Sto utilizzando istanze EC2 per alimentare il nostro servizio Web che deve essere conforme a PCI SAQ-C. Sto cercando di capire quale punto 1.3 dell'autovalutazione significhi veramente:
1.3 La configurazione del firewall proibisce l'accesso pubblico diretto tra Internet e qualsiasi componente di sistema nei dati del titolare della carta ambiente, come segue:
1.3.3 Sono vietate le connessioni dirette per l'entrata o l'uscita traffico tra Internet e i dati del titolare della carta ambiente?
1.3.5 Il traffico in uscita dall'ambiente dei dati dei titolari di carta a Internet è esplicitamente autorizzato?
1.3.6 Is inspection stateful, noto anche come pacchetto dinamico filtraggio, implementato (cioè, solo connessioni stabilite sono ammessi nella rete)?
Dato che sono su EC2 una DMZ non è realmente un'opzione perché tutte le istanze hanno un IP pubblico. Ho cercato per diversi giorni sul web cercando di capire cosa significa e cosa devo fare per rispettare, ma non riesco a trovare nulla. Questo è probabilmente in gran parte perché ho un background di programmazione non di sicurezza, o amministrazione del sistema. Quindi immagino che sto cercando nel posto sbagliato. Ma non sono sicuro di quale sia il posto giusto. Quindi, se puoi raccomandare una risorsa che spieghi questo in modo più approfondito, o un software che soddisfi questo requisito, lo apprezzerei.