คุณกําลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X info
ลูกค้าต้องดำเนินการและดำเนินกระบวนการบางอย่างภายใต้ "รูปแบบความรับผิดชอบร่วม" เพื่อให้เป็นไปตามข้อกำหนด PCI ใน Apigee Edge Public Cloud ลูกค้าซึ่งซื้อชุดการปฏิบัติตามข้อกำหนด PCI และต้องปฏิบัติตามข้อกำหนด PCI ควรตรวจสอบรายการต่อไปนี้ รายการเหล่านี้เป็นแบบบริการตนเองภายใน Edge และต้องได้รับการแก้ไขเพื่อให้องค์กรของลูกค้า (org) เป็นไปตามข้อกำหนด PCI แนวคิดหลักคือ "Google รักษาความปลอดภัยให้แพลตฟอร์ม ส่วนลูกค้ารักษาความปลอดภัยให้ข้อมูลของตน"
เมทริกซ์ความรับผิดชอบของลูกค้า
ลูกค้าควรดูตารางความรับผิดชอบ PCI-DSS 3.2.1 ของ Google Apigee และแชร์กับ Qualified Security Assessor ของ PCI เมื่อทำการตรวจสอบ PCI ด้วยตนเอง
การแมปข้อกำหนด PCI
| ข้อกำหนด PCI | Section |
|---|---|
| ข้อกำหนดที่ 7: จำกัดการเข้าถึงข้อมูลผู้ถือบัตรตามความจำเป็นที่ธุรกิจควรทราบ | |
| ข้อกำหนดที่ 3: ปกป้องข้อมูลที่จัดเก็บไว้ของผู้ถือบัตร | |
| ข้อกําหนด 10: ติดตามและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลผู้ถือบัตรทั้งหมด | |
| ข้อกําหนด 8: กําหนดรหัสที่ไม่ซ้ำกันให้กับบุคคลที่มีสิทธิ์เข้าถึงคอมพิวเตอร์แต่ละคน | |
| ข้อกำหนดที่ 11: ทดสอบระบบและกระบวนการรักษาความปลอดภัยเป็นประจำ | |
| ข้อกําหนด 4: เข้ารหัสการส่งข้อมูลผู้ถือบัตรผ่านเครือข่ายสาธารณะแบบเปิด | |
| ข้อกำหนดที่ 3: ปกป้องข้อมูลที่จัดเก็บไว้ของผู้ถือบัตร | |
| ข้อกําหนด 4: เข้ารหัสการส่งข้อมูลผู้ถือบัตรผ่านเครือข่ายสาธารณะแบบเปิด |
หากต้องการรับเอกสารรับรองการปฏิบัติตามข้อกำหนดมาตรฐานความปลอดภัยข้อมูล PCI (AOC) ให้เปิดคำขอแจ้งปัญหากับทีมสนับสนุนของ Apigee หรือติดต่อทีมขายของ Apigee
ติดตาม / แก้ไขข้อบกพร่อง
การติดตาม/แก้ไขข้อบกพร่องเป็นเครื่องมือแก้ปัญหาที่ช่วยให้ผู้ใช้ดูสถานะและเนื้อหาของคําเรียก API ได้ขณะประมวลผลผ่านโปรแกรมประมวลผลข้อความ Apigee การติดตามและการแก้ไขข้อบกพร่องเป็นชื่อ 2 ชื่อของบริการเดียวกัน แต่เข้าถึงผ่านกลไกที่แตกต่างกัน Trace คือชื่อของบริการนี้ใน UI ของ Edge Debug คือชื่อของบริการเดียวกันเมื่อใช้ผ่านการเรียก API การใช้คําว่า "การติดตาม" ในเอกสารนี้ใช้ได้กับทั้งการติดตามและการแก้ไขข้อบกพร่อง
ในระหว่างเซสชันการติดตาม ระบบจะบังคับใช้ "การมาสก์ข้อมูล" เครื่องมือนี้สามารถบล็อกไม่ให้ข้อมูลแสดงระหว่างการติดตาม โปรดดูส่วนการมาสก์ข้อมูลด้านล่าง
ระบบอาจใช้แผนที่คีย์-ค่า (KVM) ที่เข้ารหัสสำหรับลูกค้า PCI หากมีการใช้ KVM ที่เข้ารหัสอยู่ คุณอาจยังใช้การติดตามได้ แต่ตัวแปรบางรายการจะไม่แสดงในหน้าจอแสดงการติดตาม คุณสามารถทำตามขั้นตอนเพิ่มเติมเพื่อแสดงตัวแปรเหล่านี้ระหว่างการติดตามได้ด้วย
ดูวิธีการใช้การติดตามโดยละเอียดได้ที่การใช้เครื่องมือติดตาม
ดูรายละเอียดเกี่ยวกับ KVM รวมถึง KVM ที่เข้ารหัสได้ที่การทํางานกับแผนที่คีย์-ค่า
การใช้งาน/การให้สิทธิ์
การเข้าถึงการติดตามจะได้รับการจัดการผ่านระบบ RBAC (การควบคุมการเข้าถึงตามบทบาท) สําหรับบัญชีผู้ใช้ภายใน Edge โปรดดูวิธีการโดยละเอียดในการใช้ระบบ RBAC เพื่อมอบและเพิกถอนสิทธิ์การติดตามที่หัวข้อการมอบหมายบทบาทและการสร้างบทบาทที่กำหนดเองใน UI สิทธิ์การติดตามช่วยให้ผู้ใช้สามารถเปิดการติดตาม หยุดการติดตาม และเข้าถึงเอาต์พุตจากเซสชันการติดตาม
เนื่องจากการติดตามมีสิทธิ์เข้าถึงเพย์โหลดของการเรียก API (เรียกอย่างเป็นทางการว่า "เนื้อหาข้อความ") คุณจึงควรพิจารณาว่าใครมีสิทธิ์เรียกใช้การติดตาม เนื่องจากการจัดการผู้ใช้เป็นความรับผิดชอบของลูกค้า การให้สิทธิ์การติดตามจึงเป็นความรับผิดชอบของลูกค้าด้วย Apigee ในฐานะเจ้าของแพลตฟอร์มสามารถเพิ่มผู้ใช้ไปยังองค์กรของลูกค้าและมอบหมายสิทธิ์ได้ ความสามารถนี้จะใช้ได้เฉพาะในกรณีที่ลูกค้าขอรับการสนับสนุนในสถานการณ์ที่ดูเหมือนว่าฝ่ายบริการลูกค้าจะดำเนินการไม่สำเร็จ และเชื่อว่าการตรวจสอบเซสชันการติดตามจะให้ข้อมูลที่ดีที่สุดเกี่ยวกับสาเหตุของปัญหา
การมาสก์ข้อมูล
การมาสก์ข้อมูลจะป้องกันการแสดงข้อมูลที่ละเอียดอ่อนระหว่างเซสชันการติดตาม/แก้ไขข้อบกพร่องเท่านั้น ทั้งในการติดตาม (UI ของ Edge) และในแบ็กเอนด์โดยการแก้ไขข้อบกพร่อง (Edge API) ดูรายละเอียดวิธีตั้งค่าการมาสก์ได้ที่การมาสก์และการซ่อนข้อมูล การปกปิดข้อมูลที่ละเอียดอ่อนเป็นส่วนหนึ่งของข้อกำหนด 3 ของ PCI - ปกป้องข้อมูลที่จัดเก็บไว้ของผู้ถือบัตร
การมาสก์ข้อมูลไม่ได้ป้องกันไม่ให้ข้อมูลปรากฏในไฟล์บันทึก แคช ข้อมูลวิเคราะห์ ฯลฯ หากต้องการความช่วยเหลือเกี่ยวกับการมาสก์ข้อมูลในบันทึก ให้ลองเพิ่มรูปแบบนิพจน์ทั่วไปลงในไฟล์ logback.xml โดยทั่วไปแล้ว ไม่ควรเขียนข้อมูลที่มีความละเอียดอ่อนลงในแคชหรือข้อมูลวิเคราะห์โดยไม่มีเหตุผลทางธุรกิจที่ชัดเจนและการตรวจสอบโดยทีมรักษาความปลอดภัยและทีมกฎหมายของลูกค้า
แคช L1 และ L2
การแคชพร้อมให้บริการแก่ลูกค้า PCI เพื่อใช้กับข้อมูลที่ไม่ได้อยู่ภายใต้กฎระเบียบเท่านั้น ไม่ควรใช้แคชสำหรับข้อมูลผู้ถือบัตร PCI (CHD) เนื่องจากไม่ได้รับการอนุมัติจากการตรวจสอบการปฏิบัติตามข้อกำหนด PCI ของ Apigee ให้เป็นตำแหน่งการจัดเก็บสำหรับ CHD ตามคำแนะนำของ PCI (ข้อกำหนดที่ 3: ปกป้องข้อมูลที่จัดเก็บไว้ของผู้ถือบัตร) ข้อมูล PCI ควรจัดเก็บไว้ในตำแหน่งที่เป็นไปตามข้อกำหนด PCI เท่านั้น การใช้แคช L1 จะใช้แคช L2 โดยอัตโนมัติด้วย แคช L1 คือ "หน่วยความจำเท่านั้น" ส่วนแคช L2 จะเขียนข้อมูลลงดิสก์เพื่อซิงค์กับแคช L1 หลายรายการ แคช L2 ช่วยทำให้ตัวประมวลผลข้อความหลายรายการซิงค์กันภายในภูมิภาคและทั่วโลก ปัจจุบันคุณไม่สามารถเปิดใช้แคช L1 โดยไม่มีแแคช L2 อยู่เบื้องหลัง แคช L2 จะเขียนข้อมูลลงในดิสก์เพื่อให้ซิงค์กับโปรแกรมประมวลผลข้อความอื่นๆ สำหรับองค์กรของลูกค้าได้ เนื่องจากแคช L2 จะเขียนข้อมูลลงในดิสก์ ระบบจึงไม่รองรับการใช้แคชสำหรับ CHD หรือข้อมูลอื่นๆ ที่มีข้อจำกัด
ลูกค้าสามารถใช้แคชสำหรับข้อมูลที่ไม่ใช่ CHD และข้อมูลอื่นๆ ที่ไม่มีข้อจำกัด เราไม่ปิดใช้แคชโดยค่าเริ่มต้นสำหรับลูกค้า PCI เนื่องจากลูกค้าบางรายเรียกใช้ทั้งการเรียก API ที่เกี่ยวข้องกับ PCI และที่ไม่ใช่ PCI ผ่านองค์กรเดียว เนื่องจากความสามารถนี้ยังคงเปิดใช้อยู่สำหรับลูกค้า PCI ลูกค้าจึงมีหน้าที่รับผิดชอบในการใช้บริการอย่างเหมาะสมและฝึกผู้ใช้ของตนให้ไม่ใช้แคชเมื่อข้อมูล PCI มีแนวโน้มที่จะอยู่ในการเรียก API การตรวจสอบการปฏิบัติตามข้อกำหนด PCI ของ Apigee ไม่รองรับ CHD ที่เก็บไว้ในแคช
ดูวิธีการโดยละเอียดในการใช้แคชได้ที่การเพิ่มการแคชและการคงข้อมูล
บันทึกการตรวจสอบ
ลูกค้าสามารถตรวจสอบบันทึกการตรวจสอบของกิจกรรมการดูแลระบบทั้งหมดที่ดำเนินการภายในองค์กรของลูกค้า รวมถึงการใช้การติดตาม ดูวิธีการโดยละเอียดได้ที่นี่และที่หัวข้อการใช้เครื่องมือติดตาม (PCI ข้อกำหนดที่ 10: ติดตามและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลผู้ถือบัตรทั้งหมด)
ข้อกำหนดด้านรหัสผ่านที่ซับซ้อนหรือ SAML
ลูกค้าที่มีข้อกำหนดเฉพาะเกี่ยวกับรหัสผ่านควรใช้ SAML เพื่อให้เป็นไปตามข้อกำหนดของแต่ละราย โปรดดูการเปิดใช้การตรวจสอบสิทธิ์ SAML สําหรับ Edge Edge ยังให้บริการการตรวจสอบสิทธิ์แบบหลายปัจจัยด้วย (ข้อกำหนด 8 ของ PCI: กําหนดรหัสที่ไม่ซ้ำกันให้กับผู้ใช้แต่ละรายที่มีสิทธิ์เข้าถึงคอมพิวเตอร์) โปรดดูเปิดใช้การตรวจสอบสิทธิ์แบบ 2 ปัจจัยสําหรับบัญชี Apigee
การรักษาความปลอดภัยของอุปกรณ์ปลายทาง
การสแกนอุปกรณ์ปลายทาง
การสแกนและทดสอบโฮสต์เป็นสิ่งจําเป็นต่อการปฏิบัติตามข้อกําหนด PCI (ข้อกําหนด 11: ทดสอบระบบและกระบวนการรักษาความปลอดภัยอย่างสม่ำเสมอ) สําหรับ Edge Cloud ลูกค้ามีหน้าที่รับผิดชอบในการสแกนและการทดสอบปลายทาง API (บางครั้งเรียกว่า "คอมโพเนนต์รันไทม์") ใน Edge การทดสอบของลูกค้าควรครอบคลุมบริการพร็อกซี API จริงที่โฮสต์ใน Edge ซึ่งมีการส่งการเข้าชม API ไปยัง Edge ก่อนประมวลผลและส่งไปยังศูนย์ข้อมูลของลูกค้า การทดสอบทรัพยากรที่แชร์ เช่น UI ของพอร์ทัลการจัดการ ไม่ได้รับอนุมัติสำหรับลูกค้าบุคคลธรรมดา (ลูกค้าสามารถขอรายงานของบุคคลที่สามซึ่งครอบคลุมการทดสอบบริการที่แชร์ได้ภายใต้ข้อตกลงการไม่เปิดเผยข้อมูล)
ลูกค้าควรและได้รับการสนับสนุนให้ทดสอบปลายทาง API ข้อตกลงของคุณกับ Apigee ไม่ได้ห้ามการทดสอบปลายทาง API แต่เราไม่อนุญาตให้คุณทดสอบ UI การจัดการที่แชร์ หากต้องการคำชี้แจงเพิ่มเติม โปรดเปิดคำขอการสนับสนุนโดยอ้างอิงถึงการทดสอบที่คุณวางแผนไว้ โปรดแจ้งให้เราทราบล่วงหน้าเพื่อให้เราทราบถึงการเข้าชมการทดสอบ
ลูกค้าที่กำลังทดสอบปลายทางควรมองหาปัญหาเฉพาะของ API, ปัญหาที่เกี่ยวข้องกับบริการ Apigee และตรวจสอบ TLS และรายการอื่นๆ ที่กําหนดค่าได้ รายการใดก็ตามที่พบซึ่งเกี่ยวข้องกับบริการของ Apigee ควรแจ้งให้ Apigee ทราบผ่านคำขอการสนับสนุน
รายการส่วนใหญ่ที่เกี่ยวข้องกับอุปกรณ์ปลายทางเป็นรายการที่ลูกค้าดำเนินการด้วยตนเองและแก้ไขได้โดยอ่านเอกสารประกอบของ Edge หากมีรายการที่ไม่ทราบวิธีแก้ไข โปรดเปิดคำขอแจ้งปัญหา
การกำหนดค่า TLS
ตามมาตรฐาน PCI คุณต้องย้ายข้อมูล SSL และ TLS เวอร์ชันแรกไปยังเวอร์ชันที่ปลอดภัย ลูกค้ามีหน้าที่รับผิดชอบในการกําหนดค่าและกำหนดปลายทาง TLS ของตนเองสําหรับพร็อกซี API ฟีเจอร์นี้เป็นฟีเจอร์แบบบริการตนเองใน Edge ข้อกำหนดของลูกค้าเกี่ยวกับการเข้ารหัส โปรโตคอล และอัลกอริทึมมีหลากหลายและเจาะจงสำหรับกรณีการใช้งานแต่ละรายการ เนื่องจาก Apigee ไม่ทราบรายละเอียดการออกแบบ API และข้อมูลเพย์โหลดของลูกค้าทุกราย ลูกค้าจึงมีหน้าที่รับผิดชอบในการกำหนดการเข้ารหัสที่เหมาะสมสำหรับข้อมูลที่อยู่ระหว่างการรับส่ง ดูวิธีการโดยละเอียดเกี่ยวกับการกำหนดค่า TLS ได้ที่ TLS/SSL
พื้นที่เก็บข้อมูล
การจัดเก็บข้อมูลภายใน Edge นั้นไม่จำเป็นเพื่อให้ Edge ทำงานได้อย่างถูกต้อง อย่างไรก็ตาม มีบริการที่จัดเก็บข้อมูลใน Edge ลูกค้าอาจเลือกใช้แคช คีย์-ค่า หรือการแมปข้อมูลวิเคราะห์สำหรับการจัดเก็บข้อมูล บริการเหล่านี้ไม่ได้รับอนุญาตให้จัดเก็บ CHD ตามการตรวจสอบ PCI ของ Apigee ตามข้อกำหนด 3 ของ PCI (ปกป้องข้อมูลที่จัดเก็บไว้ของผู้ถือบัตร) ข้อมูล PCI ควรจัดเก็บไว้ในตำแหน่งที่เป็นไปตามข้อกำหนด PCI เท่านั้น ลูกค้าสามารถใช้บริการเหล่านี้เพื่อจัดเก็บข้อมูลที่ไม่ใช่ PCI หรือข้อมูลอื่นๆ ที่ไม่มีข้อจำกัด โดยขึ้นอยู่กับข้อกำหนดด้านความปลอดภัยและข้อกำหนดทางกฎหมายของลูกค้า บริการเหล่านี้เป็นบริการแบบบริการตนเองของลูกค้า ดังนั้นลูกค้ามีหน้าที่รับผิดชอบในการกำหนดค่าบริการดังกล่าวเพื่อไม่ให้บันทึกหรือจัดเก็บ CHD เราขอแนะนำให้ผู้ดูแลระบบของลูกค้าตรวจสอบการกำหนดค่า นโยบาย และการใช้งาน เพื่อหลีกเลี่ยงการใช้บริการพื้นที่เก็บข้อมูลใน Edge ในลักษณะที่ไม่เป็นไปตามข้อกำหนดโดยไม่ตั้งใจหรือเป็นอันตราย
การเข้ารหัสข้อมูล
เราไม่เสนอเครื่องมือการเข้ารหัสข้อมูลแก่ลูกค้าเพื่อใช้งานใน Edge อย่างไรก็ตาม ลูกค้าสามารถเข้ารหัสข้อมูล PCI ของตนก่อนที่จะส่งไปยัง Edge ได้ PCI ข้อกําหนด 4: (เข้ารหัสการส่งข้อมูลผู้ถือบัตรผ่านเครือข่ายสาธารณะแบบเปิด) แนะนําให้เข้ารหัสข้อมูลผู้ถือบัตรผ่านเครือข่ายสาธารณะแบบเปิด ข้อมูลที่เข้ารหัสในเพย์โหลด (หรือเนื้อหาข้อความ) จะไม่ทําให้ Edge ทำงานไม่ได้ นโยบาย Edge บางรายการอาจโต้ตอบกับข้อมูลไม่ได้หากลูกค้าเข้ารหัสข้อมูลไว้ ตัวอย่างเช่น การเปลี่ยนรูปแบบจะดำเนินการไม่ได้หาก Edge ไม่สามารถเปลี่ยนข้อมูลได้ แต่นโยบายอื่นๆ รวมถึงนโยบายและกลุ่มที่ลูกค้าสร้างขึ้นจะใช้งานได้แม้ว่าจะมีการเข้ารหัสเพย์โหลดข้อมูลก็ตาม