Amazon ec2 针对PCI的EC2安全组与VPC
在平台级PCI是否需要使用VPC?或者PCI可以由安全组单独实现吗 我之所以问这个问题,是因为亚马逊对这个问题的回答不一,销售代表表示VPC必须符合PCI标准,但有几位工程师声称VPC不是必需的,标准的安全组就足够了 我分解了一些PCI-DSS要求,我希望我们可以作为一个社区来解决这个问题 可疑的事情: 1.3.5不允许从持卡人数据环境到互联网的未经授权的出站流量。-我应该能够在软件级别这样做,因为标准安全组不允许这样做 应该是好的事情: 1.1.3每个互联网连接处以及任何非军事区(DMZ)和内部网络区之间的防火墙要求。-两者都考虑到了这一点 1.2构建防火墙和路由器配置,以限制不受信任网络与持卡人数据环境中任何系统组件之间的连接。-我可以轻松地为应用程序服务器和数据库创建一个安全组,然后只允许应用程序访问该数据库组 1.3禁止互联网和持卡人数据环境中任何系统组件之间的直接公共访问。-我可以禁止安全组的所有公共访问 1.3.1实施DMZ,将入站流量限制为仅提供授权公共访问服务、协议和端口的系统组件。-我将使用负载平衡器执行此任务 1.3.2将入站互联网流量限制为DMZ内的IP地址。-loadbalancer将是唯一可公开访问的服务器 1.3.6实施状态检查,也称为动态数据包过滤。(也就是说,只允许“已建立”的连接进入网络。)-标准安全组执行状态检查 根据这一列表,我不认为有什么能阻止我仅通过安全组实现PCI合规性。如果您同意/不同意,请告诉我。 **此外,我没有储存任何平底锅,这是一个干净的通道 我感谢你的反馈 1.3.5不允许从持卡人数据环境到互联网的未经授权的出站流量。-我应该能够在软件级别这样做,因为标准安全组不允许这样做 只能使用VPC安全组过滤出口流量。您不希望依赖您的应用程序来完成此操作;必须在网络级别执行此操作(当攻击者组成您的应用程序或只是安装另一个应用程序来窃取您的数据时会发生什么情况?)。通过使用VPC,您还可以使用网络ACL实现一种多层方法来过滤那里的出口流量——“安全深度是正确的。”Amazon ec2 针对PCI的EC2安全组与VPC,amazon-ec2,pci-dss,Amazon Ec2,Pci Dss,在平台级PCI是否需要使用VPC?或者PCI可以由安全组单独实现吗 我之所以问这个问题,是因为亚马逊对这个问题的回答不一,销售代表表示VPC必须符合PCI标准,但有几位工程师声称VPC不是必需的,标准的安全组就足够了 我分解了一些PCI-DSS要求,我希望我们可以作为一个社区来解决这个问题 可疑的事情: 1.3.5不允许从持卡人数据环境到互联网的未经授权的出站流量。-我应该能够在软件级别这样做,因为标准安全组不允许这样做 应该是好的事情: 1.1.3每个互联网连接处以及任何非军事区(DMZ)和内
事实上,仅凭这一标准就足以让专有网络成为显而易见的选择。为什么不情愿?VPC不需要更多的成本,大大提高了安全性,并提供了一些EC2所没有的附加功能(弹性网络接口、每个实例多个IP、IPSec VPN等) 这一点很有道理。我计划部署VPC的原因很明显,但我想弄清从PCI的角度看是否可行;更多的是一个可以这样做的问题。谢谢你的反馈!您可以在操作系统级别使用iptables,但使用VPC是一件很容易的事。