AWS无服务器PCI-DSS合规性

Question

我最近注意到亚马逊获得了API网关和Lambda PCI-DSS认证。具体如下：

• 是否将Amazon Lambda执行认为是隔离网络，并且受防火墙保护？
• Amazon Lambda是否履行服务器IP掩码属性？

从本质上说，我想：

• 开放的API，允许信用卡处理通过HTTPS与API 网关
• 加密lambda函数内部此数据，使用密钥 管理服务
• 将加密卡存放在DynamoDB中休息

请问这个archit是否被认为符合PCI-DSS？

Answer 1

我认为使用托管服务是一个好主意，默认情况下它更安全，并且可以让您专注于提供功能。

Lambda函数可以在VPC中隔离，因此需要考虑防火墙的要求。需求1.3要求DMZ，那里没有直接连接到私人CDE。这通常使用NAT和公共和私有子网（reference here）完成。使用API​​网关可以让你避免直接连接，但想必你还需要从lambda函数调用支付处理网关，在这种情况下，你仍然需要NAT反正根据AWS documentation：

将VPC配置添加到Lambda函数时，它只能访问该VPC中的资源。如果Lambda函数需要访问VPC资源和公共Internet，则VPC需要在VPC内部有一个网络地址转换（NAT）实例。

我还会检查记录和代码部署是否以符合PCI的方式处理。我还要指出，虽然体系结构虽然重要，但基本上只是符合PCI规范的1/12，所以不一定会对事物的方案产生重大影响。