プラットフォーム レベルで PCI に VPC を使用する必要がありますか? それとも、PCI はセキュリティ グループだけで達成できますか?
この質問について Amazon からさまざまな回答を得たので、私がこれを尋ねているだけです。営業担当者は、VPC は PCI に準拠する必要があると述べていますが、VPC は必要なく、標準のセキュリティ グループで十分であると主張するエンジニアもいます。
私は PCI-DSS 要件のいくつかを分解しました。これをコミュニティとしてハッシュ化できることを願っています。
疑問点:
1.3.5 カード会員データ環境からインターネットへの無許可の送信トラフィックを許可しないでください。-標準のセキュリティ グループでは許可されていないため、ソフトウェア レベルでこれを実行できるはずです。
うまくいくはずのもの:
1.1.3 各インターネット接続および非武装地帯 (DMZ) と内部ネットワーク ゾーン間のファイアウォールの要件。-どちらもこれを許可します。
1.2 信頼されていないネットワークとカード会員データ環境内のシステム コンポーネントとの間の接続を制限するファイアウォールおよびルーター構成を構築します。-アプリケーション サーバーとデータベースのセキュリティ グループを簡単に作成し、アプリケーションのみがデータベース グループにアクセスできるようにします。
1.3 インターネットとカード会員データ環境内のシステム コンポーネントとの間の直接的なパブリック アクセスを禁止します。-セキュリティ グループを使用して、すべてのパブリック アクセスを禁止できます。
1.3.1 DMZ を実装して、インバウンド トラフィックを、許可された公的にアクセス可能なサービス、プロトコル、およびポートを提供するシステム コンポーネントのみに制限します。-このタスクにはロードバランサーを使用します。
1.3.2 インバウンドのインターネット トラフィックを DMZ 内の IP アドレスに制限します。-ロードバランサーは、公的にアクセス可能な唯一のサーバーになります。
1.3.6 動的パケット フィルタリングとも呼ばれるステートフル インスペクションを実装します。(つまり、「確立された」接続のみがネットワークに入ることができます。) -標準セキュリティ グループは、ステートフル インスペクションを実行します。
そのリストに基づいて、セキュリティ グループだけで PCI コンプライアンスを達成することを妨げるものは何もないと思います。賛成/反対があれば教えてください。
**また、PAN を保存していません。これはクリーンなパススルーです。
フィードバックに感謝します。