Questa pagina è stata tradotta dall'API Cloud Translation.

Progetto di sicurezza: PCI su GKE

Last reviewed 2023-12-06 UTC

Il progetto base PCI su Google Kubernetes Engine contiene un set di configurazioni e script Terraform che dimostrano come eseguire il bootstrap di un ambiente PCI in Google Cloud. Il cuore di questo progetto è l'applicazione Online Boutique, che consente agli utenti di sfogliare gli articoli, aggiungerli al carrello e acquistarli.

Questo progetto è stato sviluppato per lo standard Payment Card Industry Data Security Standard (PCI DSS) versione 3.2.1. Il progetto base consente di eseguire il deployment su GKE di carichi di lavoro allineati con PCI DSS in modo ripetibile, supportato e sicuro.

Architettura
Mappatura della conformità
Asset di cui è possibile eseguire il deployment
Domande frequenti
Risorse

Architettura

Panoramica del progetto

In questo progetto, esegui il bootstrap di un ambiente dei dati dei titolari di carte (CDE) in Google Cloud che contiene la seguente gerarchia di risorse:

Una risorsa organizzativa.
Una risorsa Cartella. Le risorse cartella forniscono un meccanismo di raggruppamento e limiti di isolamento tra i progetti.
Risorse del progetto. Esegui il deployment dei seguenti progetti Google Cloud:
- Rete: progetto host per il VPC condiviso.
- Gestione: un progetto che conterrà l'infrastruttura di logging e monitoraggio, come Cloud Logging.
- In ambito: un progetto che contiene le risorse nell'ambito. In questa soluzione, il progetto è costituito da un cluster GKE progettato per eseguire le applicazioni nell'ambito. Nell'esempio sono inclusi i servizi di frontend, pagamento e pagamento.
- Fuori ambito: un progetto che contiene le risorse fuori ambito. La soluzione include un cluster GKE progettato per eseguire il resto dei servizi.

Panoramica del progetto.

Applicazione e progetti

Il seguente diagramma illustra il confine CDE su Google Cloud e i progetti che rientrano nell'ambito della valutazione PCI dell'applicazione Demo dei microservizi. Durante la creazione dell'ambiente, un'illustrazione come questa viene utilizzata per comunicare a Google Cloud le risorse in entrata e in uscita dai confini PCI.

Il percorso con etichetta 1 mostra i dati di log dai cluster Kubernetes che passano a Cloud Logging.

per il deployment dell'applicazione.

Layout di rete

Questo diagramma illustra i dettagli della rete e della subnet all'interno di ciascun progetto. Documenta i flussi di dati tra i progetti e in entrata e in uscita dal confine CDE.

Layout di rete.

Traffico criptato

Questo diagramma illustra il traffico criptato in entrata e in uscita dal confine PCI:

Il traffico criptato con TLS (HTTPS) dall'esterno del VPC va al bilanciatore del carico pubblico nell'ambito.
Il traffico criptato con TLS tra i nodi del cluster Kubernetes all'interno dell'ambito e il cluster fuori ambito va ai bilanciatori del carico interni.
Il traffico dai bilanciatori del carico interni al cluster fuori ambito viene criptato con mTLS utilizzando Istio.
Le comunicazioni all'interno di ogni cluster sono criptate con mTLS utilizzando Istio.

Traffico criptato.

Mappatura della conformità

Il progetto descritto in questo documento soddisfa una serie di requisiti di conformità PCI DSS. La tabella in questa sezione evidenzia alcuni di questi requisiti.

Gli elementi nella tabella seguente non soddisfano tutti i requisiti; la conformità ad alcuni requisiti è soddisfatta dall'infrastruttura di Google Cloud nell'ambito della responsabilità condivisa tra te e Google. La conformità ad altri requisiti deve essere implementata da te. Per una spiegazione dettagliata del modello di responsabilità condivisa, consulta Esplorazione della sicurezza dei container: il modello di responsabilità condivisa in GKE nel blog di Google Cloud.

I numeri tra parentesi si riferiscono alle sezioni del documento sullo standard di sicurezza dei dati PCI (Payment Card Industry). Puoi scaricare il documento dalla raccolta di documenti del sito web del PCI Security Standards Council.

Requisito	Sezione	Descrizione
Implementare la segmentazione e la protezione dei confini	1.3.2, 1.3.4	Questo progetto aiuta a implementare una segmentazione logica utilizzando i progetti Google Cloud. La segmentazione consente di creare un confine per la valutazione PCI. Questo progetto esegue Istio su Google Kubernetes Engine come componente aggiuntivo che consente di creare un mesh di servizi attorno al cluster GKE che include tutti i componenti di cui hai bisogno. Il progetto crea anche un perimetro di sicurezza utilizzando VPC per tutti i progetti Google Cloud che rientrano nell'ambito dello standard PCI.
Configurare l'accesso con privilegi minimi alle risorse Google Cloud	7,1, 7,2	Questo progetto è utile per implementare controllo dell'accesso basato sui ruoli per gestire chi ha accesso alle risorse Google Cloud. Il progetto implementa anche controlli dell'accesso specifici di GKE come il controllo dell'accesso basato sui ruoli (RBAC) e gli spazi dei nomi per limitare l'accesso alle risorse del cluster.
Stabilire criteri a livello di organizzazione		Con questo progetto base, stabilisci i criteri che si applicano alla tua risorsa Organizzazione di Google Cloud, come i seguenti: Nessun indirizzo IP esterno Condivisione limitata per il dominio Immagini attendibili
Imporre la separazione dei compiti tramite il VPC condiviso	7.1.2, 7.1.3	Questo progetto utilizza un VPC condiviso per la connettività e il controllo di rete separato per applicare la separazione dei compiti.
Rafforza la sicurezza del tuo cluster	2,2, 2.2.5	I cluster GKE in questo progetto sono protetti come descritto nella guida alla protezione avanzata di GKE.

L'elenco è solo un sottoinsieme dei controlli di sicurezza implementati in questo progetto in grado di soddisfare i requisiti PCI DSS. Puoi trovare un elenco completo di questi requisiti affrontati nel documento sui requisiti PCI DSS (PDF) su GitHub.

Asset di cui è possibile eseguire il deployment

Il repository PCI and GKE Blueprint su GitHub contiene un set di configurazioni e script Terraform che mostrano come eseguire il bootstrap di un ambiente PCI in Google Cloud. Il progetto PCI su GKE presenta anche servizi, strumenti e progetti Google Cloud utili per avviare il tuo ambiente PCI Google Cloud.

Domande frequenti

Come si usa questo progetto?

Il progetto base PCI su GKE fornisce informazioni e istruzioni prescrittive per la creazione o la migrazione di carichi di lavoro su GKE in linea con i requisiti di conformità PCI.

Il progetto è composto dai seguenti elementi:

Una guida all'implementazione
Architetture di riferimento
Script Terraform che implementano l'Infrastructure as Code (IaC)
Un'applicazione demo
Mappature conformità PCI

Ti consigliamo di leggere attentamente la guida all'implementazione e di esaminare le architetture di riferimento prima di eseguire il deployment dell'ambiente PCI utilizzando Terraform. Abbiamo fornito un'applicazione di e-commerce demo di cui puoi eseguire il deployment per testare l'ambiente di progetto PCI.

È l'unico modo per eseguire carichi di lavoro conformi allo standard PCI su Google Cloud?

No. PCI DSS è un insieme di standard di sicurezza e esistono molti modi per interpretare e implementare i controlli in modo da soddisfare gli standard. Questo progetto è concepito come un insieme di best practice e suggerimenti per supportare la tua conformità PCI DSS.

Questo progetto include le best practice per la conformità PCI per Google Distributed Cloud?

Sebbene alcune delle indicazioni fornite in questo progetto siano applicabili a GKE Enterprise, l'attenzione è concentrata su Google Kubernetes Engine (GKE) in esecuzione su Google Cloud.

Avete un elenco dei requisiti PCI che questo progetto può aiutare a soddisfare?

Questo progetto soddisfa una serie di requisiti di conformità PCI DSS. Puoi trovare un elenco completo di questi requisiti nel documento sui requisiti PCI DSS (PDF) su GitHub. Questo elenco soddisfa solo i requisiti di conformità PCI supportati dall'infrastruttura Google Cloud nell'ambito della responsabilità condivisa tra te e Google. Tieni presente che l'implementazione di eventuali controlli di conformità PCI è esclusiva responsabilità del cliente, pertanto devi valutare personalmente la conformità PCI della tua organizzazione. Per maggiori informazioni sul modello di responsabilità condivisa, consulta Esplorazione della sicurezza dei container: il modello di responsabilità condivisa in GKE sul blog di Google Cloud.

Quali servizi sono supportati dalle indicazioni di questo progetto?

Per un elenco completo dei servizi supportati, consulta la parte superiore del file README nel repository PCI su GKE su GitHub.

Accetti contributi al repository PCI su GKE su GitHub?

Sì. Puoi inviare una richiesta di pull o creare un fork del repository.

Risorse

Conformità PCI DSS su Google Cloud. Questa guida ti aiuta a risolvere i problemi specifici delle applicazioni Google Kubernetes Engine (GKE) quando implementi le responsabilità del cliente per i requisiti PCI DSS.