web-dev-qa-db-ja.com

AWSサーバーレスアーキテクチャがPCIに準拠DSS 11.3侵入テストセグメンテーション

AWSサーバーレスアーキテクチャでペネトレーションテストを使用してセグメンテーションコントロールをテストするためのPCI DSS要件(11.3)に準拠する方法を知りたいです。

AWS Lambda、AWS API Gateway、AWS Cloudfrontなど、サーバーレスのコンポーネントを使用しているため、接続できるOSがなく、そこからペネトレーションテストを開始できます。

PCIの責任についてAWSのドキュメントを読み通そうとしましたが、セグメンテーションコントロールについての言及はありません。また、クラウドコンピューティングに関するPCIガイダンスには、セグメンテーションテストを実行するのはクライアントの責任であると書かれています。

AWSサーバーレスアーキテクチャでこれに準拠する方法はありますか?

2
user1563721

非常に興味深い質問です。

理論的には、VPCにラムダをデプロイすると、ラムダは、機密性が高い他のラムダとのネットワークセグメントに存在します。しかし、どこにデータを保存し、バックアップし、データをログに記録していますか?非常に多くの質問!

そのため、はい、おそらくペンテスト、または少なくとも誰かがサーバーレス環境を長くハードに調べて、データが漏洩しないようにする必要があります。

のようなもの:

  • ラムダは機密データをcloudwatchログに書き込んでいますか?
  • Cloudfrontは機密のカード会員データをキャッシュしていますか?機密のカード会員データと接触する可能性があるlambda @ Edgeが実行されていますか?
  • データをS3にバックアップしていますか?そのS3バケットにアクセスできるのは誰ですか?
  • データはどこに保存していますか? RDS、またはDynamoDBまたは従来のDB。そのDBはラムダと同じネットワーク上にありますか?
  • ラムダと直接接続するEC2はありますか?

AWSで侵入テストを実行するには、最初に明示的に許可を得る必要があります。リンク ここ

2
keithRozario

AWSはPCI監査ドキュメントを用意する必要があります。監査/認定された要件が記載されていれば、ランドスケープの一部に関連する残りのトピックにのみ従う必要があります。結局のところ、両方のドキュメントは、2つ以上のステップで行われた完全な監査と同等でなければなりません。

AWSにそのようなドキュメントがない場合、それらはPCI監査を行わなかったことを意味し、すべての要件に準拠することは非常に困難です。

これは、SOC制御または他のタイプの監査要件に似ています。

0
Hugo