Plano de seguridad: PCI en GKE

El plano de PCI en GKE contiene un conjunto de opciones de configuración y secuencias de comandos de Terraform que muestran cómo iniciar un entorno PCI en Google Cloud. El núcleo de este plano es la aplicación Online Boutique, en la que los usuarios pueden explorar artículos, agregarlos al carrito y comprarlos.

Este plano te permite implementar con facilidad y rapidez cargas de trabajo en GKE que se alinean con las Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) de manera repetible, asistida y segura.

Arquitectura

Descripción general del proyecto

En este plano, se inicia un entorno de datos de titular de tarjeta (CDE) en Google Cloud que contiene la siguiente jerarquía de recursos:

  • Un recurso de organización
  • Un recurso de carpeta que proporciona un mecanismo de agrupación y límites de aislamiento entre proyectos
  • Recursos de proyecto. Se implementan los siguientes proyectos de Google Cloud:

    • Red: El proyecto host de la VPC compartida.
    • Administración: Un proyecto que contendrá la infraestructura de registro y supervisión, como Cloud Logging.
    • Dentro del alcance: Un proyecto que contiene los recursos dentro del alcance. En esta solución, el proyecto consta de un clúster de GKE diseñado para ejecutar las aplicaciones dentro del alcance. En el ejemplo, esto incluye los servicios de frontend, pago y confirmación de la compra.
    • Fuera del alcance: Un proyecto que contiene los recursos fuera del alcance. En esta solución, es un clúster de GKE diseñado para ejecutar el resto de los servicios.

Descripción general del proyecto

Aplicación y proyectos

En el siguiente diagrama, se muestra el límite de CDE en Google Cloud y qué proyectos están dentro del alcance de la evaluación de PCI de la aplicación microservices-demo. A medida que compiles tu entorno, usarás una ilustración como esta para comunicar a Google Cloud qué recursos entran y salen de tu límite de PCI.

En la ruta etiquetada como 1, se muestran los datos de registro de los clústeres de Kubernetes que van a Cloud Logging.

Implementación de la aplicación

Diseño de red

En este diagrama, se ilustran los detalles de la red y la subred de cada proyecto. También se muestran los flujos de datos entre proyectos y también hacia y desde el límite de CDE.

Diseño de red

Tráfico encriptado

En este diagrama, se ilustra el tráfico encriptado que entra y sale del límite de PCI:

  1. El tráfico encriptado con TLS (HTTPS) desde fuera de la VPC va al balanceador de cargas público dentro del alcance.
  2. El tráfico encriptado con TLS entre los nodos del clúster de Kubernetes dentro del alcance y hacia el clúster que está fuera de este se dirige a balanceadores de cargas internos.
  3. El tráfico desde los balanceadores de cargas internos hacia el clúster fuera del alcance se encripta con mTLS mediante Istio.
  4. La comunicación dentro de cada clúster se encripta con mTLS mediante Istio.

Tráfico encriptado

Mapeo de cumplimiento

En el plano que se describe en este documento, se aborda una serie de requisitos de cumplimiento de PCI DSS. En la tabla de esta sección, se destacan algunos de ellos.

Los elementos de la siguiente tabla no abordan todos los requisitos. La infraestructura de Google Cloud cumple con algunos requisitos como parte de la responsabilidad compartida entre tú y Google. Debes implementar el cumplimiento de los otros requisitos. Para obtener una explicación detallada del modelo de responsabilidad compartida, consulta Exploring container security: the shared responsibility model in GKE (Seguridad de los contenedores: El modelo de responsabilidad compartida en GKE) en el blog de Google Cloud.

Los números entre paréntesis se refieren a las secciones del documento de las Normas de seguridad de datos de la industria de tarjetas de pago (PCI). Puedes descargar el documento de la biblioteca de documentos del sitio web del Consejo sobre normas de seguridad de PCI.

Requisito Sección Descripción
Implementar la segmentación y la protección de límites 1.3.2, 1.3.4 Este plano te ayuda a implementar una segmentación lógica mediante el uso de proyectos de Google Cloud. Esta te permite crear un límite para tu evaluación de PCI. Este plano ejecuta Istio en Google Kubernetes Engine como un complemento que te permite crear una malla de servicios alrededor del clúster de GKE con todos los componentes necesarios. El plano también crea un perímetro de seguridad con VPC alrededor de todos los proyectos de Google Cloud dentro del alcance de PCI.
Configurar un acceso con privilegios mínimos a los recursos de Google Cloud 7.1, 7.2 Este plano te ayuda a implementar un control de acceso basado en funciones para administrar quién tiene acceso a los recursos de Google Cloud. El plano también implementa controles de acceso específicos de GKE, como control de acceso basado en funciones (RBAC) y espacios de nombres para restringir el acceso a los recursos del clúster.
Establecer políticas a nivel de la organización   Con este plano, puedes establecer políticas que se apliquen a tu recurso de organización de Google Cloud, como las que se muestran a continuación:
Aplicar la separación de obligaciones mediante una VPC compartida 7.1.2, 7.1.3 Este plano utiliza la VPC compartida para la conectividad y el control de red segregado a fin de aplicar la separación de obligaciones.
Endurecer la seguridad del clúster 2.2, 2.2.5 Los clústeres de GKE de este plano se endurecen como se describe en la guía de protección de GKE.

Esta lista es solo un subconjunto de los controles de seguridad implementados en este plano que pueden cumplir con los requisitos de PCI DSS. Puedes encontrar una lista completa de los requisitos que se abordan en el documento (PDF) PCI DSS Requirements (Requisitos de PCI DSS), en GitHub.

Elementos implementables

El repositorio PCI and GKE Blueprint de GitHub contiene un conjunto de opciones de configuración y secuencias de comandos de Terraform que muestran cómo iniciar un entorno PCI en Google Cloud. El proyecto de PCI en GKE también muestra servicios, herramientas y proyectos de Google Cloud que son útiles para iniciar tu propio entorno de PCI de Google Cloud.

Preguntas frecuentes

Recursos

  • Cumplimiento de PCI DSS en Google Cloud. Esta guía te ayuda a abordar inquietudes específicas de las aplicaciones de Google Kubernetes Engine (GKE) cuando implementes las responsabilidades del cliente para los requisitos de PCI DSS.