1. Inicio
  2. Pregunta y respuesta
  3. ¿Qué SSL cifra para el cumplimiento de PCI en Amazon AWS ELB?

¿Qué SSL cifra para el cumplimiento de PCI en Amazon AWS ELB?

2012-02-23 19 views
6

Estamos tratando de cumplir con PCI en una instancia EC2 con equilibrio de carga en AWS. Un problema que tenemos que resolver es que nuestro equilibrador de carga acepta cifrados débiles. Sin embargo, ELB no es compatible con el conjunto de cifrado, por lo que tengo que configurar manualmente cada uno de los cifrados. El problema es que no puedo encontrar una lista de lo que califica como un cifrado fuerte. Por ejemplo, que los cifrados se traduce este valor para:¿Qué SSL cifra para el cumplimiento de PCI en Amazon AWS ELB?

SSLCipherSuite ALL:! ANULL: ADH: eNULL: BAJA: EXP: RC4 + RSA: + ALTA: + MEDIO

Es sorprendentemente difícil encuentre esta información, y amazon no tiene una configuración compatible con PCI por defecto (lo que parece tan tonto: tienen dos políticas predeterminadas, ¿por qué no tener un tercero llamado "PCI Fuerte" o algo así?).

Fuente

2012-02-23 Seamus James

Respuesta

6

actualización/Pista: Por favor asegúrese de leer Seamus seguimiento de los comentarios también para facilitar su camino hacia la certificación PCI de una configuración ELB, en la medida en la selección de los sistemas de cifrado SSL correctas resultó ser una parte del rompecabezas solamente .

Todo un rompecabezas - una tarjeta PCI predeterminado compatible entorno Elastic Load Balancing (ELB) sería extremadamente útil en verdad;)

Puede encontrar todas estas etiquetas descifrados en la documentación de Apache de la directiva SSLCipherSuite, por ejemplo:

    !
  • aNULL - no sin autenticación
  • ADH - no todos los cifrados usando Anónimo Di FFIE-Hellman de intercambio de claves
  • eNULL - no Sin codificación
  • ...

Esto debería permitirle a traducirlos a los respectivos ajustes ELB como se discutió en Creating a Load Balancer With SSL Cipher Settings and Back-end Server Authentication y Configuring SSL Ciphers específicamente.

¡Buena suerte!

Fuente

2012-02-23 19:47:54

+1

me encontré con un par de enlaces muy útiles para aquellos que persiguen este problema: Una lista de cifras y sus respectivas fortalezas: http://drjohnstechtalk.com/blog/2011/09/the-basics-of-how-to-work-with-ciphers/ Una publicación sobre cómo ajustar su configuración del equilibrador de carga utilizando las herramientas de línea de comandos con un ejemplo: https://forums.aws.amazon.com/message.jspa?messageID=276031 Usando las herramientas de línea de comando, puede agregar una política que elimine uno por uno las cifras ofensivas. –

+2

Bueno, obtuvimos nuestra certificación PCI, pero no sin muchas pruebas y errores.Un par de consejos: -Asegúrese de que está escaneando su dominio, no su IP (si está utilizando un equilibrador de carga). Además, asegúrese de ajustar su servidor, incluso si está detrás del equilibrador de carga. Si se conectan a su IP, pasará por alto el LB -Asegúrese de dejar abiertas las 256 cifras y al menos una o dos 128, o tendrá problemas con IE8 y menos para poder conectarse. -Recuerde aplicar su política después de CREAR su política configurándola para escuchar la publicación 443. –

+0

@SeamusJames: gracias por seguir estos detalles para guiar a los lectores futuros, muy apreciado: sus consejos podrían ayudar a otros a ahorrar bastante tiempo. en escenarios similares, ¡he actualizado mi respuesta con un puntero respectivo en consecuencia! –

0

me encontré con la siguiente configuración para AWS ELB sistemas de cifrado SSL pasaron el examen de cumplimiento de PCI usamos:

Protocolos: SSLv3, TLSv1

Cifrados: CAMELLIA128-SHA, CAMELLIA256-SHA, KRB5-RC4-MD5 , KRB5-RC4-SHA, RC4-MD5, RC4-SHA, SEED-SHA

Además, he encontrado este sitio útil para verificar los protocolos/sistemas de cifrado de funcionamiento: https://www.ssllabs.com/ssltest/index.html

Fuente

2013-02-13 14:25:04 CharlesA

Cuestiones relacionadas

 Cuestiones relacionadas