Azure實名帳號開通 Azure安全付款渠道

Azure 上的付款，真的安全嗎？別急著點「確認付款」

你寫完一頁漂亮的結帳頁面，按下測試按鈕，信用卡號順利傳到後端——恭喜，你剛剛可能已經把 PCI DSS 合規認證送進碎紙機，還順手幫駭客預訂了頭等艙。

Azure 不是魔法保險箱，它不會自動把「cardNumber: '4532015112830366'」變成金光閃閃的安全結界。它提供的是高品質磚塊、精密鎖具、和一份厚厚的建築規範書（也就是 PCI DSS 合規藍圖），但誰來砌牆、哪扇窗該裝防彈玻璃、鑰匙櫃放幾把備用鑰——這些，得靠人。

先破個迷思：Azure 本身 ≠ PCI DSS 合規

Azure實名帳號開通 微軟官方文件白紙黑字寫著：Azure 平台已通過 PCI DSS Level 1 認證——這聽起來很厲害，對吧？但請盯著下一句看：「僅適用於 Microsoft 直接管控的基礎設施層」。換句話說，Azure 的伺服器、網路交換機、物理機房門禁系統，都經過稽核；但你部署在 VM 裡那支 Node.js 支付 API、存著卡號的 Azure SQL 表格、甚至連線時忘記加 encrypt=true 參數的連接字串……這些，通通不在微軟的責任範圍內。

合規不是租用服務就自動生效的 Netflix 會員；它是份動態契約：你用 Azure 的方式，決定了你是否仍在合規路徑上。就像租了一輛符合歐盟排放標準的 Tesla，但你自己拿汽油灌進充電口——車廠不背鍋。

核心原則：永遠別碰原始卡號

PCI DSS 第四條鐵律：「不要儲存敏感驗證資料（SAD），包括完整磁條資料、CVC2、PIN 值，以及未經加密之完整主帳號（PAN）」。重點在「未經加密」——但更聰明的做法是：根本別讓 PAN 出現在你的應用程式記憶體裡。

正確解法是「令牌化（Tokenization）」：用戶輸入卡號 → 由 PCI-DSS 合規的第三方支付閘道（如 Stripe、Adyen、Braintree）即時生成唯一 Token → 你的 App 只儲存這個 Token → 後續扣款直接傳 Token 給閘道。整個流程中，原始卡號像幽靈一樣，從未踏進你的 Azure 資源半步。

舉例：前端用 Stripe Elements 收集卡資訊，取得 tok_1Pxxxxxx；後端只存這串 Token 到 Cosmos DB；扣款時呼叫 stripe.charges.create({ source: 'tok_1Pxxxxxx' })。你的 Log、Application Insights、甚至 DevOps Pipeline 的變數，都不會出現任何數字 4、5、3、2……乾淨得像剛洗過澡的貓。

Azure Key Vault：不是保險箱，是鑰匙管理員

很多人以為把資料庫密碼塞進 Key Vault 就萬事大吉。錯。Key Vault 真正價值不在「藏」，而在「控」與「審」。

想像 Key Vault 是銀行金庫的鑰匙管理處：它不直接保管現金（你的加密金鑰），而是發放一次性的、帶時效與權限的「鑰匙使用許可證」。當你的 .NET Web API 需要解密訂單金額（假設你堅持加密存儲），它向 Key Vault 請求「使用名為 payment-encryption-key 的金鑰」，Key Vault 回傳一個短期有效的 access token；API 拿著 token 去叫 Azure Dedicated HSM（硬體安全模組）執行解密——整個過程，金鑰從未離開 HSM 的晶片級保護區域。

關鍵配置三件事：
① Key Vault 的 Access Policy 必須最小權限（例如僅允許特定 Managed Identity 執行 get + wrapKey）；
② 啟用 Soft Delete 和 Purge Protection（避免誤刪後無法復原）；
③ 所有 Key Vault 存取行為全導入 Log Analytics，設定警示：「若 5 分鐘內同個身分請求超過 10 次金鑰」→ 立刻郵件通知 SOC 團隊。

真實悲劇現場：三個被忽略的「安全縫隙」

縫隙一：前端表單的「假加密」
某客戶用 JavaScript 在瀏覽器跑 AES 加密卡號再傳給 API。問題在哪？密鑰就藏在前端原始碼裡。駭客打開 DevTools → Ctrl+Shift+F 搜 AES → 三分鐘拿到密鑰 → 解密所有歷史請求。真正的解法？用支付閘道提供的 Client-Side SDK（如 Stripe.js），讓加密發生在他們受監管的 CDN 上。

縫隙二：Application Insights 的意外洩密
啟用全域例外追蹤時，若沒過濾，Exception 的 StackTrace 可能含 request body —— 包括誤傳的卡號。解決方案：在 TelemetryInitializer 中明確刪除所有含 card、cvc、pan 的自訂屬性，並設定 Sampling 降低日誌量。

縫隙三：Azure Functions 的環境變數幻覺

有人把 Payment Gateway API Key 當成「秘密」存在 Function App 的 Application Settings。但這只是 Base64 编碼的遮羞布——任何有 Contributor 權限的人，都能在 Portal 點兩下滑鼠看到明文。正確作法：用 Key Vault Reference（格式：@Microsoft.KeyVault(SecretUri=https://mykv.vault.azure.net/secrets/pg-api-key/)），讓 Runtime 自動注入，且全程不落地。