ti-enxame.com

Se eu precisar desativar as portas passivas para estar em conformidade com PCI, como faço para carregar meu site?

Nossa empresa está passando por procedimentos para garantir que somos compatíveis com PCI.

O host do meu site diz que eles desabilitaram as portas passivas para passar nas varreduras PCI. Isso tem o efeito de desativar os uploads por ftp. Obviamente, ainda preciso fazer o upload das alterações no site.

O site está em um servidor Windows. Portanto, atualmente eu posso mover os arquivos pela Conexão de área de trabalho remota, mas isso é um pouco inconveniente e depende da plataforma. Existem outras maneiras de carregar o site e permanecer compatível com PCI? As portas passivas realmente precisam ser fechadas para passar nas verificações?

1
fearoffours

O SCP/SFTP, fornecido pela maioria das implementações de SSH, é o que eu uso para praticamente todas as transferências simples de arquivos remotos. Está disponível em qualquer configuração Linux/BSD, por padrão ou muito fácil de configurar/instalar, e existem várias opções para o Windows, incluindo cygwin , que inclui uma porta dos mesmos clientes e servidores OpenSSH usados ​​pela maioria dos Linux configurações.

Outra opção é configurar uma VPN, usando algo como o OpenVPN, ao qual você se conecta ao servidor, e depois fazer o FTP sem disponibilizar o serviço FTP para o mundo exterior (ou usar qualquer outra opção de transferência de arquivos, como o compartilhamento direto do Windows ).

O FTP pode funcionar sem o modo passivo em muitos casos, mas eu recomendaria sair do FTP de qualquer maneira por vários motivos:

  • segurança: tudo é enviado de forma simples (ou seja, não criptografado) com FTP
  • segurança: isso inclui suas credenciais de autenticação de login
  • eficiência: o SCP/SFTP geralmente funciona mais rápido (especialmente em um link de alta latência ao enviar vários objetos), pois tudo acontece em uma conexão que não exige um novo link de dados por objeto, como FTP
  • eficiência: SSH (e, portanto, SCP/SFTP) suportam compactação, assim como a maioria das soluções VPN que podem fazer a diferença dependendo do que você está transferindo
  • problemas de firewall/roteamento: o uso do protocolo FTP de conexões de dados separadas por objeto transferido pode ser uma fonte de falha, dependendo das configurações de firewall em cada extremidade - SCP, SFTP e qualquer coisa sobre ssh (como rsync) usam uma única conexão bidirecional para tudo.

Outra boa opção para atualizar com eficiência o conteúdo remoto a partir de uma referência local é o rsync over ssh, que faz um bom trabalho apenas enviando o mínimo necessário para atualizar a extremidade remota - eu uso isso para manter cópias de backup externas e outras coisas.

Nota: Não confunda SFTP com FTPS. SFTP é "protocolo de transferência de arquivos SSH" e FTPS é "FTP sobre SSL", que resolve os problemas de segurança relacionados à criptografia, mas não as outras desvantagens do FTP.

8
David Spillett

Outras opções são SSH e SFTP . A maioria dos clientes FTP também deve permitir a opção de usar SSH/SFTP.

0
Virtuosi Media