SSLはロードバランサーでPCIに準拠していますか?
私はこの素晴らしい質問を読みました:
また、同じ質問がありますが、PCI-DSSコンプライアンスを念頭に置いてください。
SSLはロードバランサーで終了し、ロードバランサーとWebサーバー間の通信はPCI準拠ですか?
私はAWS Elastic Beanstalkを使用しています。これは内部でEC2インスタンスとロードバランサーを使用しています。
PCIデータセキュリティ基準 のセクション4.1に従って、クレジットカードデータを処理するすべての販売者は次のことを行う必要があります。
「... SSL/TLSやIPSECなどの強力な暗号化とセキュリティプロトコルを使用して、オープンなパブリックネットワークでの送信中に機密のカード会員データを保護します。」
つまり、データがLBに到達すると、安全なプライベートネットワークに入ったと見なされるため、フロントエンドSSLが許可されます。
また、PCI Approved Scanning Vendors Program Guide には、ロードバランサーの背後にあるすべてのサーバーが、同様の構成を共有する場合、内部スキャンから除外されると記載されています。
答えはあまり良いものではありません。これはPCIの灰色の領域の1つであり、QSAに大きく依存します...
過去に働いたことがある会社では、それを回避しましたが、ロードバランサーのバックエンドでSSLを再確立することに取り組みました。これは、一般的なベストプラクティスであり、オーバーヘッドが最小限であるためです。これは PCI DSS 4.1(version 2.0) の「オープンなパブリックネットワーク」の部分です。
4.1強力な暗号化およびセキュリティプロトコル(SSL/TLS、IPSEC、SSHなど)を使用して、オープンなパブリックネットワーク経由での送信中に機密のカード会員データを保護します。
内部ネットワークは「オープンなパブリックネットワーク」とは見なされないため、暗号化の要件は適用されません。正直なところ、特にパブリッククラウドを使用している場合は、バックエンドで暗号化することをお勧めします。
PCI DSS 3.0は間もなくリリースされる予定であり、ほとんどの場合2015年に準拠が予定されています( ドラフトはこちら )。バックエンドでSSLを要求する可能性があります。
どんな場合でも(ssl終了かどうか)、ロードバランサーは受信したデータ(おそらくカード番号を含む)を復号化して適切なサーバーに転送するため、ロードバランサーはPCIコンプライアンスの範囲内にあると主張します。
範囲内にあることが確認され、準拠していると見なされるには、カード会員データを処理するサーバーに適用可能なすべてのPCI要件を尊重する必要があります。