การปฏิบัติตามมาตรฐาน PI ใน AWS loud · 2.1....
Transcript of การปฏิบัติตามมาตรฐาน PI ใน AWS loud · 2.1....
คมอทางเทคนค
การปฏบตตามมาตรฐาน PCI ใน AWS Cloud
วนทรายงาน: 19 มกราคม 2017
ผเขยน: Adam Gaydosh, QSA
Jordan Wiseman, QSA ANIT IAN
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 1
ลขสทธ © 2016, Anitian Corporation
ลขสทธ ลขสทธ © 2016 โดย Anitian Corporation
สงวนสทธทกประการ หามการท าซ า แจกจาย หรอสงตอสวนหนงสวนใดของเอกสารฉบบน
ไมวาในรปแบบหรอโดยวธการใดๆ รวมถงการถายส าเนา การบนทก หรอวธการทาง
อเลกทรอนกสหรอทางกลไกอนๆ โดยไมไดรบอนญาตทเปนลายลกษณอกษรลวงหนาจาก
Anitian Corporation ยกเวนในกรณการอางถงถอยความสนๆ ในบทวจารณและการใชทไมไดเปน
ไปเพอการคาอนๆ ทไดรบอนญาตตามกฎหมายลขสทธ
ส าหรบการขออนญาต โปรดสงค าขอไปยงส านกพมพตามทอยดานลาง:
Anitian Corporation
9780 SW Shady Ln, Suite 100
Portland OR, 97223
www.anitian.com
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 2
ลขสทธ © 2016, Anitian Corporation
สารบญ 1. ขอมลสรป ................................................................................................................................. 4
1.1. กลมเปาหมาย ........................................................................................................................................ 4
1.2. ขอสนบสนน .......................................................................................................................................... 4
การปฏเสธความรบผดตามสภาพทเปนอย ............................................................................ 4
จดประสงค ................................................................................................................................ 5
ความรทเปนขอก าหนดเบองตน ............................................................................................. 5
การก าหนดขอบเขตของ PCI ................................................................................................... 5
การควบคมแบบทดแทน .......................................................................................................... 5
2. ภาพรวมเกยวกบการปฏบตตามมาตรฐาน PCI ของ AWS .............................................................. 6
2.1. สถานะการปฏบตตามมาตรฐาน PCI ของ AWS ................................................................................... 6
2.2. ขอบเขตการปฏบตตามมาตรฐาน PCI ของ AWS ................................................................................ 6
บรการ AWS ทอยนอกขอบเขต ............................................................................................... 8
2.3. ความรบผดชอบตอการปฏบตตามมาตรฐาน PCI ของ AWS .............................................................. 9
ความรบผดชอบของ Amazon - ความปลอดภยของ ระบบคลาวด ........................................ 9
ความรบผดชอบของลกคา - ความปลอดภยในระบบคลาวด ............................................ 10
3. ค าแนะน าทวไปเกยวกบ PCI DSS .............................................................................................. 11
3.1. ขอก าหนดท 1: ตดตงและดแลรกษาการก าหนดคาไฟรวอลลเพอ
ปกปองขอมลของผถอบตร ............................................................................................................................. 11
3.2. ขอก าหนดท 2: ไมใชคาเรมตนทก าหนดโดยผจ าหนายเปนรหสผาน
ของระบบและพารามเตอรการรกษาความปลอดภยอนๆ ............................................................................ 12
3.3. ขอก าหนดท 3: ปกปองขอมลของผถอบตรทจดเกบไว ................................................................... 13
3.4. ขอก าหนดท 4: เขารหสขอมลของผถอบตรทสงผานเครอขายสาธารณะแบบเปด ..................... 15
3.5. ขอก าหนดท 5: ปกปองระบบทงหมดจากมลแวรและอปเดต
ซอฟตแวรหรอโปรแกรมปองกนไวรสเปนประจ า ........................................................................................ 17
3.6. ขอก าหนดท 6: พฒนาและดแลรกษาระบบและแอปพลเคชนใหมความปลอดภย ....................... 17
3.7. ขอก าหนดท7: จ ากดการเขาถงขอมลของผถอบตรเฉพาะผทจ าเปนตองทราบเทานน .............. 18
3.8. ขอก าหนดท 8: ระบและรบรองความถกตองในการเขาถงคอมโพเนนตของระบบ ...................... 18
3.9. ขอก าหนดท 9: จ ากดสทธการเขาถงขอมลผถอบตรทางกายภาพ ................................................ 19
3.10. ขอก าหนดท 10: ตดตามและตรวจสอบการเขาถงทรพยากร
เครอขายและขอมลของผถอบตรทงหมด ..................................................................................................... 19
3.11. ขอก าหนดท 11: ทดสอบระบบและกระบวนการรกษาความปลอดภยอยเปนประจ า .................... 20
3.12. ขอก าหนดท 12: ดแลรกษานโยบายส าหรบการรกษาความ
ปลอดภยขอมลส าหรบบคลากรทงหมด ........................................................................................................ 21
3.13. ภาคผนวก A.1: ผใหบรการโฮสตงแบบใชงานรวมกนตองปกปอง
สภาพแวดลอมขอมลของผถอบตร ................................................................................................................ 21
3.14. ภาคผนวก A.2: ขอก าหนดเพมเตมของ PCI DSS ส าหรบหนวยงานทใช SSL/TLS กอนหนา .......... 21
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 3
ลขสทธ © 2016, Anitian Corporation
3.15. ภาคผนวก A.3: การตรวจสอบความถกตองเพมเตมส าหรบหนวยงานทไดรบอนญาต (DESV) ... 21
DE.1 ใชโปรแกรมการปฏบตตามมาตรฐาน PCI DSS ............................................................ 22
DE.2 จดท าเอกสารและตรวจสอบขอบเขตของ PCI DSS ...................................................... 22
DE.3 การตรวจสอบ PCI DSS จะถกรวมอยในกจกรรมทมการด าเนนการตามปกต (BAU) . 23
DE.4 ควบคมและจดการการเขาถงสภาพแวดลอมขอมลผถอบตรทางลอจคล................. 23
DE.5 ระบและตอบสนองตอเหตการณทนาสงสย ................................................................. 23
4. สถาปตยกรรมอางอง ............................................................................................................... 24
4.1. สถาปตยกรรมแบบท 1: แบบเฉพาะ .................................................................................................. 25
ภาพรวม .................................................................................................................................. 25
ขอบเขตของ PCI ..................................................................................................................... 26
บรการ AWS ทเกยวของ ......................................................................................................... 26
การสราง ................................................................................................................................. 27
4.2. สถาปตยกรรมแบบท 2: แบบแบงเซกเมนต ...................................................................................... 43
ภาพรวม .................................................................................................................................. 43
ขอบเขตของ PCI ..................................................................................................................... 44
บรการ AWS ทเกยวของ ......................................................................................................... 44
การสราง ................................................................................................................................. 45
4.3. สถาปตยกรรมแบบท 3: แบบเชอมตอ ............................................................................................... 48
ภาพรวม .................................................................................................................................. 48
ขอบเขตของ PCI ..................................................................................................................... 50
บรการ AWS ทเกยวของ ......................................................................................................... 50
การสราง ................................................................................................................................. 51
5. บทสรป ................................................................................................................................... 59
5.1. การสนบสนน ....................................................................................................................................... 59
APPENDIX A. สรปตารางความรบผดชอบ PCI DSS ของ AWS ............................................................. 61
APPENDIX B. การอางอง .................................................................................................................. 68
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 4
ลขสทธ © 2016, Anitian Corporation
1. ขอมลสรป คมอฉบบนเปนการใหค าแนะน าเกยวกบการสรางสภาพแวดลอมใน Amazon Web Services ทม
ลกษณะสอดคลองตามมาตรฐานการรกษาความปลอดภยส าหรบอตสาหกรรมการช าระเงนผาน
บตรเครดต หรอ Payment Card Industry Data Security Standard (PCI DSS)
1.1. กลมเปาหมาย
กลมเปาหมายของคมอฉบบนไดแก:
องคกรทตองการสรางสภาพแวดลอมใหสอดคลองตามมาตรฐาน PCI DSS ใน AWS
ผตรวจประเมนความปลอดภยทผานการรบรอง (QSA) ของ PCI และฝายอนๆ ทประเมน
สภาพแวดลอมขอมลของผถอบตร (CDE) ทท างานอยใน AWS
คมอฉบบนมค าแนะน าส าหรบลกคาทตองการสรางสภาพแวดลอม AWS ใหสอดคลองตามมาตรฐาน
1.2. ขอสนบสนน
ขอมลในสวนนจะแสดงสมมตฐานและขอสนบสนนตางๆ ของ Anitian ทก าหนดแนวทางเนอหา
ของคมอฉบบน
การปฏเสธความรบผดตามสภาพทเปนอย
Anitian เปนบรษทผตรวจประเมนทผานการรบรอง (QSAC) และเปนผเขยนคมอฉบบน เนอหาในคมอ
ฉบบนเขยนองตามการตความ PCI ของ Anitian เนอหานจดหาให “ตามสภาพทเปนอย” โดยไมมการ
รบประกนใดๆ ไมวาโดยนยหรอโดยชดแจง เนอหาของเอกสารฉบบนสามารถเปลยนแปลงไดโดย
ไมตองแจงใหทราบ การเปลยนแปลงของสภาพแวดลอม AWS ในอนาคตอาจท าใหค าแนะน าบาง
สวนในเอกสารนเปลยนแปลงไดเชนเดยวกน
ผตรวจประเมนของคณอาจตความมาตรฐาน PCI แตกตางจาก Anitian และค าแนะน าในคมอ
ฉบบนได ไมมเนอหาใดๆ ในคมอฉบบนทมวตถประสงคเพอแทนทหรอใชแทนขอก าหนดตางๆ ของ PCI DSS
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 5
ลขสทธ © 2016, Anitian Corporation
จดประสงค
คมอฉบบนมวตถประสงคเพอใหค าแนะน าเกยวกบการใชงานสภาพแวดลอมทสอดคลองตามมาตรฐ
าน PCI ใน AWS สวนตางๆ ดานลางเปนการสรปวาบรการตางๆ ของ AWS จะสามารถชวย
สนบสนนการปฏบตตามมาตรฐาน PCI ไดอยางไร
แมวาคมอฉบบนจะกลาวถงลกษณะของ AWS ทเปนประโยชนตอการตรวจสอบความพรอมในการ
ปฏบตตามมาตรฐาน PCI รวมถงการปฏบตตามมาตรฐานทางการ แตกไมไดมการใหค าแนะน าแบบท
ละขนตอนส าหรบการประเมนสภาพแวดลอม AWS อยางไรกตาม คมอฉบบนควรชวยให QSA เขาใจ
วาสภาพแวดลอม AWS มลกษณะสอดคลองตามมาตรฐาน PCI ไดอยางไร
ความรทเปนขอก าหนดเบองตน
ผอานไดรบการคาดหวงวาจะมความเขาใจในเรองตอไปน:
PCI DSS, ปจจบนเปนเวอรชน 3.2
วธการจดการกบสภาพแวดลอม AWS
หลกเกณฑการประมวลผลบนระบบคลาวดของคณะกรรมการมาตรฐาน PCI
การก าหนดขอบเขตของ PCI
แมวาคมอฉบบนจะกลาวถงการลดขอบเขตและการแบงเซกเมนตของ PCI ภายใน AWS แตไมไดเปน
การใหค าแนะน าทครอบคลมในประเดนหลานทเกยวของกบการปฏบตตามมาตรฐาน PCI DSS
โดยรวม โปรดตรวจสอบขอมลเพมเตมเกยวกบแนวทางการลดขอบเขตจากผตรวจประเมน
ความปลอดภยทผานการรบรอง (QSA) ของ PCI ของคณหรอคณะกรรมการมาตรฐาน PCI
การควบคมแบบทดแทน
คมอฉบบนไมไดอธบายถงการควบคมแบบทดแทนส าหรบการใชงาน AWS แตคณสามารถใชการ
ควบคมแบบทดแทนภายใน AWS ได หากผตรวจประเมนตรวจสอบแลววาการควบคมแบบ
ทดแทนถกตองตามกฎ PCI
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 6
ลขสทธ © 2016, Anitian Corporation
2. ภาพรวมเกยวกบการปฏบตตามมาตรฐาน PCI ของ AWS ขอมลสวนนจะแสดงภาพรวมโดยทวไปเกยวกบการปฏบตตามมาตรฐาน PCI ของ AWS
ส าหรบรายละเอยดเพมเตม โปรดด ค าถามทพบบอยเกยวกบ AWS PCI Level 1 ของ Amazon
2.1. สถานะการปฏบตตามมาตรฐาน PCI ของ AWS
ในตอนน AWS เปนผใหบรการทมคณสมบตสอดคลองตามมาตรฐาน PCI DSS ระดบท 1 ผจ าหนาย
และผใหบรการอนๆ สามารถใช AWS เพอสรางสภาพแวดลอมของตนเองใหสอดคลองตามมาตรฐาน
PCI ได อยางไรกตาม AWS ด าเนนงานในรปแบบทมการรบผดชอบรวมกน ดงนนการท AWS ม
คณสมบตสอดคลองตามมาตรฐาน PCI DSS จงไมไดหมายความวาการปฏบตตามมาตรฐาน
จะขยายครอบคลมไปถงสภาพแวดลอมของลกคาทโฮสตโดยอตโนมต
ลกคาของ AWS ตองรบผดชอบในการปฏบตตามมาตรฐาน PCI ทกดานทเกยวของกบสภ
าพแวดลอมของตนภายใน AWS รวมไปถงการก าหนดคาบรการ AWS ทเกยวของ, ระบบปฏบต
การเยอน และมาตรการควบคมความปลอดภยทจ าเปน (IDS, โปรแกรมปองกนไวรส ฯลฯ)
เนองจาก AWS เปนผใหบรการทมคณสมบตสอดคลองตามมาตรฐาน PCI อยแลว องคกรตางๆ ท
โฮสตบรการอยกบ AWS จงไมจ าเปนตองน าโครงสรางพนฐานของ AWS มารวมอยในการ
ประเมนการปฏบตตามมาตรฐาน PCI ขององคกร ผตรวจประเมนตองพจารณาเฉพาะเอกสารรบรอง
การปฏบตตามมาตรฐาน (AOC) และตารางความรบผดชอบของ AWS เทานนเพอตรวจสอบความ
ถกตองของการปฏบตตามมาตรฐานของโครงสรางพนฐาน
2.2. ขอบเขตการปฏบตตามมาตรฐาน PCI ของ AWS
การประเมนเพอตรวจสอบความถกตองของผใหบรการ AWS ของ Amazon ส าหรบการปฏบตตาม
มาตรฐาน PCI ประกอบดวยสภาพแวดลอมการจดการ AWS และโครงสรางพนฐานส าคญ รวมถง
เขตพนท AWS GovCloud (US)
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 7
ลขสทธ © 2016, Anitian Corporation
บรการ AWS สวนใหญมอยในการประเมนมาตรฐาน PCI DSS ของ AWS ลาสด รายการดาน
ลางแสดงบรการทสอดคลองตามมาตรฐานและค าอธบายฟงกชนของบรการ:
บรการ ค าอธบาย
Auto Scaling การจดเตรยมใชงานอนสแตนซตามเหตการณแบบ
อตโนมต
AWS CloudFormation สรางและปรบใชเทมเพลตทรพยากร AWS
Amazon CloudFront เวบเซอรวสการสงมอบเนอหา
AWS CloudHSM การเขาถงอปกรณรกษาความปลอดภยฮารดแวรบนระบบ
คลาวด
AWS CloudTrail การจดท ารายงานเกยวกบการเรยก AWS API
AWS Direct Connect การเชอมตอกบ AWS แบบโดยตรง แบบสวนตว แบบ
เฉพาะ
Amazon DynamoDB (DDB) ทเกบขอมล NoSQL ทปรบขนาดไดและมความพรอมใช
งานสง
Amazon Elastic Beanstalk การจดเตรยมและการปรบใชงานเวบแอปพลเคชน
Amazon Elastic Block Store (EBS) พนทเกบขอมลระดบบลอกส าหรบ EC2 Instance
Amazon Elastic Compute Cloud (EC2)
อนสแตนซของเครองบนระบบคลาวดทปรบขนาดได
Elastic Load Balancing (ELB) การคงทนตอความเสยหายและการปรบสมดลโหลดของ
แอปพลเคชน
Elastic MapReduce (EMR) บรการส าหรบขอมลจ านวนมาก
Amazon Glacier พนทเกบขอมลแบบถาวร
AWS Management Console เวบอนเทอรเฟสส าหรบการจดการบรการของ AWS
ทงหมด
AWS Identity and Access Management (IAM)
การควบคมการเขาถงและการจดการคย
AWS Key Management Services (KMS)
การจดการคยการเขารหสขอมล
Amazon Redshift การสรางคลงขอมลทมความจสง
Amazon Relational Database Service (RDS)
ฐานขอมลในลกษณะเปนบรการ
Amazon Route 53 ระบบชอโดเมนทปรบขนาดไดและมความพรอมใชงานสง
Amazon Simple Storage Service (S3)
จดเกบและเรยกคนขอมลตามจ านวนทตองการ
Amazon SimpleDB (SDB) การจดเกบขอมลแบบไมสมพนธทมความยดหยนและ
พรอมใชงานสง
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 8
ลขสทธ © 2016, Anitian Corporation
Amazon Simple Queuing Service (SQS)
บรการก าหนดควขอความ
Amazon Simple Work Flow (SWF) บรการส าหรบการบรหารงานคอมโพเนนตของ
แอปพลเคชน
Amazon Virtual Private Cloud (VPC)
สวนทแยกกนทางลอจคลของเครอขาย AWS จะมการ
ท างานเปนแบบเครอขายสวนตว
Amazon EC2 Container Services (Amazon ECS)
อนสแตนซคอนเทนเนอร Docker แบบโฮสตและสามารถ
ปรบขนาดได
AWS Config รายการทรพยากรของ AWS, ประวตการเปลยนแปลง และ
การแจงขอมลการเปลยนแปลง
ไฟรวอลลส ำหรบเวบแอปพลเคชน AWS (AWS
WAF) การปกปองการโจมตบนเวบส าหรบเวบไซตทใช
CloudFront เพมความเรวในการท างาน
การปฏบตตามมาตรฐาน PCI ส าหรบ AWS ใชกบภมภาค, Availability Zone, และสถานทตง Edge
ตอไปน (ขอมล ณ เดอนกรกฎาคม 2016):
สหรฐอเมรกาฝงตะวนออก (เวอรจเนยตอนเหนอ)
สหรฐอเมรกาฝงตะวนตก (ออรกอน)
สหรฐอเมรกาฝงตะวนตก (แคลฟอรเนยตอนเหนอ)
AWS GovCloud (US) (ออรกอน)
สหภาพยโรป (ไอรแลนด)
เอเชยแปซฟก (สงคโปร)
เอเชยแปซฟก (โตเกยว)
เอเชยแปซฟก (ซดนย)
อเมรกาใต (เซาเปาล)
บรการ AWS ทอยนอกขอบเขต
AWS มการพฒนาและปรบใชบรการใหมๆ อยตลอดเวลา คณยงสามารถใชบรการเหลานใน
สภาพแวดลอมของคณได แมวาบรการใหมๆ ดงกลาวจะมเพยงบางสวนเทานนทอยในการรบรอง
มาตรฐาน PCI ปจจบนของ AWS หากคณตองการใชบรการเหลาน ผตรวจประเมนของคณตอง
ตรวจสอบการก าหนดคาบรการดงกลาวกอนเพอใหแนใจวาสอดคลองตามมาตรฐาน PCI
ตวอยางเชน AWS Certificate Manager ไมไดอยในขอบเขตของการประเมนผใหบรการ AWS ลาสด
หากคณใช AWS Certificate Manager ส าหรบเวบแอปพลเคชนทอยในขอบเขตของคณ คณตอง
แสดงใหเหนวาการใชงานของคณเปนไปตามขอก าหนดของ PCI ทเกยวของ อยางไรกตาม
AWS Certificate Manager ท างานบนโครงสรางพนฐานทสอดคลองตามมาตรฐานของ AWS ดงนน
แมวาตวของบรการอาจไมไดรบการรบรองวาสอดคลองตามมาตรฐาน แตโครงสรางพนฐานท
บรการท างานอยนนมความสอดคลอง
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 9
ลขสทธ © 2016, Anitian Corporation
2.3. ความรบผดชอบตอการปฏบตตามมาตรฐาน PCI ของ AWS
การก าหนดวาฝายใดมหนาทรบผดชอบตอขอก าหนด PCI เปนหนงในแงมมทซบซอนขนของการ
โฮสตบนระบบคลาวด ขอมลสวนนจะสรปวธการก าหนดและจดระบบการประเมนการปฏบตตาม
มาตรฐาน PCI ส าหรบสภาพแวดลอมทโฮสตกบ AWS
คมอฉบบนจะสรปความรบผดชอบดานตางๆ ของ AWS ทครอบคลมตามขอก าหนดการปฏบตตาม
มาตรฐานและสวนทคณตองเปนผด าเนนการใหเปนไปตามมาตรฐาน คณตองศกษา“ตารางความ
รบผดชอบ” ตอมาตรฐาน PCI DSS ของ AWS ซงก าหนดความรบผดชอบของ AWS ไวอยางชดเจน
โปรดดสรปขอมลของตารางนจากภาคผนวก B ขอก าหนดทไมไดอยในความรบผดชอบของ AWS
หรอเปนสวนของความรบผดชอบรวมกน องคกรของคณมหนาทตองตรวจสอบวาม
การด าเนนการใหเปนไปตามขอก าหนด
นอกจากน คณตองด าเนนการใหเปนไปตามขอก าหนดทกประการโดยไมสามารถเลอกละเลย
ขอก าหนดใดๆ ของ PCI โดยพลการได อยางไรกด ขอก าหนดทเกยวของกบองคกรของคณอาจม
อยบางสวนเทานน ซงผตรวจประเมน PCI จะอธบายไดถงขอก าหนดทเกยวของและไมเกยวของ
รปภาพ 1 – ภาพรวมเกยวกบความรบผดชอบรวมกนของ AWS
ความรบผดชอบของ Amazon - ความปลอดภยของ ระบบคลาวด
Amazon มหนาทในการดแลรกษาสภาพแวดลอมใหสอดคลองกบมาตรฐาน PCI ทคณสามารถใช
เพอชวยในการปฏบตตามมาตรฐานของคณ ซงเรยกวา “ความปลอดภยของระบบคลาวด” AWS จะ
ตรวจสอบความถกตองของการปฏบตตามมาตรฐานเปนประจ าทกป และบนทกผลการตรวจสอบ
ในเอกสารเอกสารรบรองการปฏบตตามมาตรฐาน (AOC) ของ AWS ในฐานะลกคา AWS คณสามารถ
ขอรบส าเนา (พรอมกบขอตกลงทจะไมเปดเผยขอมลทมการลงนาม) ของเอกสารได
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 10
ลขสทธ © 2016, Anitian Corporation
ความรบผดชอบของลกคา - ความปลอดภยในระบบคลาวด
คณมหนาทในการออกแบบ สราง และดแลรกษาสภาพแวดลอมใน AWS ใหสอดคลองตามมาตรฐาน
ซงเรยกวา “ความปลอดภยในระบบคลาวด”
เมอคณสรางสภาพแวดลอมใน AWS สวนประกอบของสภาพแวดลอมนนจะมลกษณะ
สอดคลองตามมาตรฐาน เนองจากใชโครงสรางพนฐานทสอดคลองตามมาตรฐานของ AWS อยางไร
กตาม ความรบผดชอบขนสดทายส าหรบการปฏบตตามมาตรฐาน PCI ยงคงเปนหนาทขององคกร
ของคณ (ไมใช AWS) โปรดดเกณฑเฉพาะใน “ตารางความรบผดชอบ” ทอยในภาคผนวก B
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 11
ลขสทธ © 2016, Anitian Corporation
3. ค าแนะน าทวไปเกยวกบ PCI DSS สวนนมค าแนะน าทวไปและกลยทธตางๆ ส าหรบปฏบตตามขอก าหนดของ PCI ระดบสง 12 ขอ
ดวยการใชบรการตางๆ ของ AWS
3.1. ขอก าหนดท 1: ตดตงและดแลรกษาการก าหนดคาไฟรวอลลเพอ
ปกปองขอมลของผถอบตร
บรการ AWS ตอไปนสามารถชวยสนบสนนขอก าหนดไฟรวอลลและการแบงเซกเมนตเครอขายของ PCI:
Amazon Virtual Private Cloud (Amazon VPC)
กลมความปลอดภยของ Amazon EC2
ACL เครอขาย VPC
หวขอดานลางอธบายถงกลยทธและขอควรพจารณาตางๆ ส าหรบการใชบรการเหลานเพอ
การปฏบตตามขอก าหนดท 1
Amazon VPC
VPC คอสวนทแยกกนทางลอจคลของเครอขาย AWS ทสรางเครอขายสวนตวภายในบญช AWS ของ
ลกคา VPC ท าใหลกคามหลายสภาพแวดลอมไดโดยไมตองมการเชอมตอระหวางกน
เหมอนกบเปนเครอขายทางกายภาพทแยกออกจากเครอขายอนๆ เครอขาย AWS จะปองกนแพคเกต
ทมทอยทผดรปแบบหรอมการเปลยนแปลงจากการฮอบขามขอบเขต VPC VPC ออกแบบมาใหไม
ตองมการกระจายการรบสงขอมลบนเลเยอร 2 วธการนจะชวยลดความเปนไปไดในการปลอมแปลง
ทอย IP ภายในแพลตฟอรม AWS ลงไดมาก และเปนไปตามขอก าหนดท 1.3.3 ส าหรบสภาพแวดลอม
ของลกคาทใช VPC นอกจากน AWS ยงเปนแพลตฟอรมทสอดคลองกบขอก าหนดท 1.3.3 ซง
แสดงใหเหนชดเจนจาก AOC ซงท าใหมนใจวา AWS จะกรองการรบสงขอมลขาเขาและใชการ
ปองกนการปลอมแปลงทสวนนอกสดของ AWS ลกคายงสามารถไดรบประโยชนจากคณลกษณะการ
ปองกนการปลอมแปลงภายใน VPC ดวย แตตองตรวจสอบวามมาตรการการปองกนการปลอมแปลง
ส าหรบการเชอมตอขาเขาอนๆ กบเครอขายของพวกเขาหรอไม
การเชอมตอ VPC เขากบเครอขายอนๆ โดยจงใจโดยสามารถท าได ตวอยางเชน อนเทอรเนต
เกตเวยทรวมเขากบอนสแตนซ NAT, ทอย IP แบบยดหยน และทรพยากรอนๆ สามารถใหการเขาถง
อนเทอรเนตได การเชอมตอแบบเพยรของ VPC และตารางการก าหนดเสนทางทมการก าหนดคา
อยางถกตองสามารถเชอมตอ VPC เขาดวยกนได และอยางทเราจะเหนในสวน 4 ทดานลาง เรายง
สามารถใช VPN หรอ AWS Direct Connect เพอขยายเครอขายแบบภายในองคกรไปยงระบบคลาวด
ไดดวย
หมายเหต: ซบเนตทงหมดภายใน VPC เดยวกนมเสนทางเรมตนระหวางซบเนตทไมสามารถ
ลบออก
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 12
ลขสทธ © 2016, Anitian Corporation
กลมความปลอดภยของ EC2
กลมความปลอดภยเปนคอมโพเนนตไฟรวอลลแบบเกบสถานะใน AWS EC2 ซงจะตดตาม
การเชอมตอและอนญาตใหสงคนเฉพาะการรบสงขอมลทเกยวของกบเซสชนเทานน รายการ
ควบคมการเขาถง (ACL) กลมความปลอดภยสามารถใชควบคมการรบสงขอมลของอนสแตนซท
ระดบทอย IP, พอรต และโปรโตคอลส าหรบการปฏบตตามขอก าหนดท 1.3.6
ACL เครอขาย VPC
ACL เครอขาย VPC จะใชทระดบซบเนตแตจะไมเกบสถานะ (ดวยตนเอง) และไมสามารถใชเพอ
ใหเปนไปตามขอก าหนดท 1.3.6
กลยทธและขอควรพจารณาอนๆ
ส าหรบสภาพแวดลอมทเรยบงายอยางสภาพแวดลอมในสถาปตยกรรมอางองทอธบายไวในสวนท
4 Anitian แนะน าใหใช AMI ไฟรวอลลบนระบบคลาวดแบบเฉพาะ นอกเหนอจากไฟรวอลลแบบเกบ
สถานะทชดเจนเหลานแลว ยงมฟงกชนการรกษาความปลอดภยเพมเตม (และส าคญ) อกมาก เชน
การปองกนการบกรก (ขอก าหนดท 11.4 ระบวาจ าเปนตองมส าหรบ IDS/IPS)
ทงนมไฟรวอลล Amazon Machine Images (AMI) อยจ านวนมากใน AWS Marketplace จากบรษท
ตางๆ เชน Fortinet, Palo Alto และ CheckPoint อนสแตนซของไฟรวอลลเหลานอาจตองมสทธ
การใชงานเฉพาะจากผจ าหนาย แตเปนอนเทอรเฟสการจดการทคนเคยและมความสามารถขนสง
ส าหรบสถาปตยกรรม AWS แบบไดนามกหรอแบบทซบซอนขนอยางสถาปตยกรรมทใช
Auto Scaling เพอใหแนใจวาความสามารถของแอปพลเคชนเพยงพอตอการตอบสนองความตองการ
ซงไฟรวอลลแบบดงเดมอาจท าใหจดการสภาพแวดลอมไดยาก ส าหรบการตงคาเหลาน สามารถใช
กลมความปลอดภยและไฟรวอลลทใชโฮสตเพอบรรลเปาหมายในการแบงเซกเมนตส าหรบ CDE
3.2. ขอก าหนดท 2: ไมใชคาเรมตนทก าหนดโดยผจ าหนายเปนรหสผาน
ของระบบและพารามเตอรการรกษาความปลอดภยอนๆ
บรการ AWS ตอไปนสามารถชวยสนบสนนขอก าหนดการเสรมความปลอดภยใหกบโฮสตของ PCI:
Amazon Elastic Compute Cloud (Amazon EC2)
กลยทธและขอควรพจารณาตางๆ ส าหรบการใช Amazon EC2 เพอการปฏบตตามขอก าหนดท 3 ม
การอธบายไวทดานลาง
Amazon EC2
เมอคณใช AMI ของ Amazon เพอสรำง EC2 Instance, AWS จะสรางรหสผานส าหรบผดแลระบบและ
รหสผานรทเฉพาะทมการเขารหสดวยคยสวนตวทสรางขนโดยไมซ ากน วธนจะชวยสนบสนนการ
ปฏบตตามขอก าหนดท 2.1
นอกจากน เนองจากคณตองเปนผสรางบญชเองอยางชดเจน บรการไมมบญชผใชเรมตน
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 13
ลขสทธ © 2016, Anitian Corporation
กลยทธและขอควรพจารณาอนๆ
หากคณใชอมเมจทไมใชของ Amazon คณมหนาทตรวจสอบใหแนใจวามการเปลยนแปลงคาเรม
ตนแลว ดเอกสารทเกยวของส าหรบอมเมจเหลาน
AWS AOC กลาวถงการจดการกบการก าหนดคาความปลอดภยพนฐานส าหรบบรการ AWS
อยางไรกตาม การสรางและใชมาตรฐานการก าหนดคาการรกษาความปลอดภยส าหรบ EC2 Instance ถอเปนหนาทของคณ AWS Marketplace มโซลชนมากมายทสามารถชวยในการปฏบตตาม
ขอก าหนดน
หมายเหต: Anitian ไดสราง AMI ทมการเสรมความปลอดภยส าหรบระบบปฏบตการทมอย
ทงหมด ทงบนเซรฟเวอรพนฐานและกบเวบเซรฟเวอรทมการเสรมความปลอดภย ซงรวมถง
มาตรฐานการก าหนดคาความปลอดภยทสนบสนนโดยจะมการจดท าเอกสารขนตอนการท า
เสรมความปลอดภยตามทก าหนดโดยขอก าหนดท 2.2 ของ PCI DSS
3.3. ขอก าหนดท 3: ปกปองขอมลของผถอบตรทจดเกบไว
บรการ AWS ตอไปนสามารถชวยสนบสนนขอก าหนดการเขารหสและการจดการคยของ PCI ส าหรบ
ขอมลผถอบตร (CHD) ในทจดเกบ:
Amazon Elastic Block Store (Amazon EBS) Amazon Simple Storage Service (Amazon S3) AWS Key Management Services (KMS) Amazon Relational Database Service (Amazon RDS)
กลยทธและขอควรพจารณาตางๆ ส าหรบการใชบรการเหลานเพอการปฏบตตามขอก าหนดท 3
มการอธบายไวทดานลาง
Amazon EBS
AWS สนบสนนวธการจดเกบขอมลอยางปลอดภยอยหลายวธดวยกน การเขารหสไดรฟขอมลท
ไมใชรทของ EBS และระดบไดรฟขอมลทสนบสนนบคเกต S3 โดยใช AES-256 EBS จะจดการคย
การเขารหสโดยใชโครงสรางพนฐานทตรงตามมาตรฐาน FIPS 140-2 ส าหรบไดรฟขอมล EBS
หากคณจดเกบ CHD (เชน ไฟลฐานขอมลบนระบบไฟลของอนสแตนซเซรฟเวอรฐานขอมลเฉพาะ)
บนไดรฟขอมลทเขารหสของอนสแตนซ ตองมการเขารหสเพมเตมส าหรบ CHD เพอใหเปนไป
ตามขอก าหนดท 3.4.1 วธนไมใชลกษณะเฉพาะของ AWS แตมการอางถงเพอความสมบรณและ
ความชดเจน
หมายเหต: ไมใช EC2 Instance ทกประเภททสนบสนนไดรฟขอมล EBS ทเขารหส โปรดด
การเขารหส EBS
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 14
ลขสทธ © 2016, Anitian Corporation
Amazon S3
Amazon S3 เปนบรการพนทจดเกบขอมลทใชงานงาย โดยสามารถเขารหสออบเจกตทจดเกบไวดวย
AES-256 และสนบสนนกลไกสามแบบทแตกตางกนส าหรบการจดการคย (โปรดด Server Side
Encryption)
การเขารหสฝงเซรฟเวอรดวยคยทไดรบการจดการ Amazon S3 (SSE-S3)
S3 จะเขารหสออบเจกตดวยคยการเขารหสขอมลทไมซ ากน เมอเปดใชงาน SSE-S3
ส าหรบออบเจกตในบคเกต S3 (ในคอนโซลการจดการ) คยการเขารหสขอมลนไดรบ
การเขารหสตนเองดวยคยหลกทมการหมนเวยนบรการ S3 เปนประจ าทกป
การเขารหสฝงเซรฟเวอรดวยคยทไดรบการจดการ AWS KMS (SSE-KMS)
SSE-KMS ใชคยแบบซองจดหมายเพอเขารหสคยการเขารหสขอมลของแตละออบเจกต
ซงจะชวยใหสามารถควบคมไดดยงขนส าหรบบคคลทสามารถถอดรหสขอมลทมการ
เขารหสและมการจดท าลอกการตรวจสอบการใชคย KMS จะมการอธบายไวในสวน
ถดไป
การเขารหสฝงเซรฟเวอรดวยคยทลกคาก าหนด (SSE-C)
SSE-C ใหคณสามารถใชคยของตนเองและจดการไดเอง S3 ไมจดเกบคยน แตจะเกบเฉพาะ
แฮชการรบรองความถกตองของขอความเพอตรวจสอบการใชคยในภายหลงเมอมการพยายาม
เรยกดขอมลเทานน
โดยคาเรมตน S3 จะไดรบการก าหนดคาใหใช SSE-S3 ในการใช KMS หรอคยทก าหนดโดยลกคา
คณตองระบรปแบบของการจดการคยเมออปโหลดออบเจกตผานคอนโซล หรอ REST API ส าหรบ
รายละเอยดเพมเตม โปรดด การอปโหลดออบเจกตของ S3
AWS KMS
KMS เปนบรการการจดการคยการเขารหสของ AWS KMS มการหมนเวยนคยแบบอตโนมตเปน
ประจ าทกปผาน Management Console โปรดดเอกสำร รายละเอยดการเขารหส KMS ของ Amazon
ส าหรบขอมลเพมเตม
AWS KMS ยงม การจดท าเอกสาร API ส าหรบการสนบสนนการโปรแกรมหรอผจดจ าหนายภาย
นอกดวย
KMS ใชคยหลกของลกคา (CMK) เปนคยการเขารหสคย (KEK) และคยส ารองเปนคยการเขารหส
ขอมล การเปดใชงานการหมนเวยนคยเพอหมนเวยนคยส ารอง
เมอคณเปดใชงานการหมนเวยนคย CMK ใหมและคยส ารองทเกยวของ (HBK) จะถกสรางขนเปน
ประจ าทกป คยใหมเหลานจะใชเพอท างานตอไป และ CMK/HBK เกาจะยงคงสามารถใชไดส าหรบ
การถอดรหสเทานน คณยงสามารถ สราง CMK/HBK ใหมดวยตนเอง ไดตลอดเวลา และตงคาใหเปน
คยทใชงานในปจจบน
หมายเหต: หากคณปดใชงาน CMK/HBK คยจะไมสามารถใชงานไดอกตอไป แตไดรฟ
ขอมล EBS ทตออยทใชคยทปดใชงานไปแลวจะยงคงท างานตอไป หากมการถอดไดรฟ
ขอมลออกจากอนสแตนซ คณจะตองเปดใชคยใหมเพอใชไดรฟขอมลอกครง
CloudTrail จะบนทก การด าเนนการของ AWS KMS ทงหมด (การสรางคย, การเขารหสขอมล,
การหมนเวยนคย ฯลฯ) ไปยงไฟลลอกของ CloudTrail ในบคเกต S3 ทผใชก าหนด
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 15
ลขสทธ © 2016, Anitian Corporation
Amazon RDS
นอกเหนอจากพนทเกบขอมลทมการเขารหส Amazon RDS ยงสนบสนนใหมการเขารหสฐาน
ขอมลดวยสองวธการดวยกน RDS เขารหสพนทเกบขอมลหลกโดยใชคยทจดการโดย Amazon KMS
วธการนจะปองกนขอมลในทจดเกบ RDS ยงสนบสนน Transparent Data Encryption (TDE) ส าหรบ
อนสแตนซของ Microsoft SQL และ Oracle ดวย
นโยบาย IAM จะควบคมผทสามารถเขาถงอนสแตนซ RDS และสงทพวกเขาสามารถท าได
อยางไรกตาม ฐานขอมลภายในอนสแตนซ RDS จะใชกลไกเฉพาะของแพลตฟอรมภายในของตน
เพอจดการกบการเขาถงขอมล ตรวจสอบวามการก าหนดคานโยบายรหสผานและบญชทเกยวของ
กบ PCI ภายในฐานขอมล CDE ใน RDS
กลยทธและขอควรพจารณาอนๆ
หากคณเรยกใชฐานขอมลของตนเองบน EC2 Instance คณตองรบผดชอบในการจดการกบการเขา
รหส CHD ใดๆ ภายในฐานขอมลทงหมด การเขารหสนควรด าเนนการโดยใชกลยทธมาตรฐานท
เหมาะสมส าหรบฐานขอมลเฉพาะทใชงานอย ตวอยางทพบบอยๆ คอ การเขารหสดวยการโปรแกรม
ของ CHD ทระดบฟลดหรอคอลมน หรอการเขารหสทระดบอนสแตนซฐานขอมล เชน TDE ส าหรบ MS SQL
3.4. ขอก าหนดท 4: เขารหสขอมลของผถอบตรทสงผานเครอขายสาธาร
ณะแบบเปด
คอมโพเนนต AWS ตอไปนสามารถชวยสนบสนนขอก าหนดการเขารหสระหวางการรบสงขอมลของ PCI:
Elastic Load Balancer
ACL เครอขาย
กลมความปลอดภย
เกตเวยของลกคา
เกตเวยสวนตวแบบเสมอน
การเชอมตอดวย VPN AWS Direct Connect
กลยทธและขอควรพจารณาตางๆ ส าหรบการใชบรการเหลานเพอการปฏบตตามขอก าหนดท 4
มการอธบายไวทดานลาง
Elastic Load Balancer
Elastic Load Balancer สนบสนน SSL/TLS และสามารถถายโอนการเขารหสการประมวลผลเพอการ
สอสารทปลอดภยส าหรบการเชอมตอทงภายในและภายนอก การตอรอง SSL/TLS มการก าหนดคา
โดยใชนโยบายความปลอดภย AWS มนโยบายความปลอดภยทก าหนดไวลวงหนาจ านวนมาก
(โปรดดขอมลเพมเตมท ตารางนโยบายความปลอดภยของ ELB ) คณยงสามารถสรางนโยบาย
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 16
ลขสทธ © 2016, Anitian Corporation
ของตนเองไดเชนกน นโยบายความปลอดภยชวยใหคณสามารถก าหนดโปรโตคอล SSL และรหสลบ
รวมถงการก าหนดลกษณะล าดบส าหรบการตอรองไคลเอนต-เซรฟเวอรระหวางการแฮนดเชค SSL
หมายเหต: PCI DSS 3.1 ระบวา “SSL และ TLS กอนหนาไมถอเปนการเขารหสทมความ
ปลอดภยสง และไมสามารถใชเปนการควบคมความปลอดภยหลงจากวนท 30 มถนายน 2016”
กลมความปลอดภยและ ACL เครอขาย
กลมความปลอดภยและ ACL เครอขายสามารถบลอกการใชโปรโตคอลทไมปลอดภยไดตามพอรต
ของเครอขาย
เกตเวยของลกคา, เกตเวยสวนตวแบบเสมอน และการเชอมตอดวย VPN
เกตเวยของลกคา เกตเวยสวนตวแบบเสมอน และการเชอมตอดวย VPN ท าใหคณสามารถตงคา
ชองทางการเชอมตอ VPN ทเขารหสไปยง AWS VPC AWS สนบสนนโซลชน VPN ทวไปทมอย
มากมาย (โปรดด ค าถามทพบบอยเกยวกบ VPC) รวมถงไฟลการก าหนดคาขอความทวไป AWS
สรางการตงคา VPN โดยอตโนมตเพอใหคณสามารถก าหนดคาต าแหนงขอมลทตรงกนได หลงจาก
การเชอมตอดวย VPN (ในสวนการเชอมตอดวย VPN ของแดชบอรด VPC) คณสามารถดาวนโหลด
ไฟลการก าหนดคาทจ าเปนส าหรบการตงคาต าแหนงขอมลของลกคา คณสามารถดไฟลการ
ก าหนดคาเพอตรวจสอบการเขารหสทใช (SHA1/AES 128) ดสวน 4.3.4.5 ทดานลางส าหรบ
รายละเอยดของการด าเนนการ
AWS Direct Connect
Direct Connect มการเชอมตอความเรวสงแบบเฉพาะระหวางสภาพแวดลอมของลกคาและ AWS
คลายกบ MPLS Direct Connect ไมมการเชอมตอทเขารหส คณจงตองตรวจสอบความเปนสวนตว
ของวงจร โดยอาจจ าเปนตองมการควบคมเพมเตมเพอใหเปนไปตามขอก าหนดท 4.1 ขนอยกบ
การใชงาน
กลยทธและขอควรพจารณาอนๆ
คณมหนาทในการก าหนดคาการเขารหสระหวางการรบสงขอมลทปลอดภยส าหรบบรการเชอมตออ
นเทอรเนตทท างานอยบน EC2 Instance เชน เวบเซรฟเวอร ซงควรมการรวมเขาเปนสวนหนงใน
การเสรมความปลอดภยของโฮสตส าหรบขอก าหนดท 2
นอกจากน ยงสามารถใช VPN บนไฟรวอลลเชงพาณชยหรอ VPN AMI ทก าลงท างานอยใน
สภาพแวดลอมไดดวย คณมหนาทรบผดชอบการก าหนดคาอปกรณเพอใหแนใจวาสอดคลองตาม
ขอก าหนดท 4
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 17
ลขสทธ © 2016, Anitian Corporation
3.5. ขอก าหนดท 5: ปกปองระบบทงหมดจากมลแวรและอปเดต
ซอฟตแวรหรอโปรแกรมปองกนไวรสเปนประจ า
AWS ไมมโปรแกรมปองกนไวรสส าหรบ EC2 Instance คณมหนาทในการตรวจสอบวาอนสแตนซ
ทงหมดเรยกใชโปแกรมปองกนไวรสทเหมาะสม รวมถงไฟลลอกและรายงานตามทก าหนดไวใน
ขอก าหนดท 5 ของ PCI
AWS Marketplace มโซลชนการปองกนไวรสจ านวนมาก
3.6. ขอก าหนดท 6: พฒนาและดแลรกษาระบบและแอปพลเคชนใหม
ความปลอดภย
AWS ไมมการจดการกบชองโหวและโปรแกรมแพตซของ EC2 Instance แมวา AMI จะมการรบการ
อปเดตอยเปนระยะๆ แตการเปดและการเรยกใชอนสแตนซตองมการจดการเชนเดยวกบโฮสตอนๆ
ตวอยางเชน ส าหรบรายการอปเดตของ Amazon Linux AMI โปรดด AWS Linux Security Center
AWS Marketplace มโซลชนการจดการชองโหวและโปรแกรมแพตซทสามารถชวยใหเปนไปตาม
ขอก าหนดท 6.1 และ 6.2
นอกจากน ยงไมมบรการ AWS ทรองรบขอก าหนดของ PCI โดยตรงส าหรบการพฒนา
ซอฟตแวรทปลอดภย (ขอก าหนดท 6.3) และการควบคมเปลยนแปลง (ขอก าหนดท 6.4)
CodeDeploy และ CodeCommit สามารถชวยในการจดการและการใชซอรสโคดทวไปไดแมวาจะ
ไมเกยวของโดยตรงกบขอก าหนดของ PCI
อยางไรกตาม เทคโนโลยการแบงเซกเมนตเครอขาย (ตามการอธบายไวในขอก าหนดท 1 ขางตน)
สามารถแยกสภาพแวดลอมการพฒนาและการใชงานจรงออกจากกนได (ขอก าหนดท 6.4.1)
หมายเหต: เรกคอรด AWS Config จะเปลยนเปนทรพยากรภายใน AWS แตจะไมมผลกบ
แอปพลเคชนและภายใน EC2 Instance
AWS WAF และ Amazon CloudFront
ไฟรวอลลส าหรบเวบแอปพลเคชน AWS (WAF) เปนโซลชนทางเทคนคทตรวจสอบ PCI DSS โดย
อตโนมตวาสามารถชวยใหเปนไปตามขอก าหนด 6.6 ของ PCI DSS บรการ WAF จะชวยปกปองการ
โจมตบนเวบส าหรบเวบไซตทเชอมตอกบระบบสาธารณะทใช Amazon CloudFront ส าหรบการเพม
ความเรวในการสงมอบเนอหา
หมายเหต: แมวา Amazon CloudFront จะไมถกระบอยในสวนท 2.2 ทดานบนในฐานะบรการ AWS ท
สอดคลองกบมาตรฐาน PCI, AWS WAF จะปกปองเฉพาะเวบแอปพลเคชนทใช CloudFront เพอเพม
ความเรวในการท างานเทานน
ขอก าหนดท 6.6 อาจเปนไปตามขอก าหนดของ WAF หรอการทดสอบความปลอดภยของเวบ
แอปพลเคชน Anitian จะแนะน าใหท าการทดสอบความปลอดภยของเวบแอปพลเคชนรวมกบการ
ปรบใช WAF เสมอ เพอปรบ WAF ใหสามารถจดการชองโหวตางๆ ทเปนทรจกกนดวาเปนปญหากบ
เวบแอปพลเคชน
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 18
ลขสทธ © 2016, Anitian Corporation
3.7. ขอก าหนดท7: จ ากดการเขาถงขอมลของผถอบตรเฉพาะผทจ าเปน
ตองทราบเทานน
คอมโพเนนต AWS ตอไปนสามารถชวยสนบสนนขอก าหนดการควบคมการเขาถงของ PCI:
AWS Identity and Access Management (IAM) AWS Directory Service
IAM
บรการ IAM สนบสนนการควบคมการเขาถงตามบทบาทภายใน AWS อยางไรกตาม คณมหนาทใน
การจดการกบบทบาทผใชและสทธภายในบรการ IAM
IAM สนบสนนผใช กลม และบทบาท รวมถงการจดการคยการเขารหส
Directory Service
Directory Service เปนบรการไดเรกทอรทสามารถใชงานรวมกบ Microsoft Active Directory (AD)
ทชวยใหคณสามารถสรางหนงอนสแตนซ (หรอมากกวา) ทเรยกวา Simple AD ซงสามารถใชเปน
Simple AD แบบสแตนดอโลนหรอเชอมตอกบโครงสรางพนฐานของ Microsoft AD แบบภายใน
องคกร
Directory Service สามารถจดการกบการเขาถงทรพยากร AWS รวมถงแอปพลเคชนและระบบท
สามารถใชงานรวมกบ Microsoft AD
คณตองใชเครองมอของบรษทอนเพอดแล AWS Directory Service เชน เครองมอ Microsoft
Active Directory Administration ทมาพรอมกบ Windows Server ส าหรบขอมลเพมเตม โปรดดท
คมอการจดการไดเรกทอรส าหรบผดแลระบบ
หมายเหต: ไดเรกทอร Simple AD ไมรองรบอนเทอรเฟซ Microsoft Active Directory
Web Services
กลยทธและขอควรพจารณาอนๆ
คณมหนาทในการตรวจสอบใหแนใจวาสทธและบทบาทของผใชทงหมดมการจดท าเอกสารทมการ
อธบายสทธการใชงานขนต าไวอยางชดเจน
3.8. ขอก าหนดท 8: ระบและรบรองความถกตองในการเขาถง
คอมโพเนนตของระบบ
บรการ AWS ตอไปนสามารถชวยสนบสนนขอก าหนดในการจดการบญชของ PCI:
IAM Directory Service
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 19
ลขสทธ © 2016, Anitian Corporation
IAM
IAM สนบสนนนโยบายรหสผานตามขอก าหนดท 8 โดยมขอยกเวนส าหรบการลอคบญชท
พยายามเขาสระบบอยางไมถกตอง (ขอก าหนดท 8.1.6) ระยะเวลาการลอคต าสด (ขอก าหนดท
8.1.7) และการหมดเวลาของเซสชนทไมไดใชงาน (ขอก าหนดท 8.1.8) เพอใหเปนไปตาม
ขอก าหนดเหลานดวย IAM จ าเปนตองใชผใหบรการขอมลประจ าตวทตรงตามมาตรฐาน PCI ซง
สามารถบงคบใชขอก าหนดเหลานหรอ Directory Service
หมายเหต: IAM ใชส าหรบการจดการขอมลประจ าตวและการเขาถงทรพยากร AWS เทานน
ไมใชส าหรบการรบรองความถกตองแอปพลเคชนและ EC2 Instance
Directory Service
Simple AD สนบสนนการตงคานโยบายบญชและรหสผานทงหมดท Microsoft AD ใช ซงสนบสนน
ขอก าหนดท 8 ทงหมด (สรางไดเรกทอร)
กลยทธและขอควรพจารณาอนๆ
ส าหรบบรการไดเรกทอรใดๆ ทท างานอยบน EC2 instance ถอเปนความรบผดชอบของลกคาใน
การตรวจสอบวานโยบายรหสผานทงหมดไดรบการก าหนดคาเพอใหเปนไปตามขอก าหนดท 8
3.9. ขอก าหนดท 9: จ ากดสทธการเขาถงขอมลผถอบตรทางกายภาพ
AOC ของ AWS ครอบคลมการรกษาความปลอดภยทางกายภาพของ AWS อยางเตมรปแบบตาม
ขอก าหนดท 9 หากคณโฮสตสภาพแวดลอม PCI ท งหมดของคณอยใน AWS กจะอยภายใต
ขอก าหนดน AOC ของ AWS ไมครอบคลมสนทรพยทอยในขอบเขตใดๆ ทโฮสตอยภายนอก AWS
3.10. ขอก าหนดท 10: ตดตามและตรวจสอบการเขาถงทรพยากร
เครอขายและขอมลของผถอบตรทงหมด
บรการ AWS ตอไปนสามารถชวยสนบสนนขอก าหนดของการจดการไฟลลอกของ PCI:
AWS CloudTrail S3
CloudTrail
บรการ AWS CloudTrail สามารถชวยตดตามและตรวจสอบการเขาถงทรพยากรภายในบญช AWS
คอมโพเนนตหลกทไดรบการสนบสนนโดย CloudTrail คอ การรวบรวมไฟลลอก การแจงเตอน และ
การเกบรกษา (ขอก าหนดท 10.5 ถง 10.7)
คณมหนาทในการสรางบคเกต S3 เพอรบและจดเกบไฟลลอก และตรวจสอบใหแนใจวามการ
เปดใชงาน Cloud Trail เพอบนทกเหตการณความปลอดภยทจ าเปน (ขอก าหนดท 10.2)
CloudTrail Event Record Body สนบสนนองคประกอบเฉพาะทงหมดในขอก าหนดท 10.3 ส าหรบ
ขอมลเพมเตม โปรดด บนทกการอางองเหตการณ
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 20
ลขสทธ © 2016, Anitian Corporation
S3
นโยบายการเกบรกษาส าหรบขอมลของ CloudTrail ไดรบการก าหนดคาใน S3 โดยคาเรมตน
ระยะเวลาการเกบรกษาจะเปนแบบไมมสนสด แตสามารถก าหนดคาไดอยางเตมรปแบบ (โปรดด
การก าหนดคาวงจรการท างาน)
หมายเหต: เพอความคมคาในการท าใหเปนไปตามขอก าหนดท 10.7 คณสามารถใชการ
ก าหนดคาวงจรการท างานของ S3 เพอตงระยะเวลาการเกบรกษา 90 วนและจดเกบขอมล
เกาไปยงบรการพนทจดเกบขอมลของ Amazon Glacier โดยอตโนมตส าหรบการเกบรกษา
เปนเวลานาน (ตองเกบอยางนอยหนงป)
นอกจากน คณตองเปดใชงานการควบคมการเขาถงในบคเกต S3 ทจดเกบไฟลลอกของ CloudTrail
ซงตองมการจ ากดสทธการเขยนของบคเกตใน CloudTrail และสทธการอานของบคเกตส าหรบ
ผใชทไดรบอนญาต
กลยทธและขอควรพจารณาอนๆ
CloudTrail ของ Amazon เปนบรการบนทกลอกพนฐานทสามารถตอบสนองตามขอก าหนดก
ารบนทกลอกของ PCI แมวา CloudTrail จะมการการบนทกลอกเพอตรวจสอบการเขาถงทรพยากร
AWS แตจะไมมการลงบนทกเหตการณและกจกรรมส าหรบแอปพลเคชนทคณเรยกใชบน AWS ทงน
ม Amazon Machine Images (AMI) อยจ านวนมากใน AWS Marketplace จากบรษทตางๆ เชน
Splunk, HP (ArcSight) และ Alert Logic ทสามารถชวยคณจดการลอกจากแอปพลเคชนของคณ
หากคณมการใชผลตภณฑ Security Information and Event Management (SIEM) อยแลว
CloudTrail จะรองรบ API ทผลตภณฑ SIEM ของคณอาจสามารถใชเพอรวบรวมลอก หรอ
ส าหรบการสรางความสมพนธของขอมลระดบสง ตรวจสอบกบผจ าหนาย SIEM ส าหรบขอมลเพมเตม
คณตองก าหนดคา EC2 Instance ส าหรบโปรโตคอลเวลาของเครอขาย (NTP) เพอใหเปนไปตาม
ขอก าหนดท 10.4
3.11. ขอก าหนดท 11: ทดสอบระบบและกระบวนการรกษาความปลอดภย
อยเปนประจ า
AOC ของ AWS ครอบคลมการตรวจจบจดเชอมตอแบบไรสายทหลอกลวง (ขอก าหนดท 11.1)
AWS ไมสแกนหาชองโหว (ขอก าหนดท 11.2) การทดสอบเจาะระบบ (ขอก าหนดท 11.3) การ
ปองกนการบกรก (ขอก าหนดท 11.4) หรอการตรวจจบการเปลยนแปลงไฟล (ขอก าหนดท 11.5)
ภายใน EC2 Instance อยางไรกตาม AWS Marketplace มโซลชนอกมากมายทสนบสนน
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 21
ลขสทธ © 2016, Anitian Corporation
ขอก าหนดตางๆ เหลาน Anitian ยงมการทดสอบเจาะระบบของเครอขาย และการทดสอบความ
ปลอดภยของเวบแอปพลเคชนอกดวย
หมายเหต: การทดสอบเจาะระบบตองมก าหนดเวลาและไดรบการอนมตผานทาง AWS
โปรดดรายละเอยดเพมเตมท การทดสอบเจาะระบบของ AWS
3.12. ขอก าหนดท 12: ดแลรกษานโยบายส าหรบการรกษาความ
ปลอดภยขอมลส าหรบบคลากรทงหมด
AWS ไมมเอกสารประกอบของนโยบายใดๆ ตามทก าหนดไวในขอก าหนดท 12 (และขอก าหนดของ
PCI อนๆ) คณตองเขยนเอกสารนดวยตนเอง
3.13. ภาคผนวก A.1: ผใหบรการโฮสตงแบบใชงานรวมกนตองปกปอง
สภาพแวดลอมขอมลของผถอบตร
หากคณมโฮสตงทใชรวมกนเปนสวนหนงของ EC2 Instance คณมหนาทในการปองกน CHD ของ
ลกคาอยางเตมรปแบบ คณจะตองแบงเซกเมนตและแยก CDE ออกอยางถกตองตามขอก าหนดท A.1
บรการตอไปนสามารถชวยเหลอในเรองน:
ขอก าหนดท 1 – VPC, กลมความปลอดภย
ขอก าหนดท 7 และ 8 – IAM และ Directory Service
3.14. ภาคผนวก A.2: ขอก าหนดเพมเตมของ PCI DSS ส าหรบหนวยงาน
ทใช SSL/TLS กอนหนา
ไมมคอมโพเนนต AWS ทสนบสนนขอมลในภาคผนวก A.2 โดยเฉพาะ บรการ AWS ทงหมดทใช TLS
ทรองรบ TLS เวอรชน 1.2
3.15. ภาคผนวก A.3: การตรวจสอบความถกตองเพมเตมส าหรบ
หนวยงานทไดรบอนญาต (DESV)
ส าหรบองคกรบางแหง แบรนดของบตรเครดตหรอธนาคารของรานคาซงรบบตรเครดตอาจ
ก าหนดใหหนวยงานตองเปน หนวยงานทไดรบอนญาต (Designated Entity) และตองมลกษณะ
เปนไปตามขอก าหนดเพมเตมในภาคผนวก A.3 ของ PCI DSS 3.2
NOTE: การเปนหนวยงานทไดรบอนญาต (Designated Entity) เปนกระบวนการแบบเปนทางการ
ดงนนหากคณไมมการด าเนนการนตามทก าหนดโดยแบรนดของบตรเครดตหรอธนาคารขอ
งรานคาซงรบบตรเครดต จะไมถอวามลกษณะตามขอก าหนด
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 22
ลขสทธ © 2016, Anitian Corporation
หนวยงานตางๆ ตองปฏบตตามหลกเกณฑพนฐานเพอใหไดรบการประกาศเปนหนวยงานทไดรบ
อนญาตดงตอไปน:
จดการไดรฟขอมล CHD ขนาดใหญ
รวบรวม CHD จากหลายสถานทหรอบรษทอนๆ
มการละเมด CHD ทส าคญหรอจ านวนมาก
นอกจากน ขอก าหนดส าหรบหนวยงานทไดรบอนญาต โดยทวไปแลวจะเกยวของกบการจดท า
โปรแกรมการปฏบตตามมาตรฐาน PCI อยางเปนทางการ คอมโพเนนต AWS ทสนบสนนขอก าหนด
ยอยตางๆ ของ A.3 จะมการอธบายทดานลาง
DE.1 ใชโปรแกรมการปฏบตตามมาตรฐาน PCI DSS
AWS ไมมเอกสารประกอบของนโยบายหรอขนตอนใดๆ ตามทก าหนดไวใน DE.1 (และขอก าหนด
ของ PCI อนๆ) คณตองเขยนเอกสารนดวยตนเอง
DE.2 จดท าเอกสารและตรวจสอบขอบเขตของ PCI DSS
ไมมบรการ AWS ทรองรบขอก าหนด DE.2 ส าหรบการตรวจสอบขอบเขตของ PCI DSS โดยตรง การ
ตรวจสอบวาขอบเขตมความถกตองตามการทดสอบการควบคมการแบงเซกเมนตและกระบวนการ
คนหา CHD และการยงคงสามารถใชไดหลงจากการเปลยนแปลงขององคกรและการ
เปลยนแปลงทางเทคนค
อยางไรกตาม มบรการ AWS บางอยาง เชน บรการทระบอยในสวนท 3 ดานบน ทสามารถชวยใน
การจดหาขอมลส าหรบการด าเนนการเพอใหเปนไปตามขอก าหนดการตรวจสอบเพมเตม
ตวอยางเชน:
AWS Config สามารถระบการเปลยนแปลงตอคอมโพเนนต AWS เพอชวยตรวจสอบวาเครอขาย
CDE ทโฮสตกบ AWS หรอการแบงเซกเมนตมการเปลยนแปลงหรอไม
S3 รองรบการโปรแกรมและบรรทดค าสงเพอเขาถงออบเจกตทจดเกบไว ทเปนการชวยเหลอ
ส าหรบความพยายามในการคนหา CHD
สามารถใช CloudTrail และ CloudWatch เพอตรวจจบการเปลยนแปลงในสภาพแวดลอม ทอาจ
สงผลกระทบตอขอบเขตการประเมนของคณหรอสถานะของการปฏบตตามมาตรฐาน
สามารถใช IAM เพอก าหนดการเขาถงคอมโพเนนต AWS ใหเปนแบบอานอยางเดยว ท าให
โซลชนการก ากบดแล ความเสยง และการปฏบตตามมาตรฐาน (GRC) หรอบคลากร
สามารถรวบรวมหลกฐานยนยนได
หมายเหต: ขอควรจ า: การทดสอบเจาะระบบ แมกระทงการทดสอบการแบงเซกเมนตตองมก าหนด
เวลาและไดรบการอนมตผานทาง AWS โปรดดรายละเอยดเพมเตมท การทดสอบเจาะระบบของ AWS
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 23
ลขสทธ © 2016, Anitian Corporation
DE.3 การตรวจสอบ PCI DSS จะถกรวมอยในกจกรรมทมการด าเนนการตามปกต (BAU)
บรการ AWS เฉพาะจะไดรบการประเมนเทยบกบเวอรชน PCI DSS ในปจจบนเปนประจ าทกป บรการ
AWS เหลานทครอบคลมอยในขอบเขตการประเมน AWS จะไดรบการบนทกเปนเอกสารใน AOC
ของผใหบรการ AWS ตามทไดกลาวไปแลวขางตนในสวนท 2 ลกคา AWS สามารถ ขอรบส าเนา
ของ AOC ดงกลาว (พรอมกบขอตกลงทจะไมเปดเผยขอมลทมการลงนาม)
การตรวจสอบ AOC ของ AWS และ “ตารางความรบผดชอบ” PCI DSS ของ AWS จะชวยคณพจารณา
วาเทคโนโลยทงหมดทคณใชใน CDE มลกษณะทเปนไปตามขอก าหนดของ PCI ทบงคบใชไมวาใน
อดตทผานมา ระหวางด าเนนการในปจจบน หรอส าหรบการใชงานอนาคต
DE.4 ควบคมและจดการการเขาถงสภาพแวดลอมขอมลผถอบตรทางลอจคล
เชนเดยวกบ DE.2 ขางตน ไมมบรการ AWS ทจดการโดยตรงกบการตรวจสอบ DE.4 ท
ก าหนดในทกหกเดอน อยางไรกตาม มบรการ AWS บางอยาง เชน บรการทระบอ
ยในสวนท 3 ทสามารถชวยจดหาขอมลส าหรบการด าเนนการเพอใหเปนไปตามขอ
ก าหนดการตรวจสอบเพมเตม ตวอยางเชน:
IAM
IAM ทจะจดท ารายการนโยบายการเขาถงทก าหนดและระบวาผใชและกลมตองม
สทธใดส าหรบการเขาถงทรพยากร AWS ทอยในขอบเขตการประเมน
หมายเหต: บางอนสแตนซจะสามารถก าหนดการเขาถงไดโดยตรงขณะทการเขาถงทรพยากร AWS
โดยสวนใหญจะถกควบคมผานนโยบาย IAM ต วอยางเชน S3 สามารถมนโยบายการเขา
ถงบคเกตทเปนเรองยากทจะระบใหเปนแบบตอผใช
Directory Service
หากคณใช Directory Service ส าหรบการจดการตวตนและการเขาถงภายในสภาพแวดลอมของคณ
การเขาถงบรการภายใน AWS ยงตองมการบนทกเปนเอกสารและมการตรวจสอบทกๆ หกเดอนเปน
อยางนอย
DE.5 ระบและตอบสนองตอเหตการณทนาสงสย
AWS ไมมระเบยบวธการตรวจหา การตอบสนอง หรอการวเคราะหการเกดเหตตามทระบไวใน DE.5
(และขอก าหนดของ PCI อนๆ) คณตองเขยนเอกสารนดวยตนเอง
อยางไรกตาม คณสามารถใช CloudTrail และ CloudWatch เพอตรวจหาเหตการณทนาสงสยเพอ
ชวยสนบสนนโปรแกรมการตอบสนองตอเหตการณได
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 24
ลขสทธ © 2016, Anitian Corporation
4. สถาปตยกรรมอางอง สวนนจะก าหนดสถาปตยกรรมอางองสามแบบของ AWS ทใชกนแพรหลายเพอชวยคณสรางหรอ
ประเมนสภาพแวดลอมทสอดคลองตามมาตรฐาน PCI
1. แบบเฉพาะ: สภาพแวดลอม PCI ของ AWS ทไมมการเชอมตอใดๆ
2. แบบแบงเซกเมนต: CDE และระบบทอยในขอบเขตภายในสภาพแวดลอม AWS ทมขนาดใหญ
กวา
3. แบบเชอมตอ: สภาพแวดลอมทมทง AWS และรายการระบบแบบภายในองคกร
สถาปตยกรรมอางองเหลานใชแพลตฟอรม Microsoft Windows ส าหรบระดบชนเวบและ
แอปพลเคชนและ Amazon RDS ส าหรบระดบชนฐานขอมล โดยทวไปแลว สถาปตยกรรมจะ
เหมอนกน ขณะทแพลตฟอรมของระบบปฏบตการอนๆ อาจมการก าหนดคาแตกตางกนเลกนอย
หมายเหต: การก าหนดขอบเขตของการปฏบตตามมาตรฐานในสภาพแวดลอมทมการโฮสต
ของ AWS โดยสวนใหญจะเหมอนกบการก าหนดขอบเขตในสภาพแวดลอมแบบภายใน
องคกร ขอบเขตของการปฏบตตามมาตรฐานจะขนอยกบกลยทธการแบงเซกเมนตและ
ล าดบขนขอมลของผถอบตรทใชอย
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 25
ลขสทธ © 2016, Anitian Corporation
4.1. สถาปตยกรรมแบบท 1: แบบเฉพาะ
สถาปตยกรรมนแสดงเวบไซตอคอมเมรชทโฮสตอยในบญช Amazon AWS แบบเฉพาะ และมอยใน
เครอขายสวนตวเพยงเครอขายเดยว
รปภาพ 2 - สถาปตยกรรมเวบไซตอคอมเมรชแบบสแตนดอโลน
ภาพรวม
ในสถาปตยกรรมอางองแบบเฉพาะ มสามซบเนตใน VPC คาเรมตน:
DMZ CDE
CDE ภายใน
การจดการภายใน
DMZ เปนเครอขายการเชอมตออนเทอรเนตทมเวบเซรฟเวอร EC2 Instance
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 26
ลขสทธ © 2016, Anitian Corporation
ซบเนตภายในทอยในขอบเขตจะม Jumpbox ทใชเพอจดการและใหการสนบสนน การรกษาความ
ปลอดภย การแกไขความบกพรอง และบรการทจ าเปนอนๆ กบ CDE Instance
ซบเนตภายในสามารถเขาถงไดโดยอนสแตนซ DMZ และอนสแตนซทอยในขอบเขตผานทางกลม
ความปลอดภยเทานน (ตามรายละเอยดทอธบายไวดานลาง) และมอนสแตนซของแอปพลเคชน
เซรฟเวอรและ RDS
หมายเหต: Anitian สรางสครปต CloudFormation โดยใช AMI ทมการเสรมความปลอดภย
ส าหรบการใชสถาปตยกรรมอางอง
ขอบเขตของ PCI
CDE ประกอบดวยระบบตางๆ ในซบเนต CDE สองซบเนต:
เวบเซรฟเวอร
แอปพลเคชนเซรฟเวอร
อนสแตนซฐานขอมล RDS
ส าหรบขอบเขตน เวบเซรฟเวอรยอมรบ CHD แลวจงขามระดบชนแอปพลเคชนไปยง
ฐานขอมลส าหรบการจดเกบ
Jumpbox จะไมมการสง ด าเนนการ จดเกบ หรอจดการกบขอมลผถอบตรในสถาปตยกรรมน การใส
ลงในเครอขายการจดการแบบเฉพาะจะแยก Jumpbox ออกจาก CDE แตไมเปนการลบ
ออกจากขอบเขตการประเมนของ PCI เนองจากมการเชอมตอโดยตรงและอาจสงผลกระทบดาน
ความปลอดภยของโฮสตใน CDE
บรการ AWS ทเกยวของ
บรการ AWS ตอไปนชวยสนบสนนการปฏบตตามมาตรฐาน PCI 3.2 ส าหรบสถาปตยกรรมน:
บรการ AWS ขอก าหนดของ PCI ทสนบสนน
IAM
KMS
2.2.4, 3.4, 3.5, 3.5.22-3, 3.6, 3.6.1-5, 3.6.7, 6.4.1-2, 7.1, 7.1.1-3, 7.2, 7.2.1-3, 8.1, 8.1.1-2, 8.2, 8.2.1, 8.2.3-6, 8.3, 8.3.1, A.1.2
S3 3.1, 3.4, 10.5, 10.5.1-5, 10.7
CloudTrail
CloudWatch
10.1, 10.2, 10.2.2-7, 10.3, 10.3.1-6, 10.5, 10.5.1-5, 10.7, A.1.3
EC2
กลมความปลอดภย
AMI
EBS
1.1, 1.1.4, 1.2, 1.2.1, 1.3, 1.3.1-7, 2.1,4.1, 6.4.1
RDS 3.4
Config 2.4, 11.5
VPC 1.2, 1.2.1, 1.3, 1.3.1-4, 1.3.6-7
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 27
ลขสทธ © 2016, Anitian Corporation
การสราง
สวนนจะอธบายขนตอนหลกๆ ส าหรบการสรางสถาปตยกรรมอางอง
4.1.4.1. สรางกลม IAM และก าหนดสทธการใชงาน
อนดบแรก ใหก าหนดผทสามารถเขาถงและผทสามารถจดการสภาพแวดลอม AWS ก าหนดใหคณ
ตองระบบญชและรหสผานทงหมดอยางชดเจน เพอใหแนใจวาไมมคาเรมตนทใชรวมกน
รปภาพ 3 – สรางผใช
4.1.4.2. สรางคยการเขารหสของพนทเกบขอมล
ใช KMS เพอสรางคยส าหรบการเขารหสต าแหนงพนทจดเกบขอมล ในสถาปตยกรรมน ตองมคยท
สรางส าหรบอนสแตนซฐานขอมลทจะเกบขอมลของผถอบตร (CHD) อยางนอยหนงคย
รปภาพ 4 – การก าหนดคา KMS
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 28
ลขสทธ © 2016, Anitian Corporation
ใน AWS คณสามารถแยกก าหนดสทธการใชงานเพอจดการคยการเขารหสและเพอใชคยส าหรบ
การเขารหส ซงท าใหสามารถบงคบใชสทธการใชงานขนต าได
หมายเหต: แมจะสามารถเขารหสไดรฟขอมลแบบไมใชรททเชอมโยงกบอนสแตนซ AWS
โดยใชคย KMS แตการเขารหสดสกจะมผลกระทบนอยทสดกบระบบปฏบตการทท างานอย
ในอนสแตนซ การจดการกบการเขาถงขอมลบนดสกทเขารหสไมไดถกแยกและไมองอยกบ
ระบบปฏบตการตามทก าหนดโดยขอก าหนดท 3.4.1 ของ PCI
การเปลยนคยการเขารหสทใชปองกนขอมลเปนประจ าเปนแนวทางปฏบตทดและเปนขอก าหนดของ
PCI (ขอก าหนดท 3.6.4) ซงจะจ ากดระยะเวลาทใชไดของคยทถกละเมดความปลอดภย
หลงจากการสรางคย ใหคลก URL ในสวนคยการเขารหสของบรการ Identity and Access
Management AWS การตงคาการหมนเวยนคยจะอยในคณสมบตทระบไวส าหรบคยทเลอก วธการน
ท าใหคณหมนเวยนคยโดยอตโนมตภายในชวงอายของคยทก าหนดซงสอดคลองตามขอก าหนดท
3.6.4
รปภาพ 5 – ตวเลอกการหมนเวยนคย
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 29
ลขสทธ © 2016, Anitian Corporation
4.1.4.3. สรางซบเนต
ส าหรบสถาปตยกรรมน คณจ าเปนตองมซบเนตทแยกจากกนอยางนอยสซบเนต:
ซบเนต DMZ ส าหรบเวบเซรฟเวอร
ซบเนตการจดการส าหรบ Jumpbox
ซบเนตภายในสองซบเนตส าหรบระบบของแอปพลเคชนและฐานขอมล
o ซบเนตภายในเหลานตองอยใน Availability Zone ทตางกนดวย เพอใหเราสามารถ
ตงคาส ารองการท างานของ RDS ในขนตอนตอไป
รปภาพ 6 – การก าหนดคาซบเนต
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 30
ลขสทธ © 2016, Anitian Corporation
ใชเพจการจดการบรการ VPC ในคอนโซล AWS เพอก าหนดคาซบเนต รวมถงส าหรบการใช
VPC EC2 Classic คาเรมตน
รปภาพ 7 - เพจการจดการบรการ VPC ทมสามซบเนตใหม
4.1.4.4. ก าหนดคาการก าหนดเสนทาง
เมอสรางซบเนตใหม จะมการใชตารางเสนทางหลกส าหรบ VPC ทมเพยงเสนทางเดยวท
อนญาตการรบสงขอมลภายในส าหรบซบเนตทสรางใหมเทานน
รปภาพ 8 - เสนทางภายใน
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 31
ลขสทธ © 2016, Anitian Corporation
เฉพาะซบเนต DMZ และการจดการเทานนทตองมเสนทางไปยงอนเทอรเนตเกตเวย ซงเปนการตรวจ
สอบใหแนใจวาอนสแตนซในซบเนตเหลานรองรบการเชอมตออนเทอรเนตทงขาเขาและขาออกโด
ยตรง
รปภาพ 9 - เสนทางเกตเวยส าหรบ DMZ
4.1.4.5. สรางกลมความปลอดภย
กลมความปลอดภยจะท าหนาทเหมอนกบไฟรวอลลขาเขา กลมความปลอดภยจ ากดอนสแตนซ
ขาเขาในการเขาถงแหลงทมาทก าหนดไวลวงหนา โปรโตรคอล IP และพอรต TCP หรอ UDP บน
เครอขาย
รปภาพ 10 - กฎของกลมความปลอดภย
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 32
ลขสทธ © 2016, Anitian Corporation
นอกจากน กฎดงกลาวยงสามารถอางองกลมความปลอดภยอนๆ ใน VPC เดยวกนเปนแหลงทมา
ทอนญาตดวย ตวอยางเชน คณสามารถอางองกลมความปลอดภยของแอปพลเคชน
เซรฟเวอรเพอจ ากดการเขาถง Microsoft SQL Server ส าหรบเฉพาะอนสแตนซทอยในกลมนนได
รปภาพ 11 – กลมความปลอดภยจะเปนแบบเกบสถานะและบลอกการเขาถงทงหมดทไมไดรบ
อนญาตอยางชดเจน
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 33
ลขสทธ © 2016, Anitian Corporation
สถาปตยกรรมนใชกลมความปลอดภยหากลมเพอใหท างานส าหรบสถาปตยกรรมไดตามท
อธบายไว:
รปภาพ 12 - การออกแบบไฟรวอลลแบบลอจคล/กลมความปลอดภย
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 34
ลขสทธ © 2016, Anitian Corporation
กลมความปลอดภยของเวบเซรฟเวอร
กลมนอนญาตใหเชอมตอเวบไคลเอนตขาเขาไดจากทกทและเชอมตอบรการเวบขาออกไปยง
แอปพลเคชนเซรฟเวอรภายใน
รปภาพ 13 - กฎขาเขาของกลมความปลอดภยของเวบเซรฟเวอร
รปภาพ 14 - กฎขาออกของกลมความปลอดภยของเวบเซรฟเวอร
กลมความปลอดภยของแอปพลเคชนเซรฟเวอร
กลมความปลอดภยนอนญาตใหเชอมตอบรการเวบขาเขาจากเวบเซรฟเวอรไปยงแอปพลเคชน
เซรฟเวอร
รปภาพ 15 - กฎขาเขาของกลมความปลอดภยของแอปพลเคชนเซรฟเวอร
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 35
ลขสทธ © 2016, Anitian Corporation
กลมจะอนญาตใหเชอมตอ MySQL ขาออกไปยงอนสแตนซของฐานขอมล RDS
รปภาพ 16 - กฎขาออกของกลมความปลอดภยของแอปพลเคชนเซรฟเวอร
กลมความปลอดภยของฐานขอมล (RDS)
กลมความปลอดภยสามารถปองกนการเขาถงอนสแตนซ RDS บนเครอขายใหปลอดภยแมวา RDS จะใชเฉพาะกฎขาเขาเทานน
กฎเหลานอนญาตใหเชอมตอ MySQL จากแอปพลเคชนเซรฟเวอรและจากอนสแตนซ RDS อนๆ ใน
กลมเพอรองรบการจ าลองแบบฐานขอมล
รปภาพ 17 - กฎขาเขาของกลมความปลอดภยของเซรฟเวอรฐานขอมล
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 36
ลขสทธ © 2016, Anitian Corporation
Management Security Group
Management Security Group เปนกลมพเศษทอนญาตให RDP และ ICMP เชอมตอจาก Jumpbox ไป
ยงอนสแตนซทงหมดเพอวตถประสงคในการจดการ
รปภาพ 18 - กฎขาเขาของกลมความปลอดภยของเซรฟเวอรการจดการ
กลมความปลอดภยของ Jump Box
Jumpbox ตองอนญาตใหมการเชอมตอจากทอย IP สาธารณะของเครอขายบรษทของคณเทานน
หมายเหต: คณตองใชการรบรองความถกตองโดยใชสองปจจยส าหรบการเขาถงจาก
ระยะไกลเพอใหเปนไปตามขอก าหนด 8.3 มผลตภณฑของบรษทอนจ านวนมากทสนบ
สนนการรบรองความถกตองนส าหรบระบบ Windows หรอ Linux AWS ไมสนบสนนการ
รบรองความถกตองโดยใชสองปจจยส าหรบการเขาถง EC2 Instance จากระยะไกลมาตงแต
ตน อยางไรกตาม AWS สนบสนนการรบรองความถกตองโดยใชหลายปจจยในการเขาถง
AWS ส าหรบขอมลเพมเตม โปรดดรายละเอยดของ AWS MFA และราคาท http://aws.amazon.com/iam/details/mfa/
รปภาพ 19 - กฎขาเขาของกลมความปลอดภยของเซรฟเวอร Jumpbox
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 37
ลขสทธ © 2016, Anitian Corporation
Jumpbox ตองมการสอสารขาออกไปยงเวบและแอปพลเคชนเซรฟเวอรเพอวตถประสงคใน
การจดการ
รปภาพ 20 - กฎขาออกของกลมความปลอดภยของเซรฟเวอร Jumpbox
4.1.4.6. สราง AMI ทมการเสรมความปลอดภยจากอนสแตนซทมความปลอดภย
PCI ก าหนดใหมการพฒนามาตรฐานการก าหนดคาความปลอดภยส าหรบคอมโพเนนตของ
ระบบทงหมด AWS อนญาตใหสรางอนสแตนซทปลอดภยหนงอนสแตนซเพอท าหนาทเปนเทมเพลต
ส าหรบการสรางระบบทมการรกษาความปลอดภยไวลวงหนา
เปดใชงานอนสแตนซใหมส าหรบแตละประเภททจ าเปนส าหรบการปรบใช ส าหรบสถาปตยกรรมน
ตองมเวบเซรฟเวอร แอปพลเคชนเซรฟเวอร และแอปพลเคชน หรออนสแตนซของเซรฟเวอร
พนฐานส าหรบ Jumpbox (ฐานขอมลจะใชบรการ AWS RDS)
รปภาพ 21 - การเลอก AMI ส าหรบการปรบใชอนสแตนซ
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 38
ลขสทธ © 2016, Anitian Corporation
อนสแตนซเหลานมอายการท างานทนานพอส าหรบด าเนนการเสรมความปลอดภยของโฮสตและ
ขนตอนการก าหนดคาเทานน ตรวจสอบใหแนใจวาแตละอนสแตนซเหลานเปนสวนหนงของกลม
ความปลอดภย Jumpbox ซงอยในซบเนตการจดการ และม IP แบบยดหยนหรอ IP สาธารณะ เพอให
คณสามารถเชอมตอและจดการจากระยะไกลได
IP สาธารณะจดเตรยมโดย AWS เมอเปดใชงานอนสแตนซ ซงจะด าเนนการโดยอตโนมตใน VPC คา
เรมตน แตสามารถก าหนดคาโดยซบเนตใน VPC อนๆ (โปรดดท คมอการใชงาน Amazon VPC
ส าหรบขอมลเพมเตม)
IP แบบยดหยน (EIP) มการจดการโดยลกคาและเชอมโยงกบบญช AWS ไมใชอนสแตนซเฉพาะ คณ
สามารถก าหนดอนสแตนซทจะใช EIP เฉพาะโดยไมตองมการเปลยนแปลงทอย
เชอมตอและเสรมความปลอดภยใหกบอนสแตนซ
ตรวจสอบใหแนใจวาคณจดท าเอกสารขนตอนทงหมดในการรกษาความปลอดภยอนสแตนซไว
เนองจากผประเมนของคณจ าเปนตองตรวจสอบขนตอนเหลาน
หมายเหต: หรอคณสามารถใช AMI ทไดรบการเสรมความปลอดภยไวลวงหนาของ Anitian
ซงมเอกสารมาตรฐานการก าหนดคาการรกษาความปลอดภย บรการหลานจะม
อยใน AWS Marketplace
เมอคณด าเนนการเรยบรอยแลวและอนสแตนซพรอมใชงาน ใหปดเและสราง AMI แบบก าหนดเอง
จากอนสแตนซ
รปภาพ 22 - การสราง AMI จากอนสแตนซทเสรมความปลอดภย
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 39
ลขสทธ © 2016, Anitian Corporation
4.1.4.7. เปดใชงานอนสแตนซจาก AMI ทเสรมความปลอดภย
สถาปตยกรรมนตองมอนสแตนซอยางนอยสามอนสแตนซ:
อนสแตนซ Jumpbox
o ใชเพอจดการสภาพแวดลอมจากระยะไกล
o ในซบเนตการจดการ จะตองม EIP หรอ IP สาธารณะ
อนสแตนซของเวบเซรฟเวอร
o สวนหนาไปยงแอปพลเคชนอคอมเมรช
o ในซบเนต DMZ ตองม EIP หรอ IP สาธารณะ
อนสแตนซของแอปพลเคชนเซรฟเวอร
o ชนของแอปทเรยกใชมดเดลแวรทมการเชอมตอโบรกเกอรระหวางเวบเซรฟเวอรและฐานข
อมล (RDS ในตวอยางน)
o ในซบเนตภายใน อนสแตนซสามารถเขาถงไดโดยเวบเซรฟเวอรและ Jumpbox เทานน และ
เปนอนสแตนซเดยวเทานนทมการเขาถงฐานขอมล
เปดใชงาน EC2 Instance จาก AMI ทสรางใหม
รปภาพ 23 - การเปดใชงานอนสแตนซจาก AMI
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 40
ลขสทธ © 2016, Anitian Corporation
4.1.4.8. สรางกลมซบเนต
กลมซบเนตชวยให RDS สามารถตรวจสอบต าแหนงทตงของอนสแตนซทซ ากนเพอไมให
อนสแตนซหลกท างานลมเหลว
จดการกลมซบเนตจากเพจการจดการบรการ RDS สรางกลมซบเนตทมซบเนต CDE ภายในสอง
ซบเนตทสรางไวกอนหนาน
รปภาพ 24 - การสรางซบเนต RDS
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 41
ลขสทธ © 2016, Anitian Corporation
4.1.4.9. สรางอนสแตนซ RDS ทเขารหส
เปดใชงานอนสแตนซ RDS ทเขารหสซงจดเกบ CHD โดยใชคย KMS และกลมซบเนตทสรางไวแลว
เมอสรางอนสแตนซ RDS จ าเปนตองใสใจเปนพเศษกบการตงคาบางอยางเพอใหเปนไปตาม
ขอก าหนดของ PCI คลาสของอนสแตนซฐานขอมลตองเปน db.m3.medium หรอสงกวาเพอให
สนบสนนการเขารหส
รปภาพ 25 - การเลอกคลาสของอนสแตนซทสนบสนนการเขารหส
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 42
ลขสทธ © 2016, Anitian Corporation
นอกจากน คณตองแนใจวา:
เลอกกลมความปลอดภย RDS ทสรางขนกอนหนานเพอท AWS ไมตองสรางกลมความปลอดภย
ใหมทเปน “คาเรมตน”
เลอก “Yes” ส าหรบการเปดใชงานการเขารหส และเลอกคย KMS ทสรางไวกอนหนา
รปภาพ 26 - การเลอกกลมความปลอดภยและคยส าหรบการเปดใชงานการเขารหส
4.1.4.10. ตดตงซอฟตแวรแอปพลเคชน
เมออนสแตนซฐานขอมล RDS เตรยมการใชงานเรยบรอยแลว สภาพแวดลอมกจะพรอมใชงาน
หมายเหต: ขนตอนในสวนนจะเนนเกยวกบการใชประโยชนจากบรการ AWS ส าหรบการ
ปฏบตตามมาตรฐาน ขอก าหนดของ PCI เพมเตมจ านวนมากตองไดรบการด าเนนการให
สอดคลองกนเพอใหแนใจวาสภาพแวดลอมนเปนไปตามขอก าหนด รวม (แตไมจ ากดเพยง)
การปองกนไวรส การจดการแพตซ การจดการไฟลลอก การจดการชองโหว และการ
ตรวจสอบความสมบรณของไฟล
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 43
ลขสทธ © 2016, Anitian Corporation
4.2. สถาปตยกรรมแบบท 2: แบบแบงเซกเมนต
สถาปตยกรรมนสรางขนจากการออกแบบกอนหนาน ซงจะแสดงเวบไซตอคอมเมรชทแบง
เซกเมนตมาจากระบบอนๆ ในสภาพแวดลอม Amazon AWS ทมอย
การแบงเซกเมนตระบบ CDE จากทจดเกบของบญช AWS จะจ ากดขอบเขตของการปฏบตตาม
มาตรฐาน PCI
รปภาพ 27 - สถาปตยกรรมของ CDE ทมการแบงเซกเมนตภายในสภาพแวดลอมของ AWS ทกวางขน
ภาพรวม
ในสถาปตยกรรมอางองแบบแบงเซกเมนต มสองเครอขายสวนตวอยใน VPC ทแยกออกจากกน:
CDE VPC
o ประกอบดวยซบเนต DMZ CDE, ซบเนตการจดการ และซบเนต CDE ภายใน
VPC นอกขอบเขต
o มสองซบเนตอยในเครอขายสวนตวทแบงเซกเมนตมาจาก CDE
ระบบและซบเนตในเครอขาย CDE VPC จะเหมอนกบระบบและซบเนตในสถาปตยกรรมแบบแรก VPC
ใหมเปนระบบเพมเตม และซบเนตทไมตองมการเชอมตอกบระบบ CDE ใดๆ สถาปตยกรรมน
แสดงใหเหนถงวธเอา VPC ใหมออกจากขอบเขตการประเมนของ PCI ผานทางการแบงเซกเมนต
ในการแบงเซกเมนตเครอขายนอกขอบเขต เครอขายดงกลาวตองไมเชอมตอกบ CDE ใน
สภาพแวดลอมแบบดงเดม โดยทวไปแลว สามารถท าไดโดยใชนโยบายไฟรวอลล สวตช ACL, VLAN
หรอการแบงเซกเมนตของเครอขายอนๆ และเทคโนโลยการแยกสวน
ใน AWS คณสามารถรวมกลมความปลอดภยและ VPC เขาดวยกนเพอใหสอดคลองกบการก าหนด
คาไฟรวอลลและเราเตอรทระบในขอก าหนดท 1.2 เชนทอธบายไวทดานบน กลมความปลอดภย
ควบคมการรบสงขอมลของอนสแตนซ VPC เปนพนทเครอขายสวนตวทแยกตางหากภายใน
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 44
ลขสทธ © 2016, Anitian Corporation
เครอขาย AWS แตละ VPC ใชพนทวางของทอยแบบสวนตวของตนเองและแยกออกจากเครอขาย
อนๆ และทรพยากรอนๆ ในบญช AWS โดยเปนวธทสะดวกทสดในการใชการแบงเซกเมนต
เครอขายทถกตองส าหรบการลดขอบเขตของ PCI
หมายเหต: เพอตรวจสอบใหแนใจวา CDE VPC ในสถาปตกรรมอางองนมการแบงเซกเมนต
ออกจาก VPC ทอยนอกขอบเขต ระหวาง VPC ตองมการตงคาการเชอมตอแบบเพยรของ
VPC วธการนอาจน า VPC ทไมใช CDE ใหเขามาอยในขอบเขตการประเมน (ซงเปนกลยทธ
ทเหมาะสมในบางสถานการณ แตไมไดน ามาใชในตวอยางน)
ขอบเขตของ PCI
CDE ประกอบดวยอนสแตนซในสถาปตยกรรมดงตอไปน โดยทงหมดจะอยภายในเครอขาย CDE
VPC แบบสวนตว:
เวบเซรฟเวอร
แอปพลเคชนเซรฟเวอร
ฐานขอมล RDS
VPC ใหมจะอยนอกขอบเขตส าหรบ PCI เนองจากการแบงเซกเมนตเครอขายตามทอธบายไว
ดานลาง
บรการ AWS ทเกยวของ
บรการ AWS ตอไปนชวยสนบสนนการปฏบตตามมาตรฐาน PCI ส าหรบสถาปตยกรรมน:
บรการ AWS ขอก าหนดของ PCI ทสนบสนน
IAM
KMS
2.2.4, 3.4, 3.5, 3.5.2-3, 3.6, 3.6.1-5, 3.6.7, 6.4.1-2, 7.1, 7.1.1-3, 7.2, 7.2.1-3, 8.1, 8.1.1-2, 8.2, 8.2.1, 8.2.3-6, 8.3, 8.3.1, A.1.2
S3 3.1, 3.4, 10.5, 10.5.1-5, 10.7
CloudTrail
CloudWatch
10.1, 10.2, 10.2.2-7, 10.3, 10.3.1-6, 10.5, 10.5.1-5, 10.7, A.1.3
EC2
กลมความปลอดภย
AMI
EBS
1.1, 1.1.4, 1.2, 1.2.1, 1.3, 1.3.1-7, 2.1, 4.1, 6.4.1
RDS 3.4
Config 2.4, 11.5
VPC 1.2, 1.2.1, 1.3, 1.3.1-4, 1.3.6-7
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 45
ลขสทธ © 2016, Anitian Corporation
การสราง
สวนนจะอธบายขนตอนหลกๆ ส าหรบการสรางสถาปตยกรรมอางอง
4.2.4.1. สราง VPC
สรางเครอขาย VPC ใหมเพอใหมอนสแตนซทอยนอกขอบเขตและแยกอนสแตนซทอยนอก
ขอบเขตออกจากอนสแตนซ CDE ทสรางไวในสถาปตยกรรมแบบแรก
รปภาพ 28 – การสราง VPC ใหม
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 46
ลขสทธ © 2016, Anitian Corporation
VPC ใหมจะมอนสแตนซ NAT ทออกแบบมาใหท างานเหมอนกบเราเตอรของอนเทอรเนต
เกตเวยส าหรบซบเนตสวนตว เมอสราง VPN แลว คณสามารถลบอนสแตนซ NAT นเพอปองกนไมให
อนสแตนซอนๆ ในซบเนตใหมเขาถงอนเทอรเนตได
รปภาพ 29 – ก าหนดคา VPC ใหม
4.2.4.2. สรางผใช IAM, กลม และคย KMS
ทรพยากรของ IAM ไมใชแบบเฉพาะส าหรบส าหรบภมภาคหรอ VPC ทรพยากรทงหมดภายในบญช
AWS จะใชทรพยากร IAM เดยวกน
สรางรายการเหลานตามทอธบายไวขางตนในสวนท 4.1.4.1 และ 4.1.4.2
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 47
ลขสทธ © 2016, Anitian Corporation
4.2.4.3. สรางทรพยากรใน VPC
เมอสรางทรพยากร ตรวจสอบใหแนใจวาเลอก VPC ทสรางใหมในรายการดรอปดาวน “VPC” ของ
แตละวซารดการสรางทรพยากร
หมายเหต: มทรพยากรของ AWS บางสวนเทานนทจะก าหนดใหกบ VPC หรอภมภาค
เดยวโดยเฉพาะ ไมพบทรพยากรบนแดชบอรด VPC ใหลองคนหาใน
คอนโซลการจดการบรการ EC2
รปภาพ 30 – สรางซบเนต VPC
4.2.4.4. การเขาถงอนเทอรเนต
เครอขาย VPC จะตองมอนเทอรเนตเกตเวยของตนเอง สรางเกตเวย แลวเชอมตอเขากบ VPC
รปภาพ 31 – การเชอมตออนเทอรเนตเกตเวยกบ VPC
รายการดรอปดาวน
VPC
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 48
ลขสทธ © 2016, Anitian Corporation
4.3. สถาปตยกรรมแบบท 3: แบบเชอมตอ
สถาปตยกรรมนเปนการเชอมตอ CDE แบบภายในองคกรเขากบสภาพแวดลอมของ Amazon AWS
รปภาพ 32 – ระบบแบบภายในองคกรทมการเชอมตอใน AWS CDE
ภาพรวม
ในสถาปตยกรรมอางองแบบเชอมตอ มสามเครอขายสวนตวอยใน AWS และสองเครอขายภายใน
องคกร:
เครอขาย AWS
1. CDE VPC
เปน VPC จากสถาปตยกรรมแบบท 1 ทม DMZ และซบเนต CDE ภายใน
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 49
ลขสทธ © 2016, Anitian Corporation
2. VPC นอกขอบเขต
เปน VPC ใหมจากสถาปตยกรรมแบบท 2 ทมการแบงเซกเมนตทงหมดโดยไมม
การเชอมตอแบบเพยรของ VPC
3. VPC ในขอบเขต
เปน VPC ใหม ซงมการเชอมตอกบ CDE ผานการเชอมตอแบบเพยรของ VPC
เครอขายแบบภายในองคกร
1. เครอขายภายในองคกรทอยในขอบเขต
เปนเซกเมนตเครอขายของลกคาทเชอมตอกบ AWS CDE ผานทาง VPN
2. เครอขายแบบภายในองคกรทอยนอกขอบเขต
เปนเครอขายของลกคาทแบงเซกเมนตจากเครอขายลกคาทอยในขอบเขตและ AWS
การขยายเครอขายแบบภายในองคกรไปยง VPC ใน AWS จะไมแตกตางไปจากการตงคา
การเชอมตอดวย VPN แบบธรกจตอธรกจอนๆ ในการตงคา VPN ทวไป ชองทางการเชอมตอ IPsec ม
การสอสารแบบสวนตวส าหรบเครอขายทเชอถอไดอยางนอยสองเครอขายไปยงเครอขายทไม
นาเชอถอ เชน อนเทอรเนต โดยสามารถใชเทคโนโลยเดยวกนเพอเขาถงเครอขาย VPC แบบ
สวนตวจาก VPC อน ๆ หรอแมกระทงในสภาพแวดลอมแบบภายในองคกร
นอกจากน ยงสามารถตงคาการเชอมตอเปนแบบโดยตรง แบบสวนตว แบบไมใชการเชอมตอดวย
VPN กบ AWS โดยใชบรการ Direct Connect Direct Connect สนบสนนการเชอมโยงทม
แบนดวดทสงและสามารถรวมเขากบการตดแทก 802.1q VLAN เพอสนบสนนการแบงเซกเมนต
แบบลอจคล การเชอมตอโดยใช Direct Connect จะไมไดรบการเขารหสตามหมายเหตในสวน 3.4
ขางตน การควบคมเพมเตม เชน VPN หรอการใช TLS อาจยงมความจ าเปนเพอใหเปนไปตาม
ขอก าหนดของ PCI 4.1 หากการเชอมตอเครอขายโดยตรงไมใชแบบสวนตว
สถาปตยกรรมนไมไดม Jumpbox เปนของตนเอง เนองจากระบบการจดการทอยในขอบเขต
แบบภายในองคกรสามารถบรหารจดการระบบ AWS CDE โดยไมตองเปลยนเปนขอบเขตการ
ประเมน
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 50
ลขสทธ © 2016, Anitian Corporation
ขอบเขตของ PCI
ขอบเขตการประเมนของ PCI ในสถาปตยกรรมอางองนประกอบดวย:
เครอขาย CDE VPC (เวบ แอป และระดบชนฐานขอมล)
เครอขาย VPC ทอยในขอบเขตใน AWS
เครอขายแบบภายในองคกรทอยในขอบเขต
เครอขายสองเครอขายทอยในขอบเขตจะไมม CHD แตมการเชอมตอกบ CDE สถาปตยกรรมน
แสดงใหเหนสองกรณการใชงานทพบโดยทวไปส าหรบระบบทอยในขอบเขตแบบเชอมตอ:
VPC ทอยในขอบเขตใน AWS มระบบทจะวเคราะหเวบแอปพลเคชน CDE (โดยไมมการเขาถง CHD)
เครอขายแบบภายในองคกรทอยในขอบเขตมระบบทใหการควบคมความปลอดภยส าหรบ CDE
เชน การปองกนมลแวรและการจดการโปรแกรมแพตซ
เครอขายสองเครอขายทอยนอกขอบเขตในสถาปตยกรรมอางองนไมมการเชอมตอเครอขายกบ
AWS CDE ตามทอธบายไวในสวน 4.3.1 ขางตน
บรการ AWS ทเกยวของ
บรการ AWS ตอไปนจะชวยสนบสนนการปฏบตตามมาตรฐาน PCI ส าหรบสถาปตยกรรมน:
บรการ AWS ขอก าหนดของ PCI ทสนบสนน
IAM
KMS
2.2.4, 3.4, 3.5, 3.5.2-3, 3.6, 3.6.1-5, 3.6.7, 6.4.1-2, 7.1, 7.1.1-3, 7.2, 7.2.1-3, 8.1, 8.1.1-2, 8.2, 8.2.1, 8.2.3-6, 8.3, 8.3.1, A.1.2
S3 3.1, 3.4, 10.5, 10.5.1-5, 10.7
CloudTrail
CloudWatch
10.1, 10.2, 10.2.2-7, 10.3, 10.3.1-6, 10.5, 10.5.1-5, 10.7, A.1.3
EC2
กลมควำมปลอดภย
AMI
EBS
1.1, 1.1.4, 1.2, 1.2.1, 1.3, 1.3.1-7, 2.1, 4.1, 6.4.1
RDS 3.4
Config 2.4, 11.5
VPC 1.2, 1.2.1, 1.3, 1.3.1-4, 1.3.6-7
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 51
ลขสทธ © 2016, Anitian Corporation
การสราง
สวนนจะอธบายขนตอนหลกๆ ส าหรบการสรางสถาปตยกรรมอางอง
4.3.4.1. สราง VPC
สราง VPC ทอยในขอบเขตตามขนตอนในสถาปตยกรรมท 2: CDE แบบแบงเซกเมนต ตามทอธบาย
ไวในสวน 4.2 ขางตน
4.3.4.2. สรางการเชอมตอแบบเพยรของ VPC
สรางการเชอมตอแบบเพยรของ VPC ระหวาง CDE VPC และ VPC ทอยในขอบเขตทสรางใหม
รปภาพ 33 – การสรางการเชอมตอแบบเพยรของ VPC
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 52
ลขสทธ © 2016, Anitian Corporation
4.3.4.3. ยอมรบการเชอมตอแบบเพยรของ VPC
หลงจากสรางการเชอมตอแบบเพยรของ VPC แลว ตองยอมรบค าขอการเชอมตอแบบเพยร การ
ยอมรบค าขอมความจ าเปน เนองจากการเชอมตอแบบเพยรของ VPC มการสนบสนนระหวาง VPC ใน
บญช AWS ทแตกตางกน
รปภาพ 34 – การยอมรบค าขอการเชอมตอแบบเพยรของ VPC
4.3.4.4. เพมเสนทางผานการเชอมตอแบบเพยรของ VPC
หลงจากยอมรบการเชอมตอแบบเพยรของ VPC คณสามารถเพมเสนทางไปยง VPC ทเชอมต
อแบบเพยรในตารางการก าหนดเสนทางใน CDE VPC ได อยาลมเพมเสนทางกลบจากซบเนต VPC ทอยในขอบเขต
รปภาพ 35 – การเพมเสนทางไปยง VPC ทเชอมตอแบบเพยร
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 53
ลขสทธ © 2016, Anitian Corporation
4.3.4.5. ใชประโยชนจากทรพยากร VPC ทอยในขอบเขต
หลงจากเพมเสนทางแลว ระบบ VPC ทอยในขอบเขตจะสามารถเขาถง CDE ได เชน ระบบการ
วเคราะหทมการอางถงในตวอยางน
หมายเหต: คณจะตองปรบแกกลมความปลอดภยของ CDE หรอสรางขนใหม เพอ
อนญาตใหมการเชอมตอจาก CDE ทอยในขอบเขตไปยงอนสแตนซ CDE ทเหมาะสม
4.3.4.6. สรางเกตเวยของลกคา
สรางเกตเวยของลกคาภายใน CDE VPC ทรพยากรใน AWS นแสดงตวรวมชองสญญาณของ VPN ท
ไซตของลกคา
รปภาพ 36 – การสรางเกตเวยของลกคา
หมายเหต: เกตเวยของลกคายงสนบสนนการก าหนดเสนทาง IP แบบไดนามกโดยใช BGP
เชนกน หากเลอกแบบไดนามกไว เกตเวยยงตองการ ASN ส าหรบเครอขายทอย IP
ระยะไกลดวย
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 54
ลขสทธ © 2016, Anitian Corporation
4.3.4.7. สรางเกตเวยสวนตวแบบเสมอน
สรางเกตเวยสวนตวแบบเสมอน (VPG) ภายใน VPC ทรพยากรใน AWS นแสดงปลายทางของ
การก าหนดเสนทาง AWS ส าหรบการเชอมตอดวย VPN
VPG เปนอนเทอรเฟสเครอขายพเศษทใชเพอสงและรบขอมลจากภายนอกเหมอนกบ
อนเทอรเนตเกตเวย เชอมโยง VPG กบ VPC หลงจากมการสราง
รปภาพ 37 – การสรางเกตเวยสวนตวแบบเสมอน
4.3.4.8. สรางการเชอมตอดวย VPN
AWS สนบสนนการเชอมตอดวย IPsec VPN มาตรฐานอตสาหกรรม ทรพยากรของ VPN AWS
เชอมตอระหวาง VPG และเกตเวยของลกคา
ส าหรบ VPN ใหระบ VPG และเกตเวยของลกคาทสรางไวขางตน
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 55
ลขสทธ © 2016, Anitian Corporation
รายการ “Static IP Prefixes” เปนซบเนต IP ระยะไกลในการก าหนดเสนทางผานการเชอมตอดวย VPN
การเชอมตอดวย VPN มต าแหนงขอมลฝง AWS สองต าแหนงส าหรบส ารองการท างาน
รปภาพ 38 – การสรางการเชอมตอดวย VPN
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 56
ลขสทธ © 2016, Anitian Corporation
4.3.4.9. ดาวนโหลดรายละเอยดการก าหนดคา IPsec
ดาวนโหลดการก าหนดคาทจ าเปนส าหรบการเชอมตอดวย VPN ภายในองคกร AWS สนบสนนไฟล
การก าหนดคาแบบดงเดมส าหรบผผลตไฟรวอลล/VPN รายตางๆ เชน Cisco และ Fortinet
รปภาพ 39 – การดาวนโหลดการก าหนดคา VPN
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 57
ลขสทธ © 2016, Anitian Corporation
ตวเลอก Generic อนญาตใหดาวนโหลดไฟลขอความทมรายละเอยดการเชอมตอดวย VPN หากคณ
มอปกรณทไมไดระบไว
รปภาพ 40 – ตวอยางไฟลการก าหนดคา VPN ทวไป
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 58
ลขสทธ © 2016, Anitian Corporation
4.3.4.10. ตรวจสอบสถานะชองทางการเชอมตอ VPN
หลงจากการก าหนดคาต าแหนงขอมล Client VPN ภายในองคกร ตรวจสอบวาสามารถสราง VPN ได
หรอไม ดสถานะชองทางการเชอมตอจากแทบ “Tunnel Details” ของหนาตางรายละเอยด
ทรพยากรของ VPN
การดสถานะชองทางการเชอมตอ VPN
4.3.4.11. ใชประโยชนจากทรพยากรภายในองคกร
หลงจากการสรางชองทางการเชอมตอ VPN ระบบทอยในขอบเขตภายในองคกรจะพรอมส าหรบ
การใชงานภายใน AWS CDE เชน คอนโซล AV และการจดการโปรแกรมแพตซทอางถงในตวอยางน
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 59
ลขสทธ © 2016, Anitian Corporation
5. บทสรป AWS เปนแพลตฟอรมระบบคลาวดทมประสทธภาพสงและมความสามารถมากมายในการสนบสนน
สภาพแวดลอมทสอดคลองตามมาตรฐาน PCI ทงหมด อยางไรกตาม สงส าคญกคอคณและผตรวจ
ประเมน PCI ตองเขาใจถงความสามารถเหลาน
คมอฉบบนอธบายถงประเดนเหลานเพยงบางสวน ทายทสดแลว การปฏบตตามมาตรฐาน PCI ให
ส าเรจไดนนขนอยกบวาคณปรบใช ก าหนดคา จดการ และจดท าเอกสารเกยวกบสภาพแวดลอม
ไดมประสทธภาพมากนอยเพยงใด แมวา AWS จะมแพลตฟอรมทยอดเยยมส าหรบการปฏบต
ตามมาตรฐาน PCI แตคณกตองเขาใจวธการท AWS สนบสนนขอก าหนดตางๆ ของ PCI เพอใหคณ
สามารถใชงานไดอยางถกตอง
5.1. การสนบสนน
หากคณตองการขอรบการสนบสนนเกยวกบ AWS โปรดตดตอ ฝายสนบสนนดานเทคนค AWS ของ Amazon
หากคณตองการรบบรการใหค าปรกษาหรอการประเมน Anitian สามารถชวยคณได เรามบรการ
ส าหรบการปฏบตตามมาตรฐาน PCI อยางครอบคลม รวมถงการทดสอบเจาะระบบ การสแกนความ
เสยง การรวมเทคโนโลย และการประเมน QSA
ตดตอเราท: 888-264-8456, อเมล [email protected] หรอไปทเวบไซตของเราท www.anitian.com
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 60
ลขสทธ © 2016, Anitian Corporation
.
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 61
ลขสทธ © 2016, Anitian Corporation
APPENDIX A. สรปตารางความรบผดชอบ PCI DSS ของ AWS ตารางตอไปนจะสรปความรบผดชอบส าหรบการปฏบตตามมาตรฐาน PCI ระหวาง AWS และลกคา
ขอก าหนด ความรบผดชอบของ AWS ความรบผดชอบของลกคา
ขอก าหนดท 1:
ตดตงและดแล
รกษาการก าหนดคา
ไฟรวอลลเพอ
ปกปองขอมลของผ
ถอบตร
บรการทอยในขอบเขต
ทงหมด: AWS ดแล
รกษาการแยก
อนสแตนซส าหรบ
ระบบปฏบตการของ
โฮสตและสภาพแวดลอม
การจดการของ AWS
รวมถงการก าหนดคา
ระบบปฏบตการของ
โฮสต ไฮเปอรไวเซอร,
ไฟรวอลล และ
กฎไฟรวอลลพนฐาน
AWS ปฏบตตาม
ขอก าหนดทงหมด
ส าหรบการด าเนนการ
และการจดการไฟร
วอลลส าหรบ
สภาพแวดลอมการ
จดการของ AWS
Amazon EC2 และ
Amazon ECS: กลมความ
ปลอดภยของ Amazon
VPC และ ACL เครอขาย
จะใชการตรวจสอบการ
ควบคมการเขาถง
เครอขายแบบเกบ
สถานะ และมความ
เหมาะสมเพอให
สอดคลองกบการแบง
เซกเมนตของเครอขาย
Amazon EC2 และ Amazon ECS: ลกคา
ของ AWS มหนาทในการก าหนด
กลมความปลอดภยและกฎการควบคมกา
รเขาถงเครอขาย
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 62
ลขสทธ © 2016, Anitian Corporation
ขอก าหนดท 2:
ไมใชคาเรมตนท
ก าหนดโดยผจด
จ าหนายเปนรห
สผานของระบบ
และพารามเตอรการ
รกษาความ
ปลอดภยอนๆ
บรการทอยในขอบเขต
ทงหมด: AWS พฒนา
และดแลรกษามาตรฐาน
การก าหนดคาและการ
เสรมความปลอดภย
ส าหรบสภาพแวดลอม
การจดการของ AWS
โดยจดหาแอปพลเคชน
และเทคโนโลยการ
จ าลองเสมอนส าหรบ
การใหบรการบนระบบ
คลาวด
AWS ดแลรกษาม
าตรฐานการก าหนดคา
และมาตรฐานการเสรม
ความปลอดภยส าหรบ
ระบบปฏบตการพนฐาน
และแพลตฟอรมส าหรบ
บรการเหลาน
Amazon EC2 และ Amazon ECS: ลกคา
ของ AWS มหนาทรบผดชอบส าหรบการ
เปลยนแปลงการก าหนดคาเรมตนของผ
จ าหนาย การควบคมระบบ
ความปลอดภย และรหสผานเรมตน
ของผจ าหนาย
บรการทอยในขอบเขตทงหมด: ลกคา
ของ AWS มหนาทในการรกษา
ความปลอดภยและปฏบตตามการ
ก าหนดคาส าหรบรายการทลกคา
สามารถก าหนดคาไดทงหมด ซงอาจ
รวมถงการก าหนดคาระบบปฏบตการ
(OS) ส าหรบอนสแตนซ Amazon EC2
และAmazon ECS, การเขาสระบบและการ
เกบรกษาไฟลลอกของบรการฐานขอมล
หรอสทธในฟงกชนการจดการของ AWS
ขอก าหนดท 3:
ปกปองขอมลของผ
ถอบตรทจดเกบไว
บรการทอยในขอบเขต
ทงหมด: AWS Key Management Service
(AWS KMS) มการ
รกษาความปลอดภยคย
โดยใชอปกรณรกษา
ความปลอดภยฮารดแวร
และมฟงกชนเพอใชและ
จดการคย
AWS CloudHSM มการร
กษาความปลอดภยคย
และมฟงกชนการ
เขารหสโดยใชอปกรณ
รกษาความปลอดภย
ฮารดแวรเฉพาะลกคา
Amazon EC2 และ Amazon ECS: ลกคา
ของ AWS มหนาทรบผดชอบส าหรบการ
เปลยนแปลงการก าหนดคาเรมตนของผ
จ าหนาย การควบคมระบบความปลอดภย
และรหสผานเรมตนของผจ าหนาย
บรการทอยในขอบเขตทงหมด: ลกคา
AWS มหนาทในการใชการเขารหส
ส าหรบการเชอมตอเครอขายภายในและ
ภายนอกทเกยวของทงหมด (ซงอาจตอง
ใชการเขารหส API ทเปนตวเลอกของ
AWS)
AWS KMS และ AWS CloudHSM: ลกคา
ของ AWS มหนาทในการสราง ใช และ
จดการคยการเขารหสตามมาตรฐานการ
รกษาความปลอดภยขอมลของ PCI
ขอก าหนดท 4:
เขารหสขอมลของผ
ถอบตรทสงผาน
เครอขายสาธารณะ
แบบเปด
บรการทอยในขอบเขต
ทงหมด: AWS เขารหส
การเขาถงและจดการกบ
การเขารหสภายใน
สภาพแวดลอมการ
จดการของ AWS
บรการทอยในขอบเขตทงหมด: ลกคา
AWS มหนาทในการใชการเขารหส
ส าหรบการเชอมตอเครอขายภายในและ
ภายนอกทเกยวของทงหมด (ซงอาจตอง
ใชการเขารหส API ทเปนตวเลอกของ
AWS)
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 63
ลขสทธ © 2016, Anitian Corporation
ขอก าหนดท 5: ใช
ซอฟตแวรหรอ
โปรแกรมปองกน
ไวรสและอปเดตเปน
ประจ า
บรการทอยในขอบเขต
ทงหมด: AWS จดการ
ซอฟตแวรปองกนไวรส
ส าหรบสภาพแวดลอม
การจดการของ AWS
และบรการทระบ
ตามความเหมาะสม
Amazon EC2 และ Amazon ECS: ลกคา
ของ AWS มหนาทในการใช
ซอฟตแวรปองกนไวรสบนอนสแตนซ
ระบบปฏบตการทมการจดการโดยลกคา
ทมกจะไดรบมลแวร
ขอก าหนดท 6:
พฒนาและดแลรกษ
าระบบและ
แอปพลเคชนใหมค
วามปลอดภย
บรการทอยในขอบเขต
ทงหมด: AWS ดแล
รกษาการแกไขความ
บกพรองดานความ
ปลอดภย พฒนาและ
เปลยนแปลงการควบคม
แอปพลเคชนทสนบสนน
บรการตางๆ ทรวมอยใน
การประเมน รวมถง เวบ
อนเทอรเฟส, API, การ
ควบคมการเขาถง การ
จดเตรยมและกลไกการ
ปรบใชงาน
AWS พฒนาและ
จดการกบการ
เปลยนแปลงของ
แอปพลเคชนทสนบสนน
บรการตางๆ ทรวมอยใน
การประเมน รวมถงเวบ
อนเทอรเฟส, API, การ
ควบคมการเขาถง การ
จดเตรยมและกลไกการ
ปรบใชงาน
Amazon EC2 และ Amazon ECS: ลกคา
ของ AWS มหนาทในการเฝาตรว
จสอบชองโหวของระบบปฏบตการและ
แอปพลเคชนทวางจ าหนาย และใช
โปรแกรมแพตชตามความเหมาะสม
ลกคาตองใชการควบคมการเปลยนแปลง
ทมการจดท าเปนเอกสารส าหรบการ
ก าหนดคาและโคดของลกคาทงหมด
ลกคาทพฒนาโคดแบบก าหนดเอง
ส าหรบใชในการสง ด าเนนการ หรอ
จดเกบบตรเครดตตองปฏบตตามข
อก าหนดส าหรบการพฒนาและการ
ทดสอบทมความปลอดภย
ไฟรวอลลส าหรบเวบแอปพลเคชน AWS
(AWS WAF): ลกคามหนาทในการ
ปองกนเวบแอปพลเคชนของตนจากการ
โจมตเวบทพบบอย ซงรวมถง (แตไม
จ ากดเพยง) การก าหนดคารายการ
ควบคมการเขาถง และกฎไฟรวอลล
ของเวบแอปพลเคชนส าหรบการกรอง
การรบสงขอมลจากเวบแอปพลเคชนของ
ลกคา
ขอก าหนดท 7:
จ ากดการเขาถง
ขอมลของผถอบตร
เฉพาะผท
จ าเปนตองท
ราบเทานน
บรการทอยในขอบเขต
ทงหมด: AWS ดแล
รกษาการควบคมการ
เขาถงทเกยวของกบ
ระบบโครงสรางพนฐาน
ส าคญและ
สภาพแวดลอมการ
จดการของ AWS
Amazon EC2 และ Amazon ECS: ลกคา
ของ AWS มหนาทควบคมก
ารเขาถงภายในอนสแตนซของ
ระบบปฏบตการทงหมด
บรการทอยในขอบเขตทงหมด: ลกคา
ของ AWS มหนาทควบคมการเขาถงท
สามารถก าหนดคาไดภายในบรการ เชน
ผใชฐานขอมลภายใน Amazon RDS
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 64
ลขสทธ © 2016, Anitian Corporation
ขอมลประจ าตว AWS IAM และ AWS:
ลกคาของ AWS มหนาทในการจดการ
กบการเขาถงบรการ AWS ทงหมดท
รวมอยใน CDE ของตน สามารถใช AWS
IAM เพอก าหนดคาการจดการกบระบบ
จดการทรพยากร รวมถงบทบาทและ
สทธในการก าหนดคา AWS ลกคาม
หนาทในการก าหนดคาการควบคม
เซสชนและบญช AWS ใหเปนไปตาม
ขอก าหนดของ PCI ลกคาจะตองรบ
ทราบถงแนวทางปฏบตของ AWS
เกยวกบขอมลประจ าตวและการควบคม
การเขาถงส าหรบการจดการทรพยากร
ของ AWS
ขอก าหนดท 8:
ก าหนดรหส
ประจ าตวทไมซ ากน
ใหกบแตละบคคลท
มสทธเขาถง
คอมพวเตอร
บรการทอยในขอบเขต
ทงหมด: AWS จะ
ก าหนดรหสประจ าตวท
ไมซ ากนใหกบผใชแต
ละคนในสภาพแวดลอม
การจดการของ AWS
AWS มตวเลอกการ
รกษาความปลอดภย
เพมเตมทชวยใหลกคา
ของ AWS สามารถ
ปองกนบญช AWS และ
ควบคมก
ารเขาถงไดมากขน ซง
ไดแก AWS Identity and Access Management (AWS IAM), Multi-Factor Authentication
(MFA) และการ
หมนเวยนคย
Amazon EC2 และ Amazon ECS: ลกคา
ของ AWS มหนาทควบคมการเขาถง
ภายในอนสแตนซของระบบปฏบตการ
ทงหมด
บรการทอยในขอบเขตทงหมด: ลกคา
ของ AWS มหนาทควบคมการเขา
ถงทสามารถก าหนดคาไดภายในบรการ
เชน ผใชฐานขอมลภายใน Amazon RDS
ขอมลประจ าตว AWS IAM และ AWS:
ลกคาของ AWS มหนาทในการจดการ
กบการเขาถงบรการ AWS ทงหมดท
รวมอยใน CDE ของตน สามารถใช AWS
IAM เพอจดการกบระบ
บจดการทรพยากร รวมถงบทบาทและ
สทธในการก าหนดคา AWS ลกคาม
หนาทในการก าหนดคาการควบคม
เซสชนและบญช AWS ใหเปนไปตาม
ขอก าหนด ลกคาจะตองรบทราบถง
แนวทางปฏบตของ AWS เกยวกบขอมล
ประจ าตวและการควบคมการเขาถง
ส าหรบการจดการทรพยากรของ AWS
ขอก าหนดท 9:
จ ากดสทธการ
เขาถงขอมลผถอ
บตรทางกายภาพ
บรการทอยในขอบเขต
ทงหมด: AWS ดแล
รกษาการควบคมความ
ปลอดภยทางกายภาพ
และการจดการสอ
บรการทอยในขอบเขตทงหมด: สอใดๆ
ทสรางขนภายนอกสภาพแวดลอม AWS
ถอเปนความรบผดชอบของลกคาแต
เพยงผเดยว
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 65
ลขสทธ © 2016, Anitian Corporation
ส าหรบบรการตางๆ ท
รวมอยในการประเมน
ขอก าหนดท 10:
ตดตามและ
ตรวจสอบการ
เขาถงทรพยากร
เครอขายและขอมล
ของผถอบตร
ทงหมด
บรการทอยในขอบเขต
ทงหมด: AWS ดแล
รกษาและตรวจสอบลอก
การตรวจสอบส าหรบ
สภาพแวดลอมการ
จดการของ AWS และ
โครงสรางพนฐานการ
บรการของ AWS
Amazon EC2 และ Amazon ECS: ลกค
าของ AWS มหนาทในการลงบนทกลอก
ภายในอนสแตนซของระบบปฏบตการ
ทงหมด
คอนโซล AWS IAM และ AWS: ผใช
สามารถใชไฟลลอกกจกรรมของผใช
เกยวกบกจกรรมการจดการทรพยากร
โดยใชคอนโซลและบรรทดค าสงผาน
ทาง Amazon AWS CloudTrail ตองใช
Amazon AWS CloudTrail ในการลง
บนทกและตรวจสอบกจกรรมการจดการ
ทรพยากรของ AWS
Amazon S3: ผใชมหนาทในการ
ก าหนดคาการบนทกลอกบคเกตและ
ตรวจสอบไฟลลอก
Amazon RDS และ Amazon Redshift:
ผใชมหนาทในการก าหนดคาการ
บนทกลอกการเขาถงฐานขอมลและ
ตรวจสอบไฟลลอก
Amazon EMR: ลกคาทใช Amazon EMR
เพอจดเกบขอมลผถอบตรมหนาทในการ
ลงบนทกลอกการเขาถง
Amazon SimpleDB และ Amazon
DynamoDB: ลกคาทใชฐานขอมลเหลาน
มหนาทในการลงบนทกลอกการเขาถง
AWS Config: ลกคาทใช AWS Config
เพอจดเกบขอมลการก าหนดคาและ
รายการทรพยากรมหนาทในการลง
บนทกลอกการเขาถงและการตรวจสอบ
ลอก
AWS WAF: ลกคาทใช AWS WAF เพอ
ปกปองแอปพลเคชนทเชอมตอกบระบบ
สาธารณะรวมถงแอปพลเคชนฐานขอมล
ทจดเกบขอมลผถอบตรมหนาทในการลง
บนทกลอกการเขาถงและตรวจสอบ
บรการทอยในขอบเขตทงหมด: ลกคา
ของ AWS มหนาทในการก าหนดคาการ
ลงบนทกลอกภายในบรการ โดยสามารถ
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 66
ลขสทธ © 2016, Anitian Corporation
ใช AWS CloudTrail เพอลงบนทกลอก
การเรยกใช API ของ AWS ทงหมด
ลกคามหนาทในการตรวจสอบลอก
ส าหรบเหตการณดานความปลอดภย
อาจใชการตรวจสอบลอกรวมกบ
CloudWatch หรอผใหบรการรายอน
ขอก าหนดท 11:
ทดสอบระบบและ
กระบวนการรกษา
ความปลอดภยอย
เปนประจ า
บรการทอยในขอบเขต
ทงหมด: AWS จะ
ด าเนนการตรวจจบ
จดเชอมตอแบบไรสายท
หลอกหลวง ทดสอบ
ชองโหวและการเจาะ
ระบบ ตรวจจบ
การบกรก และเฝา
ตรวจสอบความสมบรณ
ของไฟลส าหรบ
สภาพแวดลอมการ
จดการของ AWS และ
บรการตางๆ ทระบ
AWS ใชงานและตร
วจสอบ IDS/IPS บน
เครอขายทใชบรการ
AWS
Amazon EC2 และ Amazon ECS: ลกคา
ของ AWS ตองมการสแกนภายในและ
ภายนอก และการทดสอบเจาะระบบของ
อนสแตนซและเครอขายแบบเสมอนของ
ตน ลกคาตองปฏบตตามกระบวนการของ
AWS ส าหรบการสแกนและการทด
สอบเจาะระบบ:
http://aws.amazon.com/security/
penetration-testing/
ลกคาของ AWS มหนาทในการใชงานฟ
งกชน IDS ซงโดยทวไปแลวเปนการใช
IDS ทใชโฮสต (HIDS) บนเชกเมนต
เครอขายทพวกเขาด าเนนการและจดการ
ขอก าหนดท 12:
ดแลรกษานโยบาย
ส าหรบการรกษา
ความปลอดภย
ขอมลของพนกงาน
และผรบเหมา
บรการทอยในขอบเขต
ทงหมด: AWS ดแล
รกษาขนตอนและ
นโยบายความปลอดภย
การฝกอบรมความ
ตระหนกดานความ
ปลอดภย แผนรบมอ
เหตการณดานความ
ปลอดภย และ
กระบวนการดาน
ทรพยากรบคคลท
สอดคลองกบขอก าหนด
ของ PCI
บรการทอยในขอบเขตทงหมด: ลกคา
ของ AWS ตองรบผดชอบตอนโยบาย
และขนตอนทงหมด ลกคาของ AWS
ควรรวม AWS ไวเปนหนงในผใหบรการ
โครงสรางพนฐานส าหรบขอก าหนดท
12.8 การแจงเตอนจาก AWS ตองเปน
สวนหนงของ IRP ส าหรบขอก าหนดท 12.10
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 67
ลขสทธ © 2016, Anitian Corporation
ขอก าหนด A: ผ
ใหบรการโฮสตง
แบบใชงานรวมกน
ตองปกปอง
สภาพแวดลอม
ขอมลของผถอบตร
บรการทอยในขอบเขต
ทงหมด: ขอมลและ
อนสแตนซของลกคา
AWS ไดรบการปกปอง
ดวยมาตรการในการ
แยกอนสแตนซและการ
รกษาความปลอดภย
อนๆ ในสภาพแวดลอม
การจดการของ AWS
บรการทอยในขอบเขตทงหมด:
นอกจากน ลกคาของ AWS ยงอาจถอวา
เปนผใหบรการโฮสตงทใชรวมกนได
หากมการเรยกใชแอปพลเคชนหรอ
จดเกบขอมลส าหรบลกคาของตน
ในกรณน ลกคามหนาทตองปกปอง
ขอมลของลกคาของตนภายในบรการ
AWS ทเกยวของ
ภาคผนวก A2:
ขอก าหนดเพมเตมข
อง PCI DSS
ส าหรบหนวยงานท
ใช SSL/TLS
กอนหนา
บรการทอยในขอบเขต
ทงหมด: AWS เขารหส
การเขาถงและจดการกบ
การเขารหสการสง
ขอมลภายใน
สภาพแวดลอมการ
จดการของ AWS โดย
ใช TLS 1.1 หรอใหม
กวา
บรการทอยในขอบเขตทงหมด: ลกคา
ของ AWS มหนาทตองใช TLS 1.1 หรอสง
กวา หรอการอปเกรดเปน TLS 1.1 หรอสง
กวาภายในวนท 30 มถนายน 2018 หาก
มการใช TLS 1.0 หรอ SSLv3 ใน
สภาพแวดลอมของขอมลผถอบตร ลกคา
ของ AWS มหนาทในการจดท าแ
ผนการลดความเสยงและแผนการถาย
โอนระบบอยางเปนทางการส าหรบการ
ถายโอนระบบเปน TLS 1.1 หรอสงกวา
กอนวนท 30 มถนายน 2018
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 68
ลขสทธ © 2016, Anitian Corporation
APPENDIX B. การอางอง ตารางตอไปนเปนการสรปขอมลลงกทงหมดทมการอางถงในคมอทางเทคนคฉบบน
สวน แหลงขอมล ลงก
1.2.3 PCI DSS เวอรชน 3.1 https://www.pcisecuritystandards.org/security_standards/documents.php
1.2.3 การจดการ
สภาพแวดลอมของ AWS
http://aws.amazon.com/getting-started/
1.2.3 หลกเกณฑการ
ประมวลผลบนระบบ
คลาวดของ PCI
https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_Cloud_Guidelines.pdf
2 ค าถามทพบบอย
เกยวกบ AWS PCI Level 1
http://aws.amazon.com/compliance/pci-dss-level-1-faqs
2.3.1 การขอรบส าเนา
ของ AWS AOC
http://aws.amazon.com/compliance/contact/
3.3 การเขารหส EBS http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#EBSEncryption_supported_instances
3.3 Amazon S3 Server Side Encryption
http://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html
3.3 การอปโหลด
ออบเจกตของ Amazon S3
http://docs.aws.amazon.com/AmazonS3/latest/UG/UploadingObjectsintoAmazonS3.html
3.3 รายละเอยดการ
เขารหส AWS KMS
https://d0.awsstatic.com/whitepapers/KMS-Cryptographic-Details.pdf
3.3 การหมนเวยนคย
API ของ AWS KMS
http://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html
3.3 การสราง AWS KMS
ดวยตนเอง
http://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html
3.3 การบนทกลอกโดย
ใช CloudTrail
http://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html
3.4 ตารางนโยบาย
ความปลอดภยของ ELB
http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-security-policy-table.html
3.4 ค าถามทพบบอย
เกยวกบ VPC
http://aws.amazon.com/vpc/faqs/
A N I T I A N
คมอทางเทคนคส าหรบการปฏบตตามมาตรฐาน PCI ใน AWS Cloud 69
ลขสทธ © 2016, Anitian Corporation
3.6 AWS Linux Security Center
https://alas.aws.amazon.com/
3.7 คมอการจดการ
ไดเรกทอรส าหรบ
ผดแลระบ
http://docs.aws.amazon.com/directoryservice/latest/adminguide/directory_management.html
3.8 Directory Service –
การสรางไดเรกทอร
http://docs.aws.amazon.com/directoryservice/latest/adminguide/create_directory.html
3.10 บนทกการอางอง
เหตการณของ CloudTrail
http://docs.aws.amazon.com/awscloudtrail/latest/userguide/event_reference_record_body.html
3.10 การก าหนดคาวงจร
การท างานของ Amazon S3
http://docs.aws.amazon.com/AmazonS3/latest/UG/LifecycleConfiguration.html
3.11, 3.15
ขอมลการทดสอบ
เจาะระบบของ AWS
http://aws.amazon.com/security/penetration-testing
4.1.4.6 คมอการใชงาน Amazon VPC
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-ip-addressing.html#subnet-public-ip
5.1 การสนบสนนทาง
เทคนคของ AWS
https://aws.amazon.com/premiumsupport/
5.1 เวบไซต Anitian www.anitian.com