我们公司正在努力实现 PCI 合规,其中一项要求是限制我们服务器的出站访问。我们只有 1 个 EC2 实例属于 PCI 范围,我想将此实例的出站互联网访问限制为仅访问所需的服务。
有没有办法实现这一点? VPC 是实现这一点的最佳选择吗?
多谢,
艾利
答案1
考虑以下:
- 安全组允许您选择 CIDR(IP 范围)和端口。您可以在实例级别限制出站访问。
- 网络 ACL允许您执行相同操作,但在子网级别。
- 您可以下防火墙进入您的网络或利用您的NAT 设备,以控制出站访问。这有助于记录日志,这可能是 PCI 合规性的要求。
- 您可以使用软件防火墙,例如 Linux 的 iptables,它也可以协助满足日志记录要求。
答案2
VPC 可让您通过该特定盒子的安全组控制传出的流量。如果“构建它”意味着通过代码控制访问,那么我会使用 python boto 以编程方式执行操作。