Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Progetto di sicurezza: PCI su GKE

Last reviewed 2025-03-12 UTC

Il progetto di sicurezza PCI su Google Kubernetes Engine contiene un insieme di configurazioni e script Terraform che dimostrano come eseguire il bootstrap di un ambiente PCI in Google Cloud. Il cuore di questo progetto è l' Online Boutique applicazione, in cui gli utenti possono sfogliare gli articoli, aggiungerli al carrello e acquistare li.

Questo progetto è stato sviluppato per Payment Card Industry Data Security Standard (PCI DSS) versione 3.2.1. Il progetto ti permette di eseguire il deployment di carichi di lavoro su GKE conformi allo standard PCI DSS in modo ripetibile, supportato e sicuro.

Architettura
Mappatura della conformità
Asset di cui è possibile eseguire il deployment
Domande frequenti
Risorse

Architettura

Panoramica del progetto

In questo progetto, esegui il bootstrap di un ambiente dati del titolare della carta (CDE) in Google Cloud che contiene la seguente gerarchia di risorse:

Una organizzazione risorsa.
Una risorsa cartella. Le risorse cartella forniscono un meccanismo di raggruppamento e limiti di isolamento tra i progetti.
Risorse del progetto. Esegui il deployment dei seguenti Google Cloud progetti:
- Rete: il progetto host per il VPC condiviso.
- Gestione: un progetto che conterrà l'infrastruttura di logging e monitoraggio, ad esempio Cloud Logging.
- Nell'ambito: un progetto che contiene le risorse nell'ambito. In questa soluzione, il progetto è costituito da un cluster GKE progettato per eseguire le applicazioni nell'ambito. Nell'esempio, sono inclusi i servizi Frontend, Payment e Checkout.
- Fuori ambito: un progetto che contiene le risorse fuori ambito. Nella soluzione, si tratta di un cluster GKE progettato per eseguire il resto dei servizi.

Panoramica del progetto.

Applicazione e progetti

Il seguente diagramma illustra il limite del CDE su Google Cloud e quali progetti rientrano nell'ambito della valutazione PCI dell'applicazione Microservices Demo. Man mano che crei l'ambiente, utilizzi un'illustrazione come questa per comunicare Google Cloud informazioni sulle risorse all'interno e all'esterno di tuo limite PCI.

Il percorso etichettato 1 mostra i dati di log dei cluster Kubernetes che vanno a Cloud Logging.

Deployment dell'applicazione.

Layout di rete

Questo diagramma illustra i dettagli della rete e della subnet all'interno di ogni progetto. Documenta i flussi di dati tra i progetti e all'interno e all'esterno del limite CDE.

Layout di rete.

Traffico criptato

Questo diagramma illustra il traffico criptato che entra ed esce dal limite PCI:

Il traffico criptato con TLS (HTTPS) proveniente dall'esterno del VPC va al bilanciatore del carico pubblico nell'ambito.
Il traffico criptato con TLS tra i nodi del cluster Kubernetes nell'ambito e il cluster fuori ambito va ai bilanciatori del carico interni.
Il traffico dai bilanciatori del carico interni al cluster fuori ambito viene criptato con mTLS utilizzando Istio.
La comunicazione all'interno di ogni cluster viene criptata con mTLS utilizzando Istio.

Traffico criptato.

Mappatura della conformità

Il progetto descritto in questo documento soddisfa una serie di requisiti di conformità PCI DSS. La tabella in questa sezione evidenzia alcuni di questi requisiti.

Gli elementi nella tabella seguente non soddisfano tutti i requisiti; la conformità ad alcuni requisiti è soddisfatta dall' Google Cloud infrastruttura nell'ambito della responsabilità condivisa tra te e Google. La conformità ad altri requisiti deve essere implementata da te. Per una spiegazione dettagliata del modello di responsabilità condivisa, consulta l'articolo Esplorare la sicurezza dei container: il modello di responsabilità condivisa in GKE sul Google Cloud blog.

I numeri tra parentesi si riferiscono alle sezioni del documento Payment Card Industry (PCI) Data Security Standard. Puoi scaricare il documento dalla libreria di documenti del sito web del PCI Security Standards Council.

Requisito	Sezione	Descrizione
Implementare la segmentazione e la protezione dei limiti	1.3.2, 1.3.4	Questo progetto ti aiuta a implementare una segmentazione logica utilizzando i Google Cloud progetti; la segmentazione ti consente di creare un limite per la valutazione PCI. Questo progetto esegue Istio su Google Kubernetes Engine come componente aggiuntivo che ti consente di creare una mesh di servizi intorno al cluster GKE che include tutti i componenti di cui hai bisogno. Il progetto crea anche un perimetro di sicurezza utilizzando VPC intorno a tutti i Google Cloud progetti che rientrano nell'ambito di PCI.
Configurare l'accesso con privilegio minimo alle Google Cloud risorse	7.1, 7.2	Questo progetto ti aiuta a implementare il controllo dell'accesso basato sui ruoli per gestire chi ha accesso alle Google Cloud risorse. Il progetto implementa anche controlli dell'accesso specifici di GKE, come il controllo dell'accesso basato sui ruoli (RBAC) e gli spazi dei nomi per limitare l'accesso alle risorse del cluster.
Stabilire policy a livello di organizzazione		Con questo progetto, puoi stabilire policy che si applicano alla tua Google Cloud risorsa organizzazione, ad esempio: Nessun indirizzo IP esterno Condivisione limitata per i domini Immagini attendibili
Applicare la separazione dei compiti tramite il VPC condiviso	7.1.2, 7.1.3	Questo progetto utilizza il VPC condiviso per la connettività e il controllo di rete segmentato per applicare la separazione dei compiti.
Rafforzare la sicurezza del cluster	2.2, 2.2.5	I cluster GKE in questo progetto sono rafforzati come descritto nella guida al rafforzamento di GKE.

Questo elenco è solo un sottoinsieme dei controlli di sicurezza implementati in questo progetto che possono soddisfare i requisiti PCI DSS. Puoi trovare un elenco completo dei requisiti trattati nel documento PCI DSS Requirements (PDF) su GitHub.

Asset di cui è possibile eseguire il deployment

Il repository PCI and GKE Blueprint su GitHub contiene un insieme di configurazioni e script Terraform che mostrano come eseguire il bootstrap di un ambiente PCI in Google Cloud. Il progetto PCI on GKE mostra anche Google Cloud servizi, strumenti, e progetti utili per avviare il tuo Google Cloud ambiente PCI.

Domande frequenti

Come faccio a utilizzare questo progetto?

Il progetto PCI on GKE fornisce informazioni e istruzioni prescrittive informazioni e istruzioni per la creazione o la migrazione di carichi di lavoro su GKE conformi ai requisiti di conformità PCI.

Il progetto è composto dai seguenti elementi:

Una guida all'implementazione
Architetture di riferimento
Script Terraform che implementano l'infrastruttura come codice (IaC)
Un'applicazione demo
Mappature della conformità PCI

Ti consigliamo di leggere la guida all'implementazione ed esaminare le architetture di riferimento prima di eseguire il deployment dell'ambiente PCI utilizzando Terraform. Abbiamo fornito un'applicazione di e-commerce demo di cui puoi eseguire il deployment per testare l'ambiente del progetto PCI.

È l'unico modo per eseguire carichi di lavoro conformi a PCI su Google Cloud?

No. PCI DSS è un insieme di standard di sicurezza e esistono molti modi per interpretare e implementare i controlli per soddisfare gli standard. Questo progetto è progettato come un insieme di best practice e raccomandazioni per supportare la tua conformità PCI DSS.

Questo progetto include le best practice per la conformità PCI per Google Distributed Cloud?

Sebbene alcune delle indicazioni contenute in questo progetto siano applicabili a Google Distributed Cloud, l'attenzione è rivolta a Google Kubernetes Engine (GKE) in esecuzione su Google Cloud.

Esiste un elenco di requisiti PCI che questo progetto può aiutarti a soddisfare?

Questo progetto soddisfa una serie di requisiti di conformità PCI DSS. Puoi trovare un elenco completo di questi requisiti nel documento PCI DSS Requirements (PDF) su GitHub. Questo elenco riguarda solo i requisiti di conformità PCI supportati dall' Google Cloud infrastruttura nell'ambito della responsabilità condivisa tra te e Google. Tieni presente che l'implementazione di qualsiasi controllo di conformità PCI è di esclusiva responsabilità del cliente e devi condurre la tua valutazione della conformità PCI della tua organizzazione. Per ulteriori informazioni sul modello di responsabilità condivisa, consulta Esplorare la sicurezza dei container: il modello di responsabilità condivisa in GKE sul Google Cloud blog.

Quali servizi sono supportati dalle indicazioni contenute in questo progetto?

Per un elenco completo dei servizi supportati, consulta la parte superiore del README file nel repository PCI on GKE su GitHub.

Accettate contributi al repository PCI on GKE su GitHub?

Sì. Puoi inviare una richiesta di pull o creare un fork del repository.

Risorse

Conformità PCI DSS su Google Cloud. Questa guida ti aiuta a risolvere i problemi specifici delle applicazioni Google Kubernetes Engine (GKE) quando implementi le responsabilità del cliente per i requisiti PCI DSS.