安全蓝图:PCI on GKE

PCI on GKE 蓝图包含一组 Terraform 配置和脚本,演示如何在 Google Cloud 中引导 PCI 环境。此蓝图主要介绍 Online Boutique 应用,用户可以在其中浏览商品、将商品添加到购物车以及购买商品。

借助此蓝图,您可以在 GKE 上快速轻松地部署符合支付卡行业数据安全标准 (PCI DSS) 的工作负载。

架构

项目概览

在此蓝图中,您将在 Google Cloud 中引导一个包含以下资源层次结构的持卡人数据环境 (CDE):

  • 组织资源。
  • 文件夹资源。文件夹资源提供了分组机制,可为项目划定明确的分界。
  • 项目资源。您将部署以下 Google Cloud 项目:

    • 网络:共享 VPC 的宿主项目。
    • 管理:用于存储日志记录和监控基础架构(例如 Cloud Logging)的项目。
    • 范围内项目:包含范围内资源的项目。此解决方案中的项目包含一个 GKE 集群,该集群旨在运行范围内的应用。在此示例中,这包括前端、付款和结帐服务。
    • 范围外项目:包含范围外资源的项目。此解决方案中的项目包含一个 GKE 集群,该集群旨在运行其余服务。

项目概览。

应用和项目

下图展示了 Google Cloud 上的 CDE 边界,以及哪些项目在 Microservices Demo 应用的 PCI 评估范围内。在构建环境时,您可以使用类似的图示来向 Google Cloud 传达有关进出 PCI 边界的资源的信息。

标记为 1 的路径显示从 Kubernetes 集群进入 Cloud Logging 的日志数据。

应用部署。

网络布局

此图展示了每个项目中的网络和子网详情。它记录了项目之间以及进出 CDE 边界的数据流。

网络布局。

加密流量

此图展示了进出 PCI 边界的加密流量:

  1. VPC 外部经过传输层安全协议 (TLS) 加密的 (HTTPS) 流量将进入范围内的公共负载平衡器。
  2. 范围内 Kubernetes 集群节点与范围外集群之间经过 TLS 加密的流量将进入内部负载平衡器。
  3. 从内部负载平衡器到范围外集群的流量使用 Istio 通过 mTLS 进行加密。
  4. 每个集群内的通信均使用 Istio 通过 mTLS 进行加密。

加密流量。

合规性映射

本文档中介绍的蓝图可满足一系列 PCI DSS 合规性要求。本部分中的表格重点介绍了其中一些要求。

下表中的内容并未满足所有要求;您与 Google 须共同承担责任使 Google Cloud 基础架构满足某些合规性要求。其他合规性要求的达成需要由您来实现。如需详细了解共担责任模式,请参阅 Google Cloud 博客上的探索容器安全:GKE 中的共担责任模式

括号里的数字是指《支付卡行业 (PCI) 数据安全标准》文档中的第几部分。您可以从 PCI 安全标准委员会网站的文档库下载该文档。

要求 条目 说明
实现分段和边界保护 1.3.2、1.3.4 此蓝图可帮助您使用 Google Cloud 项目实现逻辑分割;通过分割,您可以为 PCI 评估创建边界。此蓝图在 Google Kubernetes Engine 上运行 Istio 作为插件,可让您围绕 GKE 集群创建一个服务网格,其中包含您需要的所有组件。此蓝图还使用 VPC 围绕 PCI 范围内的所有 Google Cloud 项目创建安全边界。
配置对 Google Cloud 资源的最小访问权限 7.1、7.2 此蓝图可帮助您实现基于角色的访问权限控制,以管理哪些用户可以访问 Google Cloud 资源。此蓝图还可实现特定于 GKE 的访问权限控制,如基于角色的访问权限控制 (RBAC)命名空间,以限制对集群资源的访问。
制定组织级层的政策   借助此蓝图,您可以制定适用于您的 Google Cloud 组织资源的政策,例如:
通过共享 VPC 实现职责分离 7.1.2、7.1.3 此蓝图使用共享 VPC 进行连接,并通过隔离网络控制来实现职责分离
强化集群的安全性 2.2、2.2.5 此蓝图中的 GKE 集群已按照 GKE 安全强化指南中的说明进行了强化。

以上列表只是此蓝图实现的可满足 PCI DSS 要求的一部分安全控制措施。您可以在 GitHub 上的 PCI DSS 要求 (PDF) 文档中找到这些要求的完整列表。

可部署的资源

GitHub 上的 PCI 和 GKE 蓝图代码库包含一组 Terraform 配置和脚本,用于演示如何在 Google Cloud 中引导 PCI 环境。PCI on GKE 项目还展示了可帮助您启动自己的 Google Cloud PCI 环境的 Google Cloud 服务、工具和项目。

常见问题解答

资源