Esistono firewall compatibili PCI che possono essere installati su Linux con mezzi normali e non tramite ISO? [chiuso]

0

Stiamo cercando di installare un firewall conforme PCI su Azure Vnet. Il problema è che quelli come opnsense possono essere installati solo attraverso un iso, dovendo installarlo su una VM locale e quindi dover caricare un disco da 4 GB in Azure da cui creare una VM. Con la nostra connessione internet non è un'opzione praticabile.

Quindi la mia domanda è: ci sono dei firewall fattibili che possiamo installare normalmente su una distribuzione Linux come un normale software?

    
posta Pat 01.03.2017 - 07:22
fonte

2 risposte

1

Ci sono un numero abbastanza grande di opzioni: iptables, firewalld, shorewall, ufw e probabilmente un mucchio di altre.

Come menzionato da @ AndyMac , la conformità PCI è una questione che il firewall sta facendo (e come), e di garantire il monitoraggio.

Personalmente, trovo che lo shorewall è una buona partita qui, perché ha una strong nozione di zone e flussi inter-zona, ma YMMV.

Probabilmente vorrai o un demone syslog, o qualche tipo di parser di log, per raccogliere e inviare logging in una posizione centralizzata (che è un requisito PCI).

Non sono sicuro che farlo solo per un firewall centrale sia sufficiente - potrebbe essere preferibile avere un firewall + che acceda a tutti / molti nodi.

Modificato per aggiungere:

Sembra che il tuo problema riguardi più la registrazione che il firewall che usi. Come primo passo, installerei un sistema di test, assicurarmi che iptables sia installato e creare una regola per registrare tutte le nuove connessioni TCP: iptables -I INPUT 1 -p tcp -m conntrack --ctstate NEW -j LOG --log-prefix "TEST LOGGING" . Quindi grep -r 'IN=' /var/log , dopo aver avviato alcune connessioni.

Se non vedi alcun output, controlla la configurazione di syslog.

    
risposta data 01.03.2017 - 11:51
fonte
1

I firewall non sono conformi allo standard PCI, ma il modo in cui viene gestito il traffico di rete può supportare la convalida della conformità / sicurezza PCI. Le regole di rete devono essere stateful e consentire solo il traffico con una giustificazione tecnica e commerciale. La configurazione dei contenitori di rete di Azure con le regole necessarie e pertinenti che utilizzano il controllo delle modifiche e l'esecuzione di revisioni periodiche delle regole consentiranno di adempiere ai vostri sforzi di conformità. Non hai bisogno di un'infrastruttura di rete aggiuntiva oltre a quella fornita dal provider di servizi cloud, a meno che tu non abbia altri requisiti di rete.

    
risposta data 01.03.2017 - 09:45
fonte

Leggi altre domande sui tag