我最近注意到亚马逊获得了API网关和Lambda PCI-DSS认证。我很想知道这对隔离网络的考虑是什么意思,特别是:
从本质上讲,我会:
此架构是否可以被视为符合PCI-DSS?
答案 0 :(得分:1)
我认为使用托管服务是一个好主意,默认情况下它更安全,让您专注于提供功能。
Lambda函数可以在VPC中隔离,因此需要考虑防火墙要求。 Req 1.3要求DMZ,其中没有直接连接到私人CDE。这通常使用NAT以及公共和私有子网(reference here)来完成。使用API网关可能允许您避免直接连接,但可能您仍需要从lambda函数调用支付处理网关,在这种情况下,您仍然需要NAT,根据AWS documentation:
将VPC配置添加到Lambda函数时,它只能访问该VPC中的资源。如果Lambda函数需要访问VPC资源和公共Internet,则VPC需要在VPC内部具有网络地址转换(NAT)实例。
我还会检查日志和代码部署是否以符合PCI的方式处理。
我还指出,这个体系结构虽然很重要,但基本上只是成为PCI兼容性的十二分之一,所以不一定会对事物的方案产生很大的影响。