คู่มือการกำหนดค่า PCI สำหรับ Edge Public Cloud

คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X
ข้อมูล

เพื่อให้ลูกค้าปฏิบัติตามข้อกำหนดของ PCI บน Apigee Edge Public Cloud ได้จะมีการดำเนินการและกระบวนการบางอย่างที่ลูกค้าเป็นเจ้าของภายใต้ "โมเดลความรับผิดชอบร่วมกัน" รายการต่อไปนี้ควรได้รับการตรวจสอบจากลูกค้าที่ซื้อแพ็กเกจการปฏิบัติตามข้อกำหนด PCI และต้องเป็นไปตามข้อกำหนดของ PCI รายการเหล่านี้เป็นแบบบริการตนเองภายใน Edge และต้องได้รับการแก้ไขเพื่อให้องค์กรของลูกค้า (องค์กร) ปฏิบัติตามข้อกำหนดของ PCI แนวคิดหลักคือ "Google รักษาความปลอดภัยให้แพลตฟอร์ม ลูกค้ารักษาความปลอดภัยของข้อมูล"

เมทริกซ์ความรับผิดชอบของลูกค้า

ลูกค้าควรอ้างอิงเมทริกซ์ความรับผิดชอบ PCI-DSS 3.2.1 ของ Google Apigee PCI-DSS 3.2.1 และแชร์กับผู้ประเมินความปลอดภัยที่ผ่านการรับรอง PCI ของตนเมื่อทำการตรวจสอบ PCI ของตนเอง

การแมปข้อกำหนดของ PCI

ข้อกำหนดของ PCI Section
ข้อกำหนดที่ 7: จำกัดการเข้าถึงข้อมูลผู้ถือบัตรตามที่ธุรกิจจำเป็นต้องทราบ

การใช้งาน/การให้สิทธิ์

ข้อกำหนดที่ 3: ปกป้องข้อมูลผู้ถือบัตรที่จัดเก็บไว้

การมาสก์ข้อมูล

ข้อกำหนดที่ 10: ติดตามและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลผู้ถือบัตรทั้งหมด

บันทึกการตรวจสอบ

ข้อกําหนด 8: กําหนดรหัสที่ไม่ซ้ำกันให้กับแต่ละคนที่มีสิทธิ์เข้าถึงคอมพิวเตอร์

ข้อกำหนดด้านรหัสผ่านที่ซับซ้อนหรือ SAML

ข้อกำหนดที่ 11: ทดสอบระบบและกระบวนการรักษาความปลอดภัยเป็นประจำ

การสแกนปลายทาง

ข้อกำหนดที่ 4: เข้ารหัสการส่งข้อมูลผู้ถือบัตรผ่านเครือข่ายสาธารณะแบบเปิด

การกำหนดค่า TLS

ข้อกำหนดที่ 3: ปกป้องข้อมูลผู้ถือบัตรที่จัดเก็บไว้

พื้นที่เก็บข้อมูล

ข้อกำหนดที่ 4: เข้ารหัสการส่งข้อมูลผู้ถือบัตรผ่านเครือข่ายสาธารณะแบบเปิด

การเข้ารหัสข้อมูล

หากต้องการขอเอกสารรับรองมาตรฐานความปลอดภัยของข้อมูล PCI (AOC) ให้เปิดตั๋วกับทีมสนับสนุนของ Apigee หรือติดต่อทีมขาย Apigee

ติดตาม / แก้ไขข้อบกพร่อง

ติดตาม/แก้ไขข้อบกพร่อง คือเครื่องมือแก้ปัญหาที่อนุญาตให้ผู้ใช้ดูสถานะและเนื้อหาของการเรียก API เมื่อประมวลผลผ่านตัวประมวลผลข้อความ Apigee การติดตามและแก้ไขข้อบกพร่องเป็นชื่อ 2 ชื่อสำหรับบริการเดียวกันแต่เข้าถึงผ่านกลไกที่ต่างกัน Trace คือชื่อของบริการนี้ภายใน UI ของ Edge การแก้ไขข้อบกพร่องคือชื่อของบริการเดียวกันเมื่อใช้ผ่านการเรียก API การใช้คำว่า "ติดตาม" ในเอกสารนี้ใช้ได้กับทั้งการติดตามและการแก้ไขข้อบกพร่อง

ในระหว่างเซสชันการติดตาม ระบบจะบังคับใช้ "การมาสก์ข้อมูล" เครื่องมือนี้อาจบล็อกข้อมูลไม่ให้แสดงระหว่างการติดตามได้ ดูส่วนการมาสก์ข้อมูลด้านล่าง

ระบบอาจใช้ Maps ค่าคีย์ที่เข้ารหัส (KVM) สำหรับลูกค้า PCI หากมีการใช้ KVM ที่เข้ารหัสอยู่ ระบบอาจยังคงใช้ Trace ได้ แต่ตัวแปรบางอย่างจะไม่ปรากฏในหน้าจอแสดงการติดตาม คุณใช้ขั้นตอนเพิ่มเติมเพื่อแสดงตัวแปรเหล่านี้ระหว่างการติดตามได้ด้วย

ดูวิธีการใช้งาน Trace โดยละเอียดได้ที่การใช้เครื่องมือติดตาม

ดูรายละเอียดเกี่ยวกับ KVM รวมถึง KVM ที่เข้ารหัสได้ที่การทำงานกับแมปค่าคีย์

การใช้งาน/การให้สิทธิ์

การเข้าถึง Trace จะจัดการผ่านระบบ RBAC (การควบคุมการเข้าถึงตามบทบาท) สำหรับบัญชีผู้ใช้ภายใน Edge ดูวิธีการโดยละเอียดเกี่ยวกับการใช้ระบบ RBAC ในการให้และเพิกถอนสิทธิ์การติดตามได้ที่การกำหนดบทบาทและการสร้างบทบาทที่กำหนดเองใน UI สิทธิ์การติดตามช่วยให้ผู้ใช้เปิดใช้งานการติดตาม หยุดการติดตาม เข้าถึงเอาต์พุตจากเซสชันการติดตามได้

เนื่องจาก Trace มีสิทธิ์เข้าถึงเพย์โหลดของการเรียก API (เดิมเรียกว่า "Message Body") คุณจึงต้องพิจารณาว่าผู้ใดมีสิทธิ์เข้าถึงเพื่อเรียกใช้ Trace เนื่องจากการจัดการผู้ใช้เป็นความรับผิดชอบของลูกค้า การให้สิทธิ์การติดตามจึงเป็นความรับผิดชอบของลูกค้าด้วย Apigee ในฐานะเจ้าของแพลตฟอร์มสามารถเพิ่มผู้ใช้ในองค์กรของลูกค้าและมอบหมายสิทธิ์ได้ ความสามารถนี้จะใช้เมื่อลูกค้าขอการสนับสนุนเท่านั้นในกรณีที่ปรากฏว่าฝ่ายบริการลูกค้าล้มเหลว และเชื่อว่าการตรวจสอบเซสชันการติดตามจะให้ข้อมูลที่ดีที่สุดเกี่ยวกับสาเหตุของปัญหา

การมาสก์ข้อมูล

การมาสก์ข้อมูลจะป้องกันไม่ให้มีการแสดงข้อมูลที่ละเอียดอ่อนในระหว่างเซสชันการติดตาม/แก้ไขข้อบกพร่องเท่านั้น ทั้งใน Trace (Edge UI) และในแบ็กเอนด์โดย Debug (Edge API) ดูรายละเอียดวิธีตั้งค่าการมาสก์ได้ที่การมาสก์และการซ่อนข้อมูล การมาสก์ข้อมูลที่ละเอียดอ่อนเป็นส่วนหนึ่งของข้อกำหนดของ PCI 3 - ปกป้องข้อมูลผู้ถือบัตรที่จัดเก็บไว้

การมาสก์ข้อมูลไม่ได้ป้องกันข้อมูลที่แสดงในไฟล์บันทึก แคช การวิเคราะห์ ฯลฯ หากต้องการความช่วยเหลือเกี่ยวกับการมาสก์ข้อมูลในบันทึก โปรดพิจารณาเพิ่มรูปแบบนิพจน์ทั่วไปไปยังไฟล์ logback.xml โดยทั่วไป ข้อมูลที่ละเอียดอ่อนไม่ควรเขียนลงในแคชหรือข้อมูลวิเคราะห์โดยไม่มีเหตุผลรองรับทางธุรกิจที่ชัดเจนและการตรวจสอบโดยทีมรักษาความปลอดภัยของลูกค้าและทีมกฎหมาย

แคช L1 และ L2

ลูกค้า PCI จะใช้การแคชได้เพื่อใช้กับข้อมูลที่ไม่มีการควบคุมเท่านั้น ไม่ควรใช้แคชสำหรับข้อมูลผู้ถือบัตร PCI (CHD) เนื่องจากไม่ได้รับอนุมัติจากการตรวจสอบการปฏิบัติตามข้อกำหนด PCI ของ Apigee เป็นตำแหน่งพื้นที่เก็บข้อมูลสำหรับ CHD ตามคำแนะนำของ PCI (ข้อกำหนด 3: ปกป้องข้อมูลผู้ถือบัตรที่จัดเก็บไว้) ข้อมูล PCI ควรจัดเก็บอยู่ในตำแหน่งที่เป็นไปตาม PCI เท่านั้น การใช้แคช L1 จะใช้แคช L2 โดยอัตโนมัติด้วย แคช L1 เป็นแบบ "หน่วยความจำเท่านั้น" ขณะที่แคช L2 จะเขียนข้อมูลลงในดิสก์เพื่อซิงค์ข้อมูลในแคช L1 หลายรายการ แคช L2 คือสิ่งที่ทำให้ผู้ประมวลผลข้อความหลายเครื่องซิงค์กันภายในภูมิภาคและทั่วโลก ปัจจุบันคุณไม่สามารถเปิดใช้แคช L1 โดยไม่มีแคช L2 เบื้องหลัง แคช L2 จะเขียนข้อมูลลงในดิสก์เพื่อให้ซิงค์กับผู้ประมวลผลข้อความอื่นๆ สำหรับองค์กรของลูกค้าได้ เนื่องจากแคช L2 เขียนข้อมูลลงดิสก์ ระบบจึงไม่รองรับการใช้แคชสำหรับ CHD หรือข้อมูลที่ถูกจำกัดอื่นๆ

ลูกค้าอนุญาตให้ใช้แคชกับข้อมูลที่ไม่ใช่ CHD และข้อมูลที่ไม่จำกัดอื่นๆ เราไม่ได้ปิดใช้แคชโดยค่าเริ่มต้นสำหรับลูกค้า PCI เนื่องจากลูกค้าบางรายเรียกใช้ทั้งการเรียก API ทั้ง PCI และ PCI ที่ไม่ใช่ PCI ผ่านองค์กรเดียว เนื่องจากความสามารถนี้ยังคงเปิดใช้สำหรับลูกค้า PCI อยู่ ลูกค้าจึงมีหน้าที่รับผิดชอบในการใช้บริการอย่างเหมาะสมและฝึกผู้ใช้ไม่ให้ใช้แคชเมื่อมีแนวโน้มที่จะมีข้อมูล PCI ในการเรียก API การตรวจสอบการปฏิบัติตามข้อกำหนด PCI ของ Apigee จะไม่รองรับ CHD ที่จัดเก็บไว้ในแคช

สามารถดูคำแนะนำโดยละเอียดเกี่ยวกับการใช้แคชได้ที่หัวข้อการเพิ่มแคชและความต่อเนื่อง

บันทึกการตรวจสอบ

ลูกค้าสามารถตรวจสอบรอยทางการตรวจสอบของกิจกรรมการดูแลระบบทั้งหมดที่ดำเนินการภายในองค์กรของลูกค้า รวมถึงการใช้ Trace ดูวิธีการโดยละเอียดได้ที่นี่และที่การใช้เครื่องมือติดตาม (ข้อกำหนดของ PCI 10: ติดตามและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลผู้ถือบัตรทั้งหมด)

ข้อกำหนดด้านรหัสผ่านที่ซับซ้อนหรือ SAML

ลูกค้าที่มีข้อกำหนดด้านรหัสผ่านที่เจาะจงควรใช้ SAML เพื่อให้เป็นไปตามข้อกำหนดแต่ละรายการ ดูการเปิดใช้การตรวจสอบสิทธิ์ SAML สำหรับ Edge Edge ยังมีการตรวจสอบสิทธิ์แบบหลายปัจจัยด้วย (ข้อกำหนดของ PCI 8: กำหนดรหัสที่ไม่ซ้ำกันให้กับแต่ละคนที่มีสิทธิ์เข้าถึงคอมพิวเตอร์) โปรดดูเปิดใช้การตรวจสอบสิทธิ์แบบ 2 ปัจจัยสำหรับบัญชี Apigee

การรักษาความปลอดภัยปลายทาง

การสแกนปลายทาง

ต้องมีการสแกนและทดสอบโฮสต์เพื่อให้เป็นไปตามข้อกำหนดของ PCI (ข้อกำหนดที่ 11: ทดสอบระบบและกระบวนการรักษาความปลอดภัยเป็นประจำ) สำหรับ Edge Cloud ลูกค้ามีหน้าที่รับผิดชอบในการสแกนและทดสอบปลายทาง API (บางครั้งเรียกว่า "คอมโพเนนต์รันไทม์") ใน Edge การทดสอบของลูกค้าควรครอบคลุมบริการพร็อกซี API จริงที่โฮสต์บน Edge ที่มีการส่งการรับส่งข้อมูล API ไปยัง Edge ก่อนประมวลผล จากนั้นจึงนำส่งไปยังศูนย์ข้อมูลของลูกค้า การทดสอบทรัพยากรที่แชร์ เช่น UI ของพอร์ทัลการจัดการไม่ได้รับอนุมัติสำหรับลูกค้าแต่ละราย (รายงานของบุคคลที่สามซึ่งครอบคลุมการทดสอบบริการที่แชร์มีให้ลูกค้าดูภายใต้ข้อตกลงไม่เปิดเผยความลับและเมื่อมีการร้องขอ)

ลูกค้าควรและแนะนำให้ทดสอบปลายทาง API ของตน ข้อตกลงของคุณกับ Apigee ไม่ได้เป็นการห้ามการทดสอบปลายทาง API แต่เราไม่อนุญาตให้คุณทดสอบ UI การจัดการที่แชร์ แม้ว่าต้องการคำชี้แจงเพิ่มเติม โปรดเปิดคำขอการสนับสนุนที่อ้างถึงการทดสอบที่วางแผนไว้ ขอขอบคุณที่ส่งการแจ้งเตือนถึง Apigee ล่วงหน้าเพื่อให้เราทราบการรับส่งข้อมูลในการทดสอบ

ลูกค้าที่ใช้ทดสอบปลายทางควรตรวจดูปัญหาที่เกี่ยวข้องกับ API, ปัญหาที่เกี่ยวข้องกับบริการ Apigee รวมถึงตรวจสอบ TLS และรายการอื่นๆ ที่กำหนดค่าได้ด้วย หากพบข้อมูลที่เกี่ยวข้องกับบริการ Apigee คือระบบควรแจ้งไปยัง Apigee ผ่านคำขอการสนับสนุน

รายการส่วนใหญ่ที่เกี่ยวข้องกับปลายทางจะเป็นรายการแบบบริการตนเองของลูกค้า และจะแก้ไขได้โดยการอ่านเอกสารประกอบของ Edge หากมีรายการที่ไม่ชัดเจนเกี่ยวกับวิธีแก้ไข โปรดเปิดคำขอการสนับสนุน

การกำหนดค่า TLS

ตามมาตรฐาน PCI จะต้องมีการย้ายข้อมูล SSL และ TLS เวอร์ชันก่อนเปิดตัวไปยังเวอร์ชันที่ปลอดภัย ลูกค้ามีหน้าที่กำหนดและกำหนดค่าปลายทาง TLS ของตนเองสำหรับพร็อกซี API นี่เป็นฟีเจอร์แบบบริการตนเองใน Edge ข้อกำหนดของลูกค้าเกี่ยวกับการเลือกการเข้ารหัส โปรโตคอล และอัลกอริทึมนั้นแตกต่างกันอย่างมากและขึ้นอยู่กับกรณีการใช้งานของแต่ละคน เนื่องจาก Apigee ไม่ทราบรายละเอียดของการออกแบบ API และเพย์โหลดข้อมูลทุกรายการของลูกค้า ลูกค้าจึงมีหน้าที่ในการกำหนดการเข้ารหัสที่เหมาะสมสำหรับข้อมูลที่อยู่ระหว่างการส่ง ดูคำแนะนำโดยละเอียดเกี่ยวกับการกำหนดค่า TLS ได้ที่ TLS/SSL

พื้นที่เก็บข้อมูล

คุณไม่จำเป็นต้องจัดเก็บข้อมูลภายใน Edge เพื่อให้ Edge ทำงานได้อย่างถูกต้อง แต่ก็มีบริการพื้นที่เก็บข้อมูลใน Edge ลูกค้าอาจเลือกใช้แคช การแมปคีย์-ค่า หรือข้อมูลวิเคราะห์สำหรับการจัดเก็บข้อมูล บริการเหล่านี้ไม่ได้รับอนุญาตให้จัดเก็บข้อมูล CHD ตามการตรวจสอบ Apigee PCI ตามข้อกำหนดของ PCI 3 (ปกป้องข้อมูลผู้ถือบัตรที่เก็บไว้) ข้อมูล PCI ควรจัดเก็บเฉพาะในตำแหน่งที่ตั้งที่เป็นไปตาม PCI เท่านั้น ลูกค้าจะใช้บริการเหล่านี้เพื่อจัดเก็บข้อมูลที่ไม่ใช่ PCI หรือข้อมูลอื่นๆ ที่ไม่มีการจำกัดได้ โดยขึ้นอยู่กับข้อกำหนดด้านความปลอดภัยและกฎหมายของลูกค้า บริการเหล่านี้เป็นแบบบริการตนเองของลูกค้า ลูกค้าจึงมีหน้าที่รับผิดชอบที่จะต้องกําหนดค่าไม่ให้จับภาพหรือจัดเก็บ CHD เราขอแนะนำให้ตรวจสอบการกำหนดค่า นโยบาย และการทำให้ใช้งานได้โดยผู้ดูแลระบบของลูกค้าเพื่อหลีกเลี่ยงการใช้บริการพื้นที่เก็บข้อมูลโดยไม่ตั้งใจหรือที่เป็นอันตรายใน Edge ในลักษณะที่ไม่เป็นไปตามข้อกำหนด

การเข้ารหัสข้อมูล

ไม่มีเครื่องมือเข้ารหัสข้อมูลให้กับลูกค้าเพื่อการใช้งานภายใน Edge แต่ลูกค้าเข้ารหัสข้อมูล PCI ก่อนที่จะส่งไปยัง Edge ได้อย่างอิสระ ข้อกำหนดของ PCI 4: (เข้ารหัสการส่งข้อมูลผู้ถือบัตรในเครือข่ายสาธารณะแบบเปิด) แนะนำให้เข้ารหัสข้อมูลผู้ถือบัตรในเครือข่ายสาธารณะแบบเปิด ข้อมูลที่เข้ารหัสในเพย์โหลด (หรือเนื้อหาข้อความ) ไม่ได้ทำให้ Edge ทำงานไม่ได้ นโยบาย Edge บางรายการอาจโต้ตอบกับข้อมูลไม่ได้หากลูกค้าได้รับการเข้ารหัส เช่น คุณจะเปลี่ยนรูปแบบไม่ได้หากข้อมูลเองไม่พร้อมให้ Edge เปลี่ยนแปลง แต่นโยบายอื่นๆ รวมถึงนโยบายและแพ็กเกจที่ลูกค้าสร้างจะยังใช้งานได้แม้ว่าเพย์โหลดข้อมูลจะมีการเข้ารหัสก็ตาม