Wyświetlasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje
Aby klient mógł spełniać wymagania PCI w usłudze Apigee Edge Public Cloud, musi wykonywać określone działania i procesy w ramach „modelu wspólnej odpowiedzialności”. Klienci, którzy kupili pakiet zgodności z PCI i muszą być zgodni z tą normą, powinni przejrzeć te informacje. Te elementy są dostępne w usłudze samoobsługowej w Edge i muszą zostać zaadresowane, aby organizacja klienta była zgodna z PCI. Ogólna koncepcja brzmi: „Google zapewnia bezpieczeństwo platformy, a klient dba o swoje dane”.
Tabela odpowiedzialności klienta
Klienci powinni zapoznać się z macierzą odpowiedzialności Google Apigee PCI-DSS 3.2.1 i udostępnić ją kwalifikowanemu audytorowi zabezpieczeń PCI podczas przeprowadzania własnego audytu PCI.
Mapowanie wymagań PCI
| Wymagania PCI | Sekcja |
|---|---|
| Wymaganie 7. Ogranicz dostęp do danych posiadacza karty na podstawie potrzeb biznesowych | |
| Wymaganie 3. Chroń przechowywane dane posiadacza karty | |
| Wymaganie 10. Śledzenie i monitorowanie dostępu do zasobów sieciowych oraz danych posiadacza karty | |
| Wymaganie 8. Przypisz unikalny identyfikator do każdej osoby mającej dostęp do komputera | |
| Wymaganie 11. Regularnie testuj systemy i procesy zabezpieczeń | |
| Wymaganie 4. Szyfrowanie transmisji danych posiadacza karty w otwartych, publicznych sieciach | |
| Wymaganie 3. Chroń przechowywane dane posiadacza karty | |
| Wymaganie 4. Szyfrowanie transmisji danych posiadacza karty w otwartych, publicznych sieciach |
Aby uzyskać certyfikat zgodności z PCI DSS, otwórz zgłoszenie w zespole pomocy Apigee lub skontaktuj się z zespołem sprzedaży Apigee.
Śledzenie / debugowanie
Śledzenie/Debugowanie to narzędzie do rozwiązywania problemów, które pozwala użytkownikowi wyświetlać stan i treść wywołania interfejsu API w trakcie jego przetwarzania przez procesor wiadomości Apigee. Śledzenie i Debugowanie to 2 nazwy tej samej usługi, ale z dostępem przez różne mechanizmy. Ślad to nazwa tej usługi w interfejsie Edge. Debug to nazwa tej samej usługi używanej w wywołaniach interfejsu API. W tym dokumencie termin „śledzenie” odnosi się zarówno do śledzenia, jak i debugowania.
Podczas sesji śledzenia jest wymuszane „maskowanie danych”. To narzędzie może blokować wyświetlanie danych podczas śledzenia. Zapoznaj się z sekcją Maskowanie danych poniżej.
Zaszyfrowane mapy klucz-wartość (KVM) mogą być używane przez klientów podlegających przepisom PCI. Jeśli używany jest szyfrowany KVM, funkcja śledzenia nadal może być używana, ale niektóre zmienne nie będą widoczne na ekranie wyświetlania śledzenia. Aby wyświetlić te zmienne podczas śledzenia, musisz wykonać dodatkowe czynności.
Szczegółowe instrukcje dotyczące korzystania z narzędzi Trace znajdziesz w artykule Korzystanie z narzędzi Trace.
Szczegółowe informacje o mapach klucz-wartość, w tym o zaszyfrowanych mapach klucz-wartość, znajdziesz w artykule Praca z mapami klucz-wartość.
Używanie/autoryzacje
Dostęp do funkcji śledzenia jest zarządzany za pomocą systemu RBAC (kontroli dostępu opartej na rolach) w przypadku kont użytkowników w Edge. Szczegółowe instrukcje dotyczące korzystania z systemu RBAC w celu przyznawania i odwoływania uprawnień do śledzenia znajdziesz w artykułach Przypisywanie ról i Tworzenie ról niestandardowych w interfejsie użytkownika. Uprawnienia śledzenia umożliwiają użytkownikowi uruchamianie i zatrzymywanie śledzenia oraz dostęp do danych wyjściowych z sesji śledzenia.
Ponieważ Trace ma dostęp do ładunku wywołań interfejsu API (formalnie nazywanego „ciałem wiadomości”), ważne jest, aby wziąć pod uwagę, kto ma dostęp do uruchamiania Trace. Zarządzanie użytkownikami jest obowiązkiem klienta, dlatego to na nim spoczywa również odpowiedzialność za przyznawanie uprawnień do śledzenia. Jako właściciel platformy Apigee możesz dodać użytkownika do organizacji klienta i przypisać mu uprawnienia. Ta funkcja jest używana tylko wtedy, gdy klient poprosi o pomoc w sytuacji, w której wydaje się, że usługa obsługi klienta nie działa prawidłowo, a sprawdzenie sesji śledzenia może dostarczyć najbardziej wiarygodnych informacji o przyczynie problemu.
Maskowanie danych
Maskowanie danych zapobiega wyświetlaniu danych wrażliwych tylko podczas sesji śledzenia lub debugowania, zarówno w Trace (Edge UI), jak i w backendzie za pomocą Debug (Edge API). Szczegółowe informacje o konfigurowaniu maskowania znajdziesz w artykule Maskowanie i ukrywanie danych. Maskowanie danych wrażliwych jest częścią PCI Wymaganie 3 – Ochrona przechowywanych danych posiadacza karty
Maskowanie danych NIE zapobiega ich widoczności w plikach logów, pamięci podręcznej, analityce itp. Aby uzyskać pomoc dotyczącą maskowania danych w logach, rozważ dodanie wzoru regularnego do pliku logback.xml. Dane poufne nie powinny być zapisywane w pamięci podręcznej ani w usłudze analitycznej bez uzasadnienia biznesowego i sprawdzenia przez zespoły ds. bezpieczeństwa i prawa.
Pamięć podręczna L1 i L2
Buforowanie jest dostępne dla klientów PCI tylko do użytku z danymi nieobjętymi regulacjami. Pamięć podręczna nie powinna być używana do przechowywania danych karty posiadacza PCI (CHD); nie jest ona zatwierdzona przez audyt zgodności z PCI w Apigee jako miejsce przechowywania danych CHD. Zgodnie ze wskazówkami dotyczącymi PCI (Wymaganie 3: Chroń przechowywane dane karty) dane PCI powinny być przechowywane tylko w miejscu zgodnym z PCI. Korzystanie z pamięci podręcznej L1 spowoduje automatyczne użycie pamięci podręcznej L2. Pamięć podręczna L1 jest „tylko pamięcią”, podczas gdy pamięć podręczna L2 zapisuje dane na dysku, aby zsynchronizować je z wieloma pamięciami podręcznymi L1. Pamięć podręczna L2 służy do synchronizowania wielu procesorów wiadomości w regionie i na całym świecie. Obecnie nie można włączyć pamięci podręcznej L1 bez pamięci podręcznej L2. Pamięć podręczna L2 zapisuje dane na dysku, aby można je było zsynchronizować z innymi procesorami wiadomości w organizacji klienta. Ponieważ pamięć podręczna L2 zapisuje dane na dysku, nie można używać pamięci podręcznej do danych CHD ani innych danych objętych ograniczeniami.
Używanie przez klientów pamięci podręcznej jest dozwolone w przypadku danych innych niż dane o zdrowie i dobrym samopoczuciu oraz innych danych nieograniczonych. Nie wyłączamy domyślnie pamięci podręcznej w przypadku klientów korzystających z PCI, ponieważ niektórzy z nich wykonują wywołania interfejsu API związane z PCI i niezwiązane z PCI w ramach jednej organizacji. Ponieważ ta funkcja jest nadal włączona dla klientów korzystających z PCI, to oni ponoszą odpowiedzialność za prawidłowe korzystanie z usługi i zapoznanie użytkowników z tym, że nie powinni używać pamięci podręcznej, gdy dane PCI mogą się znajdować w wywołaniu interfejsu API. Weryfikacja zgodności Apigee PCI nie obsługuje CHD przechowywanych w pamięci podręcznej.
Szczegółowe instrukcje dotyczące korzystania z pamięci podręcznej znajdziesz w artykule Dodawanie pamięci podręcznej i trwałości.
Rejestr kontrolny
Klienci mogą sprawdzać ścieżkę weryfikacji wszystkich działań administracyjnych wykonywanych w organizacji klienta, w tym korzystania z funkcji Śledzenie. Szczegółowe instrukcje znajdziesz tutaj oraz w artykule Korzystanie z narzędzia śledzenia. (PCI Wymaganie 10: śledzenie i monitorowanie wszystkich dostępów do zasobów sieciowych oraz danych posiadacza karty)
złożone wymagania dotyczące haseł lub SAML,
Klienci, którzy mają określone wymagania dotyczące haseł, powinni używać protokołu SAML, aby spełnić te wymagania. Zapoznaj się z artykułem Włączanie uwierzytelniania SAML w Edge. Edge oferuje też uwierzytelnianie wielopoziomowe (PCI Wymaganie 8: przypisz unikalny identyfikator do każdej osoby mającej dostęp do komputera). Zapoznaj się z artykułem Włączanie uwierzytelniania dwuskładnikowego na koncie Apigee.
Zabezpieczenia punktów końcowych
Skanowanie punktów końcowych
Skanowanie i testowanie hostów jest wymagane w celu zapewnienia zgodności z PCI (Wymaganie 11: regularnie testuj systemy i procesy zabezpieczeń). W przypadku Edge Cloud klienci są odpowiedzialni za skanowanie i testowanie punktów końcowych interfejsu API (czasami nazywanych „komponentami czasu wykonywania”) w Edge. Testy klienta powinny obejmować rzeczywiste usługi proxy interfejsu API hostowane w Edge, gdzie ruch API jest wysyłany do Edge przed przetworzeniem i przesłaniem do centrum danych klienta. Testowanie zasobów wspólnych, takich jak interfejs portalu zarządzania, nie jest zatwierdzone w przypadku klientów indywidualnych (raport zewnętrzny dotyczący testowania wspólnych usług jest dostępny dla klientów na podstawie umowy o zachowaniu poufności i na żądanie).
Klienci powinni testować punkty końcowe interfejsu API. Zachęcamy do tego. Umowa z Apigee nie zabrania testowania punktów końcowych interfejsu API, ale nie zezwala na testowanie udostępnionego interfejsu zarządzania. Jeśli jednak potrzebujesz dodatkowych wyjaśnień, prześlij prośbę o pomoc, wspominając o planowanych testach. Powiadomienie Apigee z wyprzedzeniem jest mile widziane, abyśmy mogli mieć świadomość natężenia ruchu związanego z testowaniem.
Klienci testujący punkty końcowe powinni zwracać uwagę na problemy związane z interfejsem API lub usługami Apigee, a także sprawdzić TLS i inne elementy konfigurowalne. Wszelkie elementy związane z usługami Apigee należy zgłaszać do Apigee za pomocą zgłoszenia do zespołu pomocy.
Większość elementów związanych z punktami końcowymi to elementy samoobsługowe, które można naprawić, korzystając z dokumentacji Edge. Jeśli nie wiesz, jak naprawić problemy z tymi elementami, prześlij prośbę o pomoc.
Konfiguracja TLS
Zgodnie ze standardami PCI protokoły SSL i TLS wczesnej wersji muszą zostać przeniesione do bezpiecznych wersji. Klienci są odpowiedzialni za definiowanie i konfigurowanie własnych punktów końcowych TLS dla serwerów proxy API. To jest funkcja samoobsługi w Edge. Wymagania klientów dotyczące szyfrowania, protokołów i algorytmów są bardzo zróżnicowane i zależą od konkretnych przypadków użycia. Firma Apigee nie zna szczegółów interfejsu API i danych przesyłanych przez każdego klienta, dlatego to oni ponoszą odpowiedzialność za odpowiednie szyfrowanie danych w trakcie przesyłania. Szczegółowe instrukcje konfigurowania TLS znajdziesz w artykule TLS/SSL.
Miejsce na dane
Przechowywanie danych w Edge nie jest wymagane do prawidłowego działania tej przeglądarki. W Edge dostępne są jednak usługi umożliwiające przechowywanie danych. Klienci mogą używać do przechowywania danych pamięci podręcznej, map par klucz-wartość lub usług analitycznych. Żadna z tych usług nie jest autoryzowana do przechowywania danych CHD zgodnie z audytem PCI Apigee. Zgodnie z wymogiem 3 (ochrona przechowywanych danych posiadacza karty) normy PCI dane PCI powinny być przechowywane tylko w miejscach zgodnych z PCI. Usługi te są dostępne dla klientów w celu przechowywania danych innych niż dane kartowe lub innych danych nieograniczonych zgodnie z wymaganiami bezpieczeństwa i prawnymi klienta. Te usługi są dostępne w trybie samoobsługowym, więc klient musi skonfigurować je tak, aby nie rejestrowały ani nie przechowywały danych CHD. Zalecamy, aby administratorzy klientów sprawdzali konfigurację, zasady i wdrożenia, aby uniknąć przypadkowego lub złośliwego korzystania z usług przechowywania danych w Edge w sposób niezgodny z zasadami .
Szyfrowanie danych
Narzędzia do szyfrowania danych nie są oferowane klientom do użytku w Edge. Klienci mogą jednak szyfrować swoje dane PCI przed wysłaniem ich do Edge. PCI Wymaganie 4: (szyfrowanie transmisji danych posiadacza karty w otwartych, publicznych sieciach) zalecamy szyfrowanie danych posiadacza karty w otwartych, publicznych sieciach. Zaszyfrowane dane w pliku payload (lub w ciele wiadomości) nie uniemożliwiają działania przeglądarki Edge. Niektóre zasady Edge mogą nie działać prawidłowo, jeśli dane są odbierane w zaszyfrowanej formie. Na przykład przekształcenie nie jest możliwe, jeśli dane nie są dostępne dla Edge w celu ich zmiany. Inne zasady i pakiety stworzone przez klienta będą jednak działać, nawet jeśli dane są zaszyfrowane.