El plano de PCI en Google Kubernetes Engine contiene un conjunto de opciones de configuración y secuencias de comandos de Terraform que muestran cómo iniciar un entorno de PCI en Google Cloud. El núcleo de este plano es la aplicación Online Boutique, en la que los usuarios pueden explorar artículos, agregarlos al carrito y comprarlos.
Este blueprint se desarrolló para la versión 3.2.1 de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). El plano te permite implementar cargas de trabajo en GKE que se alinean con PCI DSS de manera repetible, asistida y segura.
Arquitectura
Descripción general del proyecto
En este blueprint, se inicia un entorno de datos de titular de tarjeta (CDE) en Google Cloud que contiene la siguiente jerarquía de recursos:
- Un recurso de organización
- Un recurso de carpeta que proporciona un mecanismo de agrupación y límites de aislamiento entre proyectos
Recursos de proyecto. Implementarás los siguientes proyectos de Google Cloud :
- Red: El proyecto host de la VPC compartida.
- Administración: Un proyecto que contendrá la infraestructura de registro y supervisión, como Cloud Logging.
- Dentro del alcance: Un proyecto que contiene los recursos dentro del alcance. En esta solución, el proyecto consta de un clúster de GKE diseñado para ejecutar las aplicaciones dentro del alcance. En el ejemplo, esto incluye los servicios de frontend, pago y confirmación de la compra.
- Fuera del alcance: Un proyecto que contiene los recursos fuera del alcance. En esta solución, es un clúster de GKE diseñado para ejecutar el resto de los servicios.
Aplicación y proyectos
En el siguiente diagrama, se ilustra el límite de CDE en Google Cloud y qué proyectos están dentro del alcance de tu evaluación de PCI de la aplicación de demostración de microservicios. A medida que compiles tu entorno, usarás una ilustración como esta para comunicar Google Cloud qué recursos entran y salen de tu límite de PCI.
En la ruta etiquetada como 1, se muestran los datos de registro de los clústeres de Kubernetes que van a Cloud Logging.
Diseño de red
En este diagrama, se ilustran los detalles de la red y la subred de cada proyecto. También se muestran los flujos de datos entre proyectos y también hacia y desde el límite de CDE.
Tráfico encriptado
En este diagrama, se ilustra el tráfico encriptado que entra y sale del límite de PCI:
- El tráfico encriptado con TLS (HTTPS) desde fuera de la VPC va al balanceador de cargas público dentro del alcance.
- El tráfico encriptado con TLS entre los nodos del clúster de Kubernetes dentro del alcance y hacia el clúster que está fuera de este se dirige a balanceadores de cargas internos.
- El tráfico desde los balanceadores de cargas internos hacia el clúster fuera del alcance se encripta con mTLS mediante Istio.
- La comunicación dentro de cada clúster se encripta con mTLS mediante Istio.
Mapeo de cumplimiento
En el plano que se describe en este documento, se aborda una serie de requisitos de cumplimiento de PCI DSS. En la tabla de esta sección, se destacan algunos de ellos.
Los elementos de la siguiente tabla no abordan todos los requisitos. La infraestructura de Google Cloud cumple con algunos requisitos como parte de la responsabilidad compartida entre tú y Google. Debes implementar el cumplimiento de los otros requisitos. Para obtener una explicación detallada del modelo de responsabilidad compartida, consulta Exploring container security: the shared responsibility model in GKE en el Google Cloud blog.
Los números entre paréntesis se refieren a las secciones del documento de las Normas de seguridad de datos de la industria de tarjetas de pago (PCI). Puedes descargar el documento de la biblioteca de documentos del sitio web del Consejo sobre normas de seguridad de PCI.
| Requisito | Sección | Descripción |
|---|---|---|
| Implementar la segmentación y la protección de límites | 1.3.2, 1.3.4 | Este plano te ayuda a implementar una segmentación lógica con proyectos de Google Cloud . Esta segmentación te permite crear un límite para tu evaluación de PCI. Este blueprint ejecuta Istio en Google Kubernetes Engine como un complemento que te permite crear una malla de servicios alrededor del clúster de GKE con todos los componentes necesarios. El plano también crea un perímetro de seguridad con VPC alrededor de todos los proyectos de Google Cloud que están dentro del alcance de PCI. |
| Configura el acceso con privilegios mínimos a los recursos de Google Cloud | 7.1, 7.2 | Este plano te ayuda a implementar un control de acceso basado en roles para administrar quién tiene acceso a los recursos de Google Cloud . El blueprint también implementa controles de acceso específicos de GKE, como control de acceso basado en funciones (RBAC) y espacios de nombres, para restringir el acceso a los recursos del clúster. |
| Establecer políticas a nivel de la organización |
Con este plano, puedes establecer políticas que se apliquen a tu recurso de
organización de Google Cloud, como las que se muestran a continuación:
|
|
| Aplicar la separación de obligaciones mediante una VPC compartida | 7.1.2, 7.1.3 | Este plano utiliza la VPC compartida para la conectividad y el control de red segregado a fin de aplicar la separación de obligaciones. |
| Endurecer la seguridad del clúster | 2.2, 2.2.5 | Los clústeres de GKE de este plano se endurecen como se describe en la guía de protección de GKE. |
Esta lista es solo un subconjunto de los controles de seguridad implementados en este plano que pueden cumplir con los requisitos de PCI DSS. Puedes encontrar una lista completa de los requisitos que se abordan en el documento PCI DSS Requirements (Requisitos de PCI DSS) (PDF) en GitHub.
Elementos implementables
El repositorio PCI and GKE Blueprint de GitHub contiene un conjunto de opciones de configuración y secuencias de comandos de Terraform que muestran cómo iniciar un entorno PCI en Google Cloud. El proyecto de PCI en GKE también muestra Google Cloud servicios, herramientas y proyectos que son útiles para iniciar tu propio Google Cloud entorno de PCI.
Preguntas frecuentes
Recursos
- Cumplimiento de las PCI DSS en Google Cloud. Esta guía te ayuda a abordar inquietudes específicas de las aplicaciones de Google Kubernetes Engine (GKE) cuando implementes las responsabilidades del cliente para los requisitos de PCI DSS.