un termine che di solito si riferisce a un sistema che ha esposizione a Internet e accesso limitato alla rete privata. I tuoi sistemi di gestione delle carte di credito saranno considerati una rete interna, non una DMZ.

    
risposta data 10.12.2012 - 07:33
fonte
0

Da oggi (ottobre 2014), AWS fornisce la soluzione perfetta per questo: AWS VPC. Utilizza le istanze EC2, ma le raggruppa in modo tale che alcune di esse si trovino su una sottorete privata e alcune siano in una sottorete pubblica (DMZ). Le istanze private sono accessibili solo tramite quelle pubbliche.

In questa configurazione, il tuo server web si troverà nella sottorete pubblica (zona DMZ) e il tuo database sarà protetto nella sottorete privata.

Vedi qui per caso d'uso "Applicazioni web multi-livello host"

    
risposta data 29.10.2014 - 04:38
fonte

Leggi altre domande sui tag