Plano de segurança: PCI no GKE

Last reviewed 2025-03-12 UTC

O esquema do PCI no Google Kubernetes Engine contém um conjunto de configurações e scripts do Terraform que demonstram como iniciar um ambiente PCI no Google Cloud. A base deste plano é a aplicação Online Boutique, onde os utilizadores podem procurar artigos, adicioná-los ao carrinho e comprá-los.

Este plano foi desenvolvido para a Norma de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) versão 3.2.1. O modelo permite-lhe implementar cargas de trabalho no GKE que estejam alinhadas com a norma PCI DSS de forma repetível, suportada e segura.

Arquitetura

Vista geral do projeto

Neste plano, inicia um ambiente de dados de titulares de cartões (CDE) que contém a seguinte hierarquia de recursos: Google Cloud

  • Um recurso organizacional.
  • Um recurso de pasta. Os recursos de pastas oferecem um mecanismo de agrupamento e limites de isolamento entre projetos.

  • Recursos do projeto. Implementa os seguintes Google Cloud projetos:

    • Rede: o projeto anfitrião da VPC partilhada.
    • Gestão: um projeto que vai conter a infraestrutura de registo e monitorização, como o Cloud Logging.
    • No âmbito: um projeto que contém os recursos no âmbito. Nesta solução, o projeto consiste num cluster do GKE concebido para executar as aplicações no âmbito. No exemplo, isto inclui os serviços Frontend, Payment e Checkout.
    • Fora do âmbito: um projeto que contém os recursos fora do âmbito. Na solução, trata-se de um cluster do GKE concebido para executar os restantes serviços.

Vista geral do projeto.

Aplicação e projetos

O diagrama seguinte ilustra o limite do CDE e os projetos que estão no âmbito da sua avaliação da PCI da aplicação de demonstração de microsserviços. Google Cloud À medida que cria o seu ambiente, usa uma ilustração como esta para comunicar Google Cloud sobre os recursos que entram e saem do seu limite de PCI.

O caminho etiquetado como 1 mostra os dados de registo dos clusters do Kubernetes que vão para o Cloud Logging.

Implementação de aplicações.

Esquema da rede

Este diagrama ilustra os detalhes da rede e da sub-rede em cada projeto. Documenta os fluxos de dados entre projetos e para dentro e para fora do limite do AFE.

Esquema da rede.

Tráfego encriptado

Este diagrama ilustra o tráfego encriptado que entra e sai do limite da PCI:

  1. O tráfego encriptado com TLS (HTTPS) proveniente de fora da VPC é encaminhado para o balanceador de carga público no âmbito.
  2. O tráfego encriptado com TLS entre nós do cluster do Kubernetes no âmbito para o cluster fora do âmbito é encaminhado para balanceadores de carga internos.
  3. O tráfego dos balanceadores de carga internos para o cluster fora do âmbito é encriptado com mTLS através do Istio.
  4. A comunicação em cada cluster é encriptada com mTLS através do Istio.

Tráfego encriptado.

Mapeamento de conformidade

O esquema descrito neste documento aborda uma série de requisitos de conformidade com a norma PCI DSS. A tabela nesta secção realça alguns desses requisitos.

Os itens na tabela seguinte não abordam todos os requisitos. A conformidade com alguns requisitos é cumprida pela infraestrutura como parte da responsabilidade partilhada entre si e a Google. Google Cloud A conformidade com outros requisitos tem de ser implementada por si. Para uma explicação detalhada do modelo de responsabilidade partilhada, consulte o artigo Explorar a segurança de contentores: o modelo de responsabilidade partilhada no GKE no Google Cloud blogue.

Os números entre parênteses referem-se a secções do documento da Norma de Segurança de Dados do Setor de Cartões de Pagamento (PCI). Pode transferir o documento a partir da biblioteca de documentos do Website do PCI Security Standards Council.

Requisito Secção Descrição
Implemente a segmentação e a proteção de limites 1.3.2, 1.3.4 Este plano ajuda a implementar uma segmentação lógica através de Google Cloud projetos. A segmentação permite criar um limite para a sua avaliação da PCI. Este projeto executa o Istio no Google Kubernetes Engine como um suplemento que lhe permite criar uma malha de serviços em torno do cluster do GKE que inclui todos os componentes de que precisa. O esquema também cria um perímetro de segurança através da VPC em torno de todos os Google Cloud projetos que estão no âmbito da PCI.
Configure o acesso de menor privilégio aos Google Cloud recursos 7.1, 7.2 Este plano ajuda a implementar o controlo de acesso baseado em funções para gerir quem tem acesso aos recursos do Google Cloud . O projeto também implementa controlos de acesso específicos do GKE, como controlo de acesso baseado em funções (CABF) e namespaces para restringir o acesso aos recursos do cluster.
Estabeleça políticas ao nível da organização   Com este projeto, estabelece políticas que se aplicam ao seu recurso de Google Cloud organização, como as seguintes:
Aplique a separação de funções através da VPC partilhada 7.1.2, 7.1.3 Este esquema usa a VPC partilhada para conetividade e controlo de rede segregado para aplicar a separação de funções.
Reforce a segurança do seu cluster 2.2, 2.2.5 Os clusters do GKE neste projeto são protegidos conforme descrito no guia de proteção do GKE.

Esta lista é apenas um subconjunto dos controlos de segurança implementados neste esquema que podem cumprir os requisitos da PCI DSS. Pode encontrar uma lista completa dos requisitos abordados no documento Requisitos da PCI DSS (PDF) no GitHub.

Recursos implementáveis

O repositório PCI e GKE Blueprint no GitHub contém um conjunto de configurações e scripts do Terraform que mostram como iniciar um ambiente PCI no Google Cloud. O projeto PCI no GKE também apresenta Google Cloud serviços, ferramentas e projetos Google Cloud que são úteis para iniciar o seu próprio ambiente PCI.

Perguntas frequentes

Recursos

  • Conformidade com a PCI DSS a Google Cloud. Este guia ajuda a resolver preocupações exclusivas das aplicações do Google Kubernetes Engine (GKE) quando implementa responsabilidades do cliente para os requisitos da norma PCI DSS.