এজ পাবলিক ক্লাউডের জন্য PCI কনফিগারেশন গাইড

আপনি Apigee Edge ডকুমেন্টেশন দেখছেন।
Apigee X ডকুমেন্টেশনে যান । তথ্য

Apigee Edge পাবলিক ক্লাউডে PCI অনুগত হওয়ার জন্য একজন গ্রাহকের জন্য, "শেয়ারড রেসপনসিবিলিটি মডেল" এর অধীনে গ্রাহকের মালিকানাধীন কিছু ক্রিয়া এবং প্রক্রিয়া রয়েছে৷ নিম্নলিখিত আইটেমগুলি সেই গ্রাহকদের দ্বারা পর্যালোচনা করা উচিত যারা PCI কমপ্লায়েন্স প্যাক কিনেছেন এবং PCI অনুগত হতে হবে। এই আইটেমগুলি এজ-এর মধ্যে স্ব-পরিষেবা এবং গ্রাহক সংস্থার (org) PCI অনুগত হওয়ার জন্য এগুলিকে সম্বোধন করা প্রয়োজন৷ ব্যাপক ধারণা হল "গুগল প্ল্যাটফর্ম সুরক্ষিত করে, গ্রাহক তাদের ডেটা সুরক্ষিত করে।"

গ্রাহক দায়বদ্ধতা ম্যাট্রিক্স

গ্রাহকদের উচিত Google Apigee PCI-DSS 3.2.1 রেসপন্সিবিলিটি ম্যাট্রিক্স উল্লেখ করা এবং তাদের নিজস্ব PCI অডিট পরিচালনা করার সময় তাদের PCI যোগ্য নিরাপত্তা মূল্যায়নকারীর সাথে শেয়ার করা উচিত।

PCI প্রয়োজনীয়তা ম্যাপিং

একটি PCI ডেটা সিকিউরিটি স্ট্যান্ডার্ড অ্যাটেস্টেশন অফ কমপ্লায়েন্স (AOC) পেতে, Apigee সাপোর্টের সাথে একটি টিকিট খুলুন বা আপনার Apigee বিক্রয় দলের সাথে যোগাযোগ করুন।

ট্রেস/ডিবাগ

ট্রেস/ডিবাগ হল একটি সমস্যা সমাধানের টুল যা ব্যবহারকারীকে একটি API কলের স্থিতি এবং বিষয়বস্তু দেখতে দেয় কারণ এটি Apigee মেসেজ প্রসেসরের মাধ্যমে প্রক্রিয়া করা হয়। ট্রেস এবং ডিবাগ একই পরিষেবার জন্য দুটি নাম কিন্তু বিভিন্ন প্রক্রিয়ার মাধ্যমে অ্যাক্সেস করা হয়। ট্রেস হল এজ UI এর ভিতরে এই পরিষেবাটির নাম। API কলের মাধ্যমে ব্যবহার করার সময় ডিবাগ হল একই পরিষেবার নাম। এই নথিতে ট্রেস শব্দের ব্যবহার ট্রেস এবং ডিবাগ উভয়ের জন্যই বৈধ।

একটি ট্রেস সেশন চলাকালীন, "ডেটা মাস্কিং" প্রয়োগ করা হয়। এই টুল একটি ট্রেস সময় প্রদর্শিত হতে ডেটা ব্লক করতে পারে. নীচের ডেটা মাস্কিং বিভাগটি দেখুন।

এনক্রিপ্টেড কী ভ্যালু ম্যাপ (KVMs) PCI গ্রাহকদের জন্য ব্যবহার করা যেতে পারে। যদি একটি এনক্রিপ্ট করা KVM ব্যবহার করা হয়, ট্রেস এখনও ব্যবহার করা যেতে পারে, তবে কিছু ভেরিয়েবল ট্রেস ডিসপ্লে স্ক্রিনে দৃশ্যমান হবে না। ট্রেসের সময় এই ভেরিয়েবলগুলি প্রদর্শন করার জন্য অতিরিক্ত পদক্ষেপ নেওয়া সম্ভব।

ট্রেস ব্যবহারের বিস্তারিত নির্দেশাবলী ট্রেস টুল ব্যবহার করে পাওয়া যায়।

এনক্রিপ্ট করা KVM সহ KVM-এর বিশদ বিবরণ কী মান মানচিত্রের সাথে কাজ করাতে পাওয়া যায়।

ব্যবহার/অনুমোদন

এজ-এর মধ্যে থাকা ব্যবহারকারীর অ্যাকাউন্টগুলির জন্য RBAC (রোল-ভিত্তিক অ্যাক্সেস কন্ট্রোল) সিস্টেমের মাধ্যমে ট্রেসে অ্যাক্সেস পরিচালিত হয়। ট্রেস বিশেষাধিকার প্রদান এবং প্রত্যাহার করার জন্য RBAC সিস্টেম ব্যবহার করার বিস্তারিত নির্দেশাবলী UI-তে ভূমিকা বরাদ্দ করা এবং কাস্টম ভূমিকা তৈরি করা-তে পাওয়া যায়। ট্রেস অনুমতি ব্যবহারকারীকে একটি ট্রেস চালু করতে, একটি ট্রেস বন্ধ করতে, একটি ট্রেস সেশন থেকে আউটপুট অ্যাক্সেস করতে দেয়।

যেহেতু ট্রেসের কাছে API কলগুলির পেলোডের অ্যাক্সেস রয়েছে (আনুষ্ঠানিকভাবে "মেসেজ বডি" বলা হয়), ট্রেস চালানোর জন্য কার অ্যাক্সেস আছে তা বিবেচনা করা গুরুত্বপূর্ণ। যেহেতু ব্যবহারকারী ব্যবস্থাপনা একটি গ্রাহকের দায়িত্ব, ট্রেস অনুমতি প্রদানও একটি গ্রাহকের দায়িত্ব। Apigee, প্ল্যাটফর্মের মালিক হিসাবে, একটি গ্রাহক সংস্থায় একজন ব্যবহারকারীকে যুক্ত করার এবং বিশেষাধিকারগুলি বরাদ্দ করার ক্ষমতা রাখে৷ এই ক্ষমতাটি শুধুমাত্র এমন একটি পরিস্থিতিতে সমর্থনের জন্য গ্রাহকের অনুরোধের উপর ব্যবহার করা হয় যেখানে এটি প্রদর্শিত হয় যে গ্রাহক পরিষেবা ব্যর্থ হচ্ছে এবং একটি ট্রেস সেশন পর্যালোচনা করা মূল কারণ সম্পর্কে সর্বোত্তম তথ্য প্রদান করে বলে বিশ্বাস করা হয়।

ডেটা মাস্কিং

ডেটা মাস্কিং শুধুমাত্র ট্রেস/ডিবাগ সেশনের সময় সংবেদনশীল ডেটা প্রদর্শনকে বাধা দেয়, ট্রেস (এজ UI) এবং ডিবাগ (এজ API) দ্বারা ব্যাকএন্ড উভয় ক্ষেত্রেই। কিভাবে মাস্কিং সেট আপ করবেন তার বিশদ তথ্য মাস্কিং এবং হাইডিং এ উপলব্ধ। সংবেদনশীল ডেটা মাস্ক করা হল পিসিআই প্রয়োজনীয়তা 3-এর অংশ - সঞ্চিত কার্ডহোল্ডার ডেটা সুরক্ষিত করুন

ডেটা মাস্কিং লগ ফাইল, ক্যাশে, বিশ্লেষণ ইত্যাদিতে ডেটা দৃশ্যমান হতে বাধা দেয় না৷ লগগুলিতে ডেটা মাস্কিংয়ে সহায়তার জন্য, logback.xml ফাইলে একটি রেজেক্স প্যাটার্ন যুক্ত করার কথা বিবেচনা করুন৷ সংবেদনশীল ডেটা সাধারণত ক্যাশে বা বিশ্লেষণে লেখা উচিত নয় একটি শক্তিশালী ব্যবসায়িক ন্যায্যতা এবং গ্রাহক নিরাপত্তা এবং আইনি দল দ্বারা পর্যালোচনা ছাড়া।

L1 এবং L2 ক্যাশে

ক্যাশিং PCI গ্রাহকদের জন্য শুধুমাত্র অ-নিয়ন্ত্রিত ডেটার সাথে ব্যবহারের জন্য উপলব্ধ। PCI কার্ড হোল্ডার ডেটা (CHD) এর জন্য ক্যাশে ব্যবহার করা উচিত নয়; এটি CHD-এর জন্য একটি স্টোরেজ অবস্থান হিসাবে Apigee PCI কমপ্লায়েন্স অডিট দ্বারা অনুমোদিত নয়। PCI নির্দেশিকা অনুসারে ( প্রয়োজনীয়তা 3: সংরক্ষিত কার্ডধারক ডেটা সুরক্ষিত করুন ), PCI ডেটা শুধুমাত্র PCI অনুগত অবস্থানে সংরক্ষণ করা উচিত। L1 ক্যাশের ব্যবহার স্বয়ংক্রিয়ভাবে L2 ক্যাশেও ব্যবহার করবে। L1 ক্যাশে "কেবল মেমরি" যেখানে L2 ক্যাশে একাধিক L1 ক্যাশে জুড়ে সিঙ্ক্রোনাইজ করার জন্য ডিস্কে ডেটা লেখে। L2 ক্যাশে একটি অঞ্চলে এবং বিশ্বব্যাপী একাধিক বার্তা প্রসেসরকে সিঙ্কে রাখে। এটির পিছনে একটি L2 ক্যাশে ছাড়া L1 ক্যাশে সক্ষম করা বর্তমানে সম্ভব নয়৷ L2 ক্যাশে ডিস্কে ডেটা লেখে যাতে এটি গ্রাহক সংস্থার জন্য অন্যান্য বার্তা প্রসেসরের সাথে সিঙ্ক করা যায়। যেহেতু L2 ক্যাশে ডিস্কে ডেটা লেখে, তাই CHD বা অন্যান্য সীমাবদ্ধ ডেটার জন্য ক্যাশের ব্যবহার সমর্থিত নয়।

গ্রাহকদের দ্বারা ক্যাশে ব্যবহার নন-CHD এবং অন্যান্য অনিয়ন্ত্রিত ডেটার জন্য অনুমোদিত। আমরা PCI গ্রাহকদের জন্য ডিফল্টরূপে ক্যাশে নিষ্ক্রিয় করি না, কারণ কিছু গ্রাহকরা একটি একক সংস্থার মাধ্যমে PCI এবং নন-PCI সম্পর্কিত API কল চালান। যেহেতু সক্ষমতা এখনও PCI গ্রাহকদের জন্য সক্ষম করা আছে, এটি গ্রাহকের দায়িত্ব হল পরিষেবাটি যথাযথভাবে ব্যবহার করা এবং PCI ডেটা যখন API কলে থাকার সম্ভাবনা থাকে তখন ক্যাশে ব্যবহার না করার জন্য তাদের ব্যবহারকারীদের প্রশিক্ষণ দেওয়া। Apigee PCI কমপ্লায়েন্স অডিট ক্যাশে সংরক্ষিত CHD সমর্থন করে না।

ক্যাশে ব্যবহার করার বিস্তারিত নির্দেশাবলী ক্যাশিং এবং অধ্যবসায় যোগ করা এ উপলব্ধ।

অডিট ট্রেইল

গ্রাহকদের ট্রেস ব্যবহার সহ গ্রাহকের প্রতিষ্ঠানের মধ্যে সম্পাদিত সমস্ত প্রশাসনিক ক্রিয়াকলাপের অডিট ট্রেল পর্যালোচনা করার ক্ষমতা রয়েছে। বিস্তারিত নির্দেশাবলী এখানে এবং ট্রেস টুল ব্যবহার করে পাওয়া যায়। ( পিসিআই প্রয়োজনীয়তা 10: নেটওয়ার্ক সংস্থান এবং কার্ডহোল্ডার ডেটাতে সমস্ত অ্যাক্সেস ট্র্যাক করুন এবং নিরীক্ষণ করুন )

জটিল পাসওয়ার্ডের প্রয়োজনীয়তা বা SAML

নির্দিষ্ট পাসওয়ার্ডের প্রয়োজনীয়তা সহ গ্রাহকদের তাদের ব্যক্তিগত প্রয়োজনীয়তা পূরণ করতে SAML ব্যবহার করা উচিত। এজ এর জন্য SAML প্রমাণীকরণ সক্ষম করা দেখুন। এজ মাল্টি-ফ্যাক্টর প্রমাণীকরণও অফার করে ( পিসিআই প্রয়োজনীয়তা 8: কম্পিউটার অ্যাক্সেস সহ প্রতিটি ব্যক্তির জন্য একটি অনন্য আইডি বরাদ্দ করুন )। আপনার Apigee অ্যাকাউন্টের জন্য দ্বি-ফ্যাক্টর প্রমাণীকরণ সক্ষম করুন দেখুন।

শেষ পয়েন্ট নিরাপত্তা

এন্ডপয়েন্ট স্ক্যানিং

PCI সম্মতির জন্য হোস্টের স্ক্যানিং এবং পরীক্ষা করা প্রয়োজন ( প্রয়োজনীয়তা 11: নিয়মিত নিরাপত্তা সিস্টেম এবং প্রক্রিয়া পরীক্ষা করুন )। এজ ক্লাউডের জন্য, গ্রাহকরা এজে তাদের API এন্ডপয়েন্ট (কখনও কখনও "রানটাইম উপাদান" বলা হয়) স্ক্যানিং এবং পরীক্ষার জন্য দায়ী। গ্রাহক পরীক্ষায় এজে হোস্ট করা প্রকৃত API প্রক্সি পরিষেবাগুলিকে কভার করা উচিত যেখানে API ট্র্যাফিক প্রক্রিয়া করার আগে এজে পাঠানো হয় এবং তারপরে গ্রাহক ডেটাসেন্টারে বিতরণ করা হয়। শেয়ার্ড রিসোর্স পরীক্ষা করা, যেমন ম্যানেজমেন্ট পোর্টাল UI, পৃথক গ্রাহকদের জন্য অনুমোদিত নয় (একটি তৃতীয় পক্ষের প্রতিবেদন শেয়ার করা পরিষেবাগুলির পরীক্ষা কভার করে গ্রাহকদের কাছে একটি অ-প্রকাশ চুক্তির অধীনে এবং অনুরোধের ভিত্তিতে উপলব্ধ)।

গ্রাহকদের উচিত, এবং তাদের API এন্ডপয়েন্ট পরীক্ষা করতে উৎসাহিত করা। Apigee-এর সাথে আপনার চুক্তি আপনার API এন্ডপয়েন্টের পরীক্ষা নিষিদ্ধ করে না, কিন্তু আমরা আপনাকে শেয়ার্ড ম্যানেজমেন্ট UI পরীক্ষা করার অনুমতি দিই না। যদিও অতিরিক্ত স্পষ্টীকরণের প্রয়োজন হয়, অনুগ্রহ করে আপনার পরিকল্পিত পরীক্ষার উল্লেখ করে একটি সমর্থন অনুরোধ খুলুন। Apigee কে অগ্রিম বিজ্ঞপ্তি দেওয়া হয়েছে যাতে আমরা পরীক্ষার ট্রাফিক সম্পর্কে সচেতন হতে পারি।

গ্রাহকদের তাদের এন্ডপয়েন্ট পরীক্ষা করা উচিত যেকোন API-নির্দিষ্ট সমস্যা, Apigee পরিষেবার সাথে সম্পর্কিত যে কোনও সমস্যা এবং TLS এবং অন্যান্য কনফিগারযোগ্য আইটেমগুলিও পরীক্ষা করা উচিত। Apigee পরিষেবার সাথে সম্পর্কিত যে কোন আইটেম পাওয়া যায় একটি সমর্থন অনুরোধের মাধ্যমে Apigee এর সাথে যোগাযোগ করা উচিত।

এন্ডপয়েন্টের সাথে সম্পর্কিত বেশিরভাগ আইটেম হল গ্রাহকের স্ব-পরিষেবা আইটেম এবং এজ ডকুমেন্টেশন পর্যালোচনা করে ঠিক করা যেতে পারে। যদি এমন কিছু আইটেম থাকে যেখানে সেগুলি কীভাবে ঠিক করা যায় তা স্পষ্ট নয়, অনুগ্রহ করে একটি সমর্থন অনুরোধ খুলুন।

TLS কনফিগারেশন

PCI মান অনুযায়ী, SSL এবং প্রারম্ভিক TLS-কে সুরক্ষিত সংস্করণে স্থানান্তরিত করতে হবে। গ্রাহকরা API প্রক্সিগুলির জন্য তাদের নিজস্ব TLS এন্ডপয়েন্টগুলি সংজ্ঞায়িত এবং কনফিগার করার জন্য দায়ী৷ এটি এজ-এ একটি স্ব-পরিষেবা বৈশিষ্ট্য। এনক্রিপশন, প্রোটোকল এবং অ্যালগরিদম নির্বাচনের আশেপাশে গ্রাহকের প্রয়োজনীয়তা ব্যাপকভাবে পরিবর্তনশীল এবং পৃথক ব্যবহারের ক্ষেত্রে নির্দিষ্ট। যেহেতু Apigee প্রতিটি গ্রাহকের API ডিজাইন এবং ডেটা পেলোডের বিবরণ জানে না, তাই ট্রানজিটে ডেটার জন্য উপযুক্ত এনক্রিপশন নির্ধারণ করার দায়িত্ব গ্রাহকদের রয়েছে। TLS কনফিগারেশনের বিস্তারিত নির্দেশাবলী TLS/SSL এ উপলব্ধ।

ডেটা স্টোরেজ

এজ সঠিকভাবে কাজ করার জন্য এজের মধ্যে ডেটা সঞ্চয় করার প্রয়োজন নেই। যাইহোক, এজ-এ ডেটা স্টোরেজের জন্য উপলব্ধ পরিষেবা রয়েছে। গ্রাহকরা ডেটা স্টোরেজের জন্য ক্যাশে, মূল মান মানচিত্র বা বিশ্লেষণ ব্যবহার করতে বেছে নিতে পারেন। Apigee PCI অডিট অনুযায়ী CHD সংরক্ষণের জন্য এই পরিষেবাগুলির কোনোটিই অনুমোদিত নয়। PCI প্রয়োজনীয়তা 3 (সংরক্ষিত কার্ডহোল্ডার ডেটা সুরক্ষিত করুন) অনুসারে, PCI ডেটা শুধুমাত্র PCI সম্মত স্থানে সংরক্ষণ করা উচিত। এই পরিষেবাগুলির ব্যবহার গ্রাহকদের নিরাপত্তা এবং আইনি প্রয়োজনীয়তা সাপেক্ষে নন-PCI ডেটা বা অন্যান্য অনিয়ন্ত্রিত ডেটা সংরক্ষণের জন্য উপলব্ধ। এই পরিষেবাগুলি গ্রাহকের স্ব-পরিষেবা আইটেম, তাই CHD ক্যাপচার বা সংরক্ষণ না করার জন্য তাদের কনফিগার করা গ্রাহকের দায়িত্ব৷ গ্রাহক অ্যাডমিনিস্ট্রেটরদের দ্বারা কনফিগারেশন, নীতি এবং স্থাপনার পর্যালোচনাগুলি এজ-এ ডেটা স্টোরেজ পরিষেবাগুলির দুর্ঘটনাজনিত বা দূষিত ব্যবহার এড়াতে একটি অ-সম্মতিমূলক পদ্ধতিতে সুপারিশ করা হয়৷

ডেটা এনক্রিপশন

ডেটা এনক্রিপশন সরঞ্জামগুলি গ্রাহকদের এজের ভিতরে ব্যবহারের জন্য অফার করা হয় না। যাইহোক, গ্রাহকরা এজ-এ পাঠানোর আগে তাদের PCI ডেটা এনক্রিপ্ট করতে বিনামূল্যে। PCI প্রয়োজনীয়তা 4: (খোলা, পাবলিক নেটওয়ার্ক জুড়ে কার্ডহোল্ডার ডেটা এনক্রিপ্ট ট্রান্সমিশন) খোলা, পাবলিক নেটওয়ার্ক জুড়ে কার্ডহোল্ডার ডেটা এনক্রিপ্ট করার সুপারিশ করে। পেলোডে এনক্রিপ্ট করা ডেটা (বা মেসেজ বডি) এজকে কাজ করতে বাধা দেয় না। কিছু এজ নীতিগুলি গ্রাহকের দ্বারা এনক্রিপ্ট করা হলে ডেটার সাথে ইন্টারঅ্যাক্ট করতে অক্ষম হতে পারে৷ উদাহরণস্বরূপ, একটি রূপান্তর সম্ভব নয় যদি ডেটা নিজেই পরিবর্তনের জন্য এজ-এর কাছে উপলব্ধ না হয়। কিন্তু অন্যান্য নীতি এবং গ্রাহক-নির্মিত নীতি এবং বান্ডেলগুলি ডাটা পেলোড এনক্রিপ্ট করা হলেও কাজ করবে।