Estamos configurando uma infraestrutura compatível com PCI, na qual a maioria dos nossos aplicativos está sendo executada em uma zona desmilitarizada (DMZ) que não contém informações confidenciais. A parte que contém informações confidenciais é protegida em uma sub-rede privada.
Temos dois problemas.
A primeira é que algumas solicitações que chegam conterão informações confidenciais. Nossa solução para isso é criar um proxy reverso dentro da rede segura (não na DMZ - portanto, o proxy estará sujeito a auditoria) que encaminhará a solicitação para a DMZ ou para a sub-rede privada segura.
Se a solicitação for para a rede segura, a rede segura armazenará as informações confidenciais e encaminhará a solicitação para a DMZ sem essas informações para continuar o processamento. Deveríamos fazer isso, a DMZ seria capaz de retornar uma resposta ao usuário através do proxy?
O problema é que o proxy estará voltado para o público. Ele não armazenará informações confidenciais, mas elas serão transmitidas e, portanto, estarão sujeitas a auditoria e segurança.
A segunda questão é que temos um arquivo específico que precisa ser atendido por um servidor compatível com PCI. Como nossos servidores compatíveis estão em uma rede privada, como podemos fazer isso? Devemos criar um pequeno servidor voltado para o público para servir este arquivo? Quais são as outras soluções para este problema?
Obrigado,