Назад | Перейти на главную страницу

Разделение безопасной сети и DMZ (небезопасной) в инфраструктуре, совместимой с PCI

Мы создаем инфраструктуру, совместимую с PCI, в которой большинство наших приложений работают в DMZ (демилитаризованной зоне), не содержащей конфиденциальной информации. Часть, содержащая конфиденциальную информацию, защищена в частной подсети.

У нас есть две проблемы.

Во-первых, некоторые входящие запросы будут содержать конфиденциальную информацию. Наше решение этой проблемы - создать обратный прокси-сервер в защищенной сети (не в DMZ - следовательно, прокси будет подвергаться аудиту), который направит запрос либо в DMZ, либо в безопасную частную подсеть.

Если запрос поступает в защищенную сеть, защищенная сеть сохранит конфиденциальную информацию, а затем направит запрос в DMZ без этой информации для продолжения обработки. Если мы это сделаем, сможет ли DMZ вернуть ответ пользователю через прокси?

Проблема в том, что прокси будет общедоступным. Он не будет хранить конфиденциальную информацию, но они будут проходить через нее, следовательно, она будет подлежать аудиту и безопасности.

Вторая проблема заключается в том, что у нас есть конкретный файл, который нужно обслуживать с сервера, совместимого с PCI. Поскольку наши совместимые серверы находятся в частной сети, как мы можем это сделать? Должны ли мы создать один общедоступный небольшой сервер для обслуживания этого файла? Какие еще есть решения этой проблемы?

Спасибо,