Questa pagina è stata tradotta dall'API Cloud Translation.

Progetto di sicurezza: PCI su GKE

Last reviewed 2023-12-06 UTC

Il progetto di sicurezza PCI su Google Kubernetes Engine contiene un insieme di configurazioni e script Terraform che dimostrano come eseguire il bootstrap di un ambiente PCI in Google Cloud. Il nucleo di questo blueprint è l'applicazione Online Boutique, in cui gli utenti possono sfogliare gli articoli, aggiungerli al carrello e acquistarli.

Questo progetto è stato sviluppato per lo standard Payment Card Industry Data Security Standard (PCI DSS) versione 3.2.1. Il progetto base consente di eseguire il deployment all'uso di GKE in linea con lo standard PCI DSS in modo ripetibile, supportato e sicuro.

Architettura
Mappatura della conformità
Asset di cui è possibile eseguire il deployment
Domande frequenti
Risorse

Architettura

Panoramica del progetto

In questo blueprint, esegui l'avvio di un ambiente di dati dei titolari della carta (CDE) in Google Cloud contenente la seguente gerarchia delle risorse:

Un Ambito organizzativo risorsa.
Una risorsa Cartella. Le risorse della cartella forniscono un meccanismo di raggruppamento e l'isolamento tra i progetti.
Progetto Google Cloud. Esegui il deployment dei seguenti progetti Google Cloud:
- Rete: progetto host per il VPC condiviso.
- Gestione: un progetto che conterrà le informazioni di logging e monitoraggio infrastruttura, come Cloud Logging.
- In ambito: un progetto che contiene le risorse in ambito. In questa soluzione, il progetto è costituito da un cluster GKE progettato per eseguire le applicazioni nell'ambito. Nell'esempio, sono inclusi i servizi Frontend, Payment e Checkout.
- Al di fuori dell'ambito: un progetto che contiene le risorse al di fuori dell'ambito. Nella soluzione, si tratta di un cluster GKE progettato per eseguire il resto dei servizi.

Panoramica del progetto.

Applicazione e progetti

Il seguente diagramma illustra il confine CDE su Google Cloud e quali progetti rientrano nell'ambito della valutazione PCI dei microservizi Applicazione demo. Mentre crei il tuo ambiente, usi un'illustrazione come questa per comunicare a Google Cloud le risorse dentro e fuori dei confini del PCI.

Il percorso con etichetta 1 mostra i dati di log dei cluster Kubernetes che passano a e in Cloud Logging.

Deployment dell'applicazione.

Layout di rete

Questo diagramma illustra i dettagli di rete e subnet all'interno di ciascun progetto. Documenta i flussi di dati tra i progetti e viceversa fuori dal confine CDE.

Layout di rete.

Traffico criptato

Questo diagramma illustra il traffico criptato in entrata e in uscita il confine PCI:

Il traffico criptato con TLS (HTTPS) dall'esterno del VPC va al il bilanciatore del carico pubblico nell'ambito.
Traffico con crittografia TLS tra i nodi del cluster Kubernetes nell'ambito il cluster fuori ambito va ai bilanciatori del carico interni.
Il traffico dai bilanciatori del carico interni al cluster fuori ambito viene criptato con mTLS utilizzando Istio.
Le comunicazioni all'interno di ogni cluster sono criptate con mTLS utilizzando Istio.

Traffico criptato.

Mappatura della conformità

La blueprint descritta in questo documento soddisfa una serie di requisiti di conformità PCI DSS. La tabella in questa sezione mette in evidenza alcuni di questi requisiti.

Gli elementi nella tabella seguente non soddisfano tutti i requisiti; conformità con vengono soddisfatti alcuni requisiti dall'infrastruttura Google Cloud nell'ambito responsabilità condivisa tra te e Google. Conformità con altri requisiti che deve essere implementato da te. Per una spiegazione dettagliata del modello di responsabilità condivisa, consulta Esplorazione della sicurezza dei container: il modello di responsabilità condivisa in GKE sul blog Google Cloud.

I numeri tra parentesi si riferiscono alle sezioni della Documento sullo standard di sicurezza dei dati PCI (Payment Card Industry). Puoi scaricare il documento del sito web del PCI Security Standards Council raccolta di documenti.

Requisito	Sezione	Descrizione
Implementare la segmentazione e la protezione dei confini	1.3.2, 1.3.4	Questo blueprint ti aiuta a implementare una segmentazione logica utilizzando i progetti Google Cloud. La segmentazione ti consente di creare un confine per la valutazione PCI. Questo progetto esegue Istio su Google Kubernetes Engine come componente aggiuntivo che ti consente di creare un mesh di servizi un cluster GKE che include tutti i componenti di cui hai bisogno. La crea anche un perimetro di sicurezza VPC per tutti i progetti Google Cloud che rientrano nell'ambito dello standard PCI.
Configurare l'accesso con privilegi minimi alle risorse Google Cloud	7,1, 7,2	Questo blueprint ti aiuta a implementare il controllo dell'accesso basato sui ruoli per gestire chi ha accesso alle risorse Google Cloud. Lo schema implementa controlli di accesso specifici di GKE, controllo degli accessi basato su ruoli (RBAC, Role-Based Access Control) e spazi dei nomi per limitare l'accesso alle risorse del cluster.
Definire criteri a livello di organizzazione		Con questo progetto, stabilisci i criteri che si applicano ai tuoi Google Cloud Organizzazione come la seguente: Nessun indirizzo IP esterno Condivisione limitata per i domini Immagini attendibili
Applicare la separazione dei compiti tramite la rete VPC condivisa	7.1.2, 7.1.3	Questo blueprint utilizza VPC condiviso per la connettività e il controllo della rete sezionata per applicare la separazione dei compiti.
Rafforzare la sicurezza del cluster	2,2, 2.2.5	I cluster GKE in questo progetto sono protetti descritti nei Guida alla protezione avanzata di GKE.

Questo elenco è solo un sottoinsieme dei controlli di sicurezza implementati in progetto in grado di soddisfare i requisiti PCI DSS. Puoi trovare un elenco completo di questi requisiti nel documento Requisiti PCI DSS (PDF) su GitHub.

Asset di cui è possibile eseguire il deployment

La Progetto PCI e GKE su GitHub contiene un set di configurazioni e script Terraform che come eseguire il bootstrap di un ambiente PCI in Google Cloud. Il PCI su Il progetto GKE illustra anche i servizi, gli strumenti utili per avviare le tue attività PCI Google Cloud completamente gestito di Google Cloud.

Domande frequenti

Come si usa questo progetto?

Il progetto base PCI su GKE fornisce informazioni e istruzioni per creare o migrare carichi di lavoro un servizio GKE in linea con i requisiti di conformità PCI.

Il progetto è composto dai seguenti elementi:

Una guida all'implementazione
Architetture di riferimento
Terraform script che implementano l'Infrastructure as Code (IaC)
Un'applicazione di demo
Mappature conformità PCI

Ti consigliamo di leggere la guida all'implementazione e di esaminare le architetture di riferimento prima di eseguire il deployment dell'ambiente PCI utilizzando Terraform. Abbiamo fornito un'applicazione di e-commerce demo di cui puoi eseguire il deployment per testare l'ambiente di progetto PCI.

È l'unico modo per eseguire carichi di lavoro conformi allo standard PCI su Google Cloud?

No. PCI DSS è un insieme di standard di sicurezza e esistono molti modi per interpretare e implementare i controlli in modo da soddisfare gli standard. Questo schema è progettato come un insieme di best practice e consigli per supportare la tua conformità al PCI DSS.

Questo blueprint include le best practice per la conformità PCI per Google Distributed Cloud?

Sebbene alcune delle indicazioni fornite in questo progetto siano applicabili a GKE Enterprise, l'attenzione è concentrata su Google Kubernetes Engine (GKE) in esecuzione su Google Cloud.

Avete un elenco dei requisiti PCI che questo progetto può aiutare a soddisfare?

Questo progetto soddisfa una serie di requisiti di conformità PCI DSS. Puoi trovare un elenco completo di questi requisiti nel documento Requisiti PCI DSS (PDF) su GitHub. Questo elenco riguarda solo i requisiti di conformità PCI supportati dall'infrastruttura Google Cloud nell'ambito della responsabilità condivisa tra te e Google. Tieni presente che l'implementazione di eventuali controlli di conformità PCI è responsabilità esclusiva del cliente e che devi eseguire una tua valutazione della conformità PCI della tua organizzazione. Per ulteriori informazioni sul modello di responsabilità condivisa, consulta Esplorazione della sicurezza dei container: il modello di responsabilità condivisa in GKE nel blog di Google Cloud.

Quali servizi sono supportati dalle indicazioni di questo blueprint?

Per un elenco completo dei servizi supportati, vedi la parte superiore del README nel repository PCI su GKE su GitHub.

Accettate contributi al repository PCI su GKE su GitHub?

Sì. Puoi inviare un eseguire una richiesta di pull o creare un fork del repository.

Risorse

Conformità PCI DSS su Google Cloud. Questa guida ti aiuta a risolvere i problemi specifici di Google Kubernetes Engine (GKE) delle applicazioni quando si implementano le responsabilità dei clienti per PCI Requisiti DSS.