我們在 AWS 安全保證服務的使命是協助亞馬遜網路服務 (Amazon Web Services, AWS) 的客戶遵守支付卡產業資料安全標準 (Payment Card Industry Data Security Standard, PCI DSS)。我們與 AWS 客戶緊密合作,回答他們有關 AWS 雲端合規性的問題,尋找並實施解決方案,並優化他們的控制措施和評估。我們整理了在更新的《AWS 上的 PCI DSS 範圍與分段架構設計》白皮書中最常見和基本的問題,該白皮書與 PCI 委員會的資訊補充:PCI DSS 範圍與網路分段指導相一致。
這份白皮書提供了如何正確定義在 AWS 雲端運行的 PCI DSS 4.0 工作負載範圍的指導。白皮書描述了如何使用基於 AWS 雲端的服務來定義範圍內和範圍外資源之間的分段邊界,提供了針對各種工作負載的分段最佳實踐建議,並提供了有關東西向(內部)和南北向(外部)網路通信路徑的網路流量流動的見解。
這次更新帶來了重要的增強,提供了針對 PCI DSS 的實用和可操作的網路層設計模式。對於已經參考過舊版白皮書的讀者,這次更新帶來以下重要增強:
帳戶結構的參考架構:
AWS 組織 (AWS Organizations) 的組織單位 (OUs) 和 AWS 帳戶結構形成了網路層設計和分段的基礎。我們提供了這些結構的建議,旨在幫助您遵守 PCI DSS。
可操作的網路設計模式:
網路層架構模式幫助客戶結構化他們的工作負載流量。
防火牆規則範例:
這次更新中的規則配置使得執行與 PCI DSS 要求一致的流量控制變得更容易。
增強的分段指導:
這個版本不僅提供高層次的分段建議,還提供適用於實際應用場景的實作資訊。
這份白皮書不僅針對工程師和解決方案建設者,也作為合格安全評估師 (Qualified Security Assessors, QSA) 和內部安全評估師 (Internal Security Assessors, ISA) 的指南,幫助他們更好地理解 AWS 產品和服務中可用的各種分段控制及相關範圍考量。
與本地環境相比,AWS 上的軟體定義網路改變了應用程式的範圍設定過程,提供了超越網路分段的額外分段控制。精心設計您的應用程式和選擇影響安全的服務來實施所需的控制,可以減少您在持卡人資料環境 (Cardholder Data Environment, CDE) 中的系統和服務數量。
雲端規模的合規性
AWS 和 AWS 合作夥伴網路 (AWS Partner Network, APN) 提供的新安全和治理工具,讓您能夠建立日常合規性和自動化安全任務,這樣您就可以將重心轉向擴展和創新您的業務。
如果您有問題或想了解更多,請聯繫您的帳戶經理,或在下方留言。
帕德馬卡爾·博沙雷 (Padmakar Bhosale)
帕德馬卡爾是高級技術帳戶經理,擁有超過 25 年的金融、銀行和雲端服務行業經驗。他為 AWS 客戶提供有關支付服務、核心銀行生態系統、信用合作社銀行技術、AWS 雲端的韌性、AWS 帳戶和網路層級的 PCI 分段以及優化客戶在 AWS 雲端的旅程體驗的指導和建議。
泰德·坦納 (Ted Tanner)
泰德是 AWS 安全保證服務的首席保證顧問和 PCI DSS 合格安全評估師。他擁有超過 25 年的 IT、安全和合規經驗,並利用這些經驗為客戶提供建立和優化雲端合規計畫的建議。他是多部與 PCI DSS 相關的 AWS 出版物的共同作者。
新聞來源
本文由 AI 台灣 使用 AI 編撰,內容僅供參考,請自行進行事實查核。加入 AI TAIWAN Google News,隨時掌握最新 AI 資訊!
