问题描述
我们目前正在构建一个 PCI DSS 1 级合规平台,该平台将仅在 Elastic Beanstalk (Linux AMI) 上运行一个应用程序服务器。 Elastic Beanstalk 实例将驻留在私有子网中,将通过 VPC 链接连接到 AWS API Gateway,并将通过 AWS NAT 网关与外部通信。
我们最近与 QSA 聊天,他告诉我们不需要内部漏洞扫描 (PCI Req 11.2.1) 和内部渗透测试 (PCI Req 11.3.2),因为 Elastic Beanstalk 容器实例不能以交互方式操作访问和管理,例如由一名员工控制的远程管理 shell 执行,并且没有可以实际扫描漏洞的可访问 IaaS 内部基础设施。
他是否真的认为我们不需要这些内部扫描/测试(漏洞扫描和渗透测试),因为 Elastic Beanstalk 实例位于私有子网中,因此没有人可以使用任一 EC2 实例访问 Elastic Beanstalk 的 EC2 实例连接、会话管理器还是 SSH 客户端?
解决方法
符合 PCI 标准的 AWS 服务不需要扫描,因为这些服务由 AWS 保持合规 - https://aws.amazon.com/compliance/services-in-scope/
如果 QSA 书面提到不需要扫描弹性豆茎,那么应该没问题。 https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/eb3-ssh.html