本頁面由 Cloud Translation API 翻譯而成。

安全性藍圖：PCI on GKE

PCI on Google Kubernetes Engine 藍圖包含一系列 Terraform 設定與指令碼，說明如何在 Google Cloud中啟動 PCI 環境。這項藍圖的核心是「Online Boutique」應用程式，使用者可以在其中瀏覽商品、將商品加入購物車並購買。

這份藍圖是為支付卡產業資料安全標準 (PCI DSS) 3.2.1 版所制定。有了這份藍圖，您就能輕鬆快速地在 GKE 部署符合 PCI DSS 的工作負載，並確保這些工作負載安全無虞、可重複使用且受到系統支援。

架構
法規遵循對應
可部署的資產
常見問題
資源

架構

專案總覽

在本藍圖中，您會在 Google Cloud 中啟動持卡人資料環境 (CDE)，其中包含下列資源階層：

機構資源。
資料夾資源。資料夾資源提供分組機制，可為專案劃定明確的分界。
專案資源。部署下列 Google Cloud 專案：
- 網路：共用虛擬私有雲的主專案。
- 管理：這個專案會保留記錄和監控基礎架構，例如 Cloud Logging。
- 適用範圍：包含適用範圍內資源的專案。在這項解決方案中，專案包含一個 GKE 叢集，用於執行適用範圍內的應用程式。以這個範例來說，這包括前端、付款和結帳服務。
- 超出範圍：包含超出範圍資源的專案。在解決方案中，這是專為執行其餘服務而設計的 GKE 叢集。

專案總覽。

應用程式和專案

下圖說明 Google Cloud 上的 CDE 邊界，以及哪些專案屬於微服務示範應用程式 PCI 評估的範圍。建構環境時，您可以使用類似下方的插圖，說明 PCI 邊界內外的資源。 Google Cloud

標示 1 的路徑顯示 Kubernetes 叢集的記錄資料會傳送至 Cloud Logging。

應用程式部署。

網路配置

本圖表說明每個專案中的網路和子網路詳細資料。這份文件會記錄專案間的資料流，以及資料流入和流出 CDE 邊界的情況。

網路配置。

加密流量

下圖說明進出 PCI 邊界的加密流量：

來自虛擬私有雲外部的 TLS 加密 (HTTPS) 流量會傳送至範圍內的公開負載平衡器。
範圍內 Kubernetes 叢集節點與範圍外叢集之間的 TLS 加密流量會傳送至內部負載平衡器。
從內部負載平衡器到超出範圍叢集的流量，會使用 Istio 以 mTLS 加密。
每個叢集內的通訊都會使用 Istio 的 mTLS 加密。

加密流量。

法規遵循對應

本文所述的藍圖可滿足一系列 PCI DSS 法規遵循要求。本節的表格將列出部分需求。

下表中的項目並未涵蓋所有規定；部分規定是由 Google Cloud 基礎架構負責遵守，這是您和 Google 共同責任的一部分。您必須自行確保符合其他規定。如要詳細瞭解共同責任模式，請參閱探索容器安全性：GKE 的共同責任模式 Google Cloud 網誌文章。

括號中的數字是指支付卡產業 (PCI) 資料安全標準文件中的章節。您可以從 PCI 安全標準委員會網站的文件庫下載這份文件。

需求	區段	說明
實作區隔和邊界防護	1.3.2、1.3.4	這份藍圖可協助您使用 Google Cloud 專案實作邏輯區隔，以便為 PCI 評估建立界線。這個藍圖會以外掛程式的形式，在 Google Kubernetes Engine 上執行 Istio，讓您在 GKE 叢集周圍建立服務網格，其中包含所有必要元件。藍圖也會使用 VPC，在所有 PCI 適用範圍內的 Google Cloud 專案周圍建立安全範圍。
設定資源的最低權限存取權 Google Cloud	7.1、7.2	這個藍圖可協助您導入角色式存取權控管機制，管理哪些人有權存取 Google Cloud 資源。此外，藍圖也會實作 GKE 專屬的存取權控管機制，例如角色型存取權控管 (RBAC) 和命名空間，限制叢集資源的存取權。
建立機構層級政策		透過這個藍圖，您可以建立套用至 Google Cloud 機構資源的政策，例如：沒有外部 IP 位址網域限定共用受信任的映像檔
透過共用虛擬私有雲強制執行職責分離	7.1.2、7.1.3	本藍圖使用共用虛擬私有雲進行連線，並採用隔離式網路控制，以強制執行職責分離。
強化叢集安全性	2.2、2.2.5	本藍圖中的 GKE 叢集會按照 GKE 強化指南所述方式強化。

這份清單只是本藍圖中實作的安全控管措施子集，可滿足 PCI DSS 規範。如要查看這些規定的完整清單，請參閱 GitHub 上的「PCI DSS Requirements」(PDF) 文件。

可部署的資產

GitHub 上的 PCI 和 GKE 藍圖存放區包含一組 Terraform 設定和指令碼，說明如何在 Google Cloud中啟動 PCI 環境。GKE 專案的 PCI 也會展示有助於啟動自家 PCI 環境的 Google Cloud 服務、工具和專案 Google Cloud 。

常見問題

如何使用這份藍圖？

GKE 的 PCI 藍圖提供指引資訊和操作說明，可協助您在 GKE 上建立或遷移符合 PCI 法規遵循規定的工作負載。

藍圖包含下列元素：

導入指南
參考架構
Terraform 指令碼，可實作基礎架構即程式碼 (IaC)
示範應用程式
PCI 法規遵循對應說明

建議您先詳閱導入指南並查看參考架構，再使用 Terraform 部署 PCI 環境。我們提供電子商務應用程式的示範版本，您可以部署該應用程式，測試 PCI 藍圖環境。

這是唯一能在 Google Cloud上執行符合 PCI 規範工作負載的方法嗎？

否。PCI DSS 是一套安全標準，有許多方式可解讀及實作控管措施，以符合標準。這份藍圖提供一系列最佳做法和建議，協助您遵守 PCI DSS 規範。

這個藍圖是否包含 Google Distributed Cloud 的 PCI 法規遵循最佳做法？

雖然本藍圖中的部分指引適用於 Google Distributed Cloud，但重點是執行於 Google Cloud的 Google Kubernetes Engine (GKE)。

您是否擁有 PCI 要求清單，可透過這項藍圖滿足相關需求？

這份藍圖涵蓋一系列 PCI DSS 法規遵循要求。如需這些規定的完整清單，請參閱 GitHub 上的 PCI DSS 規定文件 (PDF)。這份清單僅列出 Google Cloud 基礎架構支援的 PCI 法規遵循要求，這些要求是您與 Google 共同責任的一部分。請注意，客戶必須全權負責導入任何 PCI 法規遵循控制項，並自行評估貴機構的 PCI 法規遵循情況。如要進一步瞭解共同責任模式，請參閱 Google Cloud 網誌上的「探索容器安全性：GKE 的共同責任模式」。

本藍圖中的指引支援哪些服務？

如要查看支援服務的完整清單，請參閱 GitHub 上 GKE 存放區中 PCI 的 README 檔案頂端。

您是否接受在 GitHub 上的 GKE 存放區中，對 PCI 做出貢獻？

可以。您可以提交提取要求，或將存放區分叉。

資源

PCI DSS 法規遵循 Google Cloud。本指南可在您履行 PCI DSS 所要求的客戶責任時，幫助您解決 Google Kubernetes Engine (GKE) 應用程式專有的問題。