Stiamo cercando di installare un firewall conforme PCI su Azure Vnet. Il problema è che quelli come opnsense possono essere installati solo attraverso un iso, dovendo installarlo su una VM locale e quindi dover caricare un disco da 4 GB in Azure da cui creare una VM. Con la nostra connessione internet non è un'opzione praticabile.
Quindi la mia domanda è: ci sono dei firewall fattibili che possiamo installare normalmente su una distribuzione Linux come un normale software?
Ci sono un numero abbastanza grande di opzioni: iptables, firewalld, shorewall, ufw e probabilmente un mucchio di altre.
Come menzionato da @ AndyMac , la conformità PCI è una questione che il firewall sta facendo (e come), e di garantire il monitoraggio.
Personalmente, trovo che lo shorewall è una buona partita qui, perché ha una strong nozione di zone e flussi inter-zona, ma YMMV.
Probabilmente vorrai o un demone syslog, o qualche tipo di parser di log, per raccogliere e inviare logging in una posizione centralizzata (che è un requisito PCI).
Non sono sicuro che farlo solo per un firewall centrale sia sufficiente - potrebbe essere preferibile avere un firewall + che acceda a tutti / molti nodi.
Modificato per aggiungere:
Sembra che il tuo problema riguardi più la registrazione che il firewall che usi. Come primo passo, installerei un sistema di test, assicurarmi che iptables sia installato e creare una regola per registrare tutte le nuove connessioni TCP: iptables -I INPUT 1 -p tcp -m conntrack --ctstate NEW -j LOG --log-prefix "TEST LOGGING" .
Quindi grep -r 'IN=' /var/log , dopo aver avviato alcune connessioni.
Se non vedi alcun output, controlla la configurazione di syslog.
I firewall non sono conformi allo standard PCI, ma il modo in cui viene gestito il traffico di rete può supportare la convalida della conformità / sicurezza PCI. Le regole di rete devono essere stateful e consentire solo il traffico con una giustificazione tecnica e commerciale. La configurazione dei contenitori di rete di Azure con le regole necessarie e pertinenti che utilizzano il controllo delle modifiche e l'esecuzione di revisioni periodiche delle regole consentiranno di adempiere ai vostri sforzi di conformità. Non hai bisogno di un'infrastruttura di rete aggiuntiva oltre a quella fornita dal provider di servizi cloud, a meno che tu non abbia altri requisiti di rete.