我最近注意到亚马逊获得了API Gateway和Lambda PCI-DSS认证。我很想知道这对隔离网络考虑意味着什么,特别是:
- Amazon Lambda 执行是否被视为受防火墙保护的隔离网络?
- Amazon Lambda 是否满足服务器 IP 屏蔽属性?
从本质上讲,我会:
- 打开允许使用 API 通过 HTTPS 处理信用卡的 API 网关
- 使用密钥在 Lambda 函数中加密此数据 管理服务 将
- 加密卡静态存储在 DynamoDB 中
此架构是否可以被视为符合 PCI-DSS 标准?
我认为使用托管服务是一个好主意,默认情况下它更安全,并让您专注于提供功能。
Lambda 函数可以在 VPC 中隔离,因此可以满足防火墙要求。Req 1.3 要求 DMZ,其中没有直接连接到专用 CDE。这通常通过 NAT 以及公有子网和私有子网完成(参考此处(。使用 API 网关可能允许您避免这种直接连接,但大概您仍然需要从 lambda 函数调用支付处理网关,在这种情况下,根据 AWS 文档,您仍然需要 NAT:
当您将 VPC 配置添加到 Lambda 函数时,它只能访问该 VPC 中的资源。如果 Lambda 函数需要同时访问 VPC 资源和公有互联网,则该 VPC 需要在 VPC 内具有网络地址转换 (NAT( 实例。
我还会检查日志记录和代码部署是否以符合 PCI 的方式处理。
我还要指出,架构虽然重要,但基本上只是符合PCI标准的1/12,因此不一定会对事物的方案产生重大影响。