PCI prohíbe las conexiones salientes directas en EC2

Navega tus respuestas
0

Estoy usando instancias de EC2 para alimentar nuestro servicio web que debe ser compatible con PCI SAQ-C. Estoy tratando de averiguar qué significa realmente el punto 1.3 de la autoevaluación:

1.3 ¿La configuración del firewall prohíbe el acceso público directo entre Internet y cualquier componente del sistema en los datos del titular de la tarjeta. medio ambiente, como sigue:

1.3.3 ¿Están prohibidas las conexiones directas de entrada o salida? Tráfico entre Internet y los datos del titular de la tarjeta. medio ambiente?

1.3.5 Es el tráfico saliente del entorno de datos del titular de la tarjeta a ¿Internet explícitamente autorizado?

1.3.6 Es una inspección de estado, también conocida como paquete dinámico filtrado, implementado (es decir, solo conexiones establecidas) están permitidos en la red)?

Dado que estoy en EC2, DMZ no es realmente una opción porque todas las instancias tienen una IP pública. He estado buscando varios días en la web tratando de averiguar qué significa esto y qué debo hacer para cumplir, pero no puedo encontrar nada. Esto es probablemente en gran parte porque tengo un fondo de programación, no seguridad, o administración del sistema. Así que supongo que estoy buscando en el lugar equivocado. Pero, no estoy seguro de cuál es el lugar correcto. Por lo tanto, si puede recomendar un recurso que explique esto con mayor profundidad o un software que cumpla con este requisito, lo apreciaría.

    
pregunta Josh Moore 10.12.2012 - 04:30
fuente

3 respuestas

3

La sección 1.3 tiene como objetivo evitar que los repositorios de información confidencial (en el mundo de las PCI DSS, los almacenes de datos de titulares de tarjetas y los motores de procesamiento) puedan ofrecer un servicio orientado a Internet, o enviar datos directamente de su tienda a Internet. El concepto detrás de la primera parte es minimizar la superficie de ataque disponible para un forastero hostil, y la segunda parte es proporcionar algo de defensa en profundidad, de modo que si se produce una brecha, existe una barrera para que un atacante simplemente envíe los datos a su ubicación.

Al igual que con una gran cantidad de PCI DSS, si puede evitar el almacenamiento de datos después de la autorización, se ahorrará la angustia (y los costos). Podría valer la pena considerar si puede obtener los resultados que desea utilizando un proveedor de servicios de pago como Worldpay en lugar de utilizar su propio sistema de pago.

Una gran cantidad de "sitios de referencia" para PCI DSS son simplemente proveedores que buscan impulsar sus productos como la solución a PCI DSS ( consejo: no lo son, por lo general ), sin embargo, PCI Council , al igual que Amazon AWS Reference (ya que está utilizando EC2)

    
respondido por el arashiyama 10.12.2012 - 11:40
fuente
2
  

Ya que estoy en EC2, DMZ no es realmente una opción porque todas las instancias tienen una IP pública

Una DMZ se define mediante reglas de firewall, no por la presencia de NAT. Establezca reglas de firewall adecuadas para su grupo de seguridad que solo permitan a los servidores de manejo de su tarjeta de crédito comunicarse con los servidores front-end y tendrá el efecto que está buscando.

Además, "DMZ" es un término que generalmente se refiere a un sistema que tiene exposición a Internet y acceso limitado a la red privada. Sus sistemas de manejo de tarjetas de crédito serían considerados una red interna, no una DMZ.

    
respondido por el Jeff Ferland 10.12.2012 - 07:33
fuente
0

A partir de hoy (octubre de 2014), AWS ofrece la solución perfecta para esto: AWS VPC. Utiliza instancias de EC2, pero las agrupa de tal manera que algunas de ellas están en una subred privada y otras en una subred pública (DMZ). Solo se puede acceder a las instancias privadas a través de las públicas.

En esta configuración, su servidor web estará en la subred pública (zona DMZ), y su base de datos estará protegida en la subred privada.

Consulte aquí para el caso de uso "Host aplicaciones web de múltiples niveles"

    
respondido por el Martin Konecny 29.10.2014 - 04:38
fuente

Lea otras preguntas en las etiquetas

cifrado AES128-GCM-SHA256 SSL vs RC4-MD5 ¿Es posible crear un nuevo estándar de imagen que admita privacidad? [cerrado]