Edge Public Cloud के लिए पीसीआई कॉन्फ़िगरेशन गाइड

Apigee Edge दस्तावेज़ देखा जा रहा है.
Apigee X दस्तावेज़ पर जाएं.
जानकारी

किसी ग्राहक को Apigee Edge Public Cloud पर, पीसीआई के मुताबिक काम करने के लिए, "शेयर की गई रिस्पॉन्सिबिलिटी मॉडल" के तहत कुछ कार्रवाइयां और प्रोसेस करने का अधिकार दिया गया है. इन आइटम की समीक्षा उन ग्राहकों को करनी चाहिए जिन्होंने पीसीआई का पालन करने से जुड़ा पैक खरीदा है. साथ ही, इन चीज़ों के लिए पीसीआई का पालन करना ज़रूरी है. ये आइटम, Edge में सेल्फ़-सर्विस हैं. इन्हें पीसीआई के मुताबिक बनाने के लिए, ग्राहक के संगठन (संगठन) को इन आइटम पर ध्यान देना ज़रूरी है. इसका सबसे अहम सिद्धांत है "Google, प्लैटफ़ॉर्म को सुरक्षित रखता है, ग्राहक अपने डेटा की सुरक्षा करते हैं."

ग्राहक की ज़िम्मेदारी मैट्रिक्स

ग्राहकों को अपना पीसीआई ऑडिट करते समय, Google Apigee PCI-DSS 3.2.1 रिस्पॉन्सिबिलिटी मैट्रिक्स को देखना चाहिए. साथ ही, इसे पीसीआई क्वालिफ़ाइड सिक्योरिटी असेसर के साथ शेयर करना चाहिए.

पीसीआई की ज़रूरी शर्तों को मैप करना

पीसीआई के लिए ज़रूरी शर्तें Section
सातवीं ज़रूरी शर्त: कारोबार के लिए, कार्डधारक के डेटा के ऐक्सेस पर पाबंदी लगाना

इस्तेमाल/अनुमति देना

तीसरी ज़रूरी शर्त: सेव किए गए कार्डधारक के डेटा की सुरक्षा करना

डेटा मास्किंग

ज़रूरी शर्त 10: नेटवर्क संसाधनों और कार्डधारक के डेटा के सभी ऐक्सेस को ट्रैक और मॉनिटर करें

ऑडिट ट्रेल

आठवीं ज़रूरी शर्त: कंप्यूटर ऐक्सेस रखने वाले हर व्यक्ति को यूनीक आईडी असाइन करना

मुश्किल पासवर्ड के लिए ज़रूरी शर्तें या एसएएमएल

ज़रूरी शर्त 11: सुरक्षा सिस्टम और प्रोसेस की नियमित रूप से जांच करें

एंडपॉइंट स्कैन करना

चौथी शर्त: कार्डधारक के डेटा को खुले हुए और सार्वजनिक नेटवर्क पर भेजने की प्रक्रिया को एन्क्रिप्ट (सुरक्षित) करें

TLS कॉन्फ़िगरेशन

तीसरी ज़रूरी शर्त: सेव किए गए कार्डधारक के डेटा की सुरक्षा करना

डेटा स्टोरेज

चौथी शर्त: कार्डधारक के डेटा को खुले हुए और सार्वजनिक नेटवर्क पर भेजने की प्रक्रिया को एन्क्रिप्ट (सुरक्षित) करें

डेटा एन्क्रिप्ट (सुरक्षित) करने का तरीका

पीसीआई डेटा सिक्योरिटी स्टैंडर्ड ऑटाइज़ेशन ऑफ़ कंप्लायंस (AOC) पाने के लिए, Apigee की सहायता टीम से एक टिकट खोलें या अपनी Apigee सेल्स टीम से संपर्क करें.

ट्रेस / डीबग

ट्रेस/डीबग एक समस्या हल करने वाला टूल है. इसकी मदद से उपयोगकर्ता, एपीआई कॉल की स्थिति और कॉन्टेंट देख सकते हैं. ऐसा एपीआई कॉल को Apigee मैसेज प्रोसेसर से प्रोसेस करने के दौरान किया जाता है. ट्रेस और डीबग, एक ही सेवा के दो नाम हैं. हालांकि, इन्हें अलग-अलग तरीकों से ऐक्सेस किया जा सकता है. Edge यूज़र इंटरफ़ेस (यूआई) में ट्रेस इस सेवा का नाम है. एपीआई कॉल के ज़रिए इस्तेमाल किए जाने पर, एक ही सेवा का नाम डीबग किया जाता है. इस दस्तावेज़ में ट्रेस शब्द का इस्तेमाल ट्रेस और डीबग दोनों के लिए मान्य है.

ट्रेस सेशन के दौरान, "डेटा मास्किंग" लागू की जाती है. यह टूल, ट्रेस करने के दौरान डेटा को दिखने से रोक सकता है. नीचे डेटा मास्किंग सेक्शन देखें.

पीसीआई के ग्राहकों के लिए, एन्क्रिप्ट (सुरक्षित) की गई की वैल्यू मैप (केवीएम) का इस्तेमाल किया जा सकता है. अगर एन्क्रिप्ट (सुरक्षित) की गई केवीएम का इस्तेमाल किया जा रहा है, तो ट्रेस का इस्तेमाल किया जा सकता है. हालांकि, ट्रेस डिसप्ले स्क्रीन में कुछ वैरिएबल नहीं दिखेंगे. ट्रेस के दौरान इन वैरिएबल को दिखाने के लिए, कुछ और कदम उठाए जा सकते हैं.

ट्रेस के इस्तेमाल के बारे में ज़्यादा जानकारी के लिए ट्रेस टूल का इस्तेमाल करना देखें.

केवीएम की जानकारी, कुंजी की वैल्यू वाले मैप के साथ काम करना पेज पर उपलब्ध है. इसमें, एन्क्रिप्ट (सुरक्षित) किए गए केवीएम की जानकारी भी शामिल है.

इस्तेमाल/अनुमति

ट्रेस का ऐक्सेस, Edge के उपयोगकर्ता खातों के लिए आरबीएसी (भूमिका पर आधारित ऐक्सेस कंट्रोल) सिस्टम से मैनेज किया जाता है. ट्रेस करने के खास अधिकार देने और रद्द करने के लिए, RBAC सिस्टम के इस्तेमाल से जुड़े निर्देश भूमिकाएं असाइन करना और यूज़र इंटरफ़ेस (यूआई) में कस्टम रोल बनाना में उपलब्ध हैं. ट्रेस करने की अनुमतियों की मदद से उपयोगकर्ता, ट्रेस लॉन्च कर सकता है, ट्रेस को रोक सकता है, और ट्रेस सेशन के आउटपुट को ऐक्सेस कर सकता है.

ट्रेस के पास एपीआई कॉल के पेलोड (जिसे पहले "मैसेज बॉडी" कहा जाता था) का ऐक्सेस है, इसलिए यह तय करना अहम है कि ट्रेस करने का ऐक्सेस किसके पास है. यूज़र मैनेजमेंट, ग्राहक की ज़िम्मेदारी है. इसलिए, ट्रेस करने की अनुमतियां देना भी ग्राहक की ज़िम्मेदारी है. प्लैटफ़ॉर्म के मालिक के तौर पर, Apigee के पास, किसी उपयोगकर्ता को ग्राहक के संगठन में जोड़ने और उसे खास अधिकार असाइन करने की सुविधा होती है. इस सुविधा का इस्तेमाल सिर्फ़ तब किया जाता है, जब ग्राहक से सहायता पाने का अनुरोध किया जाता है. ऐसा तब किया जाता है, जब ऐसा लगता है कि ग्राहक सेवा काम नहीं कर रही है. साथ ही, ऐसा माना जाता है कि किसी ट्रेस सेशन की समीक्षा करने पर, हमें असल वजह के बारे में सबसे सही जानकारी मिलती है.

डेटा मास्किंग

डेटा मास्किंग की मदद से, सिर्फ़ ट्रेस/डीबग सेशन के दौरान संवेदनशील डेटा को दिखाने से रोका जा सकता है. इसमें, ट्रेस (Edge यूआई) और डीबग की मदद से बैकएंड (Edge API), दोनों में संवेदनशील जानकारी नहीं दिखाई जा सकती. मास्किंग सेट अप करने के तरीके की जानकारी डेटा मास्किंग और छिपाने पर उपलब्ध है. संवेदनशील जानकारी को मास्क करना, पीसीआई की ज़रूरी शर्त का हिस्सा है - सेव किए गए कार्डधारक के डेटा की सुरक्षा करना

डेटा को मास्क करने की सुविधा, डेटा को लॉग फ़ाइलों, कैश मेमोरी, आंकड़ों वगैरह में दिखने से नहीं रोकती. लॉग में डेटा को मास्क करने से जुड़ी मदद पाने के लिए, Logback.xml फ़ाइल में रेगुलर एक्सप्रेशन पैटर्न जोड़ें. संवेदनशील जानकारी को आम तौर पर कैश मेमोरी या आंकड़ों के लिए नहीं लिखा जाना चाहिए. ऐसा करने के लिए, कारोबार की वजह और ग्राहक की सुरक्षा और कानूनी टीम से समीक्षा करवाना ज़रूरी है.

L1 और L2 कैश मेमोरी

कैश मेमोरी में सेव करने की सुविधा, PCI के ग्राहकों के लिए उपलब्ध है. इसका इस्तेमाल सिर्फ़ गैर-कानूनी डेटा के साथ किया जा सकता है. कैश मेमोरी का इस्तेमाल, पीसीआई कार्ड होल्डर डेटा (सीएचडी) के लिए नहीं किया जाना चाहिए. इसे Apigee पीसीआई कंप्लायंस ऑडिट से, सीएचडी को स्टोर करने की जगह के तौर पर मंज़ूरी नहीं मिली है. पीसीआई के दिशा-निर्देशों के मुताबिक (ज़रूरी शर्तें 3: सेव किए गए कार्डधारक के डेटा को सुरक्षित रखना) , पीसीआई का डेटा सिर्फ़ ऐसी जगह पर सेव किया जाना चाहिए जो पीसीआई के मुताबिक हो. L1 कैश मेमोरी का इस्तेमाल करने पर, अपने-आप L2 कैश मेमोरी का भी इस्तेमाल हो जाएगा. L1 कैश मेमोरी "सिर्फ़ मेमोरी" होती है, जबकि L2 कैश मेमोरी, डिस्क पर डेटा को लिखती है, ताकि वह एक से ज़्यादा L1 कैश में सिंक हो सके. L2 कैश मेमोरी, की मदद से एक इलाके में और दुनिया भर में, एक से ज़्यादा मैसेज प्रोसेसर को सिंक में रखा जाता है. फ़िलहाल, L2 कैश मेमोरी के बिना L1 कैश मेमोरी को चालू नहीं किया जा सकता. L2 कैश मेमोरी, डिस्क पर डेटा सेव करती है, ताकि इसे ग्राहक से जुड़े संगठन के लिए अन्य मैसेज प्रोसेसर के साथ सिंक किया जा सके. हालांकि, L2 कैश मेमोरी, डिस्क पर डेटा लिखती है, इसलिए सीएचडी या पाबंदी वाले अन्य डेटा के लिए कैश मेमोरी का इस्तेमाल नहीं किया जा सकता.

ग्राहकों को कैश मेमोरी का इस्तेमाल, गैर-सीएचडी और बिना पाबंदी वाले डेटा के लिए करने की अनुमति है. हम पीसीआई के ग्राहकों के लिए, कैश मेमोरी को डिफ़ॉल्ट रूप से बंद नहीं करते. इसकी वजह यह है कि कुछ ग्राहक एक ही संगठन से पीसीआई और बिना पीसीआई से जुड़े एपीआई कॉल, दोनों चला सकते हैं. पीसीआई के ग्राहकों के लिए, यह सुविधा अब भी चालू है. इसलिए, यह सेवा का सही तरीके से इस्तेमाल करने और अपने उपयोगकर्ताओं को कैश मेमोरी का इस्तेमाल न करने की ट्रेनिंग देने की ज़िम्मेदारी ग्राहक की है. ऐसा तब करें, जब पीसीआई का डेटा एपीआई कॉल में मौजूद हो. Apigee PCI कंप्लायंस ऑडिट, कैश मेमोरी में सेव की गई सीएचडी के साथ काम नहीं करता.

कैश मेमोरी को इस्तेमाल करने के बारे में ज़्यादा जानकारी के लिए, कैश मेमोरी में सेव करना और उसका एक साथ इस्तेमाल करना लेख पढ़ें.

ऑडिट ट्रेल

ग्राहक, संगठन के अंदर की गई सभी एडमिन गतिविधियों के ऑडिट ट्रेल की समीक्षा कर सकते हैं. इनमें ट्रेस का इस्तेमाल करने से जुड़ी गतिविधियां भी शामिल हैं. ज़्यादा जानकारी के लिए निर्देश यहां और ट्रेस टूल का इस्तेमाल करना पेज पर दिए गए हैं. (पीसीआई ज़रूरी शर्त 10: नेटवर्क के संसाधनों और कार्डधारक के डेटा के सभी ऐक्सेस को ट्रैक करना और उनकी निगरानी करना)

जटिल पासवर्ड आवश्यकताएं या एसएएमएल

खास पासवर्ड की ज़रूरत वाले ग्राहकों को अपनी व्यक्तिगत ज़रूरतों को पूरा करने के लिए एसएएमएल का इस्तेमाल करना चाहिए. Edge के लिए एसएएमएल पुष्टि करने की सुविधा को चालू करना देखें. Edge भी, कई तरीकों से पुष्टि करने की सुविधा देता है (पीसीआई के लिए ज़रूरी शर्त 8: कंप्यूटर ऐक्सेस करने वाले हर व्यक्ति को एक यूनीक आईडी असाइन करें). अपने Apigee खाते के लिए, दो तरीकों से पुष्टि करने की सुविधा चालू करना देखें.

एंडपॉइंट की सुरक्षा

एंडपॉइंट स्कैनिंग

पीसीआई का पालन करने के लिए, होस्ट को स्कैन और टेस्ट करना ज़रूरी है (ज़रूरी शर्त: सुरक्षा सिस्टम और प्रोसेस की नियमित तौर पर जांच करना). Edge Cloud के लिए, ग्राहकों को अपने एपीआई एंडपॉइंट (कभी-कभी "रनटाइम कॉम्पोनेंट" भी कहा जाता है) को स्कैन और टेस्ट करना होता है. कस्टमर टेस्टिंग में, Edge पर होस्ट की गई असल एपीआई प्रॉक्सी सेवाएं शामिल होनी चाहिए, जहां एपीआई ट्रैफ़िक को प्रोसेस होने से पहले Edge में भेजा जाता है. इसके बाद, कस्टमर डेटासेंटर को डिलीवर किया जाता है. मैनेजमेंट पोर्टल के यूज़र इंटरफ़ेस (यूआई) जैसे शेयर किए गए संसाधनों की जांच की अनुमति, अलग-अलग ग्राहकों को नहीं दी जाती है. शेयर की गई सेवाओं की टेस्टिंग से जुड़ी तीसरे पक्ष की रिपोर्ट, जानकारी दूसरों को न बताने के समझौते (एनडीए) के तहत और अनुरोध करने पर उपलब्ध हो जाती है.

ग्राहकों को अपने एपीआई एंडपॉइंट की जांच करनी चाहिए. साथ ही, उन्हें ऐसा करने का सुझाव भी दिया जाता है. Apigee के साथ आपका कानूनी समझौता, आपके एपीआई एंडपॉइंट की जांच पर पाबंदी नहीं लगाता है. हालांकि, हम आपको शेयर किए गए मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) की जांच करने की अनुमति नहीं देते हैं. अगर आपको इसके बारे में ज़्यादा जानकारी चाहिए, तो कृपया अपने प्लान के मुताबिक जांच के बारे में जानकारी देने के लिए सहायता अनुरोध खोलें. हम आपको पहले से Apigee को सूचना देने की सराहना करते हैं, ताकि हम टेस्टिंग ट्रैफ़िक के बारे में जान सकें.

अपने एंडपॉइंट की जांच करने वाले ग्राहकों को, एपीआई से जुड़ी समस्याओं और Apigee की सेवाओं से जुड़ी समस्याओं का पता लगाना चाहिए. साथ ही, TLS और कॉन्फ़िगर किए जा सकने वाले अन्य आइटम की जांच भी करनी चाहिए. Apigee की सेवाओं से जुड़े किसी भी आइटम के बारे में, सहायता अनुरोध के ज़रिए Apigee को बताया जाना चाहिए.

एंडपॉइंट से जुड़े ज़्यादातर आइटम, खरीदार के लिए सेल्फ़-सर्विस वाले आइटम हैं. इन्हें Edge दस्तावेज़ की समीक्षा करके ठीक किया जा सकता है. अगर कुछ ऐसे आइटम हैं जिन्हें ठीक करने का तरीका समझ नहीं आ रहा, तो कृपया सहायता अनुरोध खोलें.

TLS कॉन्फ़िगरेशन

पीसीआई के मानकों के मुताबिक, एसएसएल और शुरुआती TLS को सुरक्षित वर्शन पर माइग्रेट करना ज़रूरी है. एपीआई प्रॉक्सी के लिए, अपने TLS एंडपॉइंट तय करने और कॉन्फ़िगर करने की ज़िम्मेदारी ग्राहकों की है. यह Edge में मौजूद एक सेल्फ़-सर्विस सुविधा है. एन्क्रिप्ट (सुरक्षित) करने, प्रोटोकॉल, और एल्गोरिदम चुनने के लिए, ग्राहक की ज़रूरतें अलग-अलग होती हैं. साथ ही, इस्तेमाल के अलग-अलग मामलों के हिसाब से अलग-अलग होती हैं. Apigee को हर ग्राहक के एपीआई डिज़ाइन और डेटा पेलोड की जानकारी नहीं होती. इसलिए, एक जगह से दूसरी जगह भेजने के दौरान डेटा को सुरक्षित करने के सही तरीके का पता लगाने की ज़िम्मेदारी ग्राहकों की होती है. TLS कॉन्फ़िगरेशन के बारे में ज़्यादा जानकारी के लिए TLS/एसएसएल पर बताया गया है.

डेटा स्टोरेज

ठीक से काम करने के लिए Edge के अंदर डेटा को स्टोर करने की ज़रूरत नहीं है. हालांकि, Edge में डेटा सेव करने के लिए कुछ सेवाएं उपलब्ध हैं. ग्राहक, डेटा स्टोरेज के लिए कैश मेमोरी, की वैल्यू मैप या आंकड़ों का इस्तेमाल कर सकते हैं. इनमें से किसी भी सेवा को Apigee PCI के ऑडिट के मुताबिक, सीएचडी को स्टोर करने की अनुमति नहीं है. पीसीआई ज़रूरी शर्त 3 (सेव किए गए कार्डधारक के डेटा की सुरक्षा) के मुताबिक, पीसीआई डेटा सिर्फ़ पीसीआई का पालन करने वाली जगहों पर सेव किया जाना चाहिए. ग्राहक इन सेवाओं का इस्तेमाल, गैर-पीसीआई या अन्य बिना पाबंदी वाला डेटा सेव कर सकते हैं. हालांकि, इसके लिए ग्राहक की सुरक्षा और कानूनी ज़रूरतों को ध्यान में रखना होगा. ये सेवाएं, खरीदार के लिए सेल्फ़-सर्विस वाले आइटम हैं. इसलिए, इन्हें कॉन्फ़िगर करना ग्राहक की ज़िम्मेदारी है कि वे सीएचडी को कैप्चर या स्टोर न करें. हमारा सुझाव है कि ग्राहक एडमिन के कॉन्फ़िगरेशन, नीतियों, और डिप्लॉयमेंट की समीक्षा करें. इससे, Edge में डेटा स्टोर करने की सेवाओं को नियमों का पालन न करने के मकसद से, गलती से या नुकसान पहुंचाने के मकसद से इस्तेमाल नहीं किया जाएगा.

डेटा एन्क्रिप्शन

ग्राहकों को Edge के अंदर इस्तेमाल करने के लिए, डेटा एन्क्रिप्ट (सुरक्षित) करने के टूल नहीं दिए जाते. हालांकि, Edge को भेजने से पहले ग्राहक अपने पीसीआई डेटा को एन्क्रिप्ट (सुरक्षित) कर सकते हैं. पीसीआई के लिए ज़रूरी शर्तें 4: (ओपन और पब्लिक नेटवर्क पर कार्डधारक के डेटा को एन्क्रिप्ट (सुरक्षित) करके ट्रांसमिशन करना), कार्डधारक का डेटा सभी सार्वजनिक नेटवर्क पर एन्क्रिप्ट (सुरक्षित) करने का सुझाव दिया जाता है. पेलोड में एन्क्रिप्ट (सुरक्षित) किया गया डेटा (या मैसेज का मुख्य हिस्सा), Edge को काम करने से नहीं रोकता है. अगर ग्राहक ने डेटा एन्क्रिप्ट (सुरक्षित) किया हुआ है, तो हो सकता है कि Edge की कुछ नीतियां उसके साथ इंटरैक्ट न कर पाएं. उदाहरण के लिए, अगर EDGE में बदलाव करने के लिए डेटा उपलब्ध नहीं है, तो बदलाव नहीं किया जा सकता. हालांकि, डेटा पेलोड को एन्क्रिप्ट (सुरक्षित) करने पर भी दूसरी नीतियां और ग्राहक की बनाई हुई नीतियां और बंडल काम करेंगे.