AWS無服務器PCI-DSS合規性

Question

我最近注意到亞馬遜獲得了API網關和Lambda PCI-DSS認證。具體如下：

• 是否將Amazon Lambda執行認爲是隔離網絡，並且受防火牆保護？
• Amazon Lambda是否履行服務器IP掩碼屬性？

從本質上說，我想：

• 開放的API，允許信用卡處理通過HTTPS與API 網關
• 加密lambda函數內部此數據，使用密鑰 管理服務
• 將加密卡存放在DynamoDB中休息

請問這個archit是否被認爲符合PCI-DSS？

Answer 1

我認爲使用託管服務是一個好主意，默認情況下它更安全，並且可以讓您專注於提供功能。

Lambda函數可以在VPC中隔離，因此需要考慮防火牆的要求。需求1.3要求DMZ，那裏沒有直接連接到私人CDE。這通常使用NAT和公共和私有子網（reference here）完成。使用API​​網關可以讓你避免直接連接，但想必你還需要從lambda函數調用支付處理網關，在這種情況下，你仍然需要NAT反正根據AWS documentation：

將VPC配置添加到Lambda函數時，它只能訪問該VPC中的資源。如果Lambda函數需要訪問VPC資源和公共Internet，則VPC需要在VPC內部有一個網絡地址轉換（NAT）實例。

我還會檢查記錄和代碼部署是否以符合PCI的方式處理。我還要指出，雖然體系結構雖然重要，但基本上只是符合PCI規範的1/12，所以不一定會對事物的方案產生重大影響。