PCI DSS和釋放部署自動化

Question

之一PCI DSS規則是：

「的PCI DSS適用於所有系統組件包括在或連接到持卡人數據環境」

，你會如何去處理SCM /發佈自動化服務器？從開發網絡的某個服務器開放一個端口，這使得它成爲prod網絡設置中的某個服務器的一種方式。

開發人員生成代碼，接下來是構建管理器生成發佈工件。發佈工件必須通往生產環境。發佈工件如何從開發到生產 - 從「不在作用域」開發框到「在作用域」生產框中如何實現？

Answer 1

我已經做了大量的研究，最終我們將SCM服務器分成了dvscm和pdscm。

dvscm：

• 所有的開發者提交代碼到該服務器
• 構建生成過程店在這裏釋放文物
• 開發自動化測試得到部署製品從這裏

pdscm：

• 此服務器同步來自dvscm的部署工件。現有的部署工件不會更新，這是一種只能添加類型的同步。
• QA和PROD環境得到從那裏部署文物，採用通過SSH定製限制性外殼

這樣有DEV和QA/PROD之間的分離程度基於PSK的連接。 pdscm被鎖定 - 開發人員無法訪問它，默認情況下所有防火牆規則都是DENY。

來自pdscm的唯一傳出連接是端口22到dvscm，用於同步。 與pdscm的唯一傳入連接位於端口22上，連接到只具有用於讀取部署工件的預留的用戶，使用自定義的受限shell。

Answer 2

這可能不是一個很好的答案;據我所知，你不能有一個真正的自動化連續部署解決方案，不會導致'範圍'回到開發系統。因此，您必須在部署中採取手動步驟，但您可以儘可能縮小該步驟。

在我最近正在開發的零售系統（大約80個地點的約100臺收銀機）中，我們選擇了一個正好有一些額外網絡帶寬的寄存器，並將其指定爲「島」系統。我們可以將更新作爲一個單獨的文件（zip或其他東西）放到系統上，然後安裝到那裏，然後傳播到所有位置的所有其他寄存器。所以我們將手動工作的窗口縮小到單個寄存器上的單個文件。

穿越那座橋的最安全和最簡單的方法是SneakerNet - 每次有軟件更新時將該文件放在該系統的拇指驅動器上 - 但可以使用遠程桌面方法將文件複製到該文件系統，並保持在範圍內，只要流程不是自動化的，而且您的網絡完全不相關。