Questa pagina è stata tradotta dall'API Cloud Translation.

Progetto di sicurezza: PCI su GKE

Last reviewed 2023-12-06 UTC

Il progetto base PCI su Google Kubernetes Engine contiene un insieme Terraform configurazioni e script che dimostrano come eseguire il bootstrap in un ambiente PCI in Google Cloud. Il nucleo di questo progetto è Negozio online in cui gli utenti possono sfogliare gli articoli, aggiungerli al carrello e acquistare che li rappresentano.

Questo progetto è stato sviluppato per lo standard Payment Card Industry Data Security Standard (PCI DSS) versione 3.2.1. Il progetto base consente di eseguire il deployment all'uso di GKE in linea con lo standard PCI DSS in modo ripetibile, supportato e sicuro.

Architettura
Mappatura della conformità
Asset di cui è possibile eseguire il deployment
Domande frequenti
Risorse

Architettura

Panoramica del progetto

In questo progetto, esegui il bootstrap di un ambiente dati dei titolari delle carte (CDE) che contiene la seguente gerarchia di risorse:

Un Ambito organizzativo risorsa.
R Cartella risorsa. Le risorse della cartella forniscono un meccanismo di raggruppamento e l'isolamento tra i progetti.
Progetto Google Cloud. Esegui il deployment dei seguenti progetti Google Cloud:
- Rete: progetto host per il VPC condiviso.
- Gestione: un progetto che conterrà le informazioni di logging e monitoraggio infrastruttura, come Cloud Logging.
- In ambito: un progetto che contiene le risorse nell'ambito. Nel questa soluzione, il progetto è costituito da un cluster GKE progettato per eseguire le applicazioni nell'ambito. In questo esempio, inclusi i servizi di frontend, pagamento e pagamento.
- Fuori ambito: un progetto che contiene le risorse fuori ambito. Nella soluzione, si tratta di un cluster GKE progettato per eseguire il resto dei servizi.

Panoramica del progetto.

Applicazione e progetti

Il seguente diagramma illustra il confine CDE su Google Cloud e quali progetti rientrano nell'ambito della valutazione PCI dei microservizi Applicazione demo. Mentre crei il tuo ambiente, usi un'illustrazione come questa per comunicare a Google Cloud le risorse dentro e fuori dei confini del PCI.

Il percorso con etichetta 1 mostra i dati di log dai cluster Kubernetes verso in Cloud Logging.

per il deployment dell'applicazione.

Layout di rete

Questo diagramma illustra i dettagli di rete e subnet all'interno di ciascun progetto. Documenta i flussi di dati tra i progetti e viceversa fuori dal confine CDE.

Layout di rete.

Traffico criptato

Questo diagramma illustra il traffico criptato in entrata e in uscita il confine PCI:

Il traffico criptato con TLS (HTTPS) dall'esterno del VPC va al il bilanciatore del carico pubblico nell'ambito.
Traffico con crittografia TLS tra i nodi del cluster Kubernetes nell'ambito il cluster fuori ambito va ai bilanciatori del carico interni.
Traffico dai bilanciatori del carico interni al cluster fuori ambito è criptato con mTLS tramite Istio.
Le comunicazioni all'interno di ogni cluster sono criptate con mTLS utilizzando Istio.

Traffico criptato.

Mappatura della conformità

Il modello descritto in questo documento si riferisce a un intervallo di PCI DSS di conformità. La tabella in questa sezione evidenzia alcuni di questi i tuoi requisiti.

Gli elementi nella tabella seguente non soddisfano tutti i requisiti; conformità con vengono soddisfatti alcuni requisiti dall'infrastruttura Google Cloud nell'ambito responsabilità condivisa tra te e Google. Conformità con altri requisiti che deve essere implementato da te. Per una spiegazione dettagliata dei del modello di responsabilità, vedi Esplorazione della sicurezza dei container: il modello di responsabilità condivisa in GKE sul blog di Google Cloud.

I numeri tra parentesi si riferiscono alle sezioni della Documento sullo standard di sicurezza dei dati PCI (Payment Card Industry). Puoi scaricare il documento del sito web del PCI Security Standards Council raccolta di documenti.

Requisito	Sezione	Descrizione
Implementare la segmentazione e la protezione dei confini	1.3.2, 1.3.4	Questo progetto è utile per implementare una segmentazione logica utilizzando progetti Google Cloud; la segmentazione ti consente di creare limite per la valutazione PCI. Questo progetto esegue Istio su Google Kubernetes Engine come componente aggiuntivo che ti consente di creare un mesh di servizi un cluster GKE che include tutti i componenti di cui hai bisogno. La crea anche un perimetro di sicurezza VPC per tutti i progetti Google Cloud che rientrano nell'ambito dello standard PCI.
Configurare l'accesso con privilegi minimi alle risorse Google Cloud	7,1, 7,2	Questo progetto è utile per implementare il controllo dell'accesso basato sui ruoli per gestire chi ha accesso alle risorse Google Cloud. Lo schema implementa controlli di accesso specifici di GKE, controllo degli accessi basato su ruoli (RBAC, Role-Based Access Control) e . spazi dei nomi per limitare l'accesso alle risorse del cluster.
Stabilire criteri a livello di organizzazione		Con questo progetto, stabilisci i criteri che si applicano ai tuoi Google Cloud Organizzazione come la seguente: . Nessun indirizzo IP esterno Condivisione limitata per il dominio Immagini attendibili
Imporre la separazione dei compiti tramite il VPC condiviso	7.1.2, 7.1.3	Questo progetto utilizza VPC condiviso connettività e rete segregata per applicare separazione dei compiti.
Rafforza la sicurezza del tuo cluster	2,2, 2.2.5	I cluster GKE in questo progetto sono protetti descritti nei Guida alla protezione avanzata di GKE.

L'elenco è solo un sottoinsieme dei controlli di sicurezza implementati in progetto in grado di soddisfare i requisiti PCI DSS. Puoi trovare un elenco completo i requisiti che vengono soddisfatti Requisiti PCI DSS (PDF) su GitHub.

Asset di cui è possibile eseguire il deployment

La Progetto PCI e GKE su GitHub contiene un set di configurazioni e script Terraform che come eseguire il bootstrap di un ambiente PCI in Google Cloud. Il PCI su Il progetto GKE illustra anche i servizi, gli strumenti utili per avviare le tue attività PCI Google Cloud completamente gestito di Google Cloud.

Domande frequenti

Come si usa questo progetto?

Il progetto base PCI su GKE fornisce informazioni e istruzioni per creare o migrare carichi di lavoro un servizio GKE in linea con i requisiti di conformità PCI.

Il progetto è composto dai seguenti elementi:

Una guida all'implementazione
Architetture di riferimento
Terraform script che implementano l'Infrastructure as Code (IaC)
Un'applicazione demo
Mappature conformità PCI

Ti consigliamo di leggere attentamente la guida all'implementazione e di le architetture di riferimento prima di eseguire il deployment dell'ambiente PCI utilizzando con Terraform. Abbiamo fornito un'applicazione di e-commerce demo di cui puoi eseguire il deployment per testare l'ambiente di progetto PCI.

È l'unico modo per eseguire carichi di lavoro conformi allo standard PCI su Google Cloud?

No. PCI DSS è un insieme di standard di sicurezza e ci sono molti modi per a interpretare e implementare i controlli per soddisfare gli standard. Questo progetto è progettato come un insieme di best practice e consigli per per supportare la tua conformità PCI DSS.

Questo progetto include le best practice per la conformità PCI per Google Distributed Cloud?

Sebbene alcune delle indicazioni fornite in questo progetto siano applicabili a GKE Enterprise, l'attenzione è concentrata su Google Kubernetes Engine (GKE) in esecuzione su Google Cloud.

Avete un elenco dei requisiti PCI che questo progetto può aiutare a soddisfare?

Questo progetto soddisfa una serie di requisiti di conformità PCI DSS. Tu un elenco completo di questi requisiti Documento sui requisiti PCI DSS (PDF) su GitHub. Questo elenco soddisfa solo i requisiti di conformità PCI supportate dall'infrastruttura Google Cloud nell'ambito responsabilità condivisa tra te e Google. Tieni presente che l'implementazione di qualsiasi controllo di conformità PCI è esclusiva responsabilità del cliente e dovresti condurre una valutazione personalizzata del PCI della tua organizzazione conformità. Per ulteriori informazioni sul modello di responsabilità condivisa, consulta Esplorazione della sicurezza dei container: il modello di responsabilità condivisa in GKE sul blog di Google Cloud.

Quali servizi sono supportati dalle indicazioni contenute in questo progetto?

Per un elenco completo dei servizi supportati, vedi la parte superiore del LEGGIMI nel repository PCI su GKE su GitHub.

Accetti contributi al repository PCI su GKE il giorno GitHub?

Sì. Puoi inviare un eseguire una richiesta di pull o creare un fork del repository.

Risorse

Conformità PCI DSS su Google Cloud. Questa guida ti aiuta a risolvere i problemi specifici di Google Kubernetes Engine (GKE) delle applicazioni quando si implementano le responsabilità dei clienti per PCI Requisiti DSS.