Cetak biru keamanan: PCI di GKE

Last reviewed 2023-12-06 UTC

Blueprint PCI di Google Kubernetes Engine berisi kumpulan skrip dan konfigurasi Terraform yang menunjukkan cara mem-bootstrap lingkungan PCI di Google Cloud. Inti dari cetak biru ini adalah aplikasi Online Boutique, yang memungkinkan pengguna untuk mencari item, menambahkannya ke keranjang, dan membelinya.

Blueprint ini dikembangkan untuk Payment Card Industry Data Security Standard (PCI DSS) versi 3.2.1. Blueprint memungkinkan Anda men-deploy workload di GKE yang selaras dengan PCI DSS dengan cara yang berulang, didukung, dan aman.

Arsitektur

Ringkasan project

Dalam cetak biru ini, Anda mem-bootstrap lingkungan data pemegang kartu (CDE) di Google Cloud yang berisi hierarki resource berikut:

  • Resource Organizational.
  • Resource Folder. Resource folder memberikan mekanisme pengelompokan dan batas isolasi antar-project.
  • Resource project. Anda men-deploy project Google Cloud berikut:

    • Jaringan: Project host untuk VPC Bersama.
    • Pengelolaan: Project yang akan menyimpan infrastruktur logging dan pemantauan, seperti Cloud Logging.
    • Dalam-ruang lingkup: Proyek yang berisi sumber daya dalam ruang lingkup. Dalam solusi ini, project terdiri dari cluster GKE yang dirancang untuk menjalankan aplikasi dalam cakupan. Dalam contoh, ini termasuk layanan Frontend, Pembayaran, dan Checkout.
    • Di luar cakupan: Proyek yang berisi sumber daya di luar ruang lingkup. Solusinya adalah cluster GKE yang dirancang untuk menjalankan layanan lainnya.

Ringkasan project.

Aplikasi dan project

Diagram berikut mengilustrasikan batas CDE di Google Cloud dan project mana yang termasuk dalam cakupan penilaian PCI Anda terhadap aplikasi Demo Microservices. Saat mem-build lingkungan, Anda menggunakan ilustrasi seperti ini untuk menyampaikan kepada Google Cloud tentang resource yang masuk dan keluar dari batas PCI Anda.

Jalur berlabel 1 menampilkan data log dari cluster Kubernetes yang mengarah ke Cloud Logging.

Deployment aplikasi.

Tata letak jaringan

Diagram ini menggambarkan detail jaringan dan subnet dalam setiap project. Dokumen ini mendokumentasikan aliran data antar-project serta ke dalam dan keluar batas CDE.

Tata letak jaringan.

Traffic yang dienkripsi

Diagram ini menggambarkan traffic terenkripsi yang masuk dan keluar dari batas PCI:

  1. Traffic yang dienkripsi TLS (HTTPS) dari luar VPC akan masuk ke load balancer publik dalam cakupan.
  2. Traffic yang dienkripsi TLS antara node cluster Kubernetes dalam cakupan ke cluster di luar cakupan akan diteruskan ke load balancer internal.
  3. Traffic dari load balancer internal ke cluster di luar cakupan dienkripsi dengan mTLS menggunakan Istio.
  4. Komunikasi dalam setiap cluster dienkripsi dengan mTLS menggunakan Istio.

Traffic yang dienkripsi.

Pemetaan kepatuhan

Cetak biru yang dijelaskan dalam dokumen ini membahas berbagai persyaratan kepatuhan PCI DSS. Tabel di bagian ini menyoroti beberapa persyaratan tersebut.

Item dalam tabel berikut tidak memenuhi semua persyaratan; kepatuhan terhadap beberapa persyaratan akan dipenuhi oleh infrastruktur Google Cloud sebagai bagian dari tanggung jawab bersama antara Anda dan Google. Kepatuhan terhadap persyaratan lainnya perlu diterapkan oleh Anda. Untuk penjelasan mendetail tentang model tanggung jawab bersama, lihat Menjelajahi keamanan container: model tanggung jawab bersama di GKE di blog Google Cloud.

Angka-angka dalam tanda kurung mengacu pada bagian dari dokumen Standar Keamanan Data Industri Kartu Pembayaran (PCI). Anda dapat mendownload dokumen dari library dokumen situs PCI Security Standards Council.

Persyaratan Bagian Deskripsi
Menerapkan segmentasi dan perlindungan batas 1.3.2, 1.3.4 Cetak biru ini membantu Anda menerapkan segmentasi logis dengan menggunakan project Google Cloud; segmentasi memungkinkan Anda membuat batas untuk penilaian PCI Anda. Cetak biru ini menjalankan Istio di Google Kubernetes Engine sebagai add-on yang memungkinkan Anda membuat mesh layanan di sekitar cluster GKE yang mencakup semua komponen yang Anda butuhkan. Cetak biru ini juga membuat perimeter keamanan menggunakan VPC di semua project Google Cloud yang tercakup dalam PCI.
Mengonfigurasi akses dengan hak istimewa terendah ke resource Google Cloud 7.1, 7.2 Cetak biru ini membantu Anda menerapkan kontrol akses berbasis peran untuk mengelola siapa saja yang memiliki akses ke resource Google Cloud. Cetak biru ini juga mengimplementasikan kontrol akses khusus GKE seperti kontrol akses berbasis peran (RBAC) dan namespace untuk membatasi akses ke resource cluster.
Menetapkan kebijakan tingkat Organisasi   Dengan cetak biru ini, Anda menetapkan kebijakan yang berlaku untuk resource Organisasi Google Cloud, seperti berikut ini:
Menerapkan pemisahan tugas melalui VPC Bersama 7.1.2, 7.1.3 Cetak biru ini menggunakan VPC Bersama untuk konektivitas dan kontrol jaringan terpisah guna menerapkan pemisahan tugas.
Meningkatkan keamanan cluster 2.2, 2.2.5 Cluster GKE dalam cetak biru ini telah melalui proses hardening sebagaimana dijelaskan dalam panduan hardening GKE.

Daftar ini hanyalah sebagian kontrol keamanan yang diterapkan dalam blueprint ini yang dapat memenuhi persyaratan PCI DSS. Anda dapat menemukan daftar lengkap persyaratan yang ditangani dalam dokumen Persyaratan PCI DSS (PDF) di GitHub.

Aset yang dapat di-deploy

Repositori PCI dan GKE Blueprint di GitHub berisi kumpulan konfigurasi dan skrip Terraform yang menunjukkan cara mem-bootstrap lingkungan PCI di Google Cloud. PCI pada project GKE juga menampilkan layanan, alat, dan project Google Cloud yang berguna untuk memulai lingkungan PCI Google Cloud Anda sendiri.

Pertanyaan umum (FAQ)

Referensi

  • Kepatuhan PCI DSS di Google Cloud. Panduan ini membantu Anda mengatasi masalah unik pada aplikasi Google Kubernetes Engine (GKE) saat menerapkan tanggung jawab pelanggan untuk persyaratan PCI DSS.