Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về
Apigee X. thông tin
Để tuân thủ PCI trên Đám mây công khai Apigee Edge, khách hàng phải thực hiện một số hành động và quy trình theo "Mô hình trách nhiệm chung". Những mục sau đây phải được xem xét bởi những khách hàng đã mua gói tuân thủ PCI và bắt buộc phải tuân thủ PCI. Những mục này là tự phục vụ trong Edge và cần được giải quyết để tổ chức (org) của khách hàng tuân thủ PCI. Ý tưởng tổng thể là "Google bảo mật nền tảng, còn khách hàng bảo mật dữ liệu của họ".
Bảng trách nhiệm của khách hàng
Khách hàng nên tham khảo Bảng trách nhiệm PCI-DSS 3.2.1 của Google Apigee và chia sẻ bảng này với Đơn vị đánh giá bảo mật đủ điều kiện theo PCI khi tiến hành kiểm tra PCI của riêng họ.
Liên kết các yêu cầu của PCI
| Yêu cầu của PCI | Section |
|---|---|
| Yêu cầu 7: Hạn chế quyền truy cập vào dữ liệu chủ thẻ theo nhu cầu cần biết của doanh nghiệp | |
| Yêu cầu 3: Bảo vệ dữ liệu chủ thẻ được lưu trữ | |
| Yêu cầu 10: Theo dõi và giám sát tất cả quyền truy cập vào tài nguyên mạng và dữ liệu chủ thẻ | |
| Yêu cầu 8: Chỉ định mã nhận dạng duy nhất cho từng người có quyền truy cập vào máy tính | |
| Yêu cầu 11: Thường xuyên kiểm thử các hệ thống và quy trình bảo mật | |
| Yêu cầu 4: Mã hoá quá trình truyền dữ liệu chủ thẻ trên các mạng công khai, mở | |
| Yêu cầu 3: Bảo vệ dữ liệu chủ thẻ được lưu trữ | |
| Yêu cầu 4: Mã hoá quá trình truyền dữ liệu chủ thẻ trên các mạng công khai, mở |
Để nhận Chứng thực tuân thủ tiêu chuẩn bảo mật dữ liệu PCI (AOC), hãy mở phiếu yêu cầu hỗ trợ với Nhóm hỗ trợ Apigee hoặc liên hệ với nhóm bán hàng của Apigee.
Theo dõi / Gỡ lỗi
Theo dõi/Gỡ lỗi là một công cụ khắc phục sự cố cho phép người dùng xem trạng thái và nội dung của lệnh gọi API khi lệnh gọi đó được xử lý thông qua Trình xử lý thông báo Apigee. Theo dõi và Gỡ lỗi là hai tên cho cùng một dịch vụ nhưng được truy cập thông qua các cơ chế khác nhau. Dấu vết là tên của dịch vụ này trong giao diện người dùng Edge. Gỡ lỗi là tên của cùng một dịch vụ khi được sử dụng thông qua lệnh gọi API. Việc sử dụng thuật ngữ Theo dõi trong tài liệu này là hợp lệ cho cả tính năng Theo dõi và Gỡ lỗi.
Trong một phiên Theo dõi, tính năng "Che dữ liệu" sẽ được thực thi. Công cụ này có thể chặn dữ liệu hiển thị trong quá trình Theo dõi. Hãy xem phần Mặt nạ dữ liệu bên dưới.
Bạn có thể sử dụng Bản đồ khoá-giá trị được mã hoá (KVM) cho khách hàng PCI. Nếu đang sử dụng KVM đã mã hoá, bạn vẫn có thể sử dụng tính năng Theo dõi, nhưng một số biến sẽ không xuất hiện trên màn hình hiển thị Theo dõi. Bạn có thể thực hiện thêm các bước để hiển thị các biến này trong quá trình Theo dõi.
Bạn có thể xem hướng dẫn chi tiết về cách sử dụng công cụ Theo dõi tại phần Sử dụng công cụ Theo dõi.
Bạn có thể xem thông tin chi tiết về KVM, bao gồm cả KVM được mã hoá, tại phần Làm việc với bản đồ giá trị khoá.
Sử dụng/Uỷ quyền
Quyền truy cập vào tính năng Theo dõi được quản lý thông qua hệ thống RBAC (Kiểm soát quyền truy cập dựa trên vai trò) cho tài khoản người dùng trong Edge. Bạn có thể xem hướng dẫn chi tiết về cách sử dụng hệ thống RBAC để cấp và thu hồi đặc quyền Theo dõi tại phần Cấp vai trò và Tạo vai trò tuỳ chỉnh trong giao diện người dùng. Quyền theo dõi cho phép người dùng chạy một Dấu vết, dừng một Dấu vết, truy cập vào đầu ra từ một phiên Dấu vết.
Vì tính năng Theo dõi có quyền truy cập vào tải trọng của các lệnh gọi API (trước đây gọi là "Phần nội dung của thông báo"), nên bạn cần cân nhắc xem ai có quyền chạy tính năng Theo dõi. Vì việc quản lý người dùng là trách nhiệm của khách hàng, nên việc cấp quyền Theo dõi cũng là trách nhiệm của khách hàng. Apigee, với tư cách là chủ sở hữu nền tảng, có thể thêm người dùng vào tổ chức khách hàng và chỉ định các đặc quyền. Khả năng này chỉ được sử dụng khi khách hàng yêu cầu hỗ trợ trong trường hợp dường như dịch vụ khách hàng đang gặp sự cố và việc xem lại một phiên Theo dõi được cho là sẽ cung cấp thông tin tốt nhất về nguyên nhân gốc rễ.
Che giấu dữ liệu
Tính năng che dữ liệu chỉ ngăn việc hiển thị dữ liệu nhạy cảm trong phiên Theo dõi/Gỡ lỗi, cả trong tính năng Theo dõi (Giao diện người dùng Edge) và trong phần phụ trợ bằng tính năng Gỡ lỗi (API Edge). Bạn có thể xem thông tin chi tiết về cách thiết lập tính năng che giấu tại bài viết Ẩn và che giấu dữ liệu. Việc che giấu dữ liệu nhạy cảm là một phần của Yêu cầu 3 theo tiêu chuẩn PCI – Bảo vệ dữ liệu chủ thẻ được lưu trữ
Tính năng che dữ liệu KHÔNG ngăn dữ liệu hiển thị trong tệp nhật ký, bộ nhớ đệm, số liệu phân tích, v.v. Để được trợ giúp về tính năng che dữ liệu trong nhật ký, hãy cân nhắc thêm mẫu chính quy vào tệp logback.xml. Thông thường, bạn không nên ghi dữ liệu nhạy cảm vào bộ nhớ đệm hoặc dữ liệu phân tích nếu không có lý do kinh doanh rõ ràng và được nhóm pháp lý cũng như nhóm bảo mật của khách hàng xem xét.
Bộ nhớ đệm L1 và L2
Khách hàng PCI chỉ có thể sử dụng tính năng lưu vào bộ nhớ đệm với dữ liệu không thuộc diện quản lý. Bạn không được sử dụng bộ nhớ đệm cho Dữ liệu chủ thẻ PCI (CHD); bộ nhớ đệm không được kiểm tra tuân thủ PCI của Apigee phê duyệt làm vị trí lưu trữ cho CHD. Theo hướng dẫn của PCI (Yêu cầu 3: Bảo vệ dữ liệu chủ thẻ được lưu trữ) , dữ liệu PCI chỉ được lưu trữ ở một vị trí tuân thủ PCI. Việc sử dụng bộ nhớ đệm L1 cũng sẽ tự động sử dụng bộ nhớ đệm L2. Bộ nhớ đệm L1 là "chỉ bộ nhớ", trong khi bộ nhớ đệm L2 ghi dữ liệu vào ổ đĩa để đồng bộ hoá trên nhiều bộ nhớ đệm L1. Bộ nhớ đệm L2 là yếu tố giúp nhiều Trình xử lý thông báo đồng bộ hoá trong một khu vực và trên toàn cầu. Hiện tại, bạn không thể bật bộ nhớ đệm L1 mà không có bộ nhớ đệm L2. Bộ nhớ đệm L2 ghi dữ liệu vào ổ đĩa để có thể đồng bộ hoá với các trình xử lý thông báo khác cho tổ chức khách hàng. Vì Bộ nhớ đệm L2 ghi dữ liệu vào ổ đĩa, nên việc sử dụng bộ nhớ đệm cho CHD hoặc dữ liệu bị hạn chế khác sẽ không được hỗ trợ.
Khách hàng được phép sử dụng bộ nhớ đệm cho dữ liệu không phải CHD và dữ liệu không bị hạn chế khác. Theo mặc định, chúng tôi không tắt bộ nhớ đệm cho khách hàng PCI vì một số khách hàng chạy cả lệnh gọi API liên quan đến PCI và không liên quan đến PCI thông qua một tổ chức duy nhất. Vì tính năng này vẫn được bật cho khách hàng PCI, nên khách hàng có trách nhiệm sử dụng dịch vụ một cách thích hợp và hướng dẫn người dùng không sử dụng bộ nhớ đệm khi dữ liệu PCI có thể nằm trong lệnh gọi API. Quy trình kiểm tra tuân thủ PCI của Apigee không hỗ trợ CHD được lưu trữ trong bộ nhớ đệm.
Bạn có thể xem hướng dẫn chi tiết về cách sử dụng Bộ nhớ đệm tại phần Thêm bộ nhớ đệm và bộ nhớ cố định.
Dấu vết kiểm tra
Khách hàng có thể xem lại nhật ký kiểm tra của tất cả hoạt động quản trị được thực hiện trong tổ chức của khách hàng, bao gồm cả việc sử dụng tính năng Theo dõi. Bạn có thể xem hướng dẫn chi tiết tại đây và trong phần Sử dụng công cụ Theo dõi. (Yêu cầu 10 của PCI: Theo dõi và giám sát tất cả quyền truy cập vào tài nguyên mạng và dữ liệu chủ thẻ)
Yêu cầu phức tạp về mật khẩu hoặc SAML
Những khách hàng có yêu cầu cụ thể về mật khẩu nên sử dụng SAML để đáp ứng các yêu cầu riêng của họ. Xem bài viết Bật tính năng xác thực bằng SAML cho Edge. Edge cũng cung cấp tính năng xác thực đa yếu tố (Yêu cầu 8 của PCI: Chỉ định mã nhận dạng duy nhất cho mỗi người có quyền truy cập vào máy tính). Xem bài viết Bật tính năng xác thực hai yếu tố cho tài khoản Apigee.
Bảo mật thiết bị đầu cuối
Quét thiết bị đầu cuối
Bạn phải quét và kiểm tra máy chủ lưu trữ để tuân thủ PCI (Yêu cầu 11: Thường xuyên kiểm tra hệ thống và quy trình bảo mật). Đối với Edge Cloud, khách hàng chịu trách nhiệm quét và kiểm thử các điểm cuối API (đôi khi được gọi là "thành phần thời gian chạy") trong Edge. Quy trình kiểm thử của khách hàng phải bao gồm các dịch vụ proxy API thực tế được lưu trữ trên Edge, trong đó lưu lượng truy cập API được gửi vào Edge trước khi được xử lý rồi phân phối đến trung tâm dữ liệu của khách hàng. Khách hàng cá nhân không được phê duyệt để thử nghiệm các tài nguyên dùng chung, chẳng hạn như giao diện người dùng của cổng quản lý (khách hàng có thể xem báo cáo của bên thứ ba về việc thử nghiệm các dịch vụ dùng chung theo thoả thuận không tiết lộ và theo yêu cầu).
Khách hàng nên và được khuyến khích kiểm thử các điểm cuối API của họ. Thoả thuận của bạn với Apigee không cấm việc kiểm thử các điểm cuối API, nhưng chúng tôi không cho phép bạn kiểm thử giao diện người dùng quản lý dùng chung. Tuy nhiên, nếu cần giải thích thêm, vui lòng mở một yêu cầu hỗ trợ tham chiếu đến hoạt động kiểm thử mà bạn dự định thực hiện. Bạn nên thông báo trước cho Apigee để chúng tôi có thể nhận biết lưu lượng truy cập thử nghiệm.
Khách hàng kiểm thử điểm cuối của họ nên tìm mọi vấn đề liên quan đến API, mọi vấn đề liên quan đến dịch vụ Apigee, đồng thời kiểm tra TLS và các mục có thể định cấu hình khác. Mọi mục được phát hiện có liên quan đến các dịch vụ của Apigee phải được thông báo cho Apigee thông qua yêu cầu hỗ trợ.
Hầu hết các mục liên quan đến điểm cuối đều là các mục tự phục vụ của khách hàng và có thể được khắc phục bằng cách xem lại tài liệu về Edge. Nếu có mục mà bạn không rõ cách khắc phục, vui lòng mở yêu cầu hỗ trợ.
Cấu hình TLS
Theo các tiêu chuẩn PCI, bạn cần di chuyển SSL và TLS ban đầu sang các phiên bản bảo mật. Khách hàng chịu trách nhiệm xác định và định cấu hình các điểm cuối TLS của riêng họ cho proxy API. Đây là một tính năng tự phục vụ trong Edge. Yêu cầu của khách hàng về lựa chọn mã hoá, giao thức và thuật toán rất đa dạng và cụ thể theo từng trường hợp sử dụng. Vì Apigee không biết thông tin chi tiết về thiết kế API và tải trọng dữ liệu của mỗi khách hàng, nên khách hàng có trách nhiệm xác định phương thức mã hoá phù hợp cho dữ liệu trong quá trình truyền. Bạn có thể xem hướng dẫn chi tiết về cấu hình TLS tại TLS/SSL.
Bộ nhớ dữ liệu
Edge không bắt buộc phải lưu trữ dữ liệu trong Edge để hoạt động đúng cách. Tuy nhiên, có một số dịch vụ lưu trữ dữ liệu trong Edge. Khách hàng có thể chọn sử dụng bộ nhớ đệm, bản đồ khoá-giá trị hoặc số liệu phân tích để lưu trữ dữ liệu. Theo quy trình kiểm tra PCI của Apigee, không có dịch vụ nào trong số này được phép lưu trữ CHD. Theo Yêu cầu 3 của PCI (Bảo vệ dữ liệu chủ thẻ được lưu trữ), dữ liệu PCI chỉ được lưu trữ ở những vị trí tuân thủ PCI. Khách hàng có thể sử dụng các dịch vụ này để lưu trữ dữ liệu không phải PCI hoặc dữ liệu không bị hạn chế khác tuân theo các yêu cầu pháp lý và bảo mật của khách hàng. Các dịch vụ này là các mục tự phục vụ của khách hàng, vì vậy, khách hàng có trách nhiệm định cấu hình các dịch vụ này để không thu thập hoặc lưu trữ CHD. Bạn nên yêu cầu quản trị viên của khách hàng xem xét cấu hình, chính sách và hoạt động triển khai để tránh việc sử dụng dịch vụ lưu trữ dữ liệu trong Edge theo cách không tuân thủ hoặc do vô tình .
Mã hoá dữ liệu
Khách hàng không được cung cấp các công cụ mã hoá dữ liệu để sử dụng trong Edge. Tuy nhiên, khách hàng có thể tự do mã hoá dữ liệu PCI của mình trước khi gửi đến Edge. Yêu cầu 4 của PCI: (Mã hoá việc truyền dữ liệu chủ thẻ trên các mạng công khai, mở) Bạn nên mã hoá dữ liệu chủ thẻ trên các mạng công khai, mở. Dữ liệu được mã hoá trong tải trọng (hoặc Nội dung thư) không ngăn Edge hoạt động. Một số chính sách Edge có thể không tương tác được với dữ liệu nếu khách hàng nhận được dữ liệu đã mã hoá. Ví dụ: không thể thực hiện phép biến đổi nếu chính dữ liệu đó không có sẵn để Edge thay đổi. Tuy nhiên, các chính sách khác và các gói và chính sách do khách hàng tạo sẽ hoạt động ngay cả khi tải trọng dữ liệu được mã hoá.