Härtung node.js/nginx

Question

Für PCI-Anforderungen muss ich eine node.js App oder Nginx-Server verhärten, aber ich fand nur Leitfäden für IIS, Tomcat, Betriebssysteme, etc. here you will find the available guides. Meine Fragen sind:

• Es ist möglich, node.js zu härten?
• Es ist möglich, einen Nginx-Server zu verhärten?
• Gibt es offizielle Dokumentation oder vertrauenswürdig dort?

Answer 1

Zum Beispiel dev-sec bietet nginx Rollen für Puppen Härten, ansible etc ...

Um einen NodeJS Server sollte die gleichen Prinzipien verhärten wie Härten tomcat anzuwenden. PCI-DSS listet einige Dinge auf, die Sie tun müssen:

• Deaktivieren Sie alle nicht benötigten Dienste.
• Lassen Sie nur die erforderlichen Ports offen. usw.

Stellen Sie zunächst sicher, dass Sie Ihre Anwendung unter dem Gesichtspunkt der Sicherheit nach bewährten Verfahren entwickeln. Zum Beispiel, SSL/TLS, CSRF, Fehlerbehandlung, verwenden Sie SNYK oder ähnliches, wie beschrieben here.

Sprechen Sie mit Ihrem QSA über die Anforderungen.