Panduan Konfigurasi PCI untuk Edge Public Cloud

Anda sedang melihat dokumentasi Apigee Edge.
Buka dokumentasi Apigee X.
info

Agar pelanggan mematuhi PCI di Cloud Publik Apigee Edge, ada beberapa tindakan dan proses yang dimiliki pelanggan berdasarkan "Model Tanggung Jawab Bersama". Item berikut harus ditinjau oleh pelanggan yang telah membeli paket kepatuhan PCI dan diwajibkan untuk mematuhi PCI. Item ini bersifat layanan mandiri dalam Edge dan harus ditangani agar organisasi pelanggan (org) mematuhi PCI. Konsep utamanya adalah "Google mengamankan platform, pelanggan mengamankan data mereka".

Matriks Tanggung Jawab Pelanggan

Pelanggan harus merujuk ke Matriks Tanggung Jawab PCI-DSS 3.2.1 Google Apigee dan membagikannya kepada Penilai Keamanan Berkualifikasi PCI saat melakukan audit PCI mereka sendiri.

Pemetaan Persyaratan PCI

Persyaratan PCI Section
Persyaratan 7: Membatasi akses ke data pemegang kartu hanya untuk hal-hal yang perlu diketahui saja

Penggunaan/Otorisasi

Persyaratan 3: Melindungi data pemegang kartu yang tersimpan

Penyamaran data

Persyaratan 10: Melacak dan memantau semua akses ke resource jaringan dan data pemegang kartu

Jejak audit

Persyaratan 8: Tetapkan ID unik untuk setiap orang yang memiliki akses ke komputer

Persyaratan sandi kompleks atau SAML

Persyaratan 11: Menguji sistem dan proses keamanan secara rutin

Pemindaian endpoint

Persyaratan 4: Mengenkripsi transmisi data pemegang kartu di seluruh jaringan publik terbuka

Konfigurasi TLS

Persyaratan 3: Melindungi data pemegang kartu yang tersimpan

Penyimpanan data

Persyaratan 4: Mengenkripsi transmisi data pemegang kartu di seluruh jaringan publik terbuka

Enkripsi data

Untuk mendapatkan Attestation of Compliance (AOC) Standar Keamanan Data PCI, buka tiket dengan Dukungan Apigee atau hubungi tim penjualan Apigee Anda.

Trace / Debug

Trace/Debug adalah alat pemecahan masalah yang memungkinkan pengguna melihat status dan konten panggilan API saat diproses melalui Pemroses Pesan Apigee. Trace dan Debug adalah dua nama untuk layanan yang sama, tetapi diakses melalui mekanisme yang berbeda. Trace adalah nama layanan ini di dalam UI Edge. Debug adalah nama layanan yang sama saat digunakan melalui panggilan API. Penggunaan istilah Trace dalam dokumen ini berlaku untuk Trace dan Debug.

Selama sesi Perekaman Aktivitas, "Penyamarkan Data" diterapkan. Alat ini dapat memblokir data agar tidak ditampilkan selama Perekaman Aktivitas. Lihat bagian Penyamarkan Data di bawah.

Peta Nilai Kunci (KVM) terenkripsi dapat digunakan untuk pelanggan PCI. Jika KVM terenkripsi sedang digunakan, Rekam Aktivitas mungkin masih dapat digunakan, tetapi beberapa variabel tidak akan terlihat di layar tampilan Rekam Aktivitas. Anda dapat mengambil langkah tambahan untuk menampilkan variabel ini selama Pelacakan.

Petunjuk mendetail tentang penggunaan Trace tersedia di Menggunakan alat Trace.

Detail tentang KVM, termasuk KVM terenkripsi, tersedia di Menggunakan peta nilai kunci.

Penggunaan/Otorisasi

Akses ke Trace dikelola melalui sistem RBAC (Kontrol Akses Berbasis Peran) untuk akun pengguna dalam Edge. Petunjuk mendetail tentang cara menggunakan sistem RBAC untuk memberikan dan mencabut hak istimewa Trace tersedia di Menetapkan peran dan Membuat peran kustom di UI. Izin rekaman aktivitas memungkinkan pengguna meluncurkan Rekaman Aktivitas, menghentikan Rekaman Aktivitas, mengakses output dari sesi Rekaman Aktivitas.

Karena Trace memiliki akses ke payload panggilan API (secara resmi disebut "Isi Pesan"), penting untuk mempertimbangkan siapa yang memiliki akses untuk menjalankan Trace. Karena pengelolaan pengguna adalah tanggung jawab pelanggan, pemberian izin Pelacakan juga merupakan tanggung jawab pelanggan. Apigee, sebagai pemilik platform, memiliki kemampuan untuk menambahkan pengguna ke organisasi pelanggan dan menetapkan hak istimewa. Kemampuan ini hanya digunakan atas permintaan dukungan pelanggan dalam situasi saat layanan pelanggan tampaknya gagal dan meninjau sesi Trace diyakini memberikan informasi terbaik tentang akar masalahnya.

Data masking

Penyamaran data mencegah tampilan data sensitif hanya selama sesi Trace/Debug, baik di Trace (UI Edge) maupun di backend oleh Debug (Edge API). Detail tentang cara menyiapkan masking tersedia di Menyamarkan dan menyembunyikan data. Menyamarkan data sensitif adalah bagian dari Persyaratan PCI 3 - Melindungi data pemegang kartu yang disimpan

Penyamaran data TIDAK mencegah data terlihat dalam file log, cache, analisis, dll. Untuk mendapatkan bantuan terkait penyamaran data dalam log, pertimbangkan untuk menambahkan pola ekspresi reguler ke file logback.xml. Data sensitif biasanya tidak boleh ditulis ke cache atau analisis tanpa justifikasi bisnis yang kuat dan peninjauan oleh tim keamanan dan hukum pelanggan.

Cache L1 & L2

Penyimpanan dalam cache tersedia untuk pelanggan PCI hanya untuk digunakan dengan data yang tidak diatur. Cache tidak boleh digunakan untuk Data Pemegang Kartu PCI (CHD); cache tidak disetujui oleh audit Kepatuhan PCI Apigee sebagai lokasi penyimpanan untuk CHD. Sesuai dengan panduan PCI (Persyaratan 3: Melindungi data pemegang kartu yang disimpan) , data PCI hanya boleh disimpan di lokasi yang mematuhi PCI. Penggunaan cache L1 juga akan otomatis menggunakan cache L2. Cache L1 adalah "hanya memori", sedangkan cache L2 menulis data ke disk untuk disinkronkan di beberapa cache L1. Cache L2 adalah yang membuat beberapa Pemroses Pesan tetap sinkron dalam region dan secara global. Saat ini, cache L1 tidak dapat diaktifkan tanpa cache L2 di belakangnya. Cache L2 menulis data ke disk sehingga dapat disinkronkan ke pemroses pesan lain untuk organisasi pelanggan. Karena Cache L2 menulis data ke disk, penggunaan cache untuk CHD atau data terbatas lainnya tidak didukung.

Penggunaan cache oleh pelanggan diizinkan untuk data non-CHD dan data tidak dibatasi lainnya. Kami tidak menonaktifkan cache secara default untuk pelanggan PCI, karena beberapa pelanggan menjalankan panggilan API terkait PCI dan non-PCI melalui satu organisasi. Karena kemampuan ini masih diaktifkan untuk pelanggan PCI, pelanggan bertanggung jawab untuk menggunakan layanan dengan tepat dan melatih pengguna mereka agar tidak menggunakan cache jika data PCI kemungkinan ada dalam panggilan API. Audit Kepatuhan PCI Apigee tidak mendukung CHD yang disimpan di cache.

Petunjuk mendetail tentang cara menggunakan Cache tersedia di Menambahkan caching dan persistensi.

Jejak audit

Pelanggan dapat meninjau jejak audit semua aktivitas administratif yang dilakukan dalam organisasi pelanggan, termasuk penggunaan Trace. Petunjuk mendetail tersedia di sini dan di Menggunakan alat Trace. (Persyaratan PCI 10: Melacak dan memantau semua akses ke resource jaringan dan data pemegang kartu)

Persyaratan sandi kompleks atau SAML

Pelanggan dengan persyaratan sandi tertentu harus menggunakan SAML untuk memenuhi persyaratan masing-masing. Lihat Mengaktifkan Autentikasi SAML untuk Edge. Edge juga menawarkan autentikasi multi-faktor (Persyaratan PCI 8: Tetapkan ID unik untuk setiap orang yang memiliki akses komputer). Lihat Mengaktifkan autentikasi 2 langkah untuk akun Apigee Anda.

Keamanan endpoint

Pemindaian endpoint

Pemindaian dan pengujian host diperlukan untuk kepatuhan PCI (Persyaratan 11: Menguji sistem dan proses keamanan secara rutin). Untuk Edge Cloud, pelanggan bertanggung jawab atas pemindaian dan pengujian endpoint API mereka (terkadang disebut "komponen runtime") di Edge. Pengujian pelanggan harus mencakup layanan proxy API sebenarnya yang dihosting di Edge tempat traffic API dikirim ke Edge sebelum diproses, lalu dikirim ke datacenter pelanggan. Pengujian resource bersama, seperti UI portal pengelolaan, tidak disetujui untuk setiap pelanggan (laporan pihak ketiga yang mencakup pengujian layanan bersama tersedia untuk pelanggan berdasarkan perjanjian kerahasiaan dan atas permintaan).

Pelanggan harus, dan dianjurkan untuk, menguji endpoint API mereka. Perjanjian Anda dengan Apigee tidak melarang pengujian endpoint API, tetapi kami tidak mengizinkan Anda menguji UI pengelolaan bersama. Namun, jika klarifikasi tambahan diperlukan, buka permintaan dukungan yang mereferensikan pengujian yang Anda rencanakan. Notifikasi ke Apigee terlebih dahulu akan sangat membantu agar kami dapat mengetahui traffic pengujian.

Pelanggan yang menguji endpoint mereka harus mencari masalah khusus API, masalah apa pun yang terkait dengan layanan Apigee, dan juga memeriksa TLS dan item lain yang dapat dikonfigurasi. Setiap item yang ditemukan terkait dengan layanan Apigee harus disampaikan kepada Apigee melalui permintaan dukungan.

Sebagian besar item yang terkait dengan endpoint adalah item layanan mandiri pelanggan dan dapat diperbaiki dengan meninjau dokumentasi Edge. Jika ada item yang tidak jelas cara memperbaikinya, buka permintaan dukungan.

Konfigurasi TLS

Sesuai dengan standar PCI, SSL dan TLS awal perlu dimigrasikan ke versi yang aman. Pelanggan bertanggung jawab untuk menentukan dan mengonfigurasi endpoint TLS mereka sendiri untuk proxy API. Ini adalah fitur layanan mandiri di Edge. Persyaratan pelanggan terkait enkripsi, protokol, dan pemilihan algoritma sangat bervariasi dan spesifik untuk setiap kasus penggunaan. Karena Apigee tidak mengetahui detail desain API dan payload data setiap pelanggan, pelanggan memiliki tanggung jawab untuk menentukan enkripsi yang sesuai untuk data dalam pengiriman. Petunjuk mendetail tentang konfigurasi TLS tersedia di TLS/SSL.

Penyimpanan data

Penyimpanan data dalam Edge tidak diperlukan agar Edge berfungsi dengan baik. Namun, ada layanan yang tersedia untuk penyimpanan data di Edge. Pelanggan dapat memilih untuk menggunakan cache, peta nilai kunci, atau analisis untuk penyimpanan data. Tidak satu pun dari layanan ini yang diberi otorisasi untuk penyimpanan CHD sesuai dengan audit PCI Apigee. Sesuai dengan Persyaratan PCI 3 (Melindungi data pemegang kartu yang disimpan), data PCI hanya boleh disimpan di lokasi yang mematuhi PCI. Penggunaan layanan ini tersedia bagi pelanggan untuk menyimpan data non-PCI atau data tidak terbatas lainnya yang tunduk pada persyaratan keamanan dan hukum pelanggan. Layanan ini adalah item layanan mandiri pelanggan, sehingga pelanggan bertanggung jawab untuk mengonfigurasinya agar tidak mengambil atau menyimpan CHD. Peninjauan konfigurasi, kebijakan, dan deployment oleh administrator pelanggan direkomendasikan untuk menghindari penggunaan layanan penyimpanan data yang tidak disengaja atau berbahaya di Edge dengan cara yang tidak mematuhi kebijakan .

Enkripsi data

Alat enkripsi data tidak ditawarkan kepada pelanggan untuk digunakan di dalam Edge. Namun, pelanggan bebas mengenkripsi data PCI mereka sebelum mengirim ke Edge. Persyaratan PCI 4: (Mengenkripsi transmisi data pemegang kartu di seluruh jaringan publik terbuka) merekomendasikan untuk mengenkripsi data pemegang kartu di seluruh jaringan publik terbuka. Data terenkripsi dalam payload (atau Isi Pesan) tidak mencegah Edge berfungsi. Beberapa kebijakan Edge mungkin tidak dapat berinteraksi dengan data jika diterima dalam bentuk terenkripsi oleh pelanggan. Misalnya, transformasi tidak dapat dilakukan jika data itu sendiri tidak tersedia untuk diubah oleh Edge. Namun, kebijakan lain dan kebijakan serta paket buatan pelanggan akan berfungsi meskipun payload data dienkripsi.