您正在查看 Apigee Edge 說明文件。
前往 Apigee X 說明文件。 info
客戶必須在「共同責任模式」下執行某些動作和程序,才能在 Apigee Edge 公用雲中符合 PCI 規定。購買 PCI 法規遵循套件並需要遵守 PCI 法規的客戶,應詳閱下列項目。這些項目可在 Edge 中自助處理,且必須解決,才能讓客戶機構 (org) 符合 PCI 規定。整體概念是「Google 保護平台安全,客戶保護自己的資料」。
客戶責任表
客戶應參考 Google Apigee PCI-DSS 3.2.1 責任表,並在進行 PCI 稽核時與 PCI 合格安全性評估人員分享。
PCI 規範對照表
| PCI 規定 | Section |
|---|---|
| 規定 7:將持卡人資料的存取權限制為僅有業務上需要的人員可存取 | |
| 要求 3:保護所儲存的持卡人資料 | |
| 需求 10:追蹤和監控所有網路資源和持卡人資料的存取 | |
| 要求 8:指派唯一識別碼給每個具有電腦存取權的人員 | |
| 規定 11:定期測試安全系統和程序 | |
| 需求 4:全面加密開放公開網路中的持卡人資料傳輸 | |
| 要求 3:保護所儲存的持卡人資料 | |
| 需求 4:全面加密開放公開網路中的持卡人資料傳輸 |
如要取得 PCI 資料安全標準符合性認證 (AOC),請向 Apigee 支援團隊開立支援單,或與 Apigee 銷售團隊聯絡。
追蹤 / 偵錯
追蹤/偵錯是一種疑難排解工具,可讓使用者在透過 Apigee 訊息處理器處理 API 呼叫時,查看 API 呼叫的狀態和內容。追蹤和偵錯是同一個服務的兩個名稱,但透過不同的機制存取。Trace 是 Edge UI 中這項服務的名稱。透過 API 呼叫時,Debug 是同一個服務的名稱。本文件中「追蹤」一詞的用法適用於「追蹤」和「偵錯」。
在追蹤記錄工作階段期間,系統會強制執行「資料遮罩」。這項工具可在追蹤記錄期間封鎖資料顯示。請參閱下方的「資料遮罩」一節。
加密的鍵值對應 (KVM) 可供 PCI 客戶使用。如果使用加密的 KVM,仍可使用追蹤功能,但追蹤畫面中不會顯示部分變數。您也可以採取額外步驟,在追蹤期間顯示這些變數。
如需 Trace 的詳細使用說明,請參閱「使用 Trace 工具」。
如要進一步瞭解 KVM (包括加密 KVM),請參閱「使用鍵/值對應」一文。
使用/授權
透過 Edge 中的使用者帳戶,以 RBAC (角色型存取權控管) 系統管理 Trace 存取權。如要進一步瞭解如何使用 RBAC 系統授予及撤銷追蹤記錄權限,請參閱「指派角色」和「在使用者介面中建立自訂角色」兩篇文章。追蹤記錄權限可讓使用者啟動追蹤記錄、停止追蹤記錄,以及存取追蹤記錄工作階段的輸出內容。
由於 Trace 可存取 API 呼叫的酬載 (正式名稱為「訊息主體」),因此請務必考量誰有權執行 Trace。由於使用者管理是客戶的責任,因此授予追蹤權限也是客戶的責任。Apigee 是平台擁有者,因此可以將使用者新增至客戶組織,並指派權限。只有在客戶要求支援服務時,且客戶服務似乎無法正常運作,且檢查追蹤工作階段可提供最準確的根本原因資訊時,才會使用這項功能。
資料遮蓋
資料遮罩功能只會在追蹤/偵錯工作階段中,在追蹤 (Edge UI) 和偵錯 (Edge API) 的後端中,避免顯示機密資料。如要進一步瞭解如何設定遮蓋功能,請參閱「資料遮蓋和隱藏」一文。遮蓋機密資料是 PCI 要求 3 - 保護儲存的持卡人資料 的一部分
資料遮罩並不會防止資料在記錄檔、快取、分析等中顯示。如要協助在記錄中遮罩資料,請考慮在 logback.xml 檔案中新增規則運算式模式。一般而言,除非有充分的業務理由,並經過客戶安全和法律團隊審查,否則不應將敏感資料寫入快取或分析。
L1 和 L2 快取
PCI 客戶只能將快取功能用於非受管制資料。快取不應用於 PCI 卡片持有人資料 (CHD);Apigee PCI 法規遵循稽核團隊不允許將快取做為 CHD 的儲存位置。根據 PCI 指南 (第 3 項規定:保護儲存的持卡人資料),PCI 資料應僅儲存在符合 PCI 規範的位置。使用 L1 快取時,系統也會自動使用 L2 快取。L1 快取是「僅限記憶體」快取,而 L2 快取會將資料寫入磁碟,以便跨多個 L1 快取同步處理。L2 快取可讓多個 Message Processor 在區域和全球同步。目前無法在沒有 L2 快取的情況下啟用 L1 快取。L2 快取會將資料寫入磁碟,以便同步處理客戶機構的其他訊息處理器。由於 L2 快取會將資料寫入磁碟,因此不支援使用快取來儲存 CHD 或其他受限資料。
客戶可使用快取存放非 CHD 和其他不受限制的資料。我們不會在預設情況下為 PCI 客戶停用快取,因為部分客戶會透過單一機構執行 PCI 和非 PCI 相關的 API 呼叫。由於 PCI 客戶仍可使用這項功能,因此客戶必須負責妥善使用這項服務,並訓練使用者在 API 呼叫中可能包含 PCI 資料時,不要使用快取。Apigee PCI 合規稽核不支援儲存在快取中的 CHD。
如需使用快取的詳細操作說明,請參閱「新增快取和持久性」一文。
稽核記錄
客戶可以查看組織內執行的所有管理活動稽核記錄,包括 Trace 的使用情形。如需詳細操作說明,請參閱這篇文章和「使用追蹤工具」一文。(PCI 規定 10:追蹤和監控所有網路資源和持卡人資料的存取)
複雜的密碼規定或 SAML
有特定密碼需求的客戶應使用 SAML 來滿足個人需求。 請參閱「為 Edge 啟用 SAML 驗證」。Edge 也提供多重驗證功能 (PCI 規定 8:指派唯一識別碼給每個具有電腦存取權限的人員)。請參閱「為 Apigee 帳戶啟用雙重驗證」。
端點安全性
端點掃描
為符合 PCI 法規,您必須掃描及測試主機 (要求 11:定期測試安全系統和程序)。對於 Edge Cloud,客戶必須負責掃描及測試 Edge 中的 API 端點 (有時稱為「執行階段元件」)。客戶測試應涵蓋在 Edge 上代管的實際 API 代理服務,在 Edge 處理 API 流量之前,先將流量傳送至 Edge,然後再傳送至客戶資料中心。個別客戶不得測試共用資源,例如管理入口網站 UI (在保密協議下,客戶可在提出要求後,查看第三方報告,瞭解共用服務的測試情況)。
我們鼓勵客戶測試 API 端點。您與 Apigee 簽訂的協議並未禁止測試 API 端點,但我們不允許您測試共用管理 UI。不過,如果需要進一步說明,請提出支援要求,並提及您原先的測試計畫。建議您事先通知 Apigee,以便我們瞭解測試流量。
測試端點的客戶應查看任何 API 專屬問題,以及任何與 Apigee 服務相關的問題,並檢查 TLS 和其他可設定項目。如發現任何與 Apigee 服務相關的項目,請透過支援要求與 Apigee 聯絡。
端點相關的項目大多是客戶自助服務項目,只要查看 Edge 說明文件即可修正。如果不清楚如何修正某些項目,請提出支援要求。
傳輸層安全標準 (TLS) 設定
根據 PCI 標準,SSL 和早期 TLS 必須遷移至安全版本。客戶有責任為 API Proxy 定義及設定自己的 TLS 端點。這是 Edge 中的自助式功能。客戶對加密、通訊協定和演算法的選擇需求各有不同,並且取決於個別用途。由於 Apigee 無法得知每位客戶的 API 設計和資料酬載細節,因此客戶有責任為傳輸中的資料決定適當的加密方式。如需 TLS 設定的詳細操作說明,請參閱「TLS/SSL」。
資料儲存
Edge 不必儲存資料,也能正常運作。不過,Edge 提供資料儲存服務。客戶可以選擇使用快取、鍵值對應或數據分析來儲存資料。根據 Apigee PCI 稽核結果,這些服務均未獲准儲存 CHD。根據 PCI 要求 3 (保護儲存的持卡人資料),PCI 資料應僅儲存在符合 PCI 規範的位置。客戶可使用這些服務來儲存非 PCI 資料或其他不受限制的資料,但須遵守客戶的安全性和法律規定。這些服務是客戶自助項目,因此客戶有責任設定這些服務,以便不擷取或儲存 CHD。建議客戶管理員審查設定、政策和部署作業,以免在 Edge 中以不符合規定的方式,意外或惡意使用資料儲存服務。
資料加密
我們不會提供資料加密工具,供客戶在 Edge 中使用。不過,客戶可以自由選擇在將 PCI 資料傳送至 Edge 前先加密。PCI 規定 4:(全面加密開放公開網路中的持卡人資料傳輸)建議全面加密開放公開網路中的持卡人資料傳輸。酬載 (或訊息主體) 中的加密資料不會導致 Edge 無法運作。如果客戶收到加密資料,某些 Edge 政策可能無法與該資料互動。舉例來說,如果 Edge 無法變更資料本身,就無法進行轉換。不過,即使資料酬載已加密,其他政策和客戶建構的政策和套件仍可正常運作。