我们正在建立一个符合 PCI 标准的基础设施,其中大多数应用程序都在不包含敏感信息的 DMZ(非军事区)中运行。包含敏感信息的部分在私有子网中受到保护。
我们有两个问题。
首先,有些传入的请求将包含敏感信息。我们的解决方案是在安全网络内(而不是在 DMZ 中 - 因此代理将受到审计)创建一个反向代理,该代理将请求路由到 DMZ 或安全私有子网。
如果请求进入安全网络,安全网络将存储敏感信息,然后将请求路由到 DMZ,而无需继续处理该信息。如果我们这样做,DMZ 是否能够通过代理向用户返回响应?
问题在于代理将面向公众。它不会存储敏感信息,但信息会通过它传递,因此它将受到审计和安全保护。
第二个问题是,我们有一个特定文件需要从 PCI 兼容服务器提供。由于我们的兼容服务器位于私有网络中,我们该怎么做?我们是否应该创建一个面向公众的小型服务器来提供此文件?此问题还有哪些其他解决方案?
谢谢你,