问符合PCI DSS 11.3渗透测试分段的AWS无服务器体系结构

EN

非常有趣的问题。

理论上，您可以将lambda部署到VPC中，然后您的lambda与其他敏感的lambda一起存在于一个网络段中。但是，您在哪里存储数据，备份数据，记录数据呢？这么多问题！

因此，是的，您可能需要一个五位数，或者至少需要有人对您的无服务器环境进行长时间的仔细检查，以确保没有数据泄漏。

比如：

• lambda是否将敏感数据写入云监视日志？
• Cloudfront缓存任何敏感的持卡人数据吗？您是否有lambda@edge在那里运行，可能会接触到敏感的持卡人数据？
• 您是否将数据备份到S3 --谁有权访问S3桶？
• 你在哪里存储数据？在RDS中，或者在DynamoDB或传统DB中。这个DB和lambdas在同一个网络上吗？
• 是否有直接连接到/从lambda的EC2？

为了在AWS上运行渗透测试，您需要首先显式地获得它们的许可。链接这里

AWS应该有一个PCI审计文档，如果它声明了经过审计/认证的需求，那么您应该只遵守与您的版图相关的其余主题。最后，这两份文件都应该相当于在两个或更多个步骤中完成的全部审计。

如果AWS没有这样的文档，这意味着他们没有进行任何PCI审计，您将很难遵守所有的要求。

这类似于SOC控制或其他类型的审计要求。