【发布时间】:2022-01-08 20:20:21
【问题描述】:
场景如下:我有 2 个子网。 1 个符合 PCI DSS 标准,另一个不符合。 我可以将数据从符合 PCI 的子网提取到不符合的子网中以在 Kafka 上处理吗?
tl;博士 必须分析的数据位于合规子网上。 Kafka 位于不合规的子网上。
【问题讨论】:
标签: amazon-web-services apache-kafka pci-compliance pci-dss
【发布时间】:2022-01-08 20:20:21
【问题描述】:
如果您从不合规的子网 (non-cde-subnet) 访问您的 PCI DSS 合规子网 (cde-subnet),则 non-cde-subnet 被视为“连接到和/或影响安全的系统”,因为它符合以下标准:
系统组件在不同的网络上(或 子网或 VLAN),但可以连接或访问 CDE(例如,通过内部网络连接)。
遵循 PCI 文档:
以下范围概念始终适用:
- 位于 CDE 内的系统都在范围内,无论它们的功能或它们在 CDE 中的原因。
- 同样,连接到 CDE 中的系统的系统也在范围内,无论它们的功能或连接到 CDE 的原因如何。
- 在扁平网络中,如果任何单个系统存储、处理或传输帐户数据,则所有系统都在范围内
文档:https://www.pcisecuritystandards.org/documents/Guidance-PCI-DSS-Scoping-and-Segmentation_v1.pdf
您可以将 Kafka 移至符合 pci 标准的子网,或者您需要对当前不符合标准的子网进行一些更改。
【讨论】:
PCI DSS 并不真正关心您使用的是什么技术,因此涉及 Kafka 的事实没有任何区别。最重要的是您正在处理的数据是否包含使 PCI DSS 适用的付款详细信息。
如果是这样,处理该数据的任何东西都必须符合 PCI DSS。如果您可以 100% 保证它不适用(并且它不能),那么 PCI DSS 不适用。
从逻辑上讲,如果不是第一种情况,所有保护都将毫无意义,因为攻击者可以忽略受保护的服务器并从未受保护的服务器获取相同的数据;如果不是第二种情况,您将永远无法知道是否已付款,因为受保护的服务器将无法向您发送该数据。
请注意,这仅适用于从合规子网推出数据的情况。如果 Kafka 可以“进入”并拉数据,那么即使它在正常情况下不会拉取支付数据,它也可能在范围内,因为理论上连接可能会被攻击者破坏。
【讨论】:
-
如果 Kafka 可以“进入”并提取数据,则此连接在 PCI DSS 的范围内,并且所有适用的 PCI DSS 要求都适用于保护该连接或访问。