AWSサーバレスPCI-DSSコンプライアンス

Question

私はAmazonがAPI GatewayおよびラムダPCI-DSS認定得たことを最近気づきました。私は具体的には、それが分離されたネットワークの検討に関する意味するものではないものを知って興味を持って次のようになります。

• は、ファイアウォールで保護され、分離されたネットワークであると考えられてアマゾンラムダの実行ですか？
• サーバーIPマスキングプロパティを果たしアマゾンラムダですか？本質的には

、私が希望：

• オープンAPI でHTTPS経由でクレジットカードの処理を許可するAPIゲートウェイ
• 暗号化ラムダ関数内でこのデータ、キー 管理サービス
を使用して
• 暗号化されたカードをDynamoDBに残しておきます

このアーチストPCI-DSSに準拠していると見なされますか？私はマネージドサービスを使用して考えて

Answer 1

はそれがデフォルトでより安全だ、素晴らしいアイデアであり、あなたが機能を提供することに焦点を当てることができます。

ラムダ関数は、VPCで単離することができるので、ファイアウォールの要件が考慮されます。 Req 1.3では、プライベートCDEに直接接続されていないDMZが要求されます。これは一般的にNATとパブリックとプライベートのサブネット（reference here）で行われます。 APIゲートウェイを使用すると、その直接接続を避けるためにできますが、おそらくあなたはまだあなたはまだAWS documentationによると、とにかくNATを必要とする場合には、お使いのラムダ関数からの支払い処理ゲートウェイを呼び出す必要があります。

ラムダ機能にVPC設定を追加すると、そのVPC内のリソースにのみアクセスできます。ラムダ関数がVPCリソースとパブリックインターネットの両方にアクセスする必要がある場合、VPCはVPC内にNAT（Network Address Translation）インスタンスを持つ必要があります。

ロギングとコードの展開がPCIに準拠して処理されていることも確認します。

また、私は必ずしもそう物事の仕組みに大きな違いを作るつもりはないが、アーキテクチャは、重要ながら、PCI準拠になるだけで、1/12は基本的にあることを指摘したいです。