Estamos tratando de cumplir con PCI en una instancia EC2 con equilibrio de carga en AWS. Un problema que tenemos que resolver es que nuestro equilibrador de carga acepta cifrados débiles. Sin embargo, ELB no es compatible con el conjunto de cifrado, por lo que tengo que configurar manualmente cada uno de los cifrados. El problema es que no puedo encontrar una lista de lo que califica como un cifrado fuerte. Por ejemplo, que los cifrados se traduce este valor para:¿Qué SSL cifra para el cumplimiento de PCI en Amazon AWS ELB?
SSLCipherSuite ALL:! ANULL: ADH: eNULL: BAJA: EXP: RC4 + RSA: + ALTA: + MEDIO
Es sorprendentemente difícil encuentre esta información, y amazon no tiene una configuración compatible con PCI por defecto (lo que parece tan tonto: tienen dos políticas predeterminadas, ¿por qué no tener un tercero llamado "PCI Fuerte" o algo así?).
me encontré con un par de enlaces muy útiles para aquellos que persiguen este problema: Una lista de cifras y sus respectivas fortalezas: http://drjohnstechtalk.com/blog/2011/09/the-basics-of-how-to-work-with-ciphers/ Una publicación sobre cómo ajustar su configuración del equilibrador de carga utilizando las herramientas de línea de comandos con un ejemplo: https://forums.aws.amazon.com/message.jspa?messageID=276031 Usando las herramientas de línea de comando, puede agregar una política que elimine uno por uno las cifras ofensivas. –
Bueno, obtuvimos nuestra certificación PCI, pero no sin muchas pruebas y errores.Un par de consejos: -Asegúrese de que está escaneando su dominio, no su IP (si está utilizando un equilibrador de carga). Además, asegúrese de ajustar su servidor, incluso si está detrás del equilibrador de carga. Si se conectan a su IP, pasará por alto el LB -Asegúrese de dejar abiertas las 256 cifras y al menos una o dos 128, o tendrá problemas con IE8 y menos para poder conectarse. -Recuerde aplicar su política después de CREAR su política configurándola para escuchar la publicación 443. –
@SeamusJames: gracias por seguir estos detalles para guiar a los lectores futuros, muy apreciado: sus consejos podrían ayudar a otros a ahorrar bastante tiempo. en escenarios similares, ¡he actualizado mi respuesta con un puntero respectivo en consecuencia! –