He leído esta bonita pregunta:
¿Debe terminarse SSL en un equilibrador de carga?
Y tengo la misma pregunta, pero con el cumplimiento de PCI-DSS en mente.
¿Terminó SSL en el equilibrador de carga, con una comunicación clara entre el equilibrador de carga y los servidores web, cumple con PCI?
Estoy usando AWS Elastic Beanstalk, que bajo el capó usa instancias EC2 y balanceadores de carga.
Según la sección 4.1 de PCI Data Security Standard cualquier comerciante que maneje datos de tarjetas de crédito debe:
"... use criptografía fuerte y protocolos de seguridad como SSL / TLS o IPSEC para proteger los datos confidenciales de los titulares de tarjetas durante la transmisión a través de Redes abiertas, públicas. ”
Esto significa que Front End SSL está permitido, ya que una vez que los datos llegan a la LB, se considera que ingresaron a una red privada segura.
Además, la Guía del Programa de proveedores de escaneo aprobados de PCI indica que todos los servidores que están detrás de un equilibrador de carga están exentos desde exploraciones internas si comparten una configuración similar.
La respuesta no es muy buena. Esta es una de esas áreas grises de PCI y realmente depende de su QSA ...
En las empresas en las que he trabajado en el pasado, nos hemos salido con la suya, aunque trabajamos para restablecer SSL en el back-end de los balanceadores de carga porque es la mejor práctica general y los gastos generales mínimos. Esto se reduce a la parte de "redes públicas abiertas" de PCI DSS 4.1 (versión 2.0) .
4.1 Use criptografía y protocolos de seguridad sólidos (por ejemplo, SSL / TLS, IPSEC, SSH, etc.) para proteger los datos confidenciales de los titulares de tarjetas durante la transmisión a través de redes abiertas y públicas.
Su red interna no se considera una "red pública abierta" y, por lo tanto, no está sujeta al requisito de cifrado. Honestamente, todavía sugeriría el cifrado en el back-end, especialmente si está utilizando una nube pública.
Tenga en cuenta que PCI DSS 3.0 está programado para que se publique pronto, y el cumplimiento se programará para 2015 en la mayoría de los casos ( borrador aquí ). No parece haber ninguna posibilidad en la especificación de requerir SSL en el back-end.
En cualquier caso (terminación ssl o no) diría que el equilibrador de carga está dentro del alcance del cumplimiento de pci, ya que el equilibrador de carga descifra los datos (posiblemente con números de tarjeta) que recibe y los reenvía a los servidores apropiados.
Estableció que está dentro del alcance, para ser considerado cumplidor, debe respetar todos los requisitos de PCI aplicables a un servidor que procesa datos de titulares de tarjetas.
Lea otras preguntas en las etiquetas tls pci-dss compliance