Progetto di sicurezza: PCI su GKE

Last reviewed 2023-12-06 UTC

Il progetto di sicurezza PCI su Google Kubernetes Engine contiene un insieme di configurazioni e script Terraform che dimostrano come eseguire il bootstrap di un ambiente PCI in Google Cloud. Il nucleo di questo blueprint è l'applicazione Online Boutique, in cui gli utenti possono sfogliare gli articoli, aggiungerli al carrello e acquistarli.

Questo progetto è stato sviluppato per lo standard Payment Card Industry Data Security Standard (PCI DSS) versione 3.2.1. Il progetto base consente di eseguire il deployment all'uso di GKE in linea con lo standard PCI DSS in modo ripetibile, supportato e sicuro.

Architettura

Panoramica del progetto

In questo blueprint, esegui l'avvio di un ambiente di dati dei titolari della carta (CDE) in Google Cloud contenente la seguente gerarchia delle risorse:

  • Un Ambito organizzativo risorsa.
  • Una risorsa Cartella. Le risorse della cartella forniscono un meccanismo di raggruppamento e l'isolamento tra i progetti.
  • Progetto Google Cloud. Esegui il deployment dei seguenti progetti Google Cloud:

    • Rete: progetto host per il VPC condiviso.
    • Gestione: un progetto che conterrà le informazioni di logging e monitoraggio infrastruttura, come Cloud Logging.
    • In ambito: un progetto che contiene le risorse in ambito. In questa soluzione, il progetto è costituito da un cluster GKE progettato per eseguire le applicazioni nell'ambito. Nell'esempio, sono inclusi i servizi Frontend, Payment e Checkout.
    • Al di fuori dell'ambito: un progetto che contiene le risorse al di fuori dell'ambito. Nella soluzione, si tratta di un cluster GKE progettato per eseguire il resto dei servizi.

Panoramica del progetto.

Applicazione e progetti

Il seguente diagramma illustra il confine CDE su Google Cloud e quali progetti rientrano nell'ambito della valutazione PCI dei microservizi Applicazione demo. Mentre crei il tuo ambiente, usi un'illustrazione come questa per comunicare a Google Cloud le risorse dentro e fuori dei confini del PCI.

Il percorso con etichetta 1 mostra i dati di log dei cluster Kubernetes che passano a e in Cloud Logging.

Deployment dell'applicazione.

Layout di rete

Questo diagramma illustra i dettagli di rete e subnet all'interno di ciascun progetto. Documenta i flussi di dati tra i progetti e viceversa fuori dal confine CDE.

Layout di rete.

Traffico criptato

Questo diagramma illustra il traffico criptato in entrata e in uscita il confine PCI:

  1. Il traffico criptato con TLS (HTTPS) dall'esterno del VPC va al il bilanciatore del carico pubblico nell'ambito.
  2. Traffico con crittografia TLS tra i nodi del cluster Kubernetes nell'ambito il cluster fuori ambito va ai bilanciatori del carico interni.
  3. Il traffico dai bilanciatori del carico interni al cluster fuori ambito viene criptato con mTLS utilizzando Istio.
  4. Le comunicazioni all'interno di ogni cluster sono criptate con mTLS utilizzando Istio.

Traffico criptato.

Mappatura della conformità

La blueprint descritta in questo documento soddisfa una serie di requisiti di conformità PCI DSS. La tabella in questa sezione mette in evidenza alcuni di questi requisiti.

Gli elementi nella tabella seguente non soddisfano tutti i requisiti; conformità con vengono soddisfatti alcuni requisiti dall'infrastruttura Google Cloud nell'ambito responsabilità condivisa tra te e Google. Conformità con altri requisiti che deve essere implementato da te. Per una spiegazione dettagliata del modello di responsabilità condivisa, consulta Esplorazione della sicurezza dei container: il modello di responsabilità condivisa in GKE sul blog Google Cloud.

I numeri tra parentesi si riferiscono alle sezioni della Documento sullo standard di sicurezza dei dati PCI (Payment Card Industry). Puoi scaricare il documento del sito web del PCI Security Standards Council raccolta di documenti.

Requisito Sezione Descrizione
Implementare la segmentazione e la protezione dei confini 1.3.2, 1.3.4 Questo blueprint ti aiuta a implementare una segmentazione logica utilizzando i progetti Google Cloud. La segmentazione ti consente di creare un confine per la valutazione PCI. Questo progetto esegue Istio su Google Kubernetes Engine come componente aggiuntivo che ti consente di creare un mesh di servizi un cluster GKE che include tutti i componenti di cui hai bisogno. La crea anche un perimetro di sicurezza VPC per tutti i progetti Google Cloud che rientrano nell'ambito dello standard PCI.
Configurare l'accesso con privilegi minimi alle risorse Google Cloud 7,1, 7,2 Questo blueprint ti aiuta a implementare il controllo dell'accesso basato sui ruoli per gestire chi ha accesso alle risorse Google Cloud. Lo schema implementa controlli di accesso specifici di GKE, controllo degli accessi basato su ruoli (RBAC, Role-Based Access Control) e spazi dei nomi per limitare l'accesso alle risorse del cluster.
Definire criteri a livello di organizzazione   Con questo progetto, stabilisci i criteri che si applicano ai tuoi Google Cloud Organizzazione come la seguente:
Applicare la separazione dei compiti tramite la rete VPC condivisa 7.1.2, 7.1.3 Questo blueprint utilizza VPC condiviso per la connettività e il controllo della rete sezionata per applicare la separazione dei compiti.
Rafforzare la sicurezza del cluster 2,2, 2.2.5 I cluster GKE in questo progetto sono protetti descritti nei Guida alla protezione avanzata di GKE.

Questo elenco è solo un sottoinsieme dei controlli di sicurezza implementati in progetto in grado di soddisfare i requisiti PCI DSS. Puoi trovare un elenco completo di questi requisiti nel documento Requisiti PCI DSS (PDF) su GitHub.

Asset di cui è possibile eseguire il deployment

La Progetto PCI e GKE su GitHub contiene un set di configurazioni e script Terraform che come eseguire il bootstrap di un ambiente PCI in Google Cloud. Il PCI su Il progetto GKE illustra anche i servizi, gli strumenti utili per avviare le tue attività PCI Google Cloud completamente gestito di Google Cloud.

Domande frequenti

Risorse

  • Conformità PCI DSS su Google Cloud. Questa guida ti aiuta a risolvere i problemi specifici di Google Kubernetes Engine (GKE) delle applicazioni quando si implementano le responsabilità dei clienti per PCI Requisiti DSS.