PCI DSS 1.2.1 indica:
Restrinja el tráfico entrante y saliente a lo que sea necesario para el entorno de datos del titular de la tarjeta.
Verifique que todo el tráfico entrante y saliente sea específicamente denegado, por ejemplo, utilizando un explícito "denegar todo" o un implícito negar después de permitir declaración
Los servidores en nuestra DMZ necesitan realizar llamadas salientes a una serie de servicios externos (principalmente a través de las API HTTPS). La mayoría de estos servicios tienen sus propias configuraciones de alta disponibilidad con registros DNS de TTL bajo, y pueden agregar o cambiar direcciones IP en cualquier momento.
Por lo tanto, no parece factible restringir el tráfico saliente en nuestro firewall basado en la dirección IP, porque las reglas estarían constantemente desactualizadas y serían una pesadilla para los administradores.
He visto que algunos firewalls admiten reglas basadas en FQDN, lo que parece que podría resolver el problema, pero desafortunadamente ni nuestro ISP ni otros que he visto (Rackspace, AWS, etc.) son compatibles con firewall basado en FQDN reglas. Preferiríamos no tener que mover proveedores de hosting.
Otra solución es configurar un entorno de alojamiento externo completamente separado (completo con su propia redundancia y autenticación) que se utiliza simplemente para representar todo el tráfico saliente que no es de tarjeta de crédito. Entonces solo tendríamos que permitir la IP de nuestro proxy. Esto parece una exageración y me cuesta creer que sea la mejor solución.
¿Seguramente no podemos ser la única compañía compatible con PCI que tiene que lidiar con estas reglas dinámicas de tráfico saliente? ¿Cómo están resolviendo este problema otras empresas?