【发布时间】:2021-05-18 15:51:09
【问题描述】:
我们目前正在构建一个符合 PCI DSS 1 级标准的平台,该平台将仅在 Elastic Beanstalk (Linux AMI) 上运行一个应用服务器。 Elastic Beanstalk 实例将驻留在私有子网中,将通过 VPC 链接连接到 AWS API Gateway,并通过 AWS NAT Gateway 与外部通信。
我们最近与我们的 QSA 聊天,他们告诉我们不需要内部漏洞扫描 (PCI Req 11.2.1) 和内部渗透测试 (PCI Req 11.3.2),因为 Elastic Beanstalk 容器实例不能以交互方式访问和管理,例如由员工控制下的远程管理外壳,并且没有可访问的 IaaS 内部基础架构可以实际扫描漏洞。
我们不需要这些内部扫描/测试(漏洞扫描和渗透测试)实际上是对的吗,因为 Elastic Beanstalk 实例位于私有子网内,因此没有人可以使用任一 EC2 实例访问 Elastic Beanstalk 的 EC2 实例连接、会话管理器还是 SSH 客户端?
【问题讨论】:
标签: amazon-web-services amazon-ec2 amazon-elastic-beanstalk pci-compliance pci-dss