Questa pagina è stata tradotta dall'API Cloud Translation.

Progetto di sicurezza: PCI su GKE

Il progetto di sicurezza PCI su Google Kubernetes Engine contiene un insieme di configurazioni e script Terraform che dimostrano come eseguire il bootstrap di un ambiente PCI in Google Cloud. Il fulcro di questo progetto è l'applicazione Online Boutique, in cui gli utenti possono sfogliare gli articoli, aggiungerli al carrello e acquistarli.

Questo progetto è stato sviluppato per la versione 3.2.1 dello standard PCI DSS (Payment Card Industry Data Security Standard). Il progetto ti consente di eseguire il deployment di carichi di lavoro su GKE conformi allo standard PCI DSS in modo ripetibile, supportato e sicuro.

Architettura
Mappatura della conformità
Asset di cui è possibile eseguire il deployment
Domande frequenti
Risorse

Architettura

Panoramica del progetto

In questo progetto, esegui il bootstrap di un ambiente di dati dei titolari delle carte (CDE) in Google Cloud che contiene la seguente gerarchia di risorse:

Una risorsa organizzativa.
Una risorsa cartella. Le risorse delle cartelle forniscono un meccanismo di raggruppamento e limiti di isolamento tra i progetti.
Progetto risorse. Esegui il deployment dei seguenti progetti Google Cloud :
- Rete: il progetto host per il VPC condiviso.
- Gestione: un progetto che conterrà l'infrastruttura di logging e monitoraggio, come Cloud Logging.
- In ambito: un progetto che contiene le risorse in ambito. In questa soluzione, il progetto è costituito da un cluster GKE progettato per eseguire le applicazioni incluse nell'ambito. Nell'esempio, sono inclusi i servizi Frontend, Payment e Checkout.
- Al di fuori dell'ambito: un progetto che contiene le risorse al di fuori dell'ambito. Nella soluzione, si tratta di un cluster GKE progettato per eseguire il resto dei servizi.

Panoramica del progetto.

Applicazione e progetti

Il seguente diagramma illustra il limite del CDE su Google Cloud e quali progetti rientrano nell'ambito della valutazione PCI dell'applicazione demo Microservices. Man mano che crei il tuo ambiente, utilizzi un'illustrazione come questa per comunicare Google Cloud informazioni sulle risorse all'interno e all'esterno del tuo perimetro PCI.

Il percorso etichettato 1 mostra i dati di log dei cluster Kubernetes che vanno a Cloud Logging.

Deployment dell'applicazione.

Layout di rete

Questo diagramma mostra i dettagli della rete e della subnet all'interno di ciascun progetto. Documenta i flussi di dati tra i progetti e all'interno e all'esterno del limite del CDE.

Layout di rete.

Traffico criptato

Questo diagramma mostra il traffico criptato in entrata e in uscita dal perimetro PCI:

Il traffico criptato con TLS (HTTPS) proveniente dall'esterno del VPC viene indirizzato al bilanciatore del carico pubblico nell'ambito.
Il traffico criptato con TLS tra i nodi del cluster Kubernetes inclusi nell'ambito e il cluster esterno all'ambito viene inviato ai bilanciatori del carico interni.
Il traffico dai bilanciatori del carico interni al cluster non incluso nell'ambito viene criptato con mTLS utilizzando Istio.
La comunicazione all'interno di ogni cluster viene criptata con mTLS utilizzando Istio.

Traffico criptato.

Mappatura della conformità

Il progetto descritto in questo documento soddisfa una serie di requisiti di conformità PCI DSS. La tabella in questa sezione evidenzia alcuni di questi requisiti.

Gli elementi nella tabella seguente non soddisfano tutti i requisiti; la conformità ad alcuni requisiti è garantita dall'infrastruttura Google Cloud nell'ambito della responsabilità condivisa tra te e Google. La conformità ad altri requisiti deve essere implementata da te. Per una spiegazione dettagliata del modello di responsabilità condivisa, consulta l'articolo Exploring container security: the shared responsibility model in GKE sul blog Google Cloud .

I numeri tra parentesi si riferiscono alle sezioni del documento Payment Card Industry (PCI) Data Security Standard. Puoi scaricare il documento dalla libreria di documenti del sito web del PCI Security Standards Council.

Requisito	Sezione	Descrizione
Implementare la segmentazione e la protezione dei confini	1.3.2, 1.3.4	Questo progetto ti aiuta a implementare una segmentazione logica utilizzando Google Cloud progetti; la segmentazione ti consente di creare un confine per la valutazione PCI. Questo blueprint esegue Istio su Google Kubernetes Engine come componente aggiuntivo che ti consente di creare una mesh di servizi intorno al cluster GKE che include tutti i componenti necessari. Il blueprint crea anche un perimetro di sicurezza utilizzando VPC intorno a tutti i progetti Google Cloud che rientrano nell'ambito del PCI.
Configurare l'accesso con privilegi minimi alle risorse Google Cloud	7.1, 7.2	Questo blueprint ti aiuta a implementare il controllo dell'accesso basato sui ruoli per gestire chi ha accesso alle risorse Google Cloud . Il blueprint implementa anche controlli dell'accesso specifici di GKE, come controllo dell'accesso basato sui ruoli (RBAC) e gli spazi dei nomi per limitare l'accesso alle risorse del cluster.
Stabilire criteri a livello di organizzazione		Con questo blueprint, stabilisci policy che si applicano alla tua Google Cloud organizzazione, ad esempio le seguenti: Nessun indirizzo IP esterno Condivisione limitata dei domini Immagini attendibili
Applicare la separazione dei compiti tramite VPC condiviso	7.1.2, 7.1.3	Questo blueprint utilizza il VPC condiviso per la connettività e il controllo di rete segregato per applicare la separazione dei compiti.
Rafforzare la sicurezza del cluster	2.2, 2.2.5	I cluster GKE in questo blueprint sono protetti come descritto nella guida alla protezione di GKE.

Questo elenco è solo un sottoinsieme dei controlli di sicurezza implementati in questo blueprint che possono soddisfare i requisiti PCI DSS. Puoi trovare un elenco completo di questi requisiti trattati nel documento PCI DSS Requirements (PDF) su GitHub.

Asset di cui è possibile eseguire il deployment

Il repository PCI and GKE Blueprint su GitHub contiene un insieme di configurazioni e script Terraform che mostrano come eseguire il bootstrap di un ambiente PCI in Google Cloud. Il progetto PCI su GKE mostra anche Google Cloud servizi, strumenti e progetti utili per iniziare a creare il tuo ambiente Google Cloud PCI.

Domande frequenti

Come si usa questo modello?

Il progetto PCI su GKE fornisce informazioni e istruzioni prescrittive per la creazione o la migrazione di carichi di lavoro su GKE conformi ai requisiti di conformità PCI.

Il progetto è costituito dai seguenti elementi:

Una guida all'implementazione
Architetture di riferimento
Script Terraform che implementano Infrastructure as Code (IaC)
Un'applicazione demo
Mappature della conformità PCI

Ti consigliamo di leggere la guida all'implementazione e di esaminare le architetture di riferimento prima di eseguire il deployment dell'ambiente PCI utilizzando Terraform. Abbiamo fornito un'applicazione e-commerce demo che puoi implementare per testare l'ambiente del progetto PCI.

È l'unico modo per eseguire carichi di lavoro conformi allo standard PCI su Google Cloud?

No. PCI DSS è un insieme di standard di sicurezza e ci sono molti modi per interpretare e implementare i controlli per soddisfare gli standard. Questo blueprint è progettato come un insieme di best practice e consigli per supportare la tua conformità PCI DSS.

Questo blueprint include le best practice per la conformità PCI per Google Distributed Cloud?

Sebbene alcune indicazioni di questo progetto siano applicabili a Google Distributed Cloud, l'attenzione è rivolta a Google Kubernetes Engine (GKE) in esecuzione su Google Cloud.

Hai un elenco di requisiti PCI che questo progetto può contribuire a soddisfare?

Questo progetto affronta una serie di requisiti di conformità PCI DSS. Puoi trovare un elenco completo di questi requisiti nel documento Requisiti PCI DSS (PDF) su GitHub. Questo elenco riguarda solo i requisiti di conformità PCI supportati dall'infrastruttura Google Cloud nell'ambito della responsabilità condivisa tra te e Google. Tieni presente che l'implementazione di qualsiasi controllo di conformità PCI è di esclusiva responsabilità del cliente e devi condurre la tua valutazione della conformità PCI della tua organizzazione. Per saperne di più sul modello di responsabilità condivisa, consulta Exploring container security: the shared responsibility model in GKE sul Google Cloud blog.

Quali servizi sono supportati dalle indicazioni di questo progetto?

Per un elenco completo dei servizi supportati, consulta la parte superiore del file README nel repository PCI su GKE su GitHub.

Accettate contributi al repository PCI su GKE su GitHub?

Sì. Puoi inviare una richiesta di pull o creare un fork del repository.

Risorse

Conformità PCI DSS su Google Cloud. Questa guida ti aiuta a risolvere i problemi specifici delle applicazioni Google Kubernetes Engine (GKE) quando implementi le responsabilità del cliente per i requisiti PCI DSS.