PCI环境下的内部更新服务器

Question

我很想知道在基于云的PCI环境中是否需要单独的更新服务器。在我们当前的设置中，appserver、dbserver、logserver和跳转服务器是独立的实例。我不确定我们是否可以从yum直接更新(包)这些Centos Linux服务器，或者我们需要本地更新服务器(Spacewalk)来同步外部软件需求，然后在内部同步包。

Answer 1

PCI除其他外，需要分离生产环境和测试环境；更改控制；以及补丁管理/推出策略。首先修补您的测试环境，然后根据您的商店的更改控制和补丁管理策略将补丁(Es)/updates放到生产中。记录所有内容，包括获取更新包的URL或IP地址。

Answer 2

您的服务器不应该直接连接到internet，所以最好有一个本地的yum存储库，比如为您的CentOS系统提供空间行走。在上面的列表中，有些系统我没有看到，您可能需要考虑:用户身份验证服务器(LDAP)、NTP服务器、内部漏洞扫描服务器、文件完整性监视服务器。

您可以有一个DMZ与您的web服务器，一个内部网络与您的应用程序和数据库服务器，一个跳转服务器环境和一个支持基础设施环境。您的空间行走服务器可用于管理所有系统的更新。