AWS无服务器PCI-DSS遵从性

Question

我最近注意到，亚马逊获得了API网关和Lambda认证。我想知道这对孤立的网络考虑意味着什么，特别是：

• Amazon的执行是否被认为是一个孤立的网络，受防火墙保护？
• Amazon是否实现了服务器IP掩蔽属性？

实质上，我会：

• 使用API网关打开一个允许在HTTPS上处理信用卡的API
• 使用密钥管理服务加密Lambda函数中的数据
• 将加密的卡片保存在DynamoDB中

这种架构能被认为是符合PCI-DSS的吗？

Answer 1

我认为使用托管服务是一个很好的主意，默认情况下它更安全，可以让您专注于提供功能。

Lambda函数可以在VPC中隔离，因此防火墙的需求得到了满足。REQ1.3请求DMZ，在DMZ中没有直接连接到私有CDE。这通常是通过NAT以及公共和私有子网(参考在这里)完成的。使用API网关可能允许您避免这种直接连接，但据推测，您仍然需要从lambda函数调用支付处理网关，在这种情况下，您仍然需要NAT，根据AWS 文档。

当您将VPC配置添加到Lambda函数时，它只能访问该VPC中的资源。如果Lambda函数需要同时访问VPC资源和公共Internet，则VPC需要在VPC中有一个网络地址转换(NAT)实例。

我还将检查日志记录和代码部署是否以符合PCI的方式处理。

我还要指出，虽然体系结构很重要，但基本上只有PCI兼容的1/12，因此不一定会在方案上产生很大影响。