PCIコンプライアンスのための要塞ホスト
小売業界のクライアントは、POSサーバーに接続するPOS(point-of-sale)端末を備えたネットワークを持っています。さらに、非販売エリアにあるほとんどのWindowsワークステーションも同じサーバーに接続します。これは、POSソフトウェアが、会社のすべて(在庫、購入、経理など)を実行する大規模なレガシーアプリケーションの1つのモジュールにすぎないためです。
PCI監査人(QSA)によると、カード所有者のデータ環境に直接接続するすべてのシステムが対象と見なされます(CCデータを保存、処理、または送信するシステムだけではありません)。
問題は、CCデータとは何の関係もない何百ものWindowsステーションがPCIDSSの対象外となるように範囲を制限する方法です。
この図は、POSステーションとWindowsステーションが現在サーバーに接続している方法を示しています。 
この図は、実装されている要塞ホストとの接続方法を示しています。 
Windows WSは、パスワードベースの認証を使用して要塞ホストへのSSHに類似したPuTTYを使用します。要塞ホスト上のログインスクリプトまたはカスタムシェルは、キーベースの認証を使用してPOSサーバーに自動SSH接続し、ユーザーはビジネスアプリケーションに透過的にアクセスします(ユーザーがシェルまたはシェルにブレークアウトする機能を取得することはありません)。
しかし、セキュリティの向上という観点から、それは実際に何を達成するのでしょうか。
要塞ホストがない場合:Windows WSが侵害され、POSサーバーへのログインパスワードを取得した場合、SSHで接続できますが、それでもシェルアクセスのないビジネスアプリケーションにしかアクセスできません。
要塞ホストを使用する場合:Windows WSが侵害され、要塞サーバーへのログインパスワードを取得した場合、SSHで接続できますが、シェルアクセスのないビジネスアプリケーションにしかアクセスできません。
このシナリオでは、要塞ホストが多くの追加のセキュリティを提供しているとは思いません。
これに関するフィードバックおよび/または提案をいただければ幸いです。
私は過去数年間、PCI-DSSイニシアチブに取り組んできました。私が言い換えてこれをあなたに説明しようとする代わりに、私は強くIT革命から オープンスコープツールキット を読むことをお勧めします。
スコープの縮小で達成しようとしているのは、ネットワークのセグメンテーションです。この連合は、なぜあなたがそれをすべきかを正確に説明しています。理解を深めるのに役立つ正確な例があります。イントロを読んでから26ページの例を調べることから始めるのがよいでしょう。