Estamos intentando instalar un firewall compatible con PCI en nuestra red de Azure. El problema es que los como opnsense solo pueden instalarse a través de una iso, tener que instalarlo en una máquina virtual local y luego cargar un disco de 4GB en Azure para crear una máquina virtual. Con nuestra conexión a Internet no es una opción viable.
Entonces, mi pregunta es, ¿hay algún firewall viable que podamos instalar normalmente en una distribución de Linux como software normal?
Hay una gran cantidad de opciones: iptables, firewalld, shorewall, ufw, y probablemente un montón de otras.
Como lo menciona @ AndyMac , el cumplimiento de PCI es una cuestión de lo que hace el firewall (y cómo), y de asegurarte que tienes monitoreo.
Personalmente, encuentro que shorewall es una buena coincidencia aquí, porque tiene una fuerte noción de zonas y flujos entre zonas, pero YMMV.
Lo más probable es que desee que un daemon de syslog, o algún tipo de analizador de registros, recopile y envíe el registro a una ubicación centralizada (que es un requisito de PCI).
No estoy seguro de que hacer esto solo para un servidor de seguridad central sea suficiente; puede ser preferible tener un servidor de seguridad + registro en todos / la mayoría de los nodos.
Editado para agregar:
Parece que su problema es más sobre el registro que sobre el firewall que usa. Como primer paso, configuraría un sistema de prueba, me aseguraría de que iptables esté instalado y crearía una regla para registrar todas las conexiones TCP nuevas: iptables -I INPUT 1 -p tcp -m conntrack --ctstate NEW -j LOG --log-prefix "TEST LOGGING" .
Luego grep -r 'IN=' /var/log , después de haber iniciado algunas conexiones.
Si no ve ningún resultado, verifique su configuración de syslog.
Los firewalls no son compatibles con PCI, sino que la manera en que se gestiona el tráfico de red puede ser compatible con la validación de seguridad / cumplimiento de PCI. Las reglas de la red deben ser de estado y solo permitir el tráfico con una justificación técnica y comercial. La configuración de los contenedores de la red de Azure con reglas relevantes y necesarias que utilizan el control de cambios y la realización periódica de revisiones de conjuntos de reglas apoyará sus esfuerzos de cumplimiento. No necesita una infraestructura de red adicional más allá de la provista por el proveedor de servicios en la nube a menos que tenga otros requisitos de red.