边缘公有云的 PCI 配置指南

您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档
信息

为了让客户在 Apigee Edge 公有云上符合 PCI 标准,客户必须在“共担责任模式”下负责一些操作和流程。购买了 PCI 合规软件包并要求其符合 PCI 要求的客户应审核以下各项。这些内容在 Edge 中是自助式的,需要解决客户组织 (组织) 的问题,以符合 PCI 要求。总体概念是“Google 负责保护平台,客户保护其数据”。

客户责任表

客户在进行 PCI 审核时,应参考 Google Apigee PCI-DSS 3.2.1 责任表,并将其分享给其 PCI 合格安全评估商。

PCI 要求映射

PCI 要求 Section
要求 7:按业务知情需要限制对持卡人数据的访问

使用/授权

要求 3:保护存储的持卡人数据

数据脱敏

要求 10:跟踪和监控对网络资源和持卡人数据的所有访问

审核跟踪记录

要求 8:为每个拥有计算机访问权限的人员分配唯一 ID

复杂的密码要求或 SAML

要求 11:定期测试安全系统和流程

端点扫描

要求 4:加密持卡人数据在开放式公共网络中的传输

TLS 配置

要求 3:保护存储的持卡人数据

数据存储

要求 4:加密持卡人数据在开放式公共网络中的传输

数据加密

如需获取 PCI 数据安全标准合规性证明 (AOC),请向 Apigee 支持团队提交工单,或与您的 Apigee 销售团队联系。

跟踪 / 调试

Trace/Debug 是一种问题排查工具,可让用户在通过 Apigee Message Processor 处理 API 调用时查看 API 调用的状态和内容。Trace 和 Debug 是同一服务的两个名称,但访问机制不同。Trace 是此服务在 Edge 界面中的名称。Debug 是通过 API 调用使用的同一服务的名称。本文档中使用的“跟踪”一词对“跟踪”和“调试”都是有效的。

在跟踪会话期间,系统会强制执行“数据遮盖”。此工具可以在跟踪期间阻止显示数据。请参阅下面的数据遮盖部分。

PCI 客户可使用加密键值对映射 (KVM)。如果正在使用加密的 KVM,仍然可以使用 Trace,但某些变量将不会显示在 Trace 显示屏幕中。在跟踪期间,可以采取额外的步骤来显示这些变量。

如需了解有关使用跟踪的详细说明,请参阅使用跟踪工具

如需详细了解 KVM(包括加密的 KVM),请参阅使用键值对映射

使用/授权

对 Trace 的访问权限通过 Edge 中用户帐号的 RBAC(基于角色的访问权限控制)系统进行管理。如需详细了解如何使用 RBAC 系统授予和撤消 Trace 权限,请参阅分配角色在界面中创建自定义角色。跟踪权限允许用户启动跟踪、停止跟踪以及访问跟踪会话的输出。

由于 Trace 可以访问 API 调用的载荷(以前称为“消息正文”),因此请务必考虑谁有权运行 Trace。由于用户管理是客户的责任,因此授予 Trace 权限也是客户的责任。作为平台所有者,Apigee 能够向客户组织添加用户并分配相应权限。只有在客户服务似乎失败,并且审核跟踪会话被认为可提供有关根本原因的最佳信息的情况下,客户才会请求支持,此时才能使用该功能。

数据遮盖

数据遮盖只会在跟踪/调试会话期间阻止在 Trace(Edge 界面)和后端(由 Debug (Edge API))中显示敏感数据。如需详细了解如何设置遮盖,请参阅数据遮盖和隐藏。遮盖敏感数据是 PCI 要求 3 - 保护存储的持卡人数据的一部分

数据遮盖不会阻止数据显示在日志文件、缓存、分析数据等中。如需在日志中遮盖数据,请考虑在 logback.xml 文件中添加正则表达式模式。 通常,如果没有充分的业务理由以及经过客户安全和法务团队的审核,敏感数据不应写入缓存或分析。

L1 和 L2 缓存

缓存仅适用于 PCI 客户,只能用于不受监管的数据。缓存不应用于 PCI 持卡人数据 (CHD);它未经 Apigee PCI 合规性审核批准用作 CHD 的存储位置。根据 PCI 指南(要求 3:保护存储的持卡人数据),PCI 数据应仅存储在符合 PCI 要求的位置。使用 L1 缓存也会自动使用 L2 缓存。L1 缓存是“仅限内存”,而 L2 缓存会将数据写入磁盘以在多个 L1 缓存之间同步。L2 缓存可将多个消息处理器在一个区域内及全球保持同步。目前,如果 L1 缓存背后没有 L2 缓存,则无法启用 L1 缓存。L2 缓存会将数据写入磁盘,以便将其同步到客户组织的其他消息处理器。由于 L2 缓存会将数据写入磁盘,因此不支持将缓存用于 CHD 或其他受限数据。

对于非 CHD 和其他不受限制的数据,允许客户使用缓存。默认情况下,我们不会为 PCI 客户停用缓存,因为有些客户通过单个组织同时运行 PCI 和非 PCI 相关 API 调用。由于 PCI 客户仍然启用了该功能,因此客户有责任正确使用该服务,并训练其用户避免在 API 调用中可能存在 PCI 数据时使用缓存。Apigee PCI 合规性审核不支持存储在缓存中的 CHD。

如需详细了解如何使用缓存,请参阅添加缓存和持久性

审核跟踪

客户能够查看在客户组织中执行的所有管理活动的审核跟踪记录,包括对 Trace 的使用。有关详细说明,请参阅此处使用跟踪工具。(PCI 要求 10:跟踪和监控对网络资源和持卡人数据的所有访问

复杂的密码要求或 SAML

有特定密码要求的客户应使用 SAML 来满足其具体要求。请参阅为 Edge 启用 SAML 身份验证。Edge 还提供多重身份验证(PCI 要求 8:为拥有计算机访问权限的每个人分配一个唯一 ID)。请参阅为 Apigee 帐号启用双重身份验证

端点安全

端点扫描

必须扫描和测试主机,以确保 PCI 合规性(要求 11:定期测试安全系统和流程)。对于 Edge Cloud,客户负责在 Edge 中扫描和测试其 API 端点(有时称为“运行时组件”)。客户测试应涵盖托管在 Edge 上的实际 API 代理服务。在 Edge 上,API 流量会先发送到 Edge,进行处理,再传送到客户数据中心。 未获准针对个人客户对共享资源(例如管理门户界面)进行测试(根据保密协议要求,客户可应要求提供包含共享服务测试的第三方报告)。

客户应该并建议他们测试自己的 API 端点。您与 Apigee 的协议不会禁止测试您的 API 端点,但不允许您测试共享管理界面。不过,如果需要进一步说明,请提交支持请求,并提及您计划的测试。感谢您提前通知 Apigee,以便我们了解测试流量。

测试其端点的客户应该查找任何与 API 相关的问题、与 Apigee 服务相关的任何问题,并检查 TLS 和其他可配置项。发现与 Apigee 服务相关的任何项目均应通过支持请求传达给 Apigee。

与端点相关的大多数内容都是客户自助内容,可以通过查看 Edge 文档进行修复。如果某些内容不清楚如何解决,请提交支持请求。

TLS 配置

根据 PCI 标准,SSL 和早期 TLS 需要迁移到安全版本。客户负责为 API 代理定义和配置他们自己的 TLS 端点。这是 Edge 中的自助服务功能。关于加密、协议和算法选择的客户要求非常广泛,特定于各个用例。由于 Apigee 不了解每个客户的 API 设计和数据载荷的详细信息,因此客户有责任为传输中的数据确定合适的加密方式。如需详细了解 TLS 配置,请参阅 TLS/SSL

数据存储

Edge 并不要求在 Edge 中存储数据即可正常运行。但是,Edge 中有一些服务可用于数据存储。客户可能会选择使用缓存、键值对映射或 Google Analytics(分析)来存储数据。根据 Apigee PCI 审核,这些服务均无权存储 CHD。根据 PCI 要求 3(保护存储的持卡人数据),PCI 数据应仅存储在 PCI 合规位置。在遵守客户安全和法律要求的前提下,客户可以使用这些服务存储非 PCI 数据或其他不受限制的数据。这些服务是客户自助服务的内容,因此客户有责任将其配置为不捕获或存储 CHD。建议客户管理员审核配置、政策和部署,以避免以不合规的方式意外或恶意使用 Edge 中的数据存储服务。

数据加密

我们不向客户提供数据加密工具,供客户在 Edge 中使用。但是,客户在将其 PCI 数据发送到 Edge 之前,可以随意加密其 PCI 数据。PCI 要求 4:(加密持卡人数据在开放式公共网络中的传输)建议对开放式公共网络中的持卡人数据进行加密。载荷(或消息正文)中的加密数据不会阻止 Edge 正常运行。如果客户收到的是已加密的数据,则某些 Edge 政策可能无法与数据交互。例如,如果数据本身无法供 Edge 更改,则无法执行转换。但即使数据载荷经过加密,其他政策和客户构建的政策和捆绑包仍然适用。