堡垒主机符合PCI

零售行业的客户有一个连接到POS服务器的销售点（POS）terminal的networking。 另外，非销售区域的大多数Windows工作站也连接到同一台服务器。 这是因为POS软件只是为公司（库存，采购，会计等）运行一切的大型遗留应用程序的一个模块。

根据我们的PCI审核员（QSA），任何直接连接到持卡人数据环境的系统都被视为范围（不仅仅是存储，处理或传输CC数据的系统）。

问题是如何限制范围，以便数百个与CC数据无关的Windows站点不在PCI DSS的范围内。

此图显示POS和Windows工作站当前如何连接到服务器：

• 在使用自签名证书的本地主机https连接的地址栏中获取“挂锁”符号是否可能？
• phppath / php作为URL有奇怪的行为，似乎是一个攻击
• 升级NFS / NIS共享`/ home`安装程序
• 没有目录保护的Apache
• 相同的域SMTP未经validation的消息中继

此图显示了它们如何与实施的Bastion主机连接：

Windows WS使用Putty或类似的SSH使用基于密码的身份validation的Bastion主机。 Bastion主机上的login脚本或自定义shell使用基于密钥的身份validation自动SSH连接到POS服务器，并且用户透明地进入业务应用程序（用户永远不会获得shell或能力分支到shell）。

但是，在提高安全性方面真正实现了什么呢？

没有堡垒主机：如果Windows WS受到威胁，并且他们获得POS服务器的login密码，他们可以通过SSH连接到它，但是他们仍然只能访问业务应用程序而不能访问shell。

使用堡垒主机：如果Windows WS遭到破坏，他们可以获得login密码给堡垒服务器，他们可以通过SSH连接，但是他们仍然只能进入商业应用程序，无法访问shell。

在这种情况下，我看不到Bastion主机提供了很多额外的安全性。

反馈和/或build议，将不胜感激。