Plan de sécurité : PCI sur GKE

Last reviewed 2023-12-06 UTC

Le plan PCI sur Google Kubernetes Engine contient un ensemble de configurations et de scripts Terraform qui illustrent comment amorcer la création d'un environnement PCI dans Google Cloud. Au cœur de ce plan se trouve l'application Boutique en ligne, dans laquelle les utilisateurs peuvent parcourir les articles, les ajouter au panier et les acheter.

Ce plan a été développé pour la version 3.2.1 PCI DSS (Payment Card Industry Data Security Standard). Le plan vous permet de déployer sur GKE des charges de travail conformes à la norme PCI DSS de manière reproductible, compatible et sécurisée.

Architecture

Vue d'ensemble du projet

Dans ce plan, vous allez amorcer la création d'un environnement de données de titulaire de carte (CDE, Cardholder Data Environment) dans Google Cloud contenant la hiérarchie de ressources suivante :

  • Une ressource Organisation.
  • Une ressource Dossier. Les ressources "Dossier" constituent un mécanisme de regroupement et permettent d'isoler les projets les uns des autres.
  • Ressources Projet. Vous déployez les projets Google Cloud suivants :

    • Réseau : projet hôte pour le VPC partagé.
    • Gestion : projet qui contient l'infrastructure de journalisation et de surveillance, telle que Cloud Logging.
    • Champ d'application : projet contenant les ressources couvertes. Dans cette solution, le projet est constitué d'un cluster GKE conçu pour exécuter les applications couvertes. Dans l'exemple, il s'agit des services liés à l'interface, au paiement et au règlement.
    • Hors champ d'application : projet contenant les ressources non couvertes. Dans la solution, il s'agit d'un cluster GKE conçu pour exécuter le reste des services.

Vue d'ensemble du projet

Application et projets

Le schéma suivant illustre la limite CDE sur Google Cloud et montre quels projets entrent dans le cadre de votre évaluation PCI de l'application de démonstration des microservices. Lorsque vous créez votre environnement, vous utilisez une illustration de ce type pour indiquer à Google Cloud quelles ressources sont situées dans et hors de votre limite PCI.

Le chemin d'accès libellé 1 affiche les données de journal des clusters Kubernetes transférées dans Cloud Logging.

Déploiement d'applications.

Structure du réseau

Ce schéma indique les détails du réseau et du sous-réseau à l'intérieur de chaque projet. Il permet de documenter les flux de données entre les projets, ainsi qu'à l'intérieur et à l'extérieur de la limite CDE.

Structure du réseau.

Trafic chiffré

Ce schéma illustre le trafic chiffré entrant et sortant de la limite PCI :

  1. Le trafic chiffré par TLS (HTTPS) provenant de l'extérieur du VPC est envoyé à l'équilibreur de charge public du champ d'application.
  2. Le trafic chiffré par TLS reliant les nœuds de cluster Kubernetes situés dans le champ d'application et le cluster situé en dehors du champ d'application est dirigé vers les équilibreurs de charge internes.
  3. Le trafic provenant des équilibreurs de charge internes et transmis au cluster situé en dehors du champ d'application est chiffré avec mTLS à l'aide d'Istio.
  4. La communication au sein de chaque cluster est chiffrée avec mTLS à l'aide d'Istio.

Trafic chiffré.

Mappage de conformité

Le plan décrit dans ce document répond à une série d'exigences de conformité avec la norme PCI DSS. Le tableau de cette section met en évidence certaines de ces exigences.

Les éléments du tableau suivant ne répondent pas à toutes les exigences. La conformité avec certaines exigences est assurée par l'infrastructure Google Cloud dans le cadre de la responsabilité partagée entre vous et Google. Il vous incombe de respecter les autres exigences. Pour une explication détaillée du modèle de responsabilité partagée, consultez la page Découvrir la sécurité des conteneurs : le modèle de responsabilité partagée dans GKE sur le blog Google Cloud.

Les chiffres entre parenthèses font référence aux sections du document "Industrie des cartes de paiement (PCI) – Norme de sécurité des données". Vous pouvez télécharger le document à partir de la bibliothèque de documents du site Web du PCI Security Standards Council.

Exigence Section Description
Mettre en œuvre la segmentation et la protection à l'intérieur des limites 1.3.2, 1.3.4 Ce plan permet de mettre en œuvre une segmentation logique en utilisant les projets Google Cloud. La segmentation permet de créer une limite pour l'évaluation PCI. Ce plan exécute Istio sur Google Kubernetes Engine en tant que module complémentaire, qui permet de créer un maillage de services autour du cluster GKE incluant tous les composants nécessaires. Le plan crée également un périmètre de sécurité VPC autour de tous les projets Google Cloud concernés par la norme PCI.
Configurer l'accès de moindre privilège aux ressources Google Cloud 7.1, 7.2 Ce plan permet de mettre en œuvre un contrôle d'accès basé sur les rôles pour gérer l'accès aux ressources Google Cloud. Le plan met également en œuvre des contrôles d'accès spécifiques à GKE, tels que le contrôle d'accès basé sur les rôles (RBAC) et les espaces de noms, afin de restreindre l'accès aux ressources du cluster.
Définir des règles au niveau de l'organisation   Avec ce plan, vous définissez des règles qui s'appliquent à la ressource Organisation de Google Cloud, dont les suivantes :
Appliquer la séparation des tâches via un VPC partagé 7.1.2, 7.1.3 Ce plan utilise un VPC partagé pour la connectivité et le contrôle du réseau compartimenté afin d'appliquer la séparation des tâches.
Renforcer la sécurité d'un cluster 2.2, 2.2.5 Les clusters GKE de ce plan sont renforcés comme décrit dans le guide Renforcer la sécurité d'un cluster.

Cette liste n'est qu'un sous-ensemble des contrôles de sécurité mis en œuvre dans ce plan pouvant répondre aux exigences de la norme PCI DSS. Vous trouverez la liste complète des exigences couvertes dans le document PCI DSS Requirements (Exigences PCI DSS) disponible au format PDF sur GitHub.

Éléments déployables

Le dépôt PCI and GKE Blueprint sur GitHub contient un ensemble de configurations et de scripts Terraform qui montrent comment amorcer un environnement PCI dans Google Cloud. Le projet PCI sur GKE présente également les services, les outils et les projets Google Cloud utiles pour démarrer votre propre environnement PCI Google Cloud.

Questions fréquentes

Ressources