Il progetto di sicurezza PCI su Google Kubernetes Engine contiene un insieme di configurazioni e script Terraform che dimostrano come eseguire il bootstrap di un ambiente PCI in Google Cloud. Il nucleo di questo blueprint è l'applicazione Online Boutique, in cui gli utenti possono sfogliare gli articoli, aggiungerli al carrello e acquistarli.
Questo progetto è stato sviluppato per la versione 3.2.1 dello standard Payment Card Industry Data Security (PCI DSS). Il progetto ti consente di eseguire il deployment di carichi di lavoro su GKE conformi allo standard PCI DSS in modo ripetibile, supportato e sicuro.
- Architettura
- Mappatura della conformità
- Asset di cui è possibile eseguire il deployment
- Domande frequenti
- Risorse
Architettura
Panoramica del progetto
In questo blueprint, esegui l'avvio di un ambiente di dati dei titolari della carta (CDE) Google Cloud che contiene la seguente gerarchia di risorse:
- Una risorsa dell'organizzazione.
- Una risorsa Cartella. Le risorse cartella forniscono un meccanismo di raggruppamento e limiti di isolamento tra i progetti.
Risorse del progetto. Esegui il deployment dei seguenti progetti Google Cloud :
- Rete: il progetto host per la VPC condiviso.
- Gestione: un progetto che conterrà l'infrastruttura di logging e monitoraggio, ad esempio Cloud Logging.
- Nell'ambito: un progetto che contiene le risorse nell'ambito. In questa soluzione, il progetto è costituito da un cluster GKE progettato per eseguire le applicazioni nell'ambito. Nell'esempio, sono inclusi i servizi Frontend, Payment e Checkout.
- Al di fuori dell'ambito: un progetto che contiene le risorse al di fuori dell'ambito. Nella soluzione, si tratta di un cluster GKE progettato per eseguire il resto dei servizi.
Applicazione e progetti
Il seguente diagramma illustra il confine del CDE Google Cloud e i progetti che rientrano nell'ambito della valutazione PCI dell'applicazione Demo di microservizi. Durante la creazione dell'ambiente, utilizzi un'illustrazione come questa per comunicare Google Cloud le risorse all'interno e all'esterno del perimetro PCI.
Il percorso contrassegnato come 1
mostra i dati dei log dei cluster Kubernetes che vengono inviati a Cloud Logging.
Layout di rete
Questo diagramma illustra i dettagli della rete e delle subnet all'interno di ogni progetto. Documenta i flussi di dati tra i progetti e all'interno e all'esterno del confine del CDE.
Traffico criptato
Questo diagramma mostra il traffico criptato in entrata e in uscita dal perimetro PCI:
- Il traffico criptato con TLS (HTTPS) dall'esterno della VPC viene inviato al bilanciatore del carico pubblico ambito.
- Il traffico criptato con TLS tra i nodi del cluster Kubernetes in ambito e il cluster fuori ambito viene inviato ai bilanciatori del carico interni.
- Il traffico dai bilanciatori del carico interni al cluster fuori ambito viene criptato con mTLS utilizzando Istio.
- La comunicazione all'interno di ogni cluster è criptata con mTLS utilizzando Istio.
Mappatura della conformità
La blueprint descritta in questo documento soddisfa una serie di requisiti di conformità PCI DSS. La tabella in questa sezione mette in evidenza alcuni di questi requisiti.
Gli elementi riportati nella tabella seguente non soddisfano tutti i requisiti; la conformità ad alcuni requisiti è soddisfatta dall' Google Cloud infrastruttura nell'ambito della responsabilità condivisa tra te e Google. Devi implementare la conformità ad altri requisiti. Per una spiegazione dettagliata del modello di responsabilità condivisa, consulta Esplorazione della sicurezza dei container: il modello di responsabilità condivisa in GKE nel Google Cloud blog.
I numeri tra parentesi si riferiscono alle sezioni del documento Payment Card Industry (PCI) Data Security Standard. Puoi scaricare il documento dalla libreria della documentazione del sito web del PCI Security Standards Council.
Requisito | Sezione | Descrizione |
---|---|---|
Implementare la segmentazione e la protezione dei confini | 1.3.2, 1.3.4 | Questo blueprint ti aiuta a implementare una segmentazione logica utilizzando i progetti Google Cloud . La segmentazione ti consente di creare un confine per la valutazione PCI. Questo blueprint esegue Istio su Google Kubernetes Engine come componente aggiuntivo che ti consente di creare una mesh di servizi attorno al cluster GKE che include tutti i componenti di cui hai bisogno. Il blueprint crea anche un perimetro di sicurezza utilizzando una Google Cloud VPC intorno a tutti i progetti Google Cloud che rientrano nell'ambito del PCI. |
Configurare l'accesso con privilegio minimo alle Google Cloud risorse | 7.1, 7.2 | Questo blueprint ti aiuta a implementare il controllo degli accessi basato su ruoli per gestire chi ha accesso alle Google Cloud risorse. Il blueprint implementa inoltre i controlli di accesso specifici di GKE, come il controllo dell'accesso basato sui ruoli (RBAC) e gli spazi dei nomi per limitare l'accesso alle risorse del cluster. |
Definire criteri a livello di organizzazione |
Con questo blueprint, puoi stabilire criteri che si applicano alla risorsa
Google Cloud
Organizzazione, ad esempio:
|
|
Applicare la separazione dei compiti tramite la rete VPC condivisa | 7.1.2, 7.1.3 | Questo blueprint utilizza VPC condiviso per la connettività e il controllo della rete sezionata per applicare la separazione dei compiti. |
Rafforzare la sicurezza del cluster | 2.2, 2.2.5 | I cluster GKE in questo blueprint sono protetti come descritto nella guida alla protezione di GKE. |
Questo elenco è solo un sottoinsieme dei controlli di sicurezza implementati in questo blueprint che possono soddisfare i requisiti PCI DSS. Puoi trovare un elenco completo di questi requisiti nel documento Requisiti PCI DSS (PDF) su GitHub.
Asset di cui è possibile eseguire il deployment
Il repository PCI e GKE Blueprint su GitHub contiene un insieme di configurazioni e script Terraform che mostrano come eseguire il bootstrap di un ambiente PCI in Google Cloud. Il progetto PCI su GKE mostra anche Google Cloud servizi, strumenti e progetti utili per avviare il tuo Google Cloud ambiente PCI.
Domande frequenti
Risorse
- Conformità PCI DSS su Google Cloud. Questa guida ti aiuta a risolvere i problemi specifici delle applicazioni Google Kubernetes Engine (GKE) quando implementi le responsabilità del cliente per i requisiti PCI DSS.