web-dev-qa-db-ja.com

SSLはロードバランサーでPCIに準拠していますか?

私はこの素晴らしい質問を読みました:

SSLはロードバランサーで終了する必要がありますか?

また、同じ質問がありますが、PCI-DSSコンプライアンスを念頭に置いてください。

SSLはロードバランサーで終了し、ロードバランサーとWebサーバー間の通信はPCI準拠ですか?

私はAWS Elastic Beanstalkを使用しています。これは内部でEC2インスタンスとロードバランサーを使用しています。

19
Benjamin

PCIデータセキュリティ基準 のセクション4.1に従って、クレジットカードデータを処理するすべての販売者は次のことを行う必要があります。

「... SSL/TLSやIPSECなどの強力な暗号化とセキュリティプロトコルを使用して、オープンなパブリックネットワークでの送信中に機密のカード会員データを保護します。」

つまり、データがLBに到達すると、安全なプライベートネットワークに入ったと見なされるため、フロントエンドSSLが許可されます。

また、PCI Approved Scanning Vendors Program Guide には、ロードバランサーの背後にあるすべてのサーバーが、同様の構成を共有する場合、内部スキャンから除外されると記載されています。

13
David Houde

答えはあまり良いものではありません。これはPCIの灰色の領域の1つであり、QSAに大きく依存します...

過去に働いたことがある会社では、それを回避しましたが、ロードバランサーのバックエンドでSSLを再確立することに取り組みました。これは、一般的なベストプラクティスであり、オーバーヘッドが最小限であるためです。これは PCI DSS 4.1(version 2.0) の「オープンなパブリックネットワーク」の部分です。

4.1強力な暗号化およびセキュリティプロトコル(SSL/TLS、IPSEC、SSHなど)を使用して、オープンなパブリックネットワーク経由での送信中に機密のカード会員データを保護します。

内部ネットワークは「オープンなパブリックネットワーク」とは見なされないため、暗号化の要件は適用されません。正直なところ、特にパブリッククラウドを使用している場合は、バックエンドで暗号化することをお勧めします。

PCI DSS 3.0は間もなくリリースされる予定であり、ほとんどの場合2015年に準拠が予定されています( ドラフトはこちら )。バックエンドでSSLを要求する可能性があります。

5
JZeolla

どんな場合でも(ssl終了かどうか)、ロードバランサーは受信したデータ(おそらくカード番号を含む)を復号化して適切なサーバーに転送するため、ロードバランサーはPCIコンプライアンスの範囲内にあると主張します。

範囲内にあることが確認され、準拠していると見なされるには、カード会員データを処理するサーバーに適用可能なすべてのPCI要件を尊重する必要があります。

0
mic.sca