【问题标题】:Internal Vulnerability Scan and Pen testing on Elastic Beanstalk for PCI DSS针对 PCI DSS 对 Elastic Beanstalk 进行内部漏洞扫描和笔测试
【发布时间】:2021-05-18 15:51:09
【问题描述】:

我们目前正在构建一个符合 PCI DSS 1 级标准的平台,该平台将仅在 Elastic Beanstalk (Linux AMI) 上运行一个应用服务器。 Elastic Beanstalk 实例将驻留在私有子网中,将通过 VPC 链接连接到 AWS API Gateway,并通过 AWS NAT Gateway 与外部通信。

我们最近与我们的 QSA 聊天,他们告诉我们不需要内部漏洞扫描 (PCI Req 11.2.1) 和内部渗透测试 (PCI Req 11.3.2),因为 Elastic Beanstalk 容器实例不能以交互方式访问和管理,例如由员工控制下的远程管理外壳,并且没有可访问的 IaaS 内部基础架构可以实际扫描漏洞。

我们不需要这些内部扫描/测试(漏洞扫描和渗透测试)实际上是对的吗,因为 Elastic Beanstalk 实例位于私有子网内,因此没有人可以使用任一 EC2 实例访问 Elastic Beanstalk 的 EC2 实例连接、会话管理器还是 SSH 客户端?

【问题讨论】:

    标签: amazon-web-services amazon-ec2 amazon-elastic-beanstalk pci-compliance pci-dss


    【解决方案1】:

    符合 PCI 标准的 AWS 服务不需要扫描,因为这些服务由 AWS 保持兼容 - https://aws.amazon.com/compliance/services-in-scope/

    如果 QSA 书面提到不需要扫描弹性豆茎,那应该没问题。 https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/eb3-ssh.html

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2022-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2020-04-25
      • 2010-11-15
      • 1970-01-01
      相关资源
      最近更新 更多