mizcausevic-dev/pulumi-pci-dss-baseline

# Pulumi PCI DSS 基线 面向 **PCI DSS 风格控制**、网络分段、KMS 轮换、WAF 防护以及不可变审计日志的 Pulumi AWS 基线。 ## 为何此仓库有益 - 它瞄准了真实的企业采购决策者：安全、平台和合规团队。 - 为您的技术组合增添了明确的 IaC 深度，而不仅仅是应用代码。 - 与 `payment-event-ledger-eos` 结合，讲述了严肃的金融科技故事。 - 本地预览友好，因此该仓库在真实的 AWS 凭证介入之前就已很有用。 ## 截图     ## 预置资源 - 具有边缘和持卡人数据子网层的分段 VPC - 入口和数据通道安全组 - 带有轮换的 KMS CMK - 具有 KMS 加密和日志验证的 CloudTrail - 带版本控制的 S3 审计存储桶 - GuardDuty 检测器 - Security Hub 启用 - SNS 合规警报主题 - WAFv2 托管规则基线 ## 本地验证 ``` cd pulumi-pci-dss-baseline npm install npm run build npm run test ``` ## 本地预览 支持 Pulumi CLI，但堆栈首先配置为支持离线友好预览。 ``` cd pulumi-pci-dss-baseline npm install npm run preview:local ``` 该脚本执行以下操作： - 登录到本地 Pulumi 后端 - 初始化/选择 `dev` 堆栈 - 设置基线配置 - 使用 `offlineMode=true` 运行 `pulumi preview` ## 仓库结构 - [index.ts](./index.ts) - [src/config.ts](./src/config.ts) - [src/plan.ts](./src/plan.ts) - [src/stack.ts](./src/stack.ts) - [tests/plan.test.ts](./tests/plan.test.ts) - [scripts/preview-local.ps1](./scripts/preview-local.ps1) - [docs/architecture.md](./docs/architecture.md) ## 备注 此仓库设计为一次性友好型： - TypeScript 编译和测试无需云凭证 - 预览模式可以针对本地后端运行 - AWS 控制项明确且可读 当您确实想将其指向真实账户时，将 `offlineMode` 切换为 `false` 并提供真实的 AWS 凭证。

标签：AppImage, AWS, AWS安全基线, CloudTrail, DPI, GuardDuty, KMS轮换, PCI-DSS合规, PCI-DSS控制, Pulumi, Security Hub, SNS, TypeScript, VPC, WAFv2, Web应用防火墙, 云合规, 人工智能安全, 代理支持, 加密, 合规性, 告警, 子网, 安全插件, 安全最佳实践, 安全组, 审计日志, 日志验证, 漏洞利用检测, 漏洞扫描器, 监控, 网络分段, 网络安全, 自动化攻击, 金融技术, 隐私保护