Quiero abrir y reenviar el puerto SSH a una de nuestras computadoras internas.
El problema es que usará la misma dirección IP que el entorno PCI-DSS (donde se ejecuta la vía de pago HTTPS)
Básicamente, el firewall reenviará el puerto 22 al servidor ssh, el puerto 443 al entorno PCI-DSS
¿Es compatible con PCI-DSS?
Si el firewall está fuera de lo que constituye su "entorno PCI-DSS", entonces este es un mero enrutamiento. Para decir las cosas sin rodeos, todas las máquinas comparten el mismo Internet. PCI-DSS se basará en algún tipo de límite que delimita lo que está dentro (y en el ámbito de PCI-DSS), y el resto del mundo. Este último incluye el firewall, el servidor SSH ...
En particular, la capa SSL crea un túnel que garantiza la protección de los datos en tránsito entre el cliente SSL (HTTPS) y el servidor, y que la protección se aplica a todas las demás máquinas intermedias, incluida el cortafuegos.
Todo se reduce a esto: si su conformidad con PCI-DSS no depende de las propiedades del firewall (es decir, seguiría cumpliendo con PCI-DSS si se eliminara el firewall, y sus servidores se pusieron directamente en contacto con Internet), entonces el firewall puede hacer lo que quiera, incluido el reenvío de conexiones SSH a algún otro servidor, sin afectar el cumplimiento de PCI-DSS.
No estoy 100% seguro, pero creo que siempre que se aísle el sistema SSH de la pasarela de pago, está bien. El hecho de que utilicen la misma IP externa no importa, ya que el reenvío de puertos es simplemente dirigir el tráfico a dos redes separadas. Creo que la separación de la red es la parte importante y el enrutamiento del puerto no afecta directamente a eso.
Solo asegúrese de que su servidor SSH sea compatible:
Y puede usar restricciones de red de origen / IP (SSH solo accesible desde 172.16.x.y).
Pero 100% seguro para ir, hable con su auditor.