Apigee Edge belgelerini görüntülüyorsunuz.
Apigee X belgelerine gidin. info
Bir müşterinin Apigee Edge Public Cloud'da PCI uyumlu olması için "Ortak Sorumluluk Modeli" kapsamında müşterinin yapması gereken bazı işlemler vardır. Aşağıdaki öğeler, PCI uygunluk paketini satın almış ve PCI ile uyumlu olması gereken müşteriler tarafından incelenmelidir. Bu öğeler Edge'de self servistir ve müşteri kuruluşunun (org) PCI ile uyumlu olması için ele alınması gerekir. Temel kavram "Google platformun güvenliğini sağlar, müşteri ise verilerinin güvenliğini sağlar." şeklindedir.
Müşteri Sorumluluğu Matrisi
Müşteriler, kendi PCI denetimlerini gerçekleştirirken Google Apigee PCI-DSS 3.2.1 Sorumluluk Matrisi'ne başvurmalı ve bu matrisi PCI Yetkili Güvenlik Denetçisi ile paylaşmalıdır.
PCI Şartları Eşleme
| PCI Şartı | Section |
|---|---|
| 7. şart: Kart sahibi verilerine erişimi, işletmenin bilmesi gereken bilgilere göre kısıtlayın | |
| 3. şart: Depolanan kart sahibi verilerini koruma | |
| 10. şart: Ağ kaynaklarına ve kart sahibi verilerine yapılan tüm erişimleri takip edin | |
| 8. şart: Bilgisayara erişimi olan her kullanıcıya benzersiz bir kimlik atayın | |
| 11. şart: Güvenlik sistemlerini ve süreçlerini düzenli olarak test edin | |
| 4. şart: Açık, herkese açık ağlarda kart sahibi verilerinin aktarımını şifreleme | |
| 3. şart: Depolanan kart sahibi verilerini koruma | |
| 4. şart: Kart sahibi verilerinin açık, herkese açık ağlarda aktarımı sırasında şifreleme |
PCI Veri Güvenliği Standardı Uyumluluk Sertifikası (AOC) almak için Apigee Destek Ekibi'ne bir destek kaydı açın veya Apigee satış ekibinizle iletişime geçin.
İzleme / Hata ayıklama
İzleme/Hata Ayıklama, kullanıcının Apigee Mesaj İşlemcisi üzerinden işlenirken bir API çağrısının durumunu ve içeriğini görüntülemesine olanak tanıyan bir sorun giderme aracıdır. İzleme ve hata ayıklama, aynı hizmete ait ancak farklı mekanizmalar aracılığıyla erişilen iki addır. Trace, Edge kullanıcı arayüzündeki bu hizmetin adıdır. Hata ayıklama, API çağrıları üzerinden kullanıldığında aynı hizmetin adıdır. Bu dokümanda izleme terimi hem izleme hem de hata ayıklama için geçerlidir.
İzleme oturumu sırasında "Veri Maskeleme" özelliği zorunlu kılınmıştır. Bu araç, izleme sırasında verilerin gösterilmesini engelleyebilir. Aşağıdaki Veri Maskeleme bölümüne bakın.
Şifrelenmiş Anahtar Değeri Haritaları (KVM'ler), PCI müşterileri için kullanılabilir. Şifrelenmiş bir KVM kullanılıyorsa izleme yine kullanılabilir ancak bazı değişkenler izleme ekranında görünmez. Bu değişkenleri izleme sırasında da görüntülemek için ek adımlar atabilirsiniz.
Trace'in kullanımıyla ilgili ayrıntılı talimatları Trace aracını kullanma başlıklı makalede bulabilirsiniz.
Şifrelenmiş KVM'ler dahil olmak üzere KVM'lerle ilgili ayrıntıları Anahtar/değer eşlemeleriyle çalışma başlıklı makalede bulabilirsiniz.
Kullanım/Yetkilendirmeler
İzlemeye erişim, Edge'deki kullanıcı hesapları için RBAC (Rolle Tabanlı Erişim Denetimi) sistemi aracılığıyla yönetilir. İzleme ayrıcalıkları vermek ve iptal etmek için RBAC sistemini kullanmayla ilgili ayrıntılı talimatlar Rolleri atama ve Kullanıcı arayüzünde özel roller oluşturma başlıklı makalelerde verilmiştir. İzleme izinleri, kullanıcının izleme başlatmasına, izlemeyi durdurmasına ve izleme oturumundan çıkışa erişmesine olanak tanır.
Trace, API çağrılarının yüküne ("Mesaj Gövdesi" olarak da bilinir) erişebildiğinden, Trace çalıştırma erişiminin kimde olduğunu dikkate almak önemlidir. Kullanıcı yönetimi müşterinin sorumluluğunda olduğundan, izleme izinlerinin verilmesi de müşterinin sorumluluğundadır. Platform sahibi olarak Apigee, müşteri kuruluşuna kullanıcı ekleme ve ayrıcalıklar atama yetkisine sahiptir. Bu özellik yalnızca müşterinin destek istemesi üzerine, müşteri hizmetinin başarısız olduğu ve bir izleme oturumunun incelenmesinin temel neden hakkında en iyi bilgileri sağlayacağı durumlarda kullanılır.
Veri maskeleme
Veri maskeleme, yalnızca bir izleme/hata ayıklama oturumu sırasında hem izlemede (Edge kullanıcı arayüzü) hem de arka uçta hata ayıklama (Edge API) tarafından hassas verilerin görüntülenmesini engeller. Maskelemenin nasıl ayarlanacağına dair ayrıntıları Verileri maskeleme ve gizleme başlıklı makalede bulabilirsiniz. Hassas verilerin maskelenmesinin amacı, PCI 3. Koşulu - Depolanan kart sahibi verilerini koruma'dır.
Veri maskeleme, verilerin günlük dosyalarında, önbellekte, analizlerde vb. görünmesini ÖNLEMEZ. Günlüklerde veri maskelemeyle ilgili yardım için logback.xml dosyasına normal ifade kalıbı ekleyebilirsiniz. Hassas veriler, genellikle güçlü bir işletme gerekçesi ve müşteri güvenliği ile yasal ekiplerinin incelemesi olmadan önbelleğe veya analizlere yazılmamalıdır.
L1 ve L2 önbelleği
PCI müşterileri, yalnızca düzenlenmemiş verilerle kullanmak üzere önbelleğe alma özelliğinden yararlanabilir. Önbellek, PCI Kart Sahibi Verileri (CHD) için kullanılmamalıdır; CHD için depolama alanı olarak Apigee PCI Uyumluluk denetimi tarafından onaylanmamıştır. PCI yönergelerine göre (3. Koşul: Depolanan kart sahibi verilerini koruyun) , PCI verileri yalnızca PCI uyumlu bir konumda saklanmalıdır. L1 önbelleği kullanıldığında L2 önbelleği de otomatik olarak kullanılır. L1 önbelleği "yalnızca bellek", L2 önbelleği ise birden fazla L1 önbelleği arasında senkronizasyon sağlamak için verileri diske yazar. L2 önbelleği, birden fazla Mesaj İşleyen'in bir bölgede ve dünya genelinde senkronize kalmasını sağlar. L1 önbelleği, arkasında L2 önbelleği olmadan etkinleştirilemez. L2 önbelleği, müşteri kuruluşunun diğer mesaj işleyicileriyle senkronize edilebilmesi için verileri diske yazar. L2 önbelleği verileri diske yazdığı için CHD veya diğer kısıtlanmış veriler için önbelleğin kullanılması desteklenmez.
CHD olmayan ve diğer sınırsız veriler için müşterilerin önbelleği kullanmasına izin verilir. Bazı müşteriler hem PCI hem de PCI ile ilgili olmayan API çağrılarını tek bir kuruluş üzerinden yürüttüğü için PCI müşterileri için önbelleği varsayılan olarak devre dışı bırakmayız. Bu özellik PCI müşterileri için hâlâ etkin olduğundan, hizmeti uygun şekilde kullanmak ve API çağrısında PCI verilerinin bulunması muhtemel olduğunda kullanıcılarını önbelleği kullanmamaları konusunda eğitmek müşterinin sorumluluğundadır. Apigee PCI Uyumluluk Denetimi, önbellekte depolanan CHD'yi desteklemez.
Önbelleği kullanmayla ilgili ayrıntılı talimatlar için Önbelleğe alma ve kalıcılık ekleme başlıklı makaleyi inceleyin.
Denetim takibi
Müşteriler, izlemenin kullanımı da dahil olmak üzere müşterinin kuruluşunda gerçekleştirilen tüm yönetim işlemlerinin denetim izini inceleyebilir. Ayrıntılı talimatları burada ve İzleme aracını kullanma başlıklı makalede bulabilirsiniz. (PCI 10. Koşulu: Ağ kaynaklarına ve kart sahibi verilerine yapılan tüm erişimleri takip edin ve izleyin)
Karmaşık şifre koşulları veya SAML
Belirli şifre şartlarına sahip müşteriler, kendi şartlarını karşılamak için SAML'yi kullanmalıdır. Edge için SAML Kimlik Doğrulamasını Etkinleştirme başlıklı makaleyi inceleyin. Edge, çok faktörlü kimlik doğrulama da sunar (PCI 8. Koşulu: Bilgisayara erişimi olan her kullanıcıya benzersiz bir kimlik atayın). Apigee hesabınızda iki faktörlü kimlik doğrulamayı etkinleştirme başlıklı makaleyi inceleyin.
Uç nokta güvenliği
Uç nokta taraması
PCI uyumluluğu için ana makinelerin taranması ve test edilmesi gerekir (11. Koşul: Güvenlik sistemlerini ve süreçlerini düzenli olarak test edin). Edge Cloud için müşteriler, Edge'deki API uç noktalarının (bazen "çalışma zamanı bileşenleri" olarak da adlandırılır) taranmasından ve test edilmesinden sorumludur. Müşteri testi, API trafiğinin işlenmeden önce Edge'e gönderildiği ve ardından müşteri veri merkezine dağıtıldığı Edge'de barındırılan gerçek API proxy hizmetlerini kapsamalıdır. Yönetim portalı kullanıcı arayüzü gibi paylaşılan kaynakların test edilmesi bireysel müşteriler için onaylanmaz (paylaşılan hizmetlerin testini kapsayan bir üçüncü taraf raporu, gizlilik sözleşmesi kapsamında ve istek üzerine müşterilere sunulur).
Müşterilerin API uç noktalarını test etmesi gerekir ve bu işlem teşvik edilir. Apigee ile yaptığınız sözleşme, API uç noktalarınızın test edilmesini yasaklamaz ancak paylaşılan yönetim kullanıcı arayüzünü test etmenize izin vermez. Ek açıklamaya ihtiyaç duyuyorsanız lütfen planladığınız teste atıfta bulunarak bir destek isteği gönderin. Test trafiğini fark edebilmemiz için Apigee'ye önceden bildirim göndermenizi rica ederiz.
Uç noktalarını test eden müşteriler, API'ye özgü sorunları ve Apigee hizmetleriyle ilgili sorunları kontrol etmeli, ayrıca TLS'yi ve diğer yapılandırılabilir öğeleri de kontrol etmelidir. Apigee hizmetleriyle ilgili olarak bulunan tüm öğeler, bir destek isteği aracılığıyla Apigee'ye bildirilmelidir.
Uç noktayla ilgili öğelerin çoğu müşteri self servis öğeleridir ve Edge dokümanları incelenerek düzeltilebilir. Nasıl düzeltileceği anlaşılamayan öğeler varsa lütfen bir destek isteği gönderin.
TLS yapılandırması
PCI standartlarına göre, SSL ve eski TLS'nin güvenli sürümlere taşınması gerekir. Müşteriler, API proxy'leri için kendi TLS uç noktalarını tanımlamaktan ve yapılandırmaktan sorumludur. Bu, Edge'deki self servis bir özelliktir. Şifreleme, protokol ve algoritma seçimleriyle ilgili müşteri gereksinimleri çok çeşitlidir ve her kullanım alanına özeldir. Apigee, her müşterinin API tasarımı ve veri yüklerinin ayrıntılarını bilmediği için aktarım sırasındaki veriler için uygun şifrelemeyi belirleme sorumluluğu müşterilere aittir. TLS yapılandırmasıyla ilgili ayrıntılı talimatları TLS/SSL sayfasında bulabilirsiniz.
Veri depolama
Edge'in düzgün çalışması için Edge'de veri depolanması gerekmez. Ancak Edge'de veri depolama için kullanılabilen hizmetler vardır. Müşteriler, veri depolama için önbelleği, anahtar/değer haritalarını veya analizleri kullanabilir. Bu hizmetlerin hiçbiri, Apigee PCI denetimine göre CHD depolama yetkisi yoktur. PCI 3. Koşulu (Depolanan kart sahibi verilerini koruma) uyarınca, PCI verileri yalnızca PCI uyumlu konumlarda saklanmalıdır. Müşteriler, PCI dışı verileri veya müşterinin güvenlik ve yasal şartlarına tabi olan diğer sınırsız verileri depolamak için bu hizmetleri kullanabilir. Bu hizmetler müşterinin self servis öğeleridir. Bu nedenle, CHD'yi yakalamayacak veya depolamayacak şekilde yapılandırmak müşterinin sorumluluğundadır. Edge'de veri depolama hizmetlerinin uyumlu olmayan bir şekilde yanlışlıkla veya kötüye kullanılmasının önlenmesi için müşteri yöneticilerinin yapılandırma, politikalar ve dağıtımlarla ilgili incelemeler yapması önerilir .
Veri şifreleme
Veri şifreleme araçları, Edge'de kullanılmak üzere müşterilere sunulmaz. Ancak müşteriler, PCI verilerini Edge'e göndermeden önce şifreleyebilir. PCI 4. Koşulu: (Kart sahibi verilerinin açık, herkese açık ağlarda aktarımını şifreleme), kart sahibi verilerinin açık, herkese açık ağlarda şifrelenmesini önerir. Yükte (veya mesaj gövdesinde) şifrelenmiş veriler Edge'in çalışmasını engellemez. Müşteri tarafından şifrelenmiş olarak alınan verilerle bazı Edge politikaları etkileşime geçemeyebilir. Örneğin, Edge'in değiştirebileceği veriler yoksa dönüşüm yapılamaz. Ancak veri yükü şifrelenmiş olsa bile diğer politikalar ve müşteri tarafından oluşturulan politikalar ile paketler çalışır.