您正在查看 Apigee Edge 文档。
前往 Apigee X 文档。 信息
为了让客户符合 Apigee Edge 公有云的 PCI 要求,客户需在“共担责任模型”下拥有一些操作和流程。购买了 PCI 合规性套件且需要符合 PCI 标准的客户应审核以下各项。这些项目是 Edge 中的自助服务,需要由客户组织 (org) 解决以符合 PCI 标准。总体概念是“Google 保护平台数据,客户保护其数据”。
客户责任矩阵
客户在自行开展 PCI 审核时,应参考 Google Apigee PCI-DSS 3.2.1 责任矩阵,并与其 PCI 具备资质的安全评估机构分享该矩阵。
PCI 要求映射
| PCI 要求 | 对应的节 |
|---|---|
| 要求 7:按业务知情需要限制对持卡人数据的访问 | |
| 要求 3:保护存储的持卡人数据 | |
| 要求 10:跟踪和监控对网络资源和持卡人数据的所有访问 | |
| 要求 8:为每个拥有计算机访问权限的人员分配唯一 ID | |
| 要求 11:定期测试安全系统和流程 | |
| 要求 4:加密持卡人数据在开放式公共网络中的传输 | |
| 要求 3:保护存储的持卡人数据 | |
| 要求 4:加密持卡人数据在开放式公共网络中的传输 |
如需获取 PCI 数据安全标准合规性 (AOC) 认证,请向 Apigee 支持团队提交工单,或与 Apigee 销售团队联系。
跟踪 / 调试
跟踪/调试是一种问题排查工具,可让用户在 Apigee 消息处理器处理 API 调用的过程中查看 API 调用的状态和内容。“Trace”和“Debug”是同一服务的两个名称,但通过不同的机制进行访问。Trace 是 Edge 界面中此服务的名称。通过 API 调用使用时,Debug 是同一服务的名称。 本文档中使用“轨迹”一词既适用于轨迹,也适用于调试。
在跟踪会话期间,系统会强制执行“数据脱敏”。此工具可以阻止在跟踪期间显示数据。请参阅下面的数据脱敏部分。
加密键值对映射 (KVM) 可供 PCI 客户使用。如果使用的是加密的 KVM,则仍可使用轨迹,但轨迹显示屏中不会显示某些变量。您可以执行其他步骤,以便在跟踪期间也显示这些变量。
如需详细了解如何使用 Trace,请参阅使用 Trace 工具。
如需详细了解 KVM(包括加密的 KVM),请参阅使用键值对映射。
使用/授权
通过 Edge 中用户账号的 RBAC(基于角色的访问控制)系统管理对轨迹的访问权限。如需详细了解如何使用 RBAC 系统授予和撤消轨迹权限,请参阅分配角色和在界面中创建自定义角色。跟踪权限允许用户启动跟踪、停止跟踪,以及访问跟踪会话的输出。
由于轨迹可以访问 API 调用的载荷(以前称为“消息正文”),因此请务必考虑谁可以运行轨迹。由于用户管理是客户责任,因此授予轨迹权限也是客户责任。作为平台所有者,Apigee 可以将用户添加到客户组织中并分配权限。只有在客户请求支持时,且客户服务似乎未能解决问题,并且认为查看轨迹会话最有助于了解根本原因时,才会使用此功能。
数据遮盖
数据脱敏可防止在跟踪/调试会话期间在跟踪(Edge 界面)和 Debug (Edge API) 后端中显示敏感数据。如需详细了解如何设置脱敏,请参阅数据脱敏和隐藏。遮盖敏感数据是 PCI 要求 3 - 保护存储的持卡人数据的一部分
数据脱敏不会阻止数据在日志文件、缓存、分析等位置显示。如需有关在日志中脱敏数据的帮助,不妨考虑向 logback.xml 文件添加正则表达式模式。 通常,在没有强有力的业务理由和客户安全与法律团队审核的情况下,不得将敏感数据写入缓存或分析内容。
L1 和 L2 缓存
PCI 客户可以使用缓存功能,但只能将其用于非受监管数据。缓存不应用于 PCI 持卡人数据 (CHD);它未获得 Apigee PCI 合规性审核的批准,不能用作 CHD 的存储位置。根据 PCI 指南(要求 3:保护存储的持卡人数据),PCI 数据应仅存储在符合 PCI 规定的位置。使用 L1 缓存时,系统也会自动使用 L2 缓存。L1 缓存是“纯内存”缓存,而 L2 缓存会将数据写入磁盘,以便在多个 L1 缓存之间进行同步。L2 缓存可确保多个消息处理器在一个区域内和全球范围内保持同步。目前,如果没有 L2 缓存,则无法启用 L1 缓存。L2 缓存会将数据写入磁盘,以便将其同步到客户组织的其他消息处理器。由于 L2 缓存会将数据写入磁盘,因此不支持将缓存用于 CHD 或其他受限数据。
客户可以使用缓存来存储非 CHD 数据和其他不受限制的数据。默认情况下,我们不会为 PCI 客户停用缓存,因为有些客户会通过单个组织同时运行 PCI 和非 PCI 相关的 API 调用。由于此功能仍可供 PCI 客户使用,因此客户有责任妥善使用此服务,并培训其用户在 API 调用中可能包含 PCI 数据时不要使用缓存。Apigee PCI 合规性审核不支持存储在缓存中的 CHD。
如需详细了解如何使用缓存,请参阅添加缓存和持久性。
审核跟踪
客户可以审查在客户的组织中执行的所有管理活动的审核跟踪,包括使用 Trace。如需详细说明,请参阅此处和使用轨迹工具。(PCI 要求 10:跟踪和监控对网络资源和持卡人数据的所有访问)
复杂的密码要求或 SAML
具有特定密码要求的客户应使用 SAML 来满足其各自的要求。 请参阅为 Edge 启用 SAML 身份验证。Edge 还提供多重身份验证(PCI 要求 8:为每个拥有计算机访问权限的人员分配唯一 ID)。请参阅为 Apigee 账号启用双重身份验证。
端点安全
端点扫描
需要扫描主机并进行测试,以确保符合 PCI 合规性要求(要求 11:定期测试安全系统和流程)。对于 Edge Cloud,客户负责在 Edge 中扫描和测试其 API 端点(有时称为“运行时组件”)。客户测试应涵盖在 Edge 上托管的实际 API 代理服务,即 API 流量在处理之前发送到 Edge,然后发送到客户数据中心。尚未批准为个人客户对共享资源(例如管理门户界面)进行测试(依照保密协议,经客户同意才能通过针对共享服务测试的第三方报告)。
客户应该并建议他们测试自己的 API 端点。您与 Apigee 达成的协议并未禁止测试 API 端点,但不允许您测试共享管理界面。不过,如果需要进一步说明,请提交支持请求,并提供您计划进行的测试的相关信息。建议提前通知 Apigee,以便我们了解测试流量。
测试其端点的客户应该查找任何与 API 相关的问题、与 Apigee 服务相关的任何问题,并检查 TLS 和其他可配置项。找到的任何与 Apigee 服务有关的项目都应通过支持请求告知 Apigee。
大多数与端点相关的项目都是客户自助项目,您可以通过查看 Edge 文档来解决问题。如果有项目是不清楚如何解决的问题,请提出支持请求。
TLS 配置
根据 PCI 标准,SSL 和早期 TLS 需要迁移到安全版本。客户负责为 API 代理定义和配置他们自己的 TLS 端点。这是 Edge 中的自助式功能。关于加密、协议和算法选择的客户要求非常广泛,特定于各个用例。由于 Apigee 并不了解每个客户的 API 设计和数据负载的详细信息,因此客户需自行负责为传输中的数据确定合适的加密。如需详细了解 TLS 配置,请参阅 TLS/SSL。
数据存储
Edge 无需进行 Edge 存储数据即可正常运行。不过,Edge 中提供了一些数据存储服务。客户可能会选择使用缓存、键值对映射或用于数据存储的分析。根据 Apigee PCI 审核,这些服务均未获得存储持卡人数据 (CHD) 的授权。根据 PCI 要求 3(保护存储的持卡人数据),PCI 数据应仅存储在符合 PCI 规定的位置。根据客户的安全和法律要求,客户可以使用这些服务来存储非 PCI 数据或其他不受限制的数据。这些服务属于客户自助服务项目,因此客户需自行负责不将其配置为捕获或存储 CHD。建议客户管理员对配置、政策和部署进行审查,以避免以不符合要求的方式在 Edge 中意外使用或恶意使用数据存储服务。
数据加密
数据加密工具不适用于客户在 Edge 内使用的情况。不过,客户在发送到 Edge 之前,可以自由地加密其 PCI 数据。PCI 要求 4:加密持卡人数据在开放式公共网络中的传输建议加密开放公共网络上的持卡人数据。载荷(或消息正文)中的加密数据不会阻止 Edge 正常运行。部分 Edge 政策可能无法在客户收到加密的数据后与其交互。例如,如果数据本身不可供 Edge 更改,则无法进行转换。但是,即使数据负载已加密,其他政策和客户内置政策和软件包也会生效。