平台级别的 PCI 是否需要使用 VPC ?还是只能由安全组来实现 PCI?
我之所以问这个问题,是因为我从亚马逊那里得到了不同的回答,销售代表表示 VPC 必须符合 PCI 标准,但是一些工程师声称 VPC 不是必需的,标准安全组就足够了。
我分解了一些 PCI-DSS 要求,我希望我们可以作为一个社区来解决这个问题。
有疑问的事情:
1.3.5 不允许从持卡人数据环境到互联网的未经授权的出站流量。-我应该能够在软件级别执行此操作,因为标准安全组不允许这样做。
应该没问题的事情:
1.1.3 每个 Internet 连接以及任何非军事区 (DMZ) 和内部网络区域之间的防火墙要求。-两者都允许这样做。
1.2 构建防火墙和路由器配置,限制不受信任的网络与持卡人数据环境中的任何系统组件之间的连接。-我可以轻松地为应用服务器和数据库创建一个安全组,然后只允许应用程序访问数据库组。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。-我可以通过安全组禁止所有公共访问。
1.3.1 实施 DMZ 以将入站流量限制为仅提供经授权的可公开访问的服务、协议和端口的系统组件。-我将使用负载均衡器来完成这项任务。
1.3.2 将入站 Internet 流量限制到 DMZ 内的 IP 地址。-负载均衡器将是唯一可公开访问的服务器。
1.3.6 实现状态检测,也称为动态包过滤。(即,仅允许“已建立”的连接进入网络。) -标准安全组执行状态检查。
基于该列表,我认为没有什么能阻止我仅通过安全组实现 PCI 合规性。如果您同意/不同意,请告诉我。
**另外,我没有存储任何 PAN,这是一个干净的通道。
我很感激反馈。