Plan de sécurité : PCI sur GKE

Last reviewed 2023-12-06 UTC

Le plan PCI sur Google Kubernetes Engine contient un ensemble de configurations et de scripts Terraform qui illustrent comment amorcer la création d'un environnement PCI dans Google Cloud. Au cœur de ce plan se trouve l'application Boutique en ligne, dans laquelle les utilisateurs peuvent parcourir les articles, les ajouter au panier et les acheter.

Ce plan a été développé pour la version 3.2.1 PCI DSS (Payment Card Industry Data Security Standard). Le plan vous permet de déployer des charges de travail sur GKE conformes à la norme PCI DSS de manière reproductible, compatible et sécurisée.

Architecture
Mappage de conformité
Éléments déployables
Questions fréquentes
Ressources

Architecture

Vue d'ensemble du projet

Dans ce plan, vous allez amorcer la création d'un environnement de données de titulaire de carte (CDE, Cardholder Data Environment) dans Google Cloud contenant la hiérarchie de ressources suivante :

Une ressource Organisation.
Une ressource Dossier. Les ressources "Dossier" constituent un mécanisme de regroupement et permettent d'isoler les projets les uns des autres.
Des ressources Projet. Vous déployez les projets Google Cloud suivants :
- Réseau : projet hôte pour le VPC partagé.
- Gestion : projet qui contient l'infrastructure de journalisation et de surveillance, telle que Cloud Logging.
- Champ d'application : projet contenant les ressources couvertes. Dans cette solution, le projet est constitué d'un cluster GKE conçu pour exécuter les applications couvertes. Dans l'exemple, il s'agit des services liés à l'interface, au paiement et au règlement.
- Hors champ d'application : projet contenant les ressources non couvertes. Dans la solution, il s'agit d'un cluster GKE conçu pour exécuter le reste des services.

Vue d'ensemble du projet

Application et projets

Le schéma suivant illustre la limite CDE sur Google Cloud et montre quels projets entrent dans le cadre de votre évaluation PCI de l'application de démonstration des microservices. Lorsque vous créez votre environnement, vous utilisez une illustration de ce type pour indiquer à Google Cloud quelles ressources sont situées dans et hors de votre limite PCI.

Le chemin d'accès libellé 1 affiche les données de journal des clusters Kubernetes transférées dans Cloud Logging.

Déploiement d'applications.

Structure du réseau

Ce schéma indique les détails du réseau et du sous-réseau à l'intérieur de chaque projet. Il permet de documenter les flux de données entre les projets, ainsi qu'à l'intérieur et à l'extérieur de la limite CDE.

Structure du réseau.

Trafic chiffré

Ce schéma illustre le trafic chiffré entrant et sortant de la limite PCI :

Le trafic chiffré par TLS (HTTPS) provenant de l'extérieur du VPC est envoyé à l'équilibreur de charge public du champ d'application.
Le trafic chiffré par TLS reliant les nœuds de cluster Kubernetes situés dans le champ d'application et le cluster situé en dehors du champ d'application est dirigé vers les équilibreurs de charge internes.
Le trafic provenant des équilibreurs de charge internes et transmis au cluster situé en dehors du champ d'application est chiffré avec mTLS à l'aide d'Istio.
La communication au sein de chaque cluster est chiffrée avec mTLS à l'aide d'Istio.

Trafic chiffré.

Mappage de conformité

Le plan décrit dans ce document répond à une série d'exigences de conformité avec la norme PCI DSS. Le tableau de cette section met en évidence certaines de ces exigences.

Les éléments du tableau suivant ne répondent pas à toutes les exigences. La conformité avec certaines exigences est assurée par l'infrastructure Google Cloud dans le cadre de la responsabilité partagée entre vous et Google. Il vous incombe de respecter les autres exigences. Pour une explication détaillée du modèle de responsabilité partagée, consultez la page Découvrir la sécurité des conteneurs : le modèle de responsabilité partagée dans GKE sur le blog Google Cloud.

Les chiffres entre parenthèses font référence aux sections du document "Industrie des cartes de paiement (PCI) – Norme de sécurité des données". Vous pouvez télécharger le document à partir de la bibliothèque de documents du site Web du PCI Security Standards Council.

Exigence	Section	Description
Mettre en œuvre la segmentation et la protection à l'intérieur des limites	1.3.2, 1.3.4	Ce plan permet de mettre en œuvre une segmentation logique en utilisant les projets Google Cloud. La segmentation permet de créer une limite pour l'évaluation PCI. Ce plan exécute Istio sur Google Kubernetes Engine en tant que module complémentaire, qui permet de créer un maillage de services autour du cluster GKE incluant tous les composants nécessaires. Le plan crée également un périmètre de sécurité VPC autour de tous les projets Google Cloud concernés par la norme PCI.
Configurer l'accès de moindre privilège aux ressources Google Cloud	7.1, 7.2	Ce plan permet de mettre en œuvre un contrôle d'accès basé sur les rôles pour gérer l'accès aux ressources Google Cloud. Le plan met également en œuvre des contrôles d'accès spécifiques à GKE, tels que le contrôle d'accès basé sur les rôles (RBAC) et les espaces de noms, afin de restreindre l'accès aux ressources du cluster.
Définir des règles au niveau de l'organisation		Avec ce plan, vous définissez des règles qui s'appliquent à la ressource Organisation de Google Cloud, dont les suivantes : Aucune adresse IP externe Partage restreint de domaine Images de confiance
Appliquer la séparation des tâches via un VPC partagé	7.1.2, 7.1.3	Ce plan utilise un VPC partagé pour la connectivité et le contrôle du réseau compartimenté afin d'appliquer la séparation des tâches.
Renforcer la sécurité d'un cluster	2.2, 2.2.5	Les clusters GKE de ce plan sont renforcés comme décrit dans le guide Renforcer la sécurité d'un cluster.

Cette liste n'est qu'un sous-ensemble des contrôles de sécurité mis en œuvre dans ce plan pouvant répondre aux exigences de la norme PCI DSS. Vous trouverez la liste complète des exigences couvertes dans le document PCI DSS Requirements (Exigences PCI DSS) disponible au format PDF sur GitHub.

Éléments déployables

Le dépôt PCI and GKE Blueprint sur GitHub contient un ensemble de configurations et de scripts Terraform qui montrent comment amorcer un environnement PCI dans Google Cloud. Le projet PCI sur GKE présente également les services, les outils et les projets Google Cloud utiles pour démarrer votre propre environnement PCI Google Cloud.

Questions fréquentes

Comment utiliser ce plan ?

Le plan PCI on GKE fournit des informations et des instructions normatives pour créer ou migrer sur GKE des charges de travail conformes aux exigences de conformité PCI.

Le plan comprend les éléments suivants :

Guide de mise en œuvre
Architectures de référence
Scripts Terraform permettant de mettre en œuvre une infrastructure as code (IaC)
Application de démonstration
Mappages de conformité PCI

Nous vous recommandons de consulter le guide de mise en œuvre et d'examiner les architectures de référence avant de déployer l'environnement PCI à l'aide de Terraform. Nous fournissons une application de commerce électronique de démonstration que vous pouvez déployer pour tester l'environnement du plan PCI.

Ce plan constitue-t-il la seule façon d'exécuter des charges de travail conformes à la norme PCI sur Google Cloud ?

Non. PCI DSS regroupe un ensemble de normes de sécurité. Il existe de nombreuses façons d'interpréter et de mettre en œuvre des contrôles pour satisfaire aux exigences de ces normes. Ce plan est conçu comme un ensemble de bonnes pratiques et de recommandations pour assurer la conformité avec la norme PCI DSS.

Ce plan inclut-il les bonnes pratiques de conformité PCI pour GKE sur VMware ?

Bien que certains conseils de ce plan soient applicables à GKE Enterprise, l'accent est mis sur Google Kubernetes Engine (GKE) exécuté sur Google Cloud.

Avez-vous répertorié les exigences PCI que ce plan permet de satisfaire ?

Ce plan répond à une série d'exigences de conformité avec la norme PCI DSS. Vous trouverez la liste complète de ces exigences dans le document PCI DSS Requirements (Exigences PCI DSS) disponible au format PDF sur GitHub. Cette liste couvre uniquement les exigences de conformité PCI assurées par l'infrastructure Google Cloud dans le cadre de la responsabilité partagée entre vous et Google. Notez que la mise en œuvre des contrôles de conformité PCI est de la seule responsabilité du client. Vous devez effectuer votre propre évaluation de la conformité PCI de votre organisation. Pour en savoir plus sur le modèle de responsabilité partagée, consultez la page Découvrir la sécurité des conteneurs : le modèle de responsabilité partagée dans GKE sur le blog Google Cloud.

À quels services s'appliquent les recommandations de ce plan ?

Pour obtenir la liste complète des services compatibles, consultez la première partie du fichier README dans le dépôt PCI on GKE sur GitHub.

Acceptez-vous des contributions au dépôt GitHub PCI sur GKE ?

Oui. Vous pouvez envoyer une demande d'extraction ou dupliquer le dépôt.

Ressources

Conformité avec la norme PCI DSS sur Google Cloud. Ce guide aborde les questions spécifiques aux applications Google Kubernetes Engine (GKE) lorsque vous mettez en œuvre des responsabilités client conformes aux exigences de la norme PCI DSS.