การปฏิบัติตามมาตรฐาน PI ใน AWS loud · 2.1....

คมอทางเทคนค

การปฏบตตามมาตรฐาน PCI ใน AWS Cloud

วนทรายงาน: 19 มกราคม 2017

ผเขยน: Adam Gaydosh, QSA

Jordan Wiseman, QSA ANIT IAN

A N I T I A N

คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 1

ลขสทธ © 2016, Anitian Corporation

ลขสทธ ลขสทธ © 2016 โดย Anitian Corporation

สงวนสทธทกประการ หามการท าซ า แจกจาย หรอสงตอสวนหนงสวนใดของเอกสารฉบบน

ไมวาในรปแบบหรอโดยวธการใดๆ รวมถงการถายส าเนา การบนทก หรอวธการทาง

อเลกทรอนกสหรอทางกลไกอนๆ โดยไมไดรบอนญาตทเปนลายลกษณอกษรลวงหนาจาก

Anitian Corporation ยกเวนในกรณการอางถงถอยความสนๆ ในบทวจารณและการใชทไมไดเปน

ไปเพอการคาอนๆ ทไดรบอนญาตตามกฎหมายลขสทธ

ส าหรบการขออนญาต โปรดสงค าขอไปยงส านกพมพตามทอยดานลาง:

Anitian Corporation

9780 SW Shady Ln, Suite 100

Portland OR, 97223

[email protected]

www.anitian.com

A N I T I A N



สารบญ 1. ขอมลสรป ................................................................................................................................. 4

1.1. กลมเปาหมาย ........................................................................................................................................ 4

1.2. ขอสนบสนน .......................................................................................................................................... 4

การปฏเสธความรบผดตามสภาพทเปนอย ............................................................................ 4

จดประสงค ................................................................................................................................ 5

ความรทเปนขอก าหนดเบองตน ............................................................................................. 5

การก าหนดขอบเขตของ PCI ................................................................................................... 5

การควบคมแบบทดแทน .......................................................................................................... 5

2. ภาพรวมเกยวกบการปฏบตตามมาตรฐาน PCI ของ AWS .............................................................. 6

2.1. สถานะการปฏบตตามมาตรฐาน PCI ของ AWS ................................................................................... 6

2.2. ขอบเขตการปฏบตตามมาตรฐาน PCI ของ AWS ................................................................................ 6

บรการ AWS ทอยนอกขอบเขต ............................................................................................... 8

2.3. ความรบผดชอบตอการปฏบตตามมาตรฐาน PCI ของ AWS .............................................................. 9

ความรบผดชอบของ Amazon - ความปลอดภยของ ระบบคลาวด ........................................ 9

ความรบผดชอบของลกคา - ความปลอดภยในระบบคลาวด ............................................ 10

3. ค าแนะน าทวไปเกยวกบ PCI DSS .............................................................................................. 11

3.1. ขอก าหนดท 1: ตดตงและดแลรกษาการก าหนดคาไฟรวอลลเพอ

ปกปองขอมลของผถอบตร ............................................................................................................................. 11

3.2. ขอก าหนดท 2: ไมใชคาเรมตนทก าหนดโดยผจ าหนายเปนรหสผาน

ของระบบและพารามเตอรการรกษาความปลอดภยอนๆ ............................................................................ 12

3.3. ขอก าหนดท 3: ปกปองขอมลของผถอบตรทจดเกบไว ................................................................... 13

3.4. ขอก าหนดท 4: เขารหสขอมลของผถอบตรทสงผานเครอขายสาธารณะแบบเปด ..................... 15

3.5. ขอก าหนดท 5: ปกปองระบบทงหมดจากมลแวรและอปเดต

ซอฟตแวรหรอโปรแกรมปองกนไวรสเปนประจ า ........................................................................................ 17

3.6. ขอก าหนดท 6: พฒนาและดแลรกษาระบบและแอปพลเคชนใหมความปลอดภย ....................... 17

3.7. ขอก าหนดท7: จ ากดการเขาถงขอมลของผถอบตรเฉพาะผทจ าเปนตองทราบเทานน .............. 18

3.8. ขอก าหนดท 8: ระบและรบรองความถกตองในการเขาถงคอมโพเนนตของระบบ ...................... 18

3.9. ขอก าหนดท 9: จ ากดสทธการเขาถงขอมลผถอบตรทางกายภาพ ................................................ 19

3.10. ขอก าหนดท 10: ตดตามและตรวจสอบการเขาถงทรพยากร

เครอขายและขอมลของผถอบตรทงหมด ..................................................................................................... 19

3.11. ขอก าหนดท 11: ทดสอบระบบและกระบวนการรกษาความปลอดภยอยเปนประจ า .................... 20

3.12. ขอก าหนดท 12: ดแลรกษานโยบายส าหรบการรกษาความ

ปลอดภยขอมลส าหรบบคลากรทงหมด ........................................................................................................ 21

3.13. ภาคผนวก A.1: ผใหบรการโฮสตงแบบใชงานรวมกนตองปกปอง

สภาพแวดลอมขอมลของผถอบตร ................................................................................................................ 21

3.14. ภาคผนวก A.2: ขอก าหนดเพมเตมของ PCI DSS ส าหรบหนวยงานทใช SSL/TLS กอนหนา .......... 21

A N I T I A N



3.15. ภาคผนวก A.3: การตรวจสอบความถกตองเพมเตมส าหรบหนวยงานทไดรบอนญาต (DESV) ... 21

DE.1 ใชโปรแกรมการปฏบตตามมาตรฐาน PCI DSS ............................................................ 22

DE.2 จดท าเอกสารและตรวจสอบขอบเขตของ PCI DSS ...................................................... 22

DE.3 การตรวจสอบ PCI DSS จะถกรวมอยในกจกรรมทมการด าเนนการตามปกต (BAU) . 23

DE.4 ควบคมและจดการการเขาถงสภาพแวดลอมขอมลผถอบตรทางลอจคล................. 23

DE.5 ระบและตอบสนองตอเหตการณทนาสงสย ................................................................. 23

4. สถาปตยกรรมอางอง ............................................................................................................... 24

4.1. สถาปตยกรรมแบบท 1: แบบเฉพาะ .................................................................................................. 25

ภาพรวม .................................................................................................................................. 25

ขอบเขตของ PCI ..................................................................................................................... 26

บรการ AWS ทเกยวของ ......................................................................................................... 26

การสราง ................................................................................................................................. 27

4.2. สถาปตยกรรมแบบท 2: แบบแบงเซกเมนต ...................................................................................... 43

ภาพรวม .................................................................................................................................. 43

ขอบเขตของ PCI ..................................................................................................................... 44


การสราง ................................................................................................................................. 45

4.3. สถาปตยกรรมแบบท 3: แบบเชอมตอ ............................................................................................... 48

ภาพรวม .................................................................................................................................. 48

ขอบเขตของ PCI ..................................................................................................................... 50


การสราง ................................................................................................................................. 51

5. บทสรป ................................................................................................................................... 59

5.1. การสนบสนน ....................................................................................................................................... 59

APPENDIX A. สรปตารางความรบผดชอบ PCI DSS ของ AWS ............................................................. 61

APPENDIX B. การอางอง .................................................................................................................. 68

A N I T I A N



1. ขอมลสรป คมอฉบบนเปนการใหค าแนะน าเกยวกบการสรางสภาพแวดลอมใน Amazon Web Services ทม

ลกษณะสอดคลองตามมาตรฐานการรกษาความปลอดภยส าหรบอตสาหกรรมการช าระเงนผาน

บตรเครดต หรอ Payment Card Industry Data Security Standard (PCI DSS)

1.1. กลมเปาหมาย

กลมเปาหมายของคมอฉบบนไดแก:

องคกรทตองการสรางสภาพแวดลอมใหสอดคลองตามมาตรฐาน PCI DSS ใน AWS

ผตรวจประเมนความปลอดภยทผานการรบรอง (QSA) ของ PCI และฝายอนๆ ทประเมน

สภาพแวดลอมขอมลของผถอบตร (CDE) ทท างานอยใน AWS

คมอฉบบนมค าแนะน าส าหรบลกคาทตองการสรางสภาพแวดลอม AWS ใหสอดคลองตามมาตรฐาน

1.2. ขอสนบสนน

ขอมลในสวนนจะแสดงสมมตฐานและขอสนบสนนตางๆ ของ Anitian ทก าหนดแนวทางเนอหา

ของคมอฉบบน

การปฏเสธความรบผดตามสภาพทเปนอย

Anitian เปนบรษทผตรวจประเมนทผานการรบรอง (QSAC) และเปนผเขยนคมอฉบบน เนอหาในคมอ

ฉบบนเขยนองตามการตความ PCI ของ Anitian เนอหานจดหาให “ตามสภาพทเปนอย” โดยไมมการ

รบประกนใดๆ ไมวาโดยนยหรอโดยชดแจง เนอหาของเอกสารฉบบนสามารถเปลยนแปลงไดโดย

ไมตองแจงใหทราบ การเปลยนแปลงของสภาพแวดลอม AWS ในอนาคตอาจท าใหค าแนะน าบาง

สวนในเอกสารนเปลยนแปลงไดเชนเดยวกน

ผตรวจประเมนของคณอาจตความมาตรฐาน PCI แตกตางจาก Anitian และค าแนะน าในคมอ

ฉบบนได ไมมเนอหาใดๆ ในคมอฉบบนทมวตถประสงคเพอแทนทหรอใชแทนขอก าหนดตางๆ ของ PCI DSS

A N I T I A N



จดประสงค

คมอฉบบนมวตถประสงคเพอใหค าแนะน าเกยวกบการใชงานสภาพแวดลอมทสอดคลองตามมาตรฐ

าน PCI ใน AWS สวนตางๆ ดานลางเปนการสรปวาบรการตางๆ ของ AWS จะสามารถชวย

สนบสนนการปฏบตตามมาตรฐาน PCI ไดอยางไร

แมวาคมอฉบบนจะกลาวถงลกษณะของ AWS ทเปนประโยชนตอการตรวจสอบความพรอมในการ

ปฏบตตามมาตรฐาน PCI รวมถงการปฏบตตามมาตรฐานทางการ แตกไมไดมการใหค าแนะน าแบบท

ละขนตอนส าหรบการประเมนสภาพแวดลอม AWS อยางไรกตาม คมอฉบบนควรชวยให QSA เขาใจ

วาสภาพแวดลอม AWS มลกษณะสอดคลองตามมาตรฐาน PCI ไดอยางไร

ความรทเปนขอก าหนดเบองตน

ผอานไดรบการคาดหวงวาจะมความเขาใจในเรองตอไปน:

PCI DSS, ปจจบนเปนเวอรชน 3.2

วธการจดการกบสภาพแวดลอม AWS

หลกเกณฑการประมวลผลบนระบบคลาวดของคณะกรรมการมาตรฐาน PCI

การก าหนดขอบเขตของ PCI

แมวาคมอฉบบนจะกลาวถงการลดขอบเขตและการแบงเซกเมนตของ PCI ภายใน AWS แตไมไดเปน

การใหค าแนะน าทครอบคลมในประเดนหลานทเกยวของกบการปฏบตตามมาตรฐาน PCI DSS

โดยรวม โปรดตรวจสอบขอมลเพมเตมเกยวกบแนวทางการลดขอบเขตจากผตรวจประเมน

ความปลอดภยทผานการรบรอง (QSA) ของ PCI ของคณหรอคณะกรรมการมาตรฐาน PCI

การควบคมแบบทดแทน

คมอฉบบนไมไดอธบายถงการควบคมแบบทดแทนส าหรบการใชงาน AWS แตคณสามารถใชการ

ควบคมแบบทดแทนภายใน AWS ได หากผตรวจประเมนตรวจสอบแลววาการควบคมแบบ

ทดแทนถกตองตามกฎ PCI

https://www.pcisecuritystandards.org/security_standards/documents.php

http://aws.amazon.com/getting-started/

https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_Cloud_Guidelines.pdf

A N I T I A N



2. ภาพรวมเกยวกบการปฏบตตามมาตรฐาน PCI ของ AWS ขอมลสวนนจะแสดงภาพรวมโดยทวไปเกยวกบการปฏบตตามมาตรฐาน PCI ของ AWS

ส าหรบรายละเอยดเพมเตม โปรดด ค าถามทพบบอยเกยวกบ AWS PCI Level 1 ของ Amazon

2.1. สถานะการปฏบตตามมาตรฐาน PCI ของ AWS

ในตอนน AWS เปนผใหบรการทมคณสมบตสอดคลองตามมาตรฐาน PCI DSS ระดบท 1 ผจ าหนาย

และผใหบรการอนๆ สามารถใช AWS เพอสรางสภาพแวดลอมของตนเองใหสอดคลองตามมาตรฐาน

PCI ได อยางไรกตาม AWS ด าเนนงานในรปแบบทมการรบผดชอบรวมกน ดงนนการท AWS ม

คณสมบตสอดคลองตามมาตรฐาน PCI DSS จงไมไดหมายความวาการปฏบตตามมาตรฐาน

จะขยายครอบคลมไปถงสภาพแวดลอมของลกคาทโฮสตโดยอตโนมต

ลกคาของ AWS ตองรบผดชอบในการปฏบตตามมาตรฐาน PCI ทกดานทเกยวของกบสภ

าพแวดลอมของตนภายใน AWS รวมไปถงการก าหนดคาบรการ AWS ทเกยวของ, ระบบปฏบต

การเยอน และมาตรการควบคมความปลอดภยทจ าเปน (IDS, โปรแกรมปองกนไวรส ฯลฯ)

เนองจาก AWS เปนผใหบรการทมคณสมบตสอดคลองตามมาตรฐาน PCI อยแลว องคกรตางๆ ท

โฮสตบรการอยกบ AWS จงไมจ าเปนตองน าโครงสรางพนฐานของ AWS มารวมอยในการ

ประเมนการปฏบตตามมาตรฐาน PCI ขององคกร ผตรวจประเมนตองพจารณาเฉพาะเอกสารรบรอง

การปฏบตตามมาตรฐาน (AOC) และตารางความรบผดชอบของ AWS เทานนเพอตรวจสอบความ

ถกตองของการปฏบตตามมาตรฐานของโครงสรางพนฐาน

2.2. ขอบเขตการปฏบตตามมาตรฐาน PCI ของ AWS

การประเมนเพอตรวจสอบความถกตองของผใหบรการ AWS ของ Amazon ส าหรบการปฏบตตาม

มาตรฐาน PCI ประกอบดวยสภาพแวดลอมการจดการ AWS และโครงสรางพนฐานส าคญ รวมถง

เขตพนท AWS GovCloud (US)

http://aws.amazon.com/compliance/pci-dss-level-1-faqs

A N I T I A N



บรการ AWS สวนใหญมอยในการประเมนมาตรฐาน PCI DSS ของ AWS ลาสด รายการดาน

ลางแสดงบรการทสอดคลองตามมาตรฐานและค าอธบายฟงกชนของบรการ:

บรการ ค าอธบาย

Auto Scaling การจดเตรยมใชงานอนสแตนซตามเหตการณแบบ

อตโนมต

AWS CloudFormation สรางและปรบใชเทมเพลตทรพยากร AWS

Amazon CloudFront เวบเซอรวสการสงมอบเนอหา

AWS CloudHSM การเขาถงอปกรณรกษาความปลอดภยฮารดแวรบนระบบ

คลาวด

AWS CloudTrail การจดท ารายงานเกยวกบการเรยก AWS API

AWS Direct Connect การเชอมตอกบ AWS แบบโดยตรง แบบสวนตว แบบ

เฉพาะ

Amazon DynamoDB (DDB) ทเกบขอมล NoSQL ทปรบขนาดไดและมความพรอมใช

งานสง

Amazon Elastic Beanstalk การจดเตรยมและการปรบใชงานเวบแอปพลเคชน

Amazon Elastic Block Store (EBS) พนทเกบขอมลระดบบลอกส าหรบ EC2 Instance

Amazon Elastic Compute Cloud (EC2)

อนสแตนซของเครองบนระบบคลาวดทปรบขนาดได

Elastic Load Balancing (ELB) การคงทนตอความเสยหายและการปรบสมดลโหลดของ

แอปพลเคชน

Elastic MapReduce (EMR) บรการส าหรบขอมลจ านวนมาก

Amazon Glacier พนทเกบขอมลแบบถาวร

AWS Management Console เวบอนเทอรเฟสส าหรบการจดการบรการของ AWS

ทงหมด

AWS Identity and Access Management (IAM)

การควบคมการเขาถงและการจดการคย

AWS Key Management Services (KMS)

การจดการคยการเขารหสขอมล

Amazon Redshift การสรางคลงขอมลทมความจสง

Amazon Relational Database Service (RDS)

ฐานขอมลในลกษณะเปนบรการ

Amazon Route 53 ระบบชอโดเมนทปรบขนาดไดและมความพรอมใชงานสง

Amazon Simple Storage Service (S3)

จดเกบและเรยกคนขอมลตามจ านวนทตองการ

Amazon SimpleDB (SDB) การจดเกบขอมลแบบไมสมพนธทมความยดหยนและ

พรอมใชงานสง

A N I T I A N



Amazon Simple Queuing Service (SQS)

บรการก าหนดควขอความ

Amazon Simple Work Flow (SWF) บรการส าหรบการบรหารงานคอมโพเนนตของ

แอปพลเคชน

Amazon Virtual Private Cloud (VPC)

สวนทแยกกนทางลอจคลของเครอขาย AWS จะมการ

ท างานเปนแบบเครอขายสวนตว

Amazon EC2 Container Services (Amazon ECS)

อนสแตนซคอนเทนเนอร Docker แบบโฮสตและสามารถ

ปรบขนาดได

AWS Config รายการทรพยากรของ AWS, ประวตการเปลยนแปลง และ

การแจงขอมลการเปลยนแปลง

ไฟรวอลลส ำหรบเวบแอปพลเคชน AWS (AWS

WAF) การปกปองการโจมตบนเวบส าหรบเวบไซตทใช

CloudFront เพมความเรวในการท างาน

การปฏบตตามมาตรฐาน PCI ส าหรบ AWS ใชกบภมภาค, Availability Zone, และสถานทตง Edge

ตอไปน (ขอมล ณ เดอนกรกฎาคม 2016):

สหรฐอเมรกาฝงตะวนออก (เวอรจเนยตอนเหนอ)

สหรฐอเมรกาฝงตะวนตก (ออรกอน)

สหรฐอเมรกาฝงตะวนตก (แคลฟอรเนยตอนเหนอ)

AWS GovCloud (US) (ออรกอน)

สหภาพยโรป (ไอรแลนด)

เอเชยแปซฟก (สงคโปร)

เอเชยแปซฟก (โตเกยว)

เอเชยแปซฟก (ซดนย)

อเมรกาใต (เซาเปาล)

บรการ AWS ทอยนอกขอบเขต

AWS มการพฒนาและปรบใชบรการใหมๆ อยตลอดเวลา คณยงสามารถใชบรการเหลานใน

สภาพแวดลอมของคณได แมวาบรการใหมๆ ดงกลาวจะมเพยงบางสวนเทานนทอยในการรบรอง

มาตรฐาน PCI ปจจบนของ AWS หากคณตองการใชบรการเหลาน ผตรวจประเมนของคณตอง

ตรวจสอบการก าหนดคาบรการดงกลาวกอนเพอใหแนใจวาสอดคลองตามมาตรฐาน PCI

ตวอยางเชน AWS Certificate Manager ไมไดอยในขอบเขตของการประเมนผใหบรการ AWS ลาสด

หากคณใช AWS Certificate Manager ส าหรบเวบแอปพลเคชนทอยในขอบเขตของคณ คณตอง

แสดงใหเหนวาการใชงานของคณเปนไปตามขอก าหนดของ PCI ทเกยวของ อยางไรกตาม

AWS Certificate Manager ท างานบนโครงสรางพนฐานทสอดคลองตามมาตรฐานของ AWS ดงนน

แมวาตวของบรการอาจไมไดรบการรบรองวาสอดคลองตามมาตรฐาน แตโครงสรางพนฐานท

บรการท างานอยนนมความสอดคลอง

A N I T I A N



2.3. ความรบผดชอบตอการปฏบตตามมาตรฐาน PCI ของ AWS

การก าหนดวาฝายใดมหนาทรบผดชอบตอขอก าหนด PCI เปนหนงในแงมมทซบซอนขนของการ

โฮสตบนระบบคลาวด ขอมลสวนนจะสรปวธการก าหนดและจดระบบการประเมนการปฏบตตาม

มาตรฐาน PCI ส าหรบสภาพแวดลอมทโฮสตกบ AWS

คมอฉบบนจะสรปความรบผดชอบดานตางๆ ของ AWS ทครอบคลมตามขอก าหนดการปฏบตตาม

มาตรฐานและสวนทคณตองเปนผด าเนนการใหเปนไปตามมาตรฐาน คณตองศกษา“ตารางความ

รบผดชอบ” ตอมาตรฐาน PCI DSS ของ AWS ซงก าหนดความรบผดชอบของ AWS ไวอยางชดเจน

โปรดดสรปขอมลของตารางนจากภาคผนวก B ขอก าหนดทไมไดอยในความรบผดชอบของ AWS

หรอเปนสวนของความรบผดชอบรวมกน องคกรของคณมหนาทตองตรวจสอบวาม

การด าเนนการใหเปนไปตามขอก าหนด

นอกจากน คณตองด าเนนการใหเปนไปตามขอก าหนดทกประการโดยไมสามารถเลอกละเลย

ขอก าหนดใดๆ ของ PCI โดยพลการได อยางไรกด ขอก าหนดทเกยวของกบองคกรของคณอาจม

อยบางสวนเทานน ซงผตรวจประเมน PCI จะอธบายไดถงขอก าหนดทเกยวของและไมเกยวของ

รปภาพ 1 – ภาพรวมเกยวกบความรบผดชอบรวมกนของ AWS

ความรบผดชอบของ Amazon - ความปลอดภยของ ระบบคลาวด

Amazon มหนาทในการดแลรกษาสภาพแวดลอมใหสอดคลองกบมาตรฐาน PCI ทคณสามารถใช

เพอชวยในการปฏบตตามมาตรฐานของคณ ซงเรยกวา “ความปลอดภยของระบบคลาวด” AWS จะ

ตรวจสอบความถกตองของการปฏบตตามมาตรฐานเปนประจ าทกป และบนทกผลการตรวจสอบ

ในเอกสารเอกสารรบรองการปฏบตตามมาตรฐาน (AOC) ของ AWS ในฐานะลกคา AWS คณสามารถ

ขอรบส าเนา (พรอมกบขอตกลงทจะไมเปดเผยขอมลทมการลงนาม) ของเอกสารได

http://aws.amazon.com/compliance/contact/

A N I T I A N



ความรบผดชอบของลกคา - ความปลอดภยในระบบคลาวด

คณมหนาทในการออกแบบ สราง และดแลรกษาสภาพแวดลอมใน AWS ใหสอดคลองตามมาตรฐาน

ซงเรยกวา “ความปลอดภยในระบบคลาวด”

เมอคณสรางสภาพแวดลอมใน AWS สวนประกอบของสภาพแวดลอมนนจะมลกษณะ

สอดคลองตามมาตรฐาน เนองจากใชโครงสรางพนฐานทสอดคลองตามมาตรฐานของ AWS อยางไร

กตาม ความรบผดชอบขนสดทายส าหรบการปฏบตตามมาตรฐาน PCI ยงคงเปนหนาทขององคกร

ของคณ (ไมใช AWS) โปรดดเกณฑเฉพาะใน “ตารางความรบผดชอบ” ทอยในภาคผนวก B

A N I T I A N



3. ค าแนะน าทวไปเกยวกบ PCI DSS สวนนมค าแนะน าทวไปและกลยทธตางๆ ส าหรบปฏบตตามขอก าหนดของ PCI ระดบสง 12 ขอ

ดวยการใชบรการตางๆ ของ AWS

3.1. ขอก าหนดท 1: ตดตงและดแลรกษาการก าหนดคาไฟรวอลลเพอ

ปกปองขอมลของผถอบตร

บรการ AWS ตอไปนสามารถชวยสนบสนนขอก าหนดไฟรวอลลและการแบงเซกเมนตเครอขายของ PCI:

Amazon Virtual Private Cloud (Amazon VPC)

กลมความปลอดภยของ Amazon EC2

ACL เครอขาย VPC

หวขอดานลางอธบายถงกลยทธและขอควรพจารณาตางๆ ส าหรบการใชบรการเหลานเพอ

การปฏบตตามขอก าหนดท 1

Amazon VPC

VPC คอสวนทแยกกนทางลอจคลของเครอขาย AWS ทสรางเครอขายสวนตวภายในบญช AWS ของ

ลกคา VPC ท าใหลกคามหลายสภาพแวดลอมไดโดยไมตองมการเชอมตอระหวางกน

เหมอนกบเปนเครอขายทางกายภาพทแยกออกจากเครอขายอนๆ เครอขาย AWS จะปองกนแพคเกต

ทมทอยทผดรปแบบหรอมการเปลยนแปลงจากการฮอบขามขอบเขต VPC VPC ออกแบบมาใหไม

ตองมการกระจายการรบสงขอมลบนเลเยอร 2 วธการนจะชวยลดความเปนไปไดในการปลอมแปลง

ทอย IP ภายในแพลตฟอรม AWS ลงไดมาก และเปนไปตามขอก าหนดท 1.3.3 ส าหรบสภาพแวดลอม

ของลกคาทใช VPC นอกจากน AWS ยงเปนแพลตฟอรมทสอดคลองกบขอก าหนดท 1.3.3 ซง

แสดงใหเหนชดเจนจาก AOC ซงท าใหมนใจวา AWS จะกรองการรบสงขอมลขาเขาและใชการ

ปองกนการปลอมแปลงทสวนนอกสดของ AWS ลกคายงสามารถไดรบประโยชนจากคณลกษณะการ

ปองกนการปลอมแปลงภายใน VPC ดวย แตตองตรวจสอบวามมาตรการการปองกนการปลอมแปลง

ส าหรบการเชอมตอขาเขาอนๆ กบเครอขายของพวกเขาหรอไม

การเชอมตอ VPC เขากบเครอขายอนๆ โดยจงใจโดยสามารถท าได ตวอยางเชน อนเทอรเนต

เกตเวยทรวมเขากบอนสแตนซ NAT, ทอย IP แบบยดหยน และทรพยากรอนๆ สามารถใหการเขาถง

อนเทอรเนตได การเชอมตอแบบเพยรของ VPC และตารางการก าหนดเสนทางทมการก าหนดคา

อยางถกตองสามารถเชอมตอ VPC เขาดวยกนได และอยางทเราจะเหนในสวน 4 ทดานลาง เรายง

สามารถใช VPN หรอ AWS Direct Connect เพอขยายเครอขายแบบภายในองคกรไปยงระบบคลาวด

ไดดวย

หมายเหต: ซบเนตทงหมดภายใน VPC เดยวกนมเสนทางเรมตนระหวางซบเนตทไมสามารถ

ลบออก

A N I T I A N



กลมความปลอดภยของ EC2

กลมความปลอดภยเปนคอมโพเนนตไฟรวอลลแบบเกบสถานะใน AWS EC2 ซงจะตดตาม

การเชอมตอและอนญาตใหสงคนเฉพาะการรบสงขอมลทเกยวของกบเซสชนเทานน รายการ

ควบคมการเขาถง (ACL) กลมความปลอดภยสามารถใชควบคมการรบสงขอมลของอนสแตนซท

ระดบทอย IP, พอรต และโปรโตคอลส าหรบการปฏบตตามขอก าหนดท 1.3.6

ACL เครอขาย VPC

ACL เครอขาย VPC จะใชทระดบซบเนตแตจะไมเกบสถานะ (ดวยตนเอง) และไมสามารถใชเพอ

ใหเปนไปตามขอก าหนดท 1.3.6

กลยทธและขอควรพจารณาอนๆ

ส าหรบสภาพแวดลอมทเรยบงายอยางสภาพแวดลอมในสถาปตยกรรมอางองทอธบายไวในสวนท

4 Anitian แนะน าใหใช AMI ไฟรวอลลบนระบบคลาวดแบบเฉพาะ นอกเหนอจากไฟรวอลลแบบเกบ

สถานะทชดเจนเหลานแลว ยงมฟงกชนการรกษาความปลอดภยเพมเตม (และส าคญ) อกมาก เชน

การปองกนการบกรก (ขอก าหนดท 11.4 ระบวาจ าเปนตองมส าหรบ IDS/IPS)

ทงนมไฟรวอลล Amazon Machine Images (AMI) อยจ านวนมากใน AWS Marketplace จากบรษท

ตางๆ เชน Fortinet, Palo Alto และ CheckPoint อนสแตนซของไฟรวอลลเหลานอาจตองมสทธ

การใชงานเฉพาะจากผจ าหนาย แตเปนอนเทอรเฟสการจดการทคนเคยและมความสามารถขนสง

ส าหรบสถาปตยกรรม AWS แบบไดนามกหรอแบบทซบซอนขนอยางสถาปตยกรรมทใช

Auto Scaling เพอใหแนใจวาความสามารถของแอปพลเคชนเพยงพอตอการตอบสนองความตองการ

ซงไฟรวอลลแบบดงเดมอาจท าใหจดการสภาพแวดลอมไดยาก ส าหรบการตงคาเหลาน สามารถใช

กลมความปลอดภยและไฟรวอลลทใชโฮสตเพอบรรลเปาหมายในการแบงเซกเมนตส าหรบ CDE

3.2. ขอก าหนดท 2: ไมใชคาเรมตนทก าหนดโดยผจ าหนายเปนรหสผาน

ของระบบและพารามเตอรการรกษาความปลอดภยอนๆ

บรการ AWS ตอไปนสามารถชวยสนบสนนขอก าหนดการเสรมความปลอดภยใหกบโฮสตของ PCI:

Amazon Elastic Compute Cloud (Amazon EC2)

กลยทธและขอควรพจารณาตางๆ ส าหรบการใช Amazon EC2 เพอการปฏบตตามขอก าหนดท 3 ม

การอธบายไวทดานลาง

Amazon EC2

เมอคณใช AMI ของ Amazon เพอสรำง EC2 Instance, AWS จะสรางรหสผานส าหรบผดแลระบบและ

รหสผานรทเฉพาะทมการเขารหสดวยคยสวนตวทสรางขนโดยไมซ ากน วธนจะชวยสนบสนนการ

ปฏบตตามขอก าหนดท 2.1

นอกจากน เนองจากคณตองเปนผสรางบญชเองอยางชดเจน บรการไมมบญชผใชเรมตน

A N I T I A N




หากคณใชอมเมจทไมใชของ Amazon คณมหนาทตรวจสอบใหแนใจวามการเปลยนแปลงคาเรม

ตนแลว ดเอกสารทเกยวของส าหรบอมเมจเหลาน

AWS AOC กลาวถงการจดการกบการก าหนดคาความปลอดภยพนฐานส าหรบบรการ AWS

อยางไรกตาม การสรางและใชมาตรฐานการก าหนดคาการรกษาความปลอดภยส าหรบ EC2 Instance ถอเปนหนาทของคณ AWS Marketplace มโซลชนมากมายทสามารถชวยในการปฏบตตาม

ขอก าหนดน

หมายเหต: Anitian ไดสราง AMI ทมการเสรมความปลอดภยส าหรบระบบปฏบตการทมอย

ทงหมด ทงบนเซรฟเวอรพนฐานและกบเวบเซรฟเวอรทมการเสรมความปลอดภย ซงรวมถง

มาตรฐานการก าหนดคาความปลอดภยทสนบสนนโดยจะมการจดท าเอกสารขนตอนการท า

เสรมความปลอดภยตามทก าหนดโดยขอก าหนดท 2.2 ของ PCI DSS

3.3. ขอก าหนดท 3: ปกปองขอมลของผถอบตรทจดเกบไว

บรการ AWS ตอไปนสามารถชวยสนบสนนขอก าหนดการเขารหสและการจดการคยของ PCI ส าหรบ

ขอมลผถอบตร (CHD) ในทจดเกบ:

Amazon Elastic Block Store (Amazon EBS) Amazon Simple Storage Service (Amazon S3) AWS Key Management Services (KMS) Amazon Relational Database Service (Amazon RDS)

กลยทธและขอควรพจารณาตางๆ ส าหรบการใชบรการเหลานเพอการปฏบตตามขอก าหนดท 3

มการอธบายไวทดานลาง

Amazon EBS

AWS สนบสนนวธการจดเกบขอมลอยางปลอดภยอยหลายวธดวยกน การเขารหสไดรฟขอมลท

ไมใชรทของ EBS และระดบไดรฟขอมลทสนบสนนบคเกต S3 โดยใช AES-256 EBS จะจดการคย

การเขารหสโดยใชโครงสรางพนฐานทตรงตามมาตรฐาน FIPS 140-2 ส าหรบไดรฟขอมล EBS

หากคณจดเกบ CHD (เชน ไฟลฐานขอมลบนระบบไฟลของอนสแตนซเซรฟเวอรฐานขอมลเฉพาะ)

บนไดรฟขอมลทเขารหสของอนสแตนซ ตองมการเขารหสเพมเตมส าหรบ CHD เพอใหเปนไป

ตามขอก าหนดท 3.4.1 วธนไมใชลกษณะเฉพาะของ AWS แตมการอางถงเพอความสมบรณและ

ความชดเจน

หมายเหต: ไมใช EC2 Instance ทกประเภททสนบสนนไดรฟขอมล EBS ทเขารหส โปรดด

การเขารหส EBS

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#EBSEncryption_supported_instances

A N I T I A N



Amazon S3

Amazon S3 เปนบรการพนทจดเกบขอมลทใชงานงาย โดยสามารถเขารหสออบเจกตทจดเกบไวดวย

AES-256 และสนบสนนกลไกสามแบบทแตกตางกนส าหรบการจดการคย (โปรดด Server Side

Encryption)

การเขารหสฝงเซรฟเวอรดวยคยทไดรบการจดการ Amazon S3 (SSE-S3)

S3 จะเขารหสออบเจกตดวยคยการเขารหสขอมลทไมซ ากน เมอเปดใชงาน SSE-S3

ส าหรบออบเจกตในบคเกต S3 (ในคอนโซลการจดการ) คยการเขารหสขอมลนไดรบ

การเขารหสตนเองดวยคยหลกทมการหมนเวยนบรการ S3 เปนประจ าทกป

การเขารหสฝงเซรฟเวอรดวยคยทไดรบการจดการ AWS KMS (SSE-KMS)

SSE-KMS ใชคยแบบซองจดหมายเพอเขารหสคยการเขารหสขอมลของแตละออบเจกต

ซงจะชวยใหสามารถควบคมไดดยงขนส าหรบบคคลทสามารถถอดรหสขอมลทมการ

เขารหสและมการจดท าลอกการตรวจสอบการใชคย KMS จะมการอธบายไวในสวน

ถดไป

การเขารหสฝงเซรฟเวอรดวยคยทลกคาก าหนด (SSE-C)

SSE-C ใหคณสามารถใชคยของตนเองและจดการไดเอง S3 ไมจดเกบคยน แตจะเกบเฉพาะ

แฮชการรบรองความถกตองของขอความเพอตรวจสอบการใชคยในภายหลงเมอมการพยายาม

เรยกดขอมลเทานน

โดยคาเรมตน S3 จะไดรบการก าหนดคาใหใช SSE-S3 ในการใช KMS หรอคยทก าหนดโดยลกคา

คณตองระบรปแบบของการจดการคยเมออปโหลดออบเจกตผานคอนโซล หรอ REST API ส าหรบ

รายละเอยดเพมเตม โปรดด การอปโหลดออบเจกตของ S3

AWS KMS

KMS เปนบรการการจดการคยการเขารหสของ AWS KMS มการหมนเวยนคยแบบอตโนมตเปน

ประจ าทกปผาน Management Console โปรดดเอกสำร รายละเอยดการเขารหส KMS ของ Amazon

ส าหรบขอมลเพมเตม

AWS KMS ยงม การจดท าเอกสาร API ส าหรบการสนบสนนการโปรแกรมหรอผจดจ าหนายภาย

นอกดวย

KMS ใชคยหลกของลกคา (CMK) เปนคยการเขารหสคย (KEK) และคยส ารองเปนคยการเขารหส

ขอมล การเปดใชงานการหมนเวยนคยเพอหมนเวยนคยส ารอง

เมอคณเปดใชงานการหมนเวยนคย CMK ใหมและคยส ารองทเกยวของ (HBK) จะถกสรางขนเปน

ประจ าทกป คยใหมเหลานจะใชเพอท างานตอไป และ CMK/HBK เกาจะยงคงสามารถใชไดส าหรบ

การถอดรหสเทานน คณยงสามารถ สราง CMK/HBK ใหมดวยตนเอง ไดตลอดเวลา และตงคาใหเปน

คยทใชงานในปจจบน

หมายเหต: หากคณปดใชงาน CMK/HBK คยจะไมสามารถใชงานไดอกตอไป แตไดรฟ

ขอมล EBS ทตออยทใชคยทปดใชงานไปแลวจะยงคงท างานตอไป หากมการถอดไดรฟ

ขอมลออกจากอนสแตนซ คณจะตองเปดใชคยใหมเพอใชไดรฟขอมลอกครง

CloudTrail จะบนทก การด าเนนการของ AWS KMS ทงหมด (การสรางคย, การเขารหสขอมล,

การหมนเวยนคย ฯลฯ) ไปยงไฟลลอกของ CloudTrail ในบคเกต S3 ทผใชก าหนด

http://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html


http://docs.aws.amazon.com/AmazonS3/latest/UG/UploadingObjectsintoAmazonS3.html

https://d0.awsstatic.com/whitepapers/KMS-Cryptographic-Details.pdf

http://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html

http://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

http://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html

A N I T I A N



Amazon RDS

นอกเหนอจากพนทเกบขอมลทมการเขารหส Amazon RDS ยงสนบสนนใหมการเขารหสฐาน

ขอมลดวยสองวธการดวยกน RDS เขารหสพนทเกบขอมลหลกโดยใชคยทจดการโดย Amazon KMS

วธการนจะปองกนขอมลในทจดเกบ RDS ยงสนบสนน Transparent Data Encryption (TDE) ส าหรบ

อนสแตนซของ Microsoft SQL และ Oracle ดวย

นโยบาย IAM จะควบคมผทสามารถเขาถงอนสแตนซ RDS และสงทพวกเขาสามารถท าได

อยางไรกตาม ฐานขอมลภายในอนสแตนซ RDS จะใชกลไกเฉพาะของแพลตฟอรมภายในของตน

เพอจดการกบการเขาถงขอมล ตรวจสอบวามการก าหนดคานโยบายรหสผานและบญชทเกยวของ

กบ PCI ภายในฐานขอมล CDE ใน RDS


หากคณเรยกใชฐานขอมลของตนเองบน EC2 Instance คณตองรบผดชอบในการจดการกบการเขา

รหส CHD ใดๆ ภายในฐานขอมลทงหมด การเขารหสนควรด าเนนการโดยใชกลยทธมาตรฐานท

เหมาะสมส าหรบฐานขอมลเฉพาะทใชงานอย ตวอยางทพบบอยๆ คอ การเขารหสดวยการโปรแกรม

ของ CHD ทระดบฟลดหรอคอลมน หรอการเขารหสทระดบอนสแตนซฐานขอมล เชน TDE ส าหรบ MS SQL

3.4. ขอก าหนดท 4: เขารหสขอมลของผถอบตรทสงผานเครอขายสาธาร

ณะแบบเปด

คอมโพเนนต AWS ตอไปนสามารถชวยสนบสนนขอก าหนดการเขารหสระหวางการรบสงขอมลของ PCI:

Elastic Load Balancer

ACL เครอขาย

กลมความปลอดภย

เกตเวยของลกคา

เกตเวยสวนตวแบบเสมอน

การเชอมตอดวย VPN AWS Direct Connect

กลยทธและขอควรพจารณาตางๆ ส าหรบการใชบรการเหลานเพอการปฏบตตามขอก าหนดท 4

มการอธบายไวทดานลาง

Elastic Load Balancer

Elastic Load Balancer สนบสนน SSL/TLS และสามารถถายโอนการเขารหสการประมวลผลเพอการ

สอสารทปลอดภยส าหรบการเชอมตอทงภายในและภายนอก การตอรอง SSL/TLS มการก าหนดคา

โดยใชนโยบายความปลอดภย AWS มนโยบายความปลอดภยทก าหนดไวลวงหนาจ านวนมาก

(โปรดดขอมลเพมเตมท ตารางนโยบายความปลอดภยของ ELB ) คณยงสามารถสรางนโยบาย

http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-security-policy-table.html

A N I T I A N



ของตนเองไดเชนกน นโยบายความปลอดภยชวยใหคณสามารถก าหนดโปรโตคอล SSL และรหสลบ

รวมถงการก าหนดลกษณะล าดบส าหรบการตอรองไคลเอนต-เซรฟเวอรระหวางการแฮนดเชค SSL

หมายเหต: PCI DSS 3.1 ระบวา “SSL และ TLS กอนหนาไมถอเปนการเขารหสทมความ

ปลอดภยสง และไมสามารถใชเปนการควบคมความปลอดภยหลงจากวนท 30 มถนายน 2016”

กลมความปลอดภยและ ACL เครอขาย

กลมความปลอดภยและ ACL เครอขายสามารถบลอกการใชโปรโตคอลทไมปลอดภยไดตามพอรต

ของเครอขาย

เกตเวยของลกคา, เกตเวยสวนตวแบบเสมอน และการเชอมตอดวย VPN

เกตเวยของลกคา เกตเวยสวนตวแบบเสมอน และการเชอมตอดวย VPN ท าใหคณสามารถตงคา

ชองทางการเชอมตอ VPN ทเขารหสไปยง AWS VPC AWS สนบสนนโซลชน VPN ทวไปทมอย

มากมาย (โปรดด ค าถามทพบบอยเกยวกบ VPC) รวมถงไฟลการก าหนดคาขอความทวไป AWS

สรางการตงคา VPN โดยอตโนมตเพอใหคณสามารถก าหนดคาต าแหนงขอมลทตรงกนได หลงจาก

การเชอมตอดวย VPN (ในสวนการเชอมตอดวย VPN ของแดชบอรด VPC) คณสามารถดาวนโหลด

ไฟลการก าหนดคาทจ าเปนส าหรบการตงคาต าแหนงขอมลของลกคา คณสามารถดไฟลการ

ก าหนดคาเพอตรวจสอบการเขารหสทใช (SHA1/AES 128) ดสวน 4.3.4.5 ทดานลางส าหรบ

รายละเอยดของการด าเนนการ

AWS Direct Connect

Direct Connect มการเชอมตอความเรวสงแบบเฉพาะระหวางสภาพแวดลอมของลกคาและ AWS

คลายกบ MPLS Direct Connect ไมมการเชอมตอทเขารหส คณจงตองตรวจสอบความเปนสวนตว

ของวงจร โดยอาจจ าเปนตองมการควบคมเพมเตมเพอใหเปนไปตามขอก าหนดท 4.1 ขนอยกบ

การใชงาน


คณมหนาทในการก าหนดคาการเขารหสระหวางการรบสงขอมลทปลอดภยส าหรบบรการเชอมตออ

นเทอรเนตทท างานอยบน EC2 Instance เชน เวบเซรฟเวอร ซงควรมการรวมเขาเปนสวนหนงใน

การเสรมความปลอดภยของโฮสตส าหรบขอก าหนดท 2

นอกจากน ยงสามารถใช VPN บนไฟรวอลลเชงพาณชยหรอ VPN AMI ทก าลงท างานอยใน

สภาพแวดลอมไดดวย คณมหนาทรบผดชอบการก าหนดคาอปกรณเพอใหแนใจวาสอดคลองตาม

ขอก าหนดท 4

http://aws.amazon.com/vpc/faqs/

A N I T I A N



3.5. ขอก าหนดท 5: ปกปองระบบทงหมดจากมลแวรและอปเดต

ซอฟตแวรหรอโปรแกรมปองกนไวรสเปนประจ า

AWS ไมมโปรแกรมปองกนไวรสส าหรบ EC2 Instance คณมหนาทในการตรวจสอบวาอนสแตนซ

ทงหมดเรยกใชโปแกรมปองกนไวรสทเหมาะสม รวมถงไฟลลอกและรายงานตามทก าหนดไวใน

ขอก าหนดท 5 ของ PCI

AWS Marketplace มโซลชนการปองกนไวรสจ านวนมาก

3.6. ขอก าหนดท 6: พฒนาและดแลรกษาระบบและแอปพลเคชนใหม

ความปลอดภย

AWS ไมมการจดการกบชองโหวและโปรแกรมแพตซของ EC2 Instance แมวา AMI จะมการรบการ

อปเดตอยเปนระยะๆ แตการเปดและการเรยกใชอนสแตนซตองมการจดการเชนเดยวกบโฮสตอนๆ

ตวอยางเชน ส าหรบรายการอปเดตของ Amazon Linux AMI โปรดด AWS Linux Security Center

AWS Marketplace มโซลชนการจดการชองโหวและโปรแกรมแพตซทสามารถชวยใหเปนไปตาม

ขอก าหนดท 6.1 และ 6.2

นอกจากน ยงไมมบรการ AWS ทรองรบขอก าหนดของ PCI โดยตรงส าหรบการพฒนา

ซอฟตแวรทปลอดภย (ขอก าหนดท 6.3) และการควบคมเปลยนแปลง (ขอก าหนดท 6.4)

CodeDeploy และ CodeCommit สามารถชวยในการจดการและการใชซอรสโคดทวไปไดแมวาจะ

ไมเกยวของโดยตรงกบขอก าหนดของ PCI

อยางไรกตาม เทคโนโลยการแบงเซกเมนตเครอขาย (ตามการอธบายไวในขอก าหนดท 1 ขางตน)

สามารถแยกสภาพแวดลอมการพฒนาและการใชงานจรงออกจากกนได (ขอก าหนดท 6.4.1)

หมายเหต: เรกคอรด AWS Config จะเปลยนเปนทรพยากรภายใน AWS แตจะไมมผลกบ

แอปพลเคชนและภายใน EC2 Instance

AWS WAF และ Amazon CloudFront

ไฟรวอลลส าหรบเวบแอปพลเคชน AWS (WAF) เปนโซลชนทางเทคนคทตรวจสอบ PCI DSS โดย

อตโนมตวาสามารถชวยใหเปนไปตามขอก าหนด 6.6 ของ PCI DSS บรการ WAF จะชวยปกปองการ

โจมตบนเวบส าหรบเวบไซตทเชอมตอกบระบบสาธารณะทใช Amazon CloudFront ส าหรบการเพม

ความเรวในการสงมอบเนอหา

หมายเหต: แมวา Amazon CloudFront จะไมถกระบอยในสวนท 2.2 ทดานบนในฐานะบรการ AWS ท

สอดคลองกบมาตรฐาน PCI, AWS WAF จะปกปองเฉพาะเวบแอปพลเคชนทใช CloudFront เพอเพม

ความเรวในการท างานเทานน

ขอก าหนดท 6.6 อาจเปนไปตามขอก าหนดของ WAF หรอการทดสอบความปลอดภยของเวบ

แอปพลเคชน Anitian จะแนะน าใหท าการทดสอบความปลอดภยของเวบแอปพลเคชนรวมกบการ

ปรบใช WAF เสมอ เพอปรบ WAF ใหสามารถจดการชองโหวตางๆ ทเปนทรจกกนดวาเปนปญหากบ

เวบแอปพลเคชน

https://alas.aws.amazon.com/

A N I T I A N



3.7. ขอก าหนดท7: จ ากดการเขาถงขอมลของผถอบตรเฉพาะผทจ าเปน

ตองทราบเทานน

คอมโพเนนต AWS ตอไปนสามารถชวยสนบสนนขอก าหนดการควบคมการเขาถงของ PCI:

AWS Identity and Access Management (IAM) AWS Directory Service

IAM

บรการ IAM สนบสนนการควบคมการเขาถงตามบทบาทภายใน AWS อยางไรกตาม คณมหนาทใน

การจดการกบบทบาทผใชและสทธภายในบรการ IAM

IAM สนบสนนผใช กลม และบทบาท รวมถงการจดการคยการเขารหส

Directory Service

Directory Service เปนบรการไดเรกทอรทสามารถใชงานรวมกบ Microsoft Active Directory (AD)

ทชวยใหคณสามารถสรางหนงอนสแตนซ (หรอมากกวา) ทเรยกวา Simple AD ซงสามารถใชเปน

Simple AD แบบสแตนดอโลนหรอเชอมตอกบโครงสรางพนฐานของ Microsoft AD แบบภายใน

องคกร

Directory Service สามารถจดการกบการเขาถงทรพยากร AWS รวมถงแอปพลเคชนและระบบท

สามารถใชงานรวมกบ Microsoft AD

คณตองใชเครองมอของบรษทอนเพอดแล AWS Directory Service เชน เครองมอ Microsoft

Active Directory Administration ทมาพรอมกบ Windows Server ส าหรบขอมลเพมเตม โปรดดท

คมอการจดการไดเรกทอรส าหรบผดแลระบบ

หมายเหต: ไดเรกทอร Simple AD ไมรองรบอนเทอรเฟซ Microsoft Active Directory

Web Services


คณมหนาทในการตรวจสอบใหแนใจวาสทธและบทบาทของผใชทงหมดมการจดท าเอกสารทมการ

อธบายสทธการใชงานขนต าไวอยางชดเจน

3.8. ขอก าหนดท 8: ระบและรบรองความถกตองในการเขาถง

คอมโพเนนตของระบบ

บรการ AWS ตอไปนสามารถชวยสนบสนนขอก าหนดในการจดการบญชของ PCI:

IAM Directory Service

http://docs.aws.amazon.com/directoryservice/latest/adminguide/directory_management.html

A N I T I A N



IAM

IAM สนบสนนนโยบายรหสผานตามขอก าหนดท 8 โดยมขอยกเวนส าหรบการลอคบญชท

พยายามเขาสระบบอยางไมถกตอง (ขอก าหนดท 8.1.6) ระยะเวลาการลอคต าสด (ขอก าหนดท

8.1.7) และการหมดเวลาของเซสชนทไมไดใชงาน (ขอก าหนดท 8.1.8) เพอใหเปนไปตาม

ขอก าหนดเหลานดวย IAM จ าเปนตองใชผใหบรการขอมลประจ าตวทตรงตามมาตรฐาน PCI ซง

สามารถบงคบใชขอก าหนดเหลานหรอ Directory Service

หมายเหต: IAM ใชส าหรบการจดการขอมลประจ าตวและการเขาถงทรพยากร AWS เทานน

ไมใชส าหรบการรบรองความถกตองแอปพลเคชนและ EC2 Instance

Directory Service

Simple AD สนบสนนการตงคานโยบายบญชและรหสผานทงหมดท Microsoft AD ใช ซงสนบสนน

ขอก าหนดท 8 ทงหมด (สรางไดเรกทอร)


ส าหรบบรการไดเรกทอรใดๆ ทท างานอยบน EC2 instance ถอเปนความรบผดชอบของลกคาใน

การตรวจสอบวานโยบายรหสผานทงหมดไดรบการก าหนดคาเพอใหเปนไปตามขอก าหนดท 8

3.9. ขอก าหนดท 9: จ ากดสทธการเขาถงขอมลผถอบตรทางกายภาพ

AOC ของ AWS ครอบคลมการรกษาความปลอดภยทางกายภาพของ AWS อยางเตมรปแบบตาม

ขอก าหนดท 9 หากคณโฮสตสภาพแวดลอม PCI ท งหมดของคณอยใน AWS กจะอยภายใต

ขอก าหนดน AOC ของ AWS ไมครอบคลมสนทรพยทอยในขอบเขตใดๆ ทโฮสตอยภายนอก AWS

3.10. ขอก าหนดท 10: ตดตามและตรวจสอบการเขาถงทรพยากร

เครอขายและขอมลของผถอบตรทงหมด

บรการ AWS ตอไปนสามารถชวยสนบสนนขอก าหนดของการจดการไฟลลอกของ PCI:

AWS CloudTrail S3

CloudTrail

บรการ AWS CloudTrail สามารถชวยตดตามและตรวจสอบการเขาถงทรพยากรภายในบญช AWS

คอมโพเนนตหลกทไดรบการสนบสนนโดย CloudTrail คอ การรวบรวมไฟลลอก การแจงเตอน และ

การเกบรกษา (ขอก าหนดท 10.5 ถง 10.7)

คณมหนาทในการสรางบคเกต S3 เพอรบและจดเกบไฟลลอก และตรวจสอบใหแนใจวามการ

เปดใชงาน Cloud Trail เพอบนทกเหตการณความปลอดภยทจ าเปน (ขอก าหนดท 10.2)

CloudTrail Event Record Body สนบสนนองคประกอบเฉพาะทงหมดในขอก าหนดท 10.3 ส าหรบ

ขอมลเพมเตม โปรดด บนทกการอางองเหตการณ

http://docs.aws.amazon.com/directoryservice/latest/adminguide/create_directory.html

http://docs.aws.amazon.com/awscloudtrail/latest/userguide/event_reference_record_body.html

A N I T I A N



S3

นโยบายการเกบรกษาส าหรบขอมลของ CloudTrail ไดรบการก าหนดคาใน S3 โดยคาเรมตน

ระยะเวลาการเกบรกษาจะเปนแบบไมมสนสด แตสามารถก าหนดคาไดอยางเตมรปแบบ (โปรดด

การก าหนดคาวงจรการท างาน)

หมายเหต: เพอความคมคาในการท าใหเปนไปตามขอก าหนดท 10.7 คณสามารถใชการ

ก าหนดคาวงจรการท างานของ S3 เพอตงระยะเวลาการเกบรกษา 90 วนและจดเกบขอมล

เกาไปยงบรการพนทจดเกบขอมลของ Amazon Glacier โดยอตโนมตส าหรบการเกบรกษา

เปนเวลานาน (ตองเกบอยางนอยหนงป)

นอกจากน คณตองเปดใชงานการควบคมการเขาถงในบคเกต S3 ทจดเกบไฟลลอกของ CloudTrail

ซงตองมการจ ากดสทธการเขยนของบคเกตใน CloudTrail และสทธการอานของบคเกตส าหรบ

ผใชทไดรบอนญาต


CloudTrail ของ Amazon เปนบรการบนทกลอกพนฐานทสามารถตอบสนองตามขอก าหนดก

ารบนทกลอกของ PCI แมวา CloudTrail จะมการการบนทกลอกเพอตรวจสอบการเขาถงทรพยากร

AWS แตจะไมมการลงบนทกเหตการณและกจกรรมส าหรบแอปพลเคชนทคณเรยกใชบน AWS ทงน

ม Amazon Machine Images (AMI) อยจ านวนมากใน AWS Marketplace จากบรษทตางๆ เชน

Splunk, HP (ArcSight) และ Alert Logic ทสามารถชวยคณจดการลอกจากแอปพลเคชนของคณ

หากคณมการใชผลตภณฑ Security Information and Event Management (SIEM) อยแลว

CloudTrail จะรองรบ API ทผลตภณฑ SIEM ของคณอาจสามารถใชเพอรวบรวมลอก หรอ

ส าหรบการสรางความสมพนธของขอมลระดบสง ตรวจสอบกบผจ าหนาย SIEM ส าหรบขอมลเพมเตม

คณตองก าหนดคา EC2 Instance ส าหรบโปรโตคอลเวลาของเครอขาย (NTP) เพอใหเปนไปตาม

ขอก าหนดท 10.4

3.11. ขอก าหนดท 11: ทดสอบระบบและกระบวนการรกษาความปลอดภย

อยเปนประจ า

AOC ของ AWS ครอบคลมการตรวจจบจดเชอมตอแบบไรสายทหลอกลวง (ขอก าหนดท 11.1)

AWS ไมสแกนหาชองโหว (ขอก าหนดท 11.2) การทดสอบเจาะระบบ (ขอก าหนดท 11.3) การ

ปองกนการบกรก (ขอก าหนดท 11.4) หรอการตรวจจบการเปลยนแปลงไฟล (ขอก าหนดท 11.5)

ภายใน EC2 Instance อยางไรกตาม AWS Marketplace มโซลชนอกมากมายทสนบสนน

http://docs.aws.amazon.com/AmazonS3/latest/UG/LifecycleConfiguration.html

A N I T I A N



ขอก าหนดตางๆ เหลาน Anitian ยงมการทดสอบเจาะระบบของเครอขาย และการทดสอบความ

ปลอดภยของเวบแอปพลเคชนอกดวย

หมายเหต: การทดสอบเจาะระบบตองมก าหนดเวลาและไดรบการอนมตผานทาง AWS

โปรดดรายละเอยดเพมเตมท การทดสอบเจาะระบบของ AWS

3.12. ขอก าหนดท 12: ดแลรกษานโยบายส าหรบการรกษาความ

ปลอดภยขอมลส าหรบบคลากรทงหมด

AWS ไมมเอกสารประกอบของนโยบายใดๆ ตามทก าหนดไวในขอก าหนดท 12 (และขอก าหนดของ

PCI อนๆ) คณตองเขยนเอกสารนดวยตนเอง

3.13. ภาคผนวก A.1: ผใหบรการโฮสตงแบบใชงานรวมกนตองปกปอง

สภาพแวดลอมขอมลของผถอบตร

หากคณมโฮสตงทใชรวมกนเปนสวนหนงของ EC2 Instance คณมหนาทในการปองกน CHD ของ

ลกคาอยางเตมรปแบบ คณจะตองแบงเซกเมนตและแยก CDE ออกอยางถกตองตามขอก าหนดท A.1

บรการตอไปนสามารถชวยเหลอในเรองน:

ขอก าหนดท 1 – VPC, กลมความปลอดภย

ขอก าหนดท 7 และ 8 – IAM และ Directory Service

3.14. ภาคผนวก A.2: ขอก าหนดเพมเตมของ PCI DSS ส าหรบหนวยงาน

ทใช SSL/TLS กอนหนา

ไมมคอมโพเนนต AWS ทสนบสนนขอมลในภาคผนวก A.2 โดยเฉพาะ บรการ AWS ทงหมดทใช TLS

ทรองรบ TLS เวอรชน 1.2

3.15. ภาคผนวก A.3: การตรวจสอบความถกตองเพมเตมส าหรบ

หนวยงานทไดรบอนญาต (DESV)

ส าหรบองคกรบางแหง แบรนดของบตรเครดตหรอธนาคารของรานคาซงรบบตรเครดตอาจ

ก าหนดใหหนวยงานตองเปน หนวยงานทไดรบอนญาต (Designated Entity) และตองมลกษณะ

เปนไปตามขอก าหนดเพมเตมในภาคผนวก A.3 ของ PCI DSS 3.2

NOTE: การเปนหนวยงานทไดรบอนญาต (Designated Entity) เปนกระบวนการแบบเปนทางการ

ดงนนหากคณไมมการด าเนนการนตามทก าหนดโดยแบรนดของบตรเครดตหรอธนาคารขอ

งรานคาซงรบบตรเครดต จะไมถอวามลกษณะตามขอก าหนด

http://aws.amazon.com/security/penetration-testing

A N I T I A N



หนวยงานตางๆ ตองปฏบตตามหลกเกณฑพนฐานเพอใหไดรบการประกาศเปนหนวยงานทไดรบ

อนญาตดงตอไปน:

จดการไดรฟขอมล CHD ขนาดใหญ

รวบรวม CHD จากหลายสถานทหรอบรษทอนๆ

มการละเมด CHD ทส าคญหรอจ านวนมาก

นอกจากน ขอก าหนดส าหรบหนวยงานทไดรบอนญาต โดยทวไปแลวจะเกยวของกบการจดท า

โปรแกรมการปฏบตตามมาตรฐาน PCI อยางเปนทางการ คอมโพเนนต AWS ทสนบสนนขอก าหนด

ยอยตางๆ ของ A.3 จะมการอธบายทดานลาง

DE.1 ใชโปรแกรมการปฏบตตามมาตรฐาน PCI DSS

AWS ไมมเอกสารประกอบของนโยบายหรอขนตอนใดๆ ตามทก าหนดไวใน DE.1 (และขอก าหนด

ของ PCI อนๆ) คณตองเขยนเอกสารนดวยตนเอง

DE.2 จดท าเอกสารและตรวจสอบขอบเขตของ PCI DSS

ไมมบรการ AWS ทรองรบขอก าหนด DE.2 ส าหรบการตรวจสอบขอบเขตของ PCI DSS โดยตรง การ

ตรวจสอบวาขอบเขตมความถกตองตามการทดสอบการควบคมการแบงเซกเมนตและกระบวนการ

คนหา CHD และการยงคงสามารถใชไดหลงจากการเปลยนแปลงขององคกรและการ

เปลยนแปลงทางเทคนค

อยางไรกตาม มบรการ AWS บางอยาง เชน บรการทระบอยในสวนท 3 ดานบน ทสามารถชวยใน

การจดหาขอมลส าหรบการด าเนนการเพอใหเปนไปตามขอก าหนดการตรวจสอบเพมเตม

ตวอยางเชน:

AWS Config สามารถระบการเปลยนแปลงตอคอมโพเนนต AWS เพอชวยตรวจสอบวาเครอขาย

CDE ทโฮสตกบ AWS หรอการแบงเซกเมนตมการเปลยนแปลงหรอไม

S3 รองรบการโปรแกรมและบรรทดค าสงเพอเขาถงออบเจกตทจดเกบไว ทเปนการชวยเหลอ

ส าหรบความพยายามในการคนหา CHD

สามารถใช CloudTrail และ CloudWatch เพอตรวจจบการเปลยนแปลงในสภาพแวดลอม ทอาจ

สงผลกระทบตอขอบเขตการประเมนของคณหรอสถานะของการปฏบตตามมาตรฐาน

สามารถใช IAM เพอก าหนดการเขาถงคอมโพเนนต AWS ใหเปนแบบอานอยางเดยว ท าให

โซลชนการก ากบดแล ความเสยง และการปฏบตตามมาตรฐาน (GRC) หรอบคลากร

สามารถรวบรวมหลกฐานยนยนได

หมายเหต: ขอควรจ า: การทดสอบเจาะระบบ แมกระทงการทดสอบการแบงเซกเมนตตองมก าหนด

เวลาและไดรบการอนมตผานทาง AWS โปรดดรายละเอยดเพมเตมท การทดสอบเจาะระบบของ AWS


A N I T I A N



DE.3 การตรวจสอบ PCI DSS จะถกรวมอยในกจกรรมทมการด าเนนการตามปกต (BAU)

บรการ AWS เฉพาะจะไดรบการประเมนเทยบกบเวอรชน PCI DSS ในปจจบนเปนประจ าทกป บรการ

AWS เหลานทครอบคลมอยในขอบเขตการประเมน AWS จะไดรบการบนทกเปนเอกสารใน AOC

ของผใหบรการ AWS ตามทไดกลาวไปแลวขางตนในสวนท 2 ลกคา AWS สามารถ ขอรบส าเนา

ของ AOC ดงกลาว (พรอมกบขอตกลงทจะไมเปดเผยขอมลทมการลงนาม)

การตรวจสอบ AOC ของ AWS และ “ตารางความรบผดชอบ” PCI DSS ของ AWS จะชวยคณพจารณา

วาเทคโนโลยทงหมดทคณใชใน CDE มลกษณะทเปนไปตามขอก าหนดของ PCI ทบงคบใชไมวาใน

อดตทผานมา ระหวางด าเนนการในปจจบน หรอส าหรบการใชงานอนาคต

DE.4 ควบคมและจดการการเขาถงสภาพแวดลอมขอมลผถอบตรทางลอจคล

เชนเดยวกบ DE.2 ขางตน ไมมบรการ AWS ทจดการโดยตรงกบการตรวจสอบ DE.4 ท

ก าหนดในทกหกเดอน อยางไรกตาม มบรการ AWS บางอยาง เชน บรการทระบอ

ยในสวนท 3 ทสามารถชวยจดหาขอมลส าหรบการด าเนนการเพอใหเปนไปตามขอ

ก าหนดการตรวจสอบเพมเตม ตวอยางเชน:

IAM

IAM ทจะจดท ารายการนโยบายการเขาถงทก าหนดและระบวาผใชและกลมตองม

สทธใดส าหรบการเขาถงทรพยากร AWS ทอยในขอบเขตการประเมน

หมายเหต: บางอนสแตนซจะสามารถก าหนดการเขาถงไดโดยตรงขณะทการเขาถงทรพยากร AWS

โดยสวนใหญจะถกควบคมผานนโยบาย IAM ต วอยางเชน S3 สามารถมนโยบายการเขา

ถงบคเกตทเปนเรองยากทจะระบใหเปนแบบตอผใช

Directory Service

หากคณใช Directory Service ส าหรบการจดการตวตนและการเขาถงภายในสภาพแวดลอมของคณ

การเขาถงบรการภายใน AWS ยงตองมการบนทกเปนเอกสารและมการตรวจสอบทกๆ หกเดอนเปน

อยางนอย

DE.5 ระบและตอบสนองตอเหตการณทนาสงสย

AWS ไมมระเบยบวธการตรวจหา การตอบสนอง หรอการวเคราะหการเกดเหตตามทระบไวใน DE.5

(และขอก าหนดของ PCI อนๆ) คณตองเขยนเอกสารนดวยตนเอง

อยางไรกตาม คณสามารถใช CloudTrail และ CloudWatch เพอตรวจหาเหตการณทนาสงสยเพอ

ชวยสนบสนนโปรแกรมการตอบสนองตอเหตการณได


A N I T I A N



4. สถาปตยกรรมอางอง สวนนจะก าหนดสถาปตยกรรมอางองสามแบบของ AWS ทใชกนแพรหลายเพอชวยคณสรางหรอ

ประเมนสภาพแวดลอมทสอดคลองตามมาตรฐาน PCI

1. แบบเฉพาะ: สภาพแวดลอม PCI ของ AWS ทไมมการเชอมตอใดๆ

2. แบบแบงเซกเมนต: CDE และระบบทอยในขอบเขตภายในสภาพแวดลอม AWS ทมขนาดใหญ

กวา

3. แบบเชอมตอ: สภาพแวดลอมทมทง AWS และรายการระบบแบบภายในองคกร

สถาปตยกรรมอางองเหลานใชแพลตฟอรม Microsoft Windows ส าหรบระดบชนเวบและ

แอปพลเคชนและ Amazon RDS ส าหรบระดบชนฐานขอมล โดยทวไปแลว สถาปตยกรรมจะ

เหมอนกน ขณะทแพลตฟอรมของระบบปฏบตการอนๆ อาจมการก าหนดคาแตกตางกนเลกนอย

หมายเหต: การก าหนดขอบเขตของการปฏบตตามมาตรฐานในสภาพแวดลอมทมการโฮสต

ของ AWS โดยสวนใหญจะเหมอนกบการก าหนดขอบเขตในสภาพแวดลอมแบบภายใน

องคกร ขอบเขตของการปฏบตตามมาตรฐานจะขนอยกบกลยทธการแบงเซกเมนตและ

ล าดบขนขอมลของผถอบตรทใชอย

A N I T I A N



4.1. สถาปตยกรรมแบบท 1: แบบเฉพาะ

สถาปตยกรรมนแสดงเวบไซตอคอมเมรชทโฮสตอยในบญช Amazon AWS แบบเฉพาะ และมอยใน

เครอขายสวนตวเพยงเครอขายเดยว

รปภาพ 2 - สถาปตยกรรมเวบไซตอคอมเมรชแบบสแตนดอโลน

ภาพรวม

ในสถาปตยกรรมอางองแบบเฉพาะ มสามซบเนตใน VPC คาเรมตน:

DMZ CDE

CDE ภายใน

การจดการภายใน

DMZ เปนเครอขายการเชอมตออนเทอรเนตทมเวบเซรฟเวอร EC2 Instance

A N I T I A N



ซบเนตภายในทอยในขอบเขตจะม Jumpbox ทใชเพอจดการและใหการสนบสนน การรกษาความ

ปลอดภย การแกไขความบกพรอง และบรการทจ าเปนอนๆ กบ CDE Instance

ซบเนตภายในสามารถเขาถงไดโดยอนสแตนซ DMZ และอนสแตนซทอยในขอบเขตผานทางกลม

ความปลอดภยเทานน (ตามรายละเอยดทอธบายไวดานลาง) และมอนสแตนซของแอปพลเคชน

เซรฟเวอรและ RDS

หมายเหต: Anitian สรางสครปต CloudFormation โดยใช AMI ทมการเสรมความปลอดภย

ส าหรบการใชสถาปตยกรรมอางอง

ขอบเขตของ PCI

CDE ประกอบดวยระบบตางๆ ในซบเนต CDE สองซบเนต:

เวบเซรฟเวอร

แอปพลเคชนเซรฟเวอร

อนสแตนซฐานขอมล RDS

ส าหรบขอบเขตน เวบเซรฟเวอรยอมรบ CHD แลวจงขามระดบชนแอปพลเคชนไปยง

ฐานขอมลส าหรบการจดเกบ

Jumpbox จะไมมการสง ด าเนนการ จดเกบ หรอจดการกบขอมลผถอบตรในสถาปตยกรรมน การใส

ลงในเครอขายการจดการแบบเฉพาะจะแยก Jumpbox ออกจาก CDE แตไมเปนการลบ

ออกจากขอบเขตการประเมนของ PCI เนองจากมการเชอมตอโดยตรงและอาจสงผลกระทบดาน

ความปลอดภยของโฮสตใน CDE

บรการ AWS ทเกยวของ

บรการ AWS ตอไปนชวยสนบสนนการปฏบตตามมาตรฐาน PCI 3.2 ส าหรบสถาปตยกรรมน:

บรการ AWS ขอก าหนดของ PCI ทสนบสนน

IAM

KMS

2.2.4, 3.4, 3.5, 3.5.22-3, 3.6, 3.6.1-5, 3.6.7, 6.4.1-2, 7.1, 7.1.1-3, 7.2, 7.2.1-3, 8.1, 8.1.1-2, 8.2, 8.2.1, 8.2.3-6, 8.3, 8.3.1, A.1.2

S3 3.1, 3.4, 10.5, 10.5.1-5, 10.7

CloudTrail

CloudWatch

10.1, 10.2, 10.2.2-7, 10.3, 10.3.1-6, 10.5, 10.5.1-5, 10.7, A.1.3

EC2


AMI

EBS

1.1, 1.1.4, 1.2, 1.2.1, 1.3, 1.3.1-7, 2.1,4.1, 6.4.1

RDS 3.4

Config 2.4, 11.5

VPC 1.2, 1.2.1, 1.3, 1.3.1-4, 1.3.6-7

A N I T I A N



การสราง

สวนนจะอธบายขนตอนหลกๆ ส าหรบการสรางสถาปตยกรรมอางอง

4.1.4.1. สรางกลม IAM และก าหนดสทธการใชงาน

อนดบแรก ใหก าหนดผทสามารถเขาถงและผทสามารถจดการสภาพแวดลอม AWS ก าหนดใหคณ

ตองระบบญชและรหสผานทงหมดอยางชดเจน เพอใหแนใจวาไมมคาเรมตนทใชรวมกน

รปภาพ 3 – สรางผใช

4.1.4.2. สรางคยการเขารหสของพนทเกบขอมล

ใช KMS เพอสรางคยส าหรบการเขารหสต าแหนงพนทจดเกบขอมล ในสถาปตยกรรมน ตองมคยท

สรางส าหรบอนสแตนซฐานขอมลทจะเกบขอมลของผถอบตร (CHD) อยางนอยหนงคย

รปภาพ 4 – การก าหนดคา KMS

A N I T I A N



ใน AWS คณสามารถแยกก าหนดสทธการใชงานเพอจดการคยการเขารหสและเพอใชคยส าหรบ

การเขารหส ซงท าใหสามารถบงคบใชสทธการใชงานขนต าได

หมายเหต: แมจะสามารถเขารหสไดรฟขอมลแบบไมใชรททเชอมโยงกบอนสแตนซ AWS

โดยใชคย KMS แตการเขารหสดสกจะมผลกระทบนอยทสดกบระบบปฏบตการทท างานอย

ในอนสแตนซ การจดการกบการเขาถงขอมลบนดสกทเขารหสไมไดถกแยกและไมองอยกบ

ระบบปฏบตการตามทก าหนดโดยขอก าหนดท 3.4.1 ของ PCI

การเปลยนคยการเขารหสทใชปองกนขอมลเปนประจ าเปนแนวทางปฏบตทดและเปนขอก าหนดของ

PCI (ขอก าหนดท 3.6.4) ซงจะจ ากดระยะเวลาทใชไดของคยทถกละเมดความปลอดภย

หลงจากการสรางคย ใหคลก URL ในสวนคยการเขารหสของบรการ Identity and Access

Management AWS การตงคาการหมนเวยนคยจะอยในคณสมบตทระบไวส าหรบคยทเลอก วธการน

ท าใหคณหมนเวยนคยโดยอตโนมตภายในชวงอายของคยทก าหนดซงสอดคลองตามขอก าหนดท

3.6.4

รปภาพ 5 – ตวเลอกการหมนเวยนคย

A N I T I A N



4.1.4.3. สรางซบเนต

ส าหรบสถาปตยกรรมน คณจ าเปนตองมซบเนตทแยกจากกนอยางนอยสซบเนต:

ซบเนต DMZ ส าหรบเวบเซรฟเวอร

ซบเนตการจดการส าหรบ Jumpbox

ซบเนตภายในสองซบเนตส าหรบระบบของแอปพลเคชนและฐานขอมล

o ซบเนตภายในเหลานตองอยใน Availability Zone ทตางกนดวย เพอใหเราสามารถ

ตงคาส ารองการท างานของ RDS ในขนตอนตอไป

รปภาพ 6 – การก าหนดคาซบเนต

A N I T I A N



ใชเพจการจดการบรการ VPC ในคอนโซล AWS เพอก าหนดคาซบเนต รวมถงส าหรบการใช

VPC EC2 Classic คาเรมตน

รปภาพ 7 - เพจการจดการบรการ VPC ทมสามซบเนตใหม

4.1.4.4. ก าหนดคาการก าหนดเสนทาง

เมอสรางซบเนตใหม จะมการใชตารางเสนทางหลกส าหรบ VPC ทมเพยงเสนทางเดยวท

อนญาตการรบสงขอมลภายในส าหรบซบเนตทสรางใหมเทานน

รปภาพ 8 - เสนทางภายใน

A N I T I A N



เฉพาะซบเนต DMZ และการจดการเทานนทตองมเสนทางไปยงอนเทอรเนตเกตเวย ซงเปนการตรวจ

สอบใหแนใจวาอนสแตนซในซบเนตเหลานรองรบการเชอมตออนเทอรเนตทงขาเขาและขาออกโด

ยตรง

รปภาพ 9 - เสนทางเกตเวยส าหรบ DMZ

4.1.4.5. สรางกลมความปลอดภย

กลมความปลอดภยจะท าหนาทเหมอนกบไฟรวอลลขาเขา กลมความปลอดภยจ ากดอนสแตนซ

ขาเขาในการเขาถงแหลงทมาทก าหนดไวลวงหนา โปรโตรคอล IP และพอรต TCP หรอ UDP บน

เครอขาย

รปภาพ 10 - กฎของกลมความปลอดภย

A N I T I A N



นอกจากน กฎดงกลาวยงสามารถอางองกลมความปลอดภยอนๆ ใน VPC เดยวกนเปนแหลงทมา

ทอนญาตดวย ตวอยางเชน คณสามารถอางองกลมความปลอดภยของแอปพลเคชน

เซรฟเวอรเพอจ ากดการเขาถง Microsoft SQL Server ส าหรบเฉพาะอนสแตนซทอยในกลมนนได

รปภาพ 11 – กลมความปลอดภยจะเปนแบบเกบสถานะและบลอกการเขาถงทงหมดทไมไดรบ

อนญาตอยางชดเจน

A N I T I A N



สถาปตยกรรมนใชกลมความปลอดภยหากลมเพอใหท างานส าหรบสถาปตยกรรมไดตามท

อธบายไว:

รปภาพ 12 - การออกแบบไฟรวอลลแบบลอจคล/กลมความปลอดภย

A N I T I A N



กลมความปลอดภยของเวบเซรฟเวอร

กลมนอนญาตใหเชอมตอเวบไคลเอนตขาเขาไดจากทกทและเชอมตอบรการเวบขาออกไปยง

แอปพลเคชนเซรฟเวอรภายใน

รปภาพ 13 - กฎขาเขาของกลมความปลอดภยของเวบเซรฟเวอร

รปภาพ 14 - กฎขาออกของกลมความปลอดภยของเวบเซรฟเวอร

กลมความปลอดภยของแอปพลเคชนเซรฟเวอร

กลมความปลอดภยนอนญาตใหเชอมตอบรการเวบขาเขาจากเวบเซรฟเวอรไปยงแอปพลเคชน

เซรฟเวอร

รปภาพ 15 - กฎขาเขาของกลมความปลอดภยของแอปพลเคชนเซรฟเวอร

A N I T I A N



กลมจะอนญาตใหเชอมตอ MySQL ขาออกไปยงอนสแตนซของฐานขอมล RDS

รปภาพ 16 - กฎขาออกของกลมความปลอดภยของแอปพลเคชนเซรฟเวอร

กลมความปลอดภยของฐานขอมล (RDS)

กลมความปลอดภยสามารถปองกนการเขาถงอนสแตนซ RDS บนเครอขายใหปลอดภยแมวา RDS จะใชเฉพาะกฎขาเขาเทานน

กฎเหลานอนญาตใหเชอมตอ MySQL จากแอปพลเคชนเซรฟเวอรและจากอนสแตนซ RDS อนๆ ใน

กลมเพอรองรบการจ าลองแบบฐานขอมล

รปภาพ 17 - กฎขาเขาของกลมความปลอดภยของเซรฟเวอรฐานขอมล

A N I T I A N



Management Security Group

Management Security Group เปนกลมพเศษทอนญาตให RDP และ ICMP เชอมตอจาก Jumpbox ไป

ยงอนสแตนซทงหมดเพอวตถประสงคในการจดการ

รปภาพ 18 - กฎขาเขาของกลมความปลอดภยของเซรฟเวอรการจดการ

กลมความปลอดภยของ Jump Box

Jumpbox ตองอนญาตใหมการเชอมตอจากทอย IP สาธารณะของเครอขายบรษทของคณเทานน

หมายเหต: คณตองใชการรบรองความถกตองโดยใชสองปจจยส าหรบการเขาถงจาก

ระยะไกลเพอใหเปนไปตามขอก าหนด 8.3 มผลตภณฑของบรษทอนจ านวนมากทสนบ

สนนการรบรองความถกตองนส าหรบระบบ Windows หรอ Linux AWS ไมสนบสนนการ

รบรองความถกตองโดยใชสองปจจยส าหรบการเขาถง EC2 Instance จากระยะไกลมาตงแต

ตน อยางไรกตาม AWS สนบสนนการรบรองความถกตองโดยใชหลายปจจยในการเขาถง

AWS ส าหรบขอมลเพมเตม โปรดดรายละเอยดของ AWS MFA และราคาท http://aws.amazon.com/iam/details/mfa/

รปภาพ 19 - กฎขาเขาของกลมความปลอดภยของเซรฟเวอร Jumpbox

http://aws.amazon.com/iam/details/mfa/

A N I T I A N



Jumpbox ตองมการสอสารขาออกไปยงเวบและแอปพลเคชนเซรฟเวอรเพอวตถประสงคใน

การจดการ

รปภาพ 20 - กฎขาออกของกลมความปลอดภยของเซรฟเวอร Jumpbox

4.1.4.6. สราง AMI ทมการเสรมความปลอดภยจากอนสแตนซทมความปลอดภย

PCI ก าหนดใหมการพฒนามาตรฐานการก าหนดคาความปลอดภยส าหรบคอมโพเนนตของ

ระบบทงหมด AWS อนญาตใหสรางอนสแตนซทปลอดภยหนงอนสแตนซเพอท าหนาทเปนเทมเพลต

ส าหรบการสรางระบบทมการรกษาความปลอดภยไวลวงหนา

เปดใชงานอนสแตนซใหมส าหรบแตละประเภททจ าเปนส าหรบการปรบใช ส าหรบสถาปตยกรรมน

ตองมเวบเซรฟเวอร แอปพลเคชนเซรฟเวอร และแอปพลเคชน หรออนสแตนซของเซรฟเวอร

พนฐานส าหรบ Jumpbox (ฐานขอมลจะใชบรการ AWS RDS)

รปภาพ 21 - การเลอก AMI ส าหรบการปรบใชอนสแตนซ

A N I T I A N



อนสแตนซเหลานมอายการท างานทนานพอส าหรบด าเนนการเสรมความปลอดภยของโฮสตและ

ขนตอนการก าหนดคาเทานน ตรวจสอบใหแนใจวาแตละอนสแตนซเหลานเปนสวนหนงของกลม

ความปลอดภย Jumpbox ซงอยในซบเนตการจดการ และม IP แบบยดหยนหรอ IP สาธารณะ เพอให

คณสามารถเชอมตอและจดการจากระยะไกลได

IP สาธารณะจดเตรยมโดย AWS เมอเปดใชงานอนสแตนซ ซงจะด าเนนการโดยอตโนมตใน VPC คา

เรมตน แตสามารถก าหนดคาโดยซบเนตใน VPC อนๆ (โปรดดท คมอการใชงาน Amazon VPC

ส าหรบขอมลเพมเตม)

IP แบบยดหยน (EIP) มการจดการโดยลกคาและเชอมโยงกบบญช AWS ไมใชอนสแตนซเฉพาะ คณ

สามารถก าหนดอนสแตนซทจะใช EIP เฉพาะโดยไมตองมการเปลยนแปลงทอย

เชอมตอและเสรมความปลอดภยใหกบอนสแตนซ

ตรวจสอบใหแนใจวาคณจดท าเอกสารขนตอนทงหมดในการรกษาความปลอดภยอนสแตนซไว

เนองจากผประเมนของคณจ าเปนตองตรวจสอบขนตอนเหลาน

หมายเหต: หรอคณสามารถใช AMI ทไดรบการเสรมความปลอดภยไวลวงหนาของ Anitian

ซงมเอกสารมาตรฐานการก าหนดคาการรกษาความปลอดภย บรการหลานจะม

อยใน AWS Marketplace

เมอคณด าเนนการเรยบรอยแลวและอนสแตนซพรอมใชงาน ใหปดเและสราง AMI แบบก าหนดเอง

จากอนสแตนซ

รปภาพ 22 - การสราง AMI จากอนสแตนซทเสรมความปลอดภย

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-ip-addressing.html#subnet-public-ip

A N I T I A N



4.1.4.7. เปดใชงานอนสแตนซจาก AMI ทเสรมความปลอดภย

สถาปตยกรรมนตองมอนสแตนซอยางนอยสามอนสแตนซ:

อนสแตนซ Jumpbox

o ใชเพอจดการสภาพแวดลอมจากระยะไกล

o ในซบเนตการจดการ จะตองม EIP หรอ IP สาธารณะ

อนสแตนซของเวบเซรฟเวอร

o สวนหนาไปยงแอปพลเคชนอคอมเมรช

o ในซบเนต DMZ ตองม EIP หรอ IP สาธารณะ

อนสแตนซของแอปพลเคชนเซรฟเวอร

o ชนของแอปทเรยกใชมดเดลแวรทมการเชอมตอโบรกเกอรระหวางเวบเซรฟเวอรและฐานข

อมล (RDS ในตวอยางน)

o ในซบเนตภายใน อนสแตนซสามารถเขาถงไดโดยเวบเซรฟเวอรและ Jumpbox เทานน และ

เปนอนสแตนซเดยวเทานนทมการเขาถงฐานขอมล

เปดใชงาน EC2 Instance จาก AMI ทสรางใหม

รปภาพ 23 - การเปดใชงานอนสแตนซจาก AMI

A N I T I A N



4.1.4.8. สรางกลมซบเนต

กลมซบเนตชวยให RDS สามารถตรวจสอบต าแหนงทตงของอนสแตนซทซ ากนเพอไมให

อนสแตนซหลกท างานลมเหลว

จดการกลมซบเนตจากเพจการจดการบรการ RDS สรางกลมซบเนตทมซบเนต CDE ภายในสอง

ซบเนตทสรางไวกอนหนาน

รปภาพ 24 - การสรางซบเนต RDS

A N I T I A N



4.1.4.9. สรางอนสแตนซ RDS ทเขารหส

เปดใชงานอนสแตนซ RDS ทเขารหสซงจดเกบ CHD โดยใชคย KMS และกลมซบเนตทสรางไวแลว

เมอสรางอนสแตนซ RDS จ าเปนตองใสใจเปนพเศษกบการตงคาบางอยางเพอใหเปนไปตาม

ขอก าหนดของ PCI คลาสของอนสแตนซฐานขอมลตองเปน db.m3.medium หรอสงกวาเพอให

สนบสนนการเขารหส

รปภาพ 25 - การเลอกคลาสของอนสแตนซทสนบสนนการเขารหส

A N I T I A N



นอกจากน คณตองแนใจวา:

เลอกกลมความปลอดภย RDS ทสรางขนกอนหนานเพอท AWS ไมตองสรางกลมความปลอดภย

ใหมทเปน “คาเรมตน”

เลอก “Yes” ส าหรบการเปดใชงานการเขารหส และเลอกคย KMS ทสรางไวกอนหนา

รปภาพ 26 - การเลอกกลมความปลอดภยและคยส าหรบการเปดใชงานการเขารหส

4.1.4.10. ตดตงซอฟตแวรแอปพลเคชน

เมออนสแตนซฐานขอมล RDS เตรยมการใชงานเรยบรอยแลว สภาพแวดลอมกจะพรอมใชงาน

หมายเหต: ขนตอนในสวนนจะเนนเกยวกบการใชประโยชนจากบรการ AWS ส าหรบการ

ปฏบตตามมาตรฐาน ขอก าหนดของ PCI เพมเตมจ านวนมากตองไดรบการด าเนนการให

สอดคลองกนเพอใหแนใจวาสภาพแวดลอมนเปนไปตามขอก าหนด รวม (แตไมจ ากดเพยง)

การปองกนไวรส การจดการแพตซ การจดการไฟลลอก การจดการชองโหว และการ

ตรวจสอบความสมบรณของไฟล

A N I T I A N



4.2. สถาปตยกรรมแบบท 2: แบบแบงเซกเมนต

สถาปตยกรรมนสรางขนจากการออกแบบกอนหนาน ซงจะแสดงเวบไซตอคอมเมรชทแบง

เซกเมนตมาจากระบบอนๆ ในสภาพแวดลอม Amazon AWS ทมอย

การแบงเซกเมนตระบบ CDE จากทจดเกบของบญช AWS จะจ ากดขอบเขตของการปฏบตตาม

มาตรฐาน PCI

รปภาพ 27 - สถาปตยกรรมของ CDE ทมการแบงเซกเมนตภายในสภาพแวดลอมของ AWS ทกวางขน

ภาพรวม

ในสถาปตยกรรมอางองแบบแบงเซกเมนต มสองเครอขายสวนตวอยใน VPC ทแยกออกจากกน:

CDE VPC

o ประกอบดวยซบเนต DMZ CDE, ซบเนตการจดการ และซบเนต CDE ภายใน

VPC นอกขอบเขต

o มสองซบเนตอยในเครอขายสวนตวทแบงเซกเมนตมาจาก CDE

ระบบและซบเนตในเครอขาย CDE VPC จะเหมอนกบระบบและซบเนตในสถาปตยกรรมแบบแรก VPC

ใหมเปนระบบเพมเตม และซบเนตทไมตองมการเชอมตอกบระบบ CDE ใดๆ สถาปตยกรรมน

แสดงใหเหนถงวธเอา VPC ใหมออกจากขอบเขตการประเมนของ PCI ผานทางการแบงเซกเมนต

ในการแบงเซกเมนตเครอขายนอกขอบเขต เครอขายดงกลาวตองไมเชอมตอกบ CDE ใน

สภาพแวดลอมแบบดงเดม โดยทวไปแลว สามารถท าไดโดยใชนโยบายไฟรวอลล สวตช ACL, VLAN

หรอการแบงเซกเมนตของเครอขายอนๆ และเทคโนโลยการแยกสวน

ใน AWS คณสามารถรวมกลมความปลอดภยและ VPC เขาดวยกนเพอใหสอดคลองกบการก าหนด

คาไฟรวอลลและเราเตอรทระบในขอก าหนดท 1.2 เชนทอธบายไวทดานบน กลมความปลอดภย

ควบคมการรบสงขอมลของอนสแตนซ VPC เปนพนทเครอขายสวนตวทแยกตางหากภายใน

A N I T I A N



เครอขาย AWS แตละ VPC ใชพนทวางของทอยแบบสวนตวของตนเองและแยกออกจากเครอขาย

อนๆ และทรพยากรอนๆ ในบญช AWS โดยเปนวธทสะดวกทสดในการใชการแบงเซกเมนต

เครอขายทถกตองส าหรบการลดขอบเขตของ PCI

หมายเหต: เพอตรวจสอบใหแนใจวา CDE VPC ในสถาปตกรรมอางองนมการแบงเซกเมนต

ออกจาก VPC ทอยนอกขอบเขต ระหวาง VPC ตองมการตงคาการเชอมตอแบบเพยรของ

VPC วธการนอาจน า VPC ทไมใช CDE ใหเขามาอยในขอบเขตการประเมน (ซงเปนกลยทธ

ทเหมาะสมในบางสถานการณ แตไมไดน ามาใชในตวอยางน)


CDE ประกอบดวยอนสแตนซในสถาปตยกรรมดงตอไปน โดยทงหมดจะอยภายในเครอขาย CDE

VPC แบบสวนตว:

เวบเซรฟเวอร

แอปพลเคชนเซรฟเวอร

ฐานขอมล RDS

VPC ใหมจะอยนอกขอบเขตส าหรบ PCI เนองจากการแบงเซกเมนตเครอขายตามทอธบายไว

ดานลาง


บรการ AWS ตอไปนชวยสนบสนนการปฏบตตามมาตรฐาน PCI ส าหรบสถาปตยกรรมน:


IAM

KMS

2.2.4, 3.4, 3.5, 3.5.2-3, 3.6, 3.6.1-5, 3.6.7, 6.4.1-2, 7.1, 7.1.1-3, 7.2, 7.2.1-3, 8.1, 8.1.1-2, 8.2, 8.2.1, 8.2.3-6, 8.3, 8.3.1, A.1.2

S3 3.1, 3.4, 10.5, 10.5.1-5, 10.7

CloudTrail

CloudWatch

10.1, 10.2, 10.2.2-7, 10.3, 10.3.1-6, 10.5, 10.5.1-5, 10.7, A.1.3

EC2


AMI

EBS

1.1, 1.1.4, 1.2, 1.2.1, 1.3, 1.3.1-7, 2.1, 4.1, 6.4.1

RDS 3.4

Config 2.4, 11.5

VPC 1.2, 1.2.1, 1.3, 1.3.1-4, 1.3.6-7

A N I T I A N





4.2.4.1. สราง VPC

สรางเครอขาย VPC ใหมเพอใหมอนสแตนซทอยนอกขอบเขตและแยกอนสแตนซทอยนอก

ขอบเขตออกจากอนสแตนซ CDE ทสรางไวในสถาปตยกรรมแบบแรก

รปภาพ 28 – การสราง VPC ใหม

A N I T I A N



VPC ใหมจะมอนสแตนซ NAT ทออกแบบมาใหท างานเหมอนกบเราเตอรของอนเทอรเนต

เกตเวยส าหรบซบเนตสวนตว เมอสราง VPN แลว คณสามารถลบอนสแตนซ NAT นเพอปองกนไมให

อนสแตนซอนๆ ในซบเนตใหมเขาถงอนเทอรเนตได

รปภาพ 29 – ก าหนดคา VPC ใหม

4.2.4.2. สรางผใช IAM, กลม และคย KMS

ทรพยากรของ IAM ไมใชแบบเฉพาะส าหรบส าหรบภมภาคหรอ VPC ทรพยากรทงหมดภายในบญช

AWS จะใชทรพยากร IAM เดยวกน

สรางรายการเหลานตามทอธบายไวขางตนในสวนท 4.1.4.1 และ 4.1.4.2

A N I T I A N



4.2.4.3. สรางทรพยากรใน VPC

เมอสรางทรพยากร ตรวจสอบใหแนใจวาเลอก VPC ทสรางใหมในรายการดรอปดาวน “VPC” ของ

แตละวซารดการสรางทรพยากร

หมายเหต: มทรพยากรของ AWS บางสวนเทานนทจะก าหนดใหกบ VPC หรอภมภาค

เดยวโดยเฉพาะ ไมพบทรพยากรบนแดชบอรด VPC ใหลองคนหาใน

คอนโซลการจดการบรการ EC2

รปภาพ 30 – สรางซบเนต VPC

4.2.4.4. การเขาถงอนเทอรเนต

เครอขาย VPC จะตองมอนเทอรเนตเกตเวยของตนเอง สรางเกตเวย แลวเชอมตอเขากบ VPC

รปภาพ 31 – การเชอมตออนเทอรเนตเกตเวยกบ VPC

รายการดรอปดาวน

VPC

A N I T I A N



4.3. สถาปตยกรรมแบบท 3: แบบเชอมตอ

สถาปตยกรรมนเปนการเชอมตอ CDE แบบภายในองคกรเขากบสภาพแวดลอมของ Amazon AWS

รปภาพ 32 – ระบบแบบภายในองคกรทมการเชอมตอใน AWS CDE

ภาพรวม

ในสถาปตยกรรมอางองแบบเชอมตอ มสามเครอขายสวนตวอยใน AWS และสองเครอขายภายใน

องคกร:

เครอขาย AWS

1. CDE VPC

เปน VPC จากสถาปตยกรรมแบบท 1 ทม DMZ และซบเนต CDE ภายใน

A N I T I A N



2. VPC นอกขอบเขต

เปน VPC ใหมจากสถาปตยกรรมแบบท 2 ทมการแบงเซกเมนตทงหมดโดยไมม

การเชอมตอแบบเพยรของ VPC

3. VPC ในขอบเขต

เปน VPC ใหม ซงมการเชอมตอกบ CDE ผานการเชอมตอแบบเพยรของ VPC

เครอขายแบบภายในองคกร

1. เครอขายภายในองคกรทอยในขอบเขต

เปนเซกเมนตเครอขายของลกคาทเชอมตอกบ AWS CDE ผานทาง VPN

2. เครอขายแบบภายในองคกรทอยนอกขอบเขต

เปนเครอขายของลกคาทแบงเซกเมนตจากเครอขายลกคาทอยในขอบเขตและ AWS

การขยายเครอขายแบบภายในองคกรไปยง VPC ใน AWS จะไมแตกตางไปจากการตงคา

การเชอมตอดวย VPN แบบธรกจตอธรกจอนๆ ในการตงคา VPN ทวไป ชองทางการเชอมตอ IPsec ม

การสอสารแบบสวนตวส าหรบเครอขายทเชอถอไดอยางนอยสองเครอขายไปยงเครอขายทไม

นาเชอถอ เชน อนเทอรเนต โดยสามารถใชเทคโนโลยเดยวกนเพอเขาถงเครอขาย VPC แบบ

สวนตวจาก VPC อน ๆ หรอแมกระทงในสภาพแวดลอมแบบภายในองคกร

นอกจากน ยงสามารถตงคาการเชอมตอเปนแบบโดยตรง แบบสวนตว แบบไมใชการเชอมตอดวย

VPN กบ AWS โดยใชบรการ Direct Connect Direct Connect สนบสนนการเชอมโยงทม

แบนดวดทสงและสามารถรวมเขากบการตดแทก 802.1q VLAN เพอสนบสนนการแบงเซกเมนต

แบบลอจคล การเชอมตอโดยใช Direct Connect จะไมไดรบการเขารหสตามหมายเหตในสวน 3.4

ขางตน การควบคมเพมเตม เชน VPN หรอการใช TLS อาจยงมความจ าเปนเพอใหเปนไปตาม

ขอก าหนดของ PCI 4.1 หากการเชอมตอเครอขายโดยตรงไมใชแบบสวนตว

สถาปตยกรรมนไมไดม Jumpbox เปนของตนเอง เนองจากระบบการจดการทอยในขอบเขต

แบบภายในองคกรสามารถบรหารจดการระบบ AWS CDE โดยไมตองเปลยนเปนขอบเขตการ

ประเมน

A N I T I A N




ขอบเขตการประเมนของ PCI ในสถาปตยกรรมอางองนประกอบดวย:

เครอขาย CDE VPC (เวบ แอป และระดบชนฐานขอมล)

เครอขาย VPC ทอยในขอบเขตใน AWS

เครอขายแบบภายในองคกรทอยในขอบเขต

เครอขายสองเครอขายทอยในขอบเขตจะไมม CHD แตมการเชอมตอกบ CDE สถาปตยกรรมน

แสดงใหเหนสองกรณการใชงานทพบโดยทวไปส าหรบระบบทอยในขอบเขตแบบเชอมตอ:

VPC ทอยในขอบเขตใน AWS มระบบทจะวเคราะหเวบแอปพลเคชน CDE (โดยไมมการเขาถง CHD)

เครอขายแบบภายในองคกรทอยในขอบเขตมระบบทใหการควบคมความปลอดภยส าหรบ CDE

เชน การปองกนมลแวรและการจดการโปรแกรมแพตซ

เครอขายสองเครอขายทอยนอกขอบเขตในสถาปตยกรรมอางองนไมมการเชอมตอเครอขายกบ

AWS CDE ตามทอธบายไวในสวน 4.3.1 ขางตน


บรการ AWS ตอไปนจะชวยสนบสนนการปฏบตตามมาตรฐาน PCI ส าหรบสถาปตยกรรมน:


IAM

KMS

2.2.4, 3.4, 3.5, 3.5.2-3, 3.6, 3.6.1-5, 3.6.7, 6.4.1-2, 7.1, 7.1.1-3, 7.2, 7.2.1-3, 8.1, 8.1.1-2, 8.2, 8.2.1, 8.2.3-6, 8.3, 8.3.1, A.1.2

S3 3.1, 3.4, 10.5, 10.5.1-5, 10.7

CloudTrail

CloudWatch

10.1, 10.2, 10.2.2-7, 10.3, 10.3.1-6, 10.5, 10.5.1-5, 10.7, A.1.3

EC2

กลมควำมปลอดภย

AMI

EBS

1.1, 1.1.4, 1.2, 1.2.1, 1.3, 1.3.1-7, 2.1, 4.1, 6.4.1

RDS 3.4

Config 2.4, 11.5

VPC 1.2, 1.2.1, 1.3, 1.3.1-4, 1.3.6-7

A N I T I A N





4.3.4.1. สราง VPC

สราง VPC ทอยในขอบเขตตามขนตอนในสถาปตยกรรมท 2: CDE แบบแบงเซกเมนต ตามทอธบาย

ไวในสวน 4.2 ขางตน

4.3.4.2. สรางการเชอมตอแบบเพยรของ VPC

สรางการเชอมตอแบบเพยรของ VPC ระหวาง CDE VPC และ VPC ทอยในขอบเขตทสรางใหม

รปภาพ 33 – การสรางการเชอมตอแบบเพยรของ VPC

A N I T I A N



4.3.4.3. ยอมรบการเชอมตอแบบเพยรของ VPC

หลงจากสรางการเชอมตอแบบเพยรของ VPC แลว ตองยอมรบค าขอการเชอมตอแบบเพยร การ

ยอมรบค าขอมความจ าเปน เนองจากการเชอมตอแบบเพยรของ VPC มการสนบสนนระหวาง VPC ใน

บญช AWS ทแตกตางกน

รปภาพ 34 – การยอมรบค าขอการเชอมตอแบบเพยรของ VPC

4.3.4.4. เพมเสนทางผานการเชอมตอแบบเพยรของ VPC

หลงจากยอมรบการเชอมตอแบบเพยรของ VPC คณสามารถเพมเสนทางไปยง VPC ทเชอมต

อแบบเพยรในตารางการก าหนดเสนทางใน CDE VPC ได อยาลมเพมเสนทางกลบจากซบเนต VPC ทอยในขอบเขต

รปภาพ 35 – การเพมเสนทางไปยง VPC ทเชอมตอแบบเพยร

A N I T I A N



4.3.4.5. ใชประโยชนจากทรพยากร VPC ทอยในขอบเขต

หลงจากเพมเสนทางแลว ระบบ VPC ทอยในขอบเขตจะสามารถเขาถง CDE ได เชน ระบบการ

วเคราะหทมการอางถงในตวอยางน

หมายเหต: คณจะตองปรบแกกลมความปลอดภยของ CDE หรอสรางขนใหม เพอ

อนญาตใหมการเชอมตอจาก CDE ทอยในขอบเขตไปยงอนสแตนซ CDE ทเหมาะสม

4.3.4.6. สรางเกตเวยของลกคา

สรางเกตเวยของลกคาภายใน CDE VPC ทรพยากรใน AWS นแสดงตวรวมชองสญญาณของ VPN ท

ไซตของลกคา

รปภาพ 36 – การสรางเกตเวยของลกคา

หมายเหต: เกตเวยของลกคายงสนบสนนการก าหนดเสนทาง IP แบบไดนามกโดยใช BGP

เชนกน หากเลอกแบบไดนามกไว เกตเวยยงตองการ ASN ส าหรบเครอขายทอย IP

ระยะไกลดวย

A N I T I A N



4.3.4.7. สรางเกตเวยสวนตวแบบเสมอน

สรางเกตเวยสวนตวแบบเสมอน (VPG) ภายใน VPC ทรพยากรใน AWS นแสดงปลายทางของ

การก าหนดเสนทาง AWS ส าหรบการเชอมตอดวย VPN

VPG เปนอนเทอรเฟสเครอขายพเศษทใชเพอสงและรบขอมลจากภายนอกเหมอนกบ

อนเทอรเนตเกตเวย เชอมโยง VPG กบ VPC หลงจากมการสราง

รปภาพ 37 – การสรางเกตเวยสวนตวแบบเสมอน

4.3.4.8. สรางการเชอมตอดวย VPN

AWS สนบสนนการเชอมตอดวย IPsec VPN มาตรฐานอตสาหกรรม ทรพยากรของ VPN AWS

เชอมตอระหวาง VPG และเกตเวยของลกคา

ส าหรบ VPN ใหระบ VPG และเกตเวยของลกคาทสรางไวขางตน

A N I T I A N



รายการ “Static IP Prefixes” เปนซบเนต IP ระยะไกลในการก าหนดเสนทางผานการเชอมตอดวย VPN

การเชอมตอดวย VPN มต าแหนงขอมลฝง AWS สองต าแหนงส าหรบส ารองการท างาน

รปภาพ 38 – การสรางการเชอมตอดวย VPN

A N I T I A N



4.3.4.9. ดาวนโหลดรายละเอยดการก าหนดคา IPsec

ดาวนโหลดการก าหนดคาทจ าเปนส าหรบการเชอมตอดวย VPN ภายในองคกร AWS สนบสนนไฟล

การก าหนดคาแบบดงเดมส าหรบผผลตไฟรวอลล/VPN รายตางๆ เชน Cisco และ Fortinet

รปภาพ 39 – การดาวนโหลดการก าหนดคา VPN

A N I T I A N



ตวเลอก Generic อนญาตใหดาวนโหลดไฟลขอความทมรายละเอยดการเชอมตอดวย VPN หากคณ

มอปกรณทไมไดระบไว

รปภาพ 40 – ตวอยางไฟลการก าหนดคา VPN ทวไป

A N I T I A N



4.3.4.10. ตรวจสอบสถานะชองทางการเชอมตอ VPN

หลงจากการก าหนดคาต าแหนงขอมล Client VPN ภายในองคกร ตรวจสอบวาสามารถสราง VPN ได

หรอไม ดสถานะชองทางการเชอมตอจากแทบ “Tunnel Details” ของหนาตางรายละเอยด

ทรพยากรของ VPN

การดสถานะชองทางการเชอมตอ VPN

4.3.4.11. ใชประโยชนจากทรพยากรภายในองคกร

หลงจากการสรางชองทางการเชอมตอ VPN ระบบทอยในขอบเขตภายในองคกรจะพรอมส าหรบ

การใชงานภายใน AWS CDE เชน คอนโซล AV และการจดการโปรแกรมแพตซทอางถงในตวอยางน

A N I T I A N



5. บทสรป AWS เปนแพลตฟอรมระบบคลาวดทมประสทธภาพสงและมความสามารถมากมายในการสนบสนน

สภาพแวดลอมทสอดคลองตามมาตรฐาน PCI ทงหมด อยางไรกตาม สงส าคญกคอคณและผตรวจ

ประเมน PCI ตองเขาใจถงความสามารถเหลาน

คมอฉบบนอธบายถงประเดนเหลานเพยงบางสวน ทายทสดแลว การปฏบตตามมาตรฐาน PCI ให

ส าเรจไดนนขนอยกบวาคณปรบใช ก าหนดคา จดการ และจดท าเอกสารเกยวกบสภาพแวดลอม

ไดมประสทธภาพมากนอยเพยงใด แมวา AWS จะมแพลตฟอรมทยอดเยยมส าหรบการปฏบต

ตามมาตรฐาน PCI แตคณกตองเขาใจวธการท AWS สนบสนนขอก าหนดตางๆ ของ PCI เพอใหคณ

สามารถใชงานไดอยางถกตอง

5.1. การสนบสนน

หากคณตองการขอรบการสนบสนนเกยวกบ AWS โปรดตดตอ ฝายสนบสนนดานเทคนค AWS ของ Amazon

หากคณตองการรบบรการใหค าปรกษาหรอการประเมน Anitian สามารถชวยคณได เรามบรการ

ส าหรบการปฏบตตามมาตรฐาน PCI อยางครอบคลม รวมถงการทดสอบเจาะระบบ การสแกนความ

เสยง การรวมเทคโนโลย และการประเมน QSA

ตดตอเราท: 888-264-8456, อเมล [email protected] หรอไปทเวบไซตของเราท www.anitian.com

https://aws.amazon.com/premiumsupport/

mailto:[email protected]

http://www.anitian.com/

A N I T I A N



.

A N I T I A N



APPENDIX A. สรปตารางความรบผดชอบ PCI DSS ของ AWS ตารางตอไปนจะสรปความรบผดชอบส าหรบการปฏบตตามมาตรฐาน PCI ระหวาง AWS และลกคา

ขอก าหนด ความรบผดชอบของ AWS ความรบผดชอบของลกคา

ขอก าหนดท 1:

ตดตงและดแล

รกษาการก าหนดคา

ไฟรวอลลเพอ

ปกปองขอมลของผ

ถอบตร

บรการทอยในขอบเขต

ทงหมด: AWS ดแล

รกษาการแยก

อนสแตนซส าหรบ

ระบบปฏบตการของ

โฮสตและสภาพแวดลอม

การจดการของ AWS

รวมถงการก าหนดคา

ระบบปฏบตการของ

โฮสต ไฮเปอรไวเซอร,

ไฟรวอลล และ

กฎไฟรวอลลพนฐาน

AWS ปฏบตตาม

ขอก าหนดทงหมด

ส าหรบการด าเนนการ

และการจดการไฟร

วอลลส าหรบ

สภาพแวดลอมการ

จดการของ AWS

Amazon EC2 และ

Amazon ECS: กลมความ

ปลอดภยของ Amazon

VPC และ ACL เครอขาย

จะใชการตรวจสอบการ

ควบคมการเขาถง

เครอขายแบบเกบ

สถานะ และมความ

เหมาะสมเพอให

สอดคลองกบการแบง

เซกเมนตของเครอขาย

Amazon EC2 และ Amazon ECS: ลกคา

ของ AWS มหนาทในการก าหนด

กลมความปลอดภยและกฎการควบคมกา

รเขาถงเครอขาย

A N I T I A N




ไมใชคาเรมตนท

ก าหนดโดยผจด

จ าหนายเปนรห

สผานของระบบ

และพารามเตอรการ

รกษาความ

ปลอดภยอนๆ


ทงหมด: AWS พฒนา

และดแลรกษามาตรฐาน

การก าหนดคาและการ

เสรมความปลอดภย

ส าหรบสภาพแวดลอม


โดยจดหาแอปพลเคชน

และเทคโนโลยการ

จ าลองเสมอนส าหรบ

การใหบรการบนระบบ

คลาวด

AWS ดแลรกษาม

าตรฐานการก าหนดคา

และมาตรฐานการเสรม

ความปลอดภยส าหรบ

ระบบปฏบตการพนฐาน

และแพลตฟอรมส าหรบ

บรการเหลาน


ของ AWS มหนาทรบผดชอบส าหรบการ

เปลยนแปลงการก าหนดคาเรมตนของผ

จ าหนาย การควบคมระบบ

ความปลอดภย และรหสผานเรมตน

ของผจ าหนาย

บรการทอยในขอบเขตทงหมด: ลกคา

ของ AWS มหนาทในการรกษา

ความปลอดภยและปฏบตตามการ

ก าหนดคาส าหรบรายการทลกคา

สามารถก าหนดคาไดทงหมด ซงอาจ

รวมถงการก าหนดคาระบบปฏบตการ

(OS) ส าหรบอนสแตนซ Amazon EC2

และAmazon ECS, การเขาสระบบและการ

เกบรกษาไฟลลอกของบรการฐานขอมล

หรอสทธในฟงกชนการจดการของ AWS


ปกปองขอมลของผ

ถอบตรทจดเกบไว


ทงหมด: AWS Key Management Service

(AWS KMS) มการ

รกษาความปลอดภยคย

โดยใชอปกรณรกษา

ความปลอดภยฮารดแวร

และมฟงกชนเพอใชและ

จดการคย

AWS CloudHSM มการร

กษาความปลอดภยคย

และมฟงกชนการ

เขารหสโดยใชอปกรณ

รกษาความปลอดภย

ฮารดแวรเฉพาะลกคา


ของ AWS มหนาทรบผดชอบส าหรบการ

เปลยนแปลงการก าหนดคาเรมตนของผ

จ าหนาย การควบคมระบบความปลอดภย

และรหสผานเรมตนของผจ าหนาย


AWS มหนาทในการใชการเขารหส

ส าหรบการเชอมตอเครอขายภายในและ

ภายนอกทเกยวของทงหมด (ซงอาจตอง

ใชการเขารหส API ทเปนตวเลอกของ

AWS)

AWS KMS และ AWS CloudHSM: ลกคา

ของ AWS มหนาทในการสราง ใช และ

จดการคยการเขารหสตามมาตรฐานการ

รกษาความปลอดภยขอมลของ PCI


เขารหสขอมลของผ

ถอบตรทสงผาน

เครอขายสาธารณะ

แบบเปด


ทงหมด: AWS เขารหส

การเขาถงและจดการกบ

การเขารหสภายใน




AWS มหนาทในการใชการเขารหส

ส าหรบการเชอมตอเครอขายภายในและ

ภายนอกทเกยวของทงหมด (ซงอาจตอง

ใชการเขารหส API ทเปนตวเลอกของ

AWS)

A N I T I A N



ขอก าหนดท 5: ใช

ซอฟตแวรหรอ

โปรแกรมปองกน

ไวรสและอปเดตเปน

ประจ า


ทงหมด: AWS จดการ

ซอฟตแวรปองกนไวรส

ส าหรบสภาพแวดลอม


และบรการทระบ

ตามความเหมาะสม


ของ AWS มหนาทในการใช

ซอฟตแวรปองกนไวรสบนอนสแตนซ

ระบบปฏบตการทมการจดการโดยลกคา

ทมกจะไดรบมลแวร


พฒนาและดแลรกษ

าระบบและ

แอปพลเคชนใหมค

วามปลอดภย



รกษาการแกไขความ

บกพรองดานความ

ปลอดภย พฒนาและ

เปลยนแปลงการควบคม

แอปพลเคชนทสนบสนน

บรการตางๆ ทรวมอยใน

การประเมน รวมถง เวบ

อนเทอรเฟส, API, การ

ควบคมการเขาถง การ

จดเตรยมและกลไกการ

ปรบใชงาน

AWS พฒนาและ

จดการกบการ

เปลยนแปลงของ

แอปพลเคชนทสนบสนน

บรการตางๆ ทรวมอยใน

การประเมน รวมถงเวบ

อนเทอรเฟส, API, การ

ควบคมการเขาถง การ

จดเตรยมและกลไกการ

ปรบใชงาน


ของ AWS มหนาทในการเฝาตรว

จสอบชองโหวของระบบปฏบตการและ

แอปพลเคชนทวางจ าหนาย และใช

โปรแกรมแพตชตามความเหมาะสม

ลกคาตองใชการควบคมการเปลยนแปลง

ทมการจดท าเปนเอกสารส าหรบการ

ก าหนดคาและโคดของลกคาทงหมด

ลกคาทพฒนาโคดแบบก าหนดเอง

ส าหรบใชในการสง ด าเนนการ หรอ

จดเกบบตรเครดตตองปฏบตตามข

อก าหนดส าหรบการพฒนาและการ

ทดสอบทมความปลอดภย

ไฟรวอลลส าหรบเวบแอปพลเคชน AWS

(AWS WAF): ลกคามหนาทในการ

ปองกนเวบแอปพลเคชนของตนจากการ

โจมตเวบทพบบอย ซงรวมถง (แตไม

จ ากดเพยง) การก าหนดคารายการ

ควบคมการเขาถง และกฎไฟรวอลล

ของเวบแอปพลเคชนส าหรบการกรอง

การรบสงขอมลจากเวบแอปพลเคชนของ

ลกคา


จ ากดการเขาถง

ขอมลของผถอบตร

เฉพาะผท

จ าเปนตองท

ราบเทานน



รกษาการควบคมการ

เขาถงทเกยวของกบ

ระบบโครงสรางพนฐาน

ส าคญและ




ของ AWS มหนาทควบคมก

ารเขาถงภายในอนสแตนซของ

ระบบปฏบตการทงหมด


ของ AWS มหนาทควบคมการเขาถงท

สามารถก าหนดคาไดภายในบรการ เชน

ผใชฐานขอมลภายใน Amazon RDS

A N I T I A N



ขอมลประจ าตว AWS IAM และ AWS:

ลกคาของ AWS มหนาทในการจดการ

กบการเขาถงบรการ AWS ทงหมดท

รวมอยใน CDE ของตน สามารถใช AWS

IAM เพอก าหนดคาการจดการกบระบบ

จดการทรพยากร รวมถงบทบาทและ

สทธในการก าหนดคา AWS ลกคาม

หนาทในการก าหนดคาการควบคม

เซสชนและบญช AWS ใหเปนไปตาม

ขอก าหนดของ PCI ลกคาจะตองรบ

ทราบถงแนวทางปฏบตของ AWS

เกยวกบขอมลประจ าตวและการควบคม

การเขาถงส าหรบการจดการทรพยากร

ของ AWS


ก าหนดรหส

ประจ าตวทไมซ ากน

ใหกบแตละบคคลท

มสทธเขาถง

คอมพวเตอร


ทงหมด: AWS จะ

ก าหนดรหสประจ าตวท

ไมซ ากนใหกบผใชแต

ละคนในสภาพแวดลอม


AWS มตวเลอกการ


เพมเตมทชวยใหลกคา

ของ AWS สามารถ

ปองกนบญช AWS และ

ควบคมก

ารเขาถงไดมากขน ซง

ไดแก AWS Identity and Access Management (AWS IAM), Multi-Factor Authentication

(MFA) และการ

หมนเวยนคย


ของ AWS มหนาทควบคมการเขาถง

ภายในอนสแตนซของระบบปฏบตการ

ทงหมด


ของ AWS มหนาทควบคมการเขา

ถงทสามารถก าหนดคาไดภายในบรการ

เชน ผใชฐานขอมลภายใน Amazon RDS

ขอมลประจ าตว AWS IAM และ AWS:

ลกคาของ AWS มหนาทในการจดการ

กบการเขาถงบรการ AWS ทงหมดท

รวมอยใน CDE ของตน สามารถใช AWS

IAM เพอจดการกบระบ

บจดการทรพยากร รวมถงบทบาทและ

สทธในการก าหนดคา AWS ลกคาม

หนาทในการก าหนดคาการควบคม

เซสชนและบญช AWS ใหเปนไปตาม

ขอก าหนด ลกคาจะตองรบทราบถง

แนวทางปฏบตของ AWS เกยวกบขอมล

ประจ าตวและการควบคมการเขาถง

ส าหรบการจดการทรพยากรของ AWS


จ ากดสทธการ

เขาถงขอมลผถอ

บตรทางกายภาพ



รกษาการควบคมความ

ปลอดภยทางกายภาพ

และการจดการสอ

บรการทอยในขอบเขตทงหมด: สอใดๆ

ทสรางขนภายนอกสภาพแวดลอม AWS

ถอเปนความรบผดชอบของลกคาแต

เพยงผเดยว

A N I T I A N



ส าหรบบรการตางๆ ท

รวมอยในการประเมน


ตดตามและ

ตรวจสอบการ

เขาถงทรพยากร

เครอขายและขอมล

ของผถอบตร

ทงหมด



รกษาและตรวจสอบลอก

การตรวจสอบส าหรบ


จดการของ AWS และ

โครงสรางพนฐานการ

บรการของ AWS

Amazon EC2 และ Amazon ECS: ลกค

าของ AWS มหนาทในการลงบนทกลอก

ภายในอนสแตนซของระบบปฏบตการ

ทงหมด

คอนโซล AWS IAM และ AWS: ผใช

สามารถใชไฟลลอกกจกรรมของผใช

เกยวกบกจกรรมการจดการทรพยากร

โดยใชคอนโซลและบรรทดค าสงผาน

ทาง Amazon AWS CloudTrail ตองใช

Amazon AWS CloudTrail ในการลง

บนทกและตรวจสอบกจกรรมการจดการ

ทรพยากรของ AWS

Amazon S3: ผใชมหนาทในการ

ก าหนดคาการบนทกลอกบคเกตและ

ตรวจสอบไฟลลอก

Amazon RDS และ Amazon Redshift:

ผใชมหนาทในการก าหนดคาการ

บนทกลอกการเขาถงฐานขอมลและ

ตรวจสอบไฟลลอก

Amazon EMR: ลกคาทใช Amazon EMR

เพอจดเกบขอมลผถอบตรมหนาทในการ

ลงบนทกลอกการเขาถง

Amazon SimpleDB และ Amazon

DynamoDB: ลกคาทใชฐานขอมลเหลาน

มหนาทในการลงบนทกลอกการเขาถง

AWS Config: ลกคาทใช AWS Config

เพอจดเกบขอมลการก าหนดคาและ

รายการทรพยากรมหนาทในการลง

บนทกลอกการเขาถงและการตรวจสอบ

ลอก

AWS WAF: ลกคาทใช AWS WAF เพอ

ปกปองแอปพลเคชนทเชอมตอกบระบบ

สาธารณะรวมถงแอปพลเคชนฐานขอมล

ทจดเกบขอมลผถอบตรมหนาทในการลง

บนทกลอกการเขาถงและตรวจสอบ


ของ AWS มหนาทในการก าหนดคาการ

ลงบนทกลอกภายในบรการ โดยสามารถ

A N I T I A N



ใช AWS CloudTrail เพอลงบนทกลอก

การเรยกใช API ของ AWS ทงหมด

ลกคามหนาทในการตรวจสอบลอก

ส าหรบเหตการณดานความปลอดภย

อาจใชการตรวจสอบลอกรวมกบ

CloudWatch หรอผใหบรการรายอน


ทดสอบระบบและ

กระบวนการรกษา

ความปลอดภยอย

เปนประจ า


ทงหมด: AWS จะ

ด าเนนการตรวจจบ

จดเชอมตอแบบไรสายท

หลอกหลวง ทดสอบ

ชองโหวและการเจาะ

ระบบ ตรวจจบ

การบกรก และเฝา

ตรวจสอบความสมบรณ

ของไฟลส าหรบ


จดการของ AWS และ

บรการตางๆ ทระบ

AWS ใชงานและตร

วจสอบ IDS/IPS บน

เครอขายทใชบรการ

AWS


ของ AWS ตองมการสแกนภายในและ

ภายนอก และการทดสอบเจาะระบบของ

อนสแตนซและเครอขายแบบเสมอนของ

ตน ลกคาตองปฏบตตามกระบวนการของ

AWS ส าหรบการสแกนและการทด

สอบเจาะระบบ:

http://aws.amazon.com/security/

penetration-testing/

ลกคาของ AWS มหนาทในการใชงานฟ

งกชน IDS ซงโดยทวไปแลวเปนการใช

IDS ทใชโฮสต (HIDS) บนเชกเมนต

เครอขายทพวกเขาด าเนนการและจดการ


ดแลรกษานโยบาย

ส าหรบการรกษา

ความปลอดภย

ขอมลของพนกงาน

และผรบเหมา



รกษาขนตอนและ

นโยบายความปลอดภย

การฝกอบรมความ

ตระหนกดานความ

ปลอดภย แผนรบมอ

เหตการณดานความ

ปลอดภย และ

กระบวนการดาน

ทรพยากรบคคลท

สอดคลองกบขอก าหนด

ของ PCI


ของ AWS ตองรบผดชอบตอนโยบาย

และขนตอนทงหมด ลกคาของ AWS

ควรรวม AWS ไวเปนหนงในผใหบรการ

โครงสรางพนฐานส าหรบขอก าหนดท

12.8 การแจงเตอนจาก AWS ตองเปน

สวนหนงของ IRP ส าหรบขอก าหนดท 12.10

A N I T I A N



ขอก าหนด A: ผ

ใหบรการโฮสตง

แบบใชงานรวมกน

ตองปกปอง

สภาพแวดลอม

ขอมลของผถอบตร


ทงหมด: ขอมลและ

อนสแตนซของลกคา

AWS ไดรบการปกปอง

ดวยมาตรการในการ

แยกอนสแตนซและการ


อนๆ ในสภาพแวดลอม


บรการทอยในขอบเขตทงหมด:

นอกจากน ลกคาของ AWS ยงอาจถอวา

เปนผใหบรการโฮสตงทใชรวมกนได

หากมการเรยกใชแอปพลเคชนหรอ

จดเกบขอมลส าหรบลกคาของตน

ในกรณน ลกคามหนาทตองปกปอง

ขอมลของลกคาของตนภายในบรการ

AWS ทเกยวของ

ภาคผนวก A2:

ขอก าหนดเพมเตมข

อง PCI DSS

ส าหรบหนวยงานท

ใช SSL/TLS

กอนหนา


ทงหมด: AWS เขารหส

การเขาถงและจดการกบ

การเขารหสการสง

ขอมลภายใน


จดการของ AWS โดย

ใช TLS 1.1 หรอใหม

กวา


ของ AWS มหนาทตองใช TLS 1.1 หรอสง

กวา หรอการอปเกรดเปน TLS 1.1 หรอสง

กวาภายในวนท 30 มถนายน 2018 หาก

มการใช TLS 1.0 หรอ SSLv3 ใน

สภาพแวดลอมของขอมลผถอบตร ลกคา

ของ AWS มหนาทในการจดท าแ

ผนการลดความเสยงและแผนการถาย

โอนระบบอยางเปนทางการส าหรบการ

ถายโอนระบบเปน TLS 1.1 หรอสงกวา

กอนวนท 30 มถนายน 2018

A N I T I A N



APPENDIX B. การอางอง ตารางตอไปนเปนการสรปขอมลลงกทงหมดทมการอางถงในคมอทางเทคนคฉบบน

สวน แหลงขอมล ลงก

1.2.3 PCI DSS เวอรชน 3.1 https://www.pcisecuritystandards.org/security_standards/documents.php

1.2.3 การจดการ

สภาพแวดลอมของ AWS

http://aws.amazon.com/getting-started/

1.2.3 หลกเกณฑการ

ประมวลผลบนระบบ

คลาวดของ PCI

https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_Cloud_Guidelines.pdf

2 ค าถามทพบบอย

เกยวกบ AWS PCI Level 1

http://aws.amazon.com/compliance/pci-dss-level-1-faqs

2.3.1 การขอรบส าเนา

ของ AWS AOC


3.3 การเขารหส EBS http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#EBSEncryption_supported_instances

3.3 Amazon S3 Server Side Encryption


3.3 การอปโหลด

ออบเจกตของ Amazon S3

http://docs.aws.amazon.com/AmazonS3/latest/UG/UploadingObjectsintoAmazonS3.html

3.3 รายละเอยดการ

เขารหส AWS KMS

https://d0.awsstatic.com/whitepapers/KMS-Cryptographic-Details.pdf

3.3 การหมนเวยนคย

API ของ AWS KMS

http://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html

3.3 การสราง AWS KMS

ดวยตนเอง

http://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

3.3 การบนทกลอกโดย

ใช CloudTrail

http://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html

3.4 ตารางนโยบาย

ความปลอดภยของ ELB

http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-security-policy-table.html

3.4 ค าถามทพบบอย

เกยวกบ VPC

http://aws.amazon.com/vpc/faqs/

A N I T I A N



3.6 AWS Linux Security Center

https://alas.aws.amazon.com/

3.7 คมอการจดการ

ไดเรกทอรส าหรบ

ผดแลระบ

http://docs.aws.amazon.com/directoryservice/latest/adminguide/directory_management.html

3.8 Directory Service –

การสรางไดเรกทอร

http://docs.aws.amazon.com/directoryservice/latest/adminguide/create_directory.html

3.10 บนทกการอางอง

เหตการณของ CloudTrail

http://docs.aws.amazon.com/awscloudtrail/latest/userguide/event_reference_record_body.html

3.10 การก าหนดคาวงจร

การท างานของ Amazon S3

http://docs.aws.amazon.com/AmazonS3/latest/UG/LifecycleConfiguration.html

3.11, 3.15

ขอมลการทดสอบ

เจาะระบบของ AWS


4.1.4.6 คมอการใชงาน Amazon VPC

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-ip-addressing.html#subnet-public-ip

5.1 การสนบสนนทาง

เทคนคของ AWS

https://aws.amazon.com/premiumsupport/

5.1 เวบไซต Anitian www.anitian.com

การปฏิบัติตามมาตรฐาน PI ใน AWS loud · 2.1....

Documents

Transcript of การปฏิบัติตามมาตรฐาน PI ใน AWS loud · 2.1....