AWS无服务器PCI-DSS合规性
问题描述:
我最近注意到亚马逊获得了API网关和Lambda PCI-DSS认证。具体如下:AWS无服务器PCI-DSS合规性
- 是否将Amazon Lambda执行认为是隔离网络,并且受防火墙保护?
- Amazon Lambda是否履行服务器IP掩码属性?
从本质上说,我想:
- 开放的API,允许信用卡处理通过HTTPS与API 网关
- 加密lambda函数内部此数据,使用密钥 管理服务
- 将加密卡存放在DynamoDB中休息
请问这个archit是否被认为符合PCI-DSS?
答
我认为使用托管服务是一个好主意,默认情况下它更安全,并且可以让您专注于提供功能。
Lambda函数可以在VPC中隔离,因此需要考虑防火墙的要求。需求1.3要求DMZ,那里没有直接连接到私人CDE。这通常使用NAT和公共和私有子网(reference here)完成。使用API网关可以让你避免直接连接,但想必你还需要从lambda函数调用支付处理网关,在这种情况下,你仍然需要NAT反正根据AWS documentation:
将VPC配置添加到Lambda函数时,它只能访问该VPC中的资源。如果Lambda函数需要访问VPC资源和公共Internet,则VPC需要在VPC内部有一个网络地址转换(NAT)实例。
我还会检查记录和代码部署是否以符合PCI的方式处理。我还要指出,虽然体系结构虽然重要,但基本上只是符合PCI规范的1/12,所以不一定会对事物的方案产生重大影响。
这个slideshare几天前弹出,没有太多的细节,但至少提供了一些支持使用无服务器的PCI符合性的想法:https://www.slideshare.net/AmazonWebServices/how-to-handle-pci -and-HIPAA遵守与 - 无服务器架构,srv214 – Richard