我们正在努力在 AWS 上的负载平衡 EC2 实例上实现 PCI 合规性。我们必须解决的一个问题是我们的负载均衡器接受弱密码。但是,ELB 不支持密码套件,所以我必须手动设置每个密码。问题是,我找不到符合强密码条件的列表。例如,此设置将转换为哪些密码:
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
很难找到这些信息,而且亚马逊没有默认的 PCI 合规设置(这看起来很愚蠢 - 他们有两个默认策略,为什么没有第三个称为“强 PCI”之类的)。
【问题讨论】:
标签: amazon-web-services pci-compliance amazon-elb
更新/提示:请务必阅读 Seamus 的后续 cmets,以简化 ELB 设置的 PCI 认证,因为选择正确的 SSL 密码是其中的一部分仅限拼图。
真是个谜——默认的 PCI 兼容 Elastic Load Balancing (ELB) 设置确实非常有用;)
您可以在SSLCipherSuite 指令的 Apache 文档中找到所有这些标签,例如:
这应该允许您将它们转换为 Creating a Load Balancer With SSL Cipher Settings and Back-end Server Authentication 和 Configuring SSL Ciphers 中专门讨论的相应 ELB 设置。
祝你好运!
【讨论】:
我发现 AWS ELB SSL 密码的以下设置通过了我们使用的 PCI 合规性扫描:
协议:SSLv3、TLSv1
密码:CAMELLIA128-SHA、CAMELLIA256-SHA、KRB5-RC4-MD5、KRB5-RC4-SHA、RC4-MD5、RC4-SHA、SEED-SHA
此外,我发现这个网站有助于验证正在运行的协议/密码:https://www.ssllabs.com/ssltest/index.html
【讨论】: