AWS 无服务器 PCI-DSS 合规性
AWS Serverless PCI-DSS Compliance
我最近注意到亚马逊获得了 API 网关和 Lambda PCI-DSS 认证。我很想知道这对隔离网络的考虑意味着什么,特别是:
- Amazon Lambda 执行是否被视为受防火墙保护的隔离网络?
- Amazon Lambda 是否实现了服务器 IP 掩码 属性?
本质上,我会:
- 打开一个 API 允许使用 API 通过 HTTPS 处理信用卡
网关
- 使用密钥在 Lambda 函数中加密此数据
管理服务
- 将加密的卡片静态存储在 DynamoDB 中
此架构是否符合 PCI-DSS 标准?
我认为使用托管服务是个好主意,默认情况下它更安全,让您专注于提供功能。
Lambda 函数可以隔离在 VPC 中,因此满足了防火墙要求。 Req 1.3 要求一个 DMZ,其中没有到专用 CDE 的直接连接。这通常是通过 NAT 和 public 以及私有子网 (reference here). Using the API gateway may allow you to avoid that direct connection, but presumably you still need to call a payment processing gateway from your lambda function, in that case you still need the NAT anyway according to the AWS documentation:
When you add VPC configuration to a Lambda function, it can only access resources in that VPC. If a Lambda function needs to access both VPC resources and the public Internet, the VPC needs to have a Network Address Translation (NAT) instance inside the VPC.
我还会检查是否以符合 PCI 的方式处理日志记录和代码部署。
我还要指出,虽然架构很重要,但基本上只有 1/12 符合 PCI,因此不一定会对事物的方案产生重大影响。
我最近注意到亚马逊获得了 API 网关和 Lambda PCI-DSS 认证。我很想知道这对隔离网络的考虑意味着什么,特别是:
- Amazon Lambda 执行是否被视为受防火墙保护的隔离网络?
- Amazon Lambda 是否实现了服务器 IP 掩码 属性?
本质上,我会:
- 打开一个 API 允许使用 API 通过 HTTPS 处理信用卡 网关
- 使用密钥在 Lambda 函数中加密此数据 管理服务
- 将加密的卡片静态存储在 DynamoDB 中
此架构是否符合 PCI-DSS 标准?
我认为使用托管服务是个好主意,默认情况下它更安全,让您专注于提供功能。
Lambda 函数可以隔离在 VPC 中,因此满足了防火墙要求。 Req 1.3 要求一个 DMZ,其中没有到专用 CDE 的直接连接。这通常是通过 NAT 和 public 以及私有子网 (reference here). Using the API gateway may allow you to avoid that direct connection, but presumably you still need to call a payment processing gateway from your lambda function, in that case you still need the NAT anyway according to the AWS documentation:
When you add VPC configuration to a Lambda function, it can only access resources in that VPC. If a Lambda function needs to access both VPC resources and the public Internet, the VPC needs to have a Network Address Translation (NAT) instance inside the VPC.
我还会检查是否以符合 PCI 的方式处理日志记录和代码部署。
我还要指出,虽然架构很重要,但基本上只有 1/12 符合 PCI,因此不一定会对事物的方案产生重大影响。