Edge Herkese Açık Bulut İçin PCI Yapılandırma Kılavuzu

Apigee Edge belgelerini görüntülüyorsunuz.
Apigee X belgelerine gidin.
bilgi

Apigee Edge Public Cloud'da bir müşterinin PCI uyumluluğuna sahip olması için müşterinin "Paylaşılan Sorumluluk Modeli" altında sahip olduğu bazı işlem ve süreçler vardır. Aşağıdaki öğeler, PCI uygunluk paketini satın almış olan müşteriler tarafından incelenmeli ve bunların PCI ile uyumlu olması gereklidir. Bu öğeler Edge'de self servistir ve PCI ile uyumlu olması için müşteri kuruluşu (kuruluş) tarafından ele alınmalıdır. Temel kavram, "Platformun güvenliğini Google'ın, müşteri verilerinin güvenliğini Google'ın sağladığı" kabul edilir.

Müşteri Sorumluluğu Matrisi

Müşterilerin kendi PCI denetimlerini yürütürken Google Apigee PCI-DSS 3.2.1 Sorumluluk Matrisi'ne başvurmaları ve bu belgeyi PCI Yetkili Güvenlik Denetçisi ile paylaşması gerekir.

PCI Gereksinimleri Eşlemesi

PCI Gereksinimi Section
7. koşul: Kart sahibi verilerine erişimi işletmenin bilmesi gereken bilgilere göre kısıtlayın

Kullanım/Yetkilendirmeler

3. Gereksinim: Depolanan kart sahibi verilerini koruyun

Veri maskeleme

10. Gereksinim: Ağ kaynaklarına ve kart sahibi verilerine tüm erişimi takip edin ve izleyin

Denetim takibi

8. Gereksinim: Bilgisayar erişimi olan her kişiye benzersiz bir kimlik atayın

Karmaşık şifre gereksinimleri veya SAML

11. Gereksinim: Güvenlik sistemlerini ve süreçlerini düzenli olarak test edin

Uç nokta taraması

4. koşul: Kart sahibi verilerinin açık, herkese açık ağlar arasında iletimini şifreleyin

TLS yapılandırması

3. Gereksinim: Depolanan kart sahibi verilerini koruyun

Veri depolama

4. koşul: Kart sahibi verilerinin açık, herkese açık ağlar arasında iletimini şifreleyin

Veri şifreleme

PCI Veri Güvenliği Standardı Uyumluluk Onayı (AOC) almak için Apigee Desteği ile iletişime geçin veya Apigee satış ekibinizle iletişime geçin.

İzleme / Hata Ayıklama

İzleme/Hata Ayıklama, kullanıcının Apigee Mesaj İşleyicisi aracılığıyla işlenen bir API çağrısının durumunu ve içeriğini görüntülemesine olanak tanıyan bir sorun giderme aracıdır. İzleme ve Hata Ayıklama, aynı hizmetin iki adıdır ancak bunlara farklı mekanizmalar üzerinden erişilebilir. Trace, Edge kullanıcı arayüzünün içindeki bu hizmetin adıdır. Hata ayıklama, API çağrıları aracılığıyla kullanıldığında aynı hizmetin adıdır. Bu belgede Trace terimi kullanımı hem İzleme hem de Hata Ayıklama için geçerlidir.

İzleme oturumu sırasında "Veri Maskeleme" uygulanır. Bu araç, verilerin Trace sırasında görüntülenmesini engelleyebilir. Aşağıdaki Veri Maskeleme bölümüne bakın.

Şifrelenmiş Anahtar/Değer Haritaları (KVM) PCI müşterileri için kullanılabilir. Şifrelenmiş bir KVM kullanılıyorsa Trace kullanılabilir ancak bazı değişkenler Trace ekran ekranında görünmez. Trace sırasında bu değişkenleri görüntülemek için ek adımlar da uygulanabilir.

Trace'in kullanımıyla ilgili ayrıntılı talimatları İzleme aracını kullanma başlıklı makalede bulabilirsiniz.

Şifrelenmiş KVM'ler de dahil olmak üzere KVM'lerle ilgili ayrıntılara Anahtar/değer eşlemeleriyle çalışma başlıklı makaleden ulaşabilirsiniz.

Kullanım/Yetkilendirmeler

Trace'e erişim, Edge'deki kullanıcı hesapları için RBAC (Rol Tabanlı Erişim Denetimi) sistemi üzerinden yönetilir. Trace ayrıcalıkları vermek ve mevcut ayrıcalıkları iptal etmek için RBAC sistemini kullanmayla ilgili ayrıntılı talimatları Rol atama ve Kullanıcı arayüzünde özel roller oluşturma başlıklı makalelerde bulabilirsiniz. İzleme izinleri, kullanıcının İzleme başlatmasına, İzlemeyi durdurmasına ve İzleme oturumundaki çıkışa erişmesine olanak tanır.

Trace, API çağrılarının yüküne (eski adıyla "İleti Gövdesi" olarak adlandırılır) erişebildiğinden Trace'i çalıştırmak için kimlerin erişiminin olduğunu göz önünde bulundurmak önemlidir. Kullanıcı yönetimi müşterinin sorumluluğunda olduğundan, Trace izinlerinin verilmesi de müşterinin sorumluluğundadır. Platform sahibi olarak Apigee, müşteri kuruluşuna kullanıcı ekleme ve ayrıcalık atama yetkisine sahiptir. Bu özellik yalnızca müşteri hizmetlerinin başarısız olduğu ve Trace oturumunun incelenmesinin temel neden hakkında en iyi bilgiyi sağladığına inanılması durumunda müşterinin destek isteğinde bulunması durumunda kullanılır.

Veri maskeleme

Veri maskeleme, hem Trace (Edge kullanıcı arayüzü) hem de Debug (Edge API) tarafından arka uçta bulunan hassas verilerin yalnızca İzleme/Hata Ayıklama oturumu sırasında görüntülenmesini önler. Maskelemenin nasıl ayarlanacağıyla ilgili ayrıntıları Veri maskeleme ve gizleme bölümünde bulabilirsiniz. Hassas verilerin maskelenmesi PCI Şartı 3: Depolanan kart sahibi verilerini koruma kapsamındadır.

Veri maskeleme; verilerin günlük dosyalarında, önbellekte, analizlerde vb. görünmesini ENGELLEMEZ. Günlüklerde veri maskeleme konusunda yardım almak için logback.xml dosyasına bir normal ifade kalıbı ekleyebilirsiniz. Hassas veriler, genellikle güçlü bir iş gerekçesi olmadan ve müşteri güvenliği ile hukuk ekipleri tarafından incelenmeden önbelleğe veya analizlere yazılmamalıdır.

L1 ve L2 önbellek

Önbelleğe alma özelliği, PCI müşterileri tarafından yalnızca düzenlemeye tabi olmayan verilerle kullanılabilir. Önbellek, PCI Kart Sahibi Verileri (CHD) için kullanılmamalıdır. Apigee PCI Uygunluk denetimi tarafından CHD için depolama konumu olarak onaylanmamıştır. PCI kılavuzu uyarınca (3. Gereksinim: Depolanan kart sahibi verilerini koruyun) PCI verileri yalnızca PCI uyumlu bir konumda depolanmalıdır. L1 önbelleği kullanımı, otomatik olarak L2 önbelleği de kullanır. L1 önbellek "yalnızca bellek"tir, L2 önbellek ise birden fazla L1 önbelleğinde senkronize etmek için verileri diske yazar. L2 önbelleği, birden fazla Mesaj İşleyiciyi bir bölge içinde ve küresel olarak senkronize durumda tutar. Arkasında bir L2 önbelleği olmadan L1 önbelleğini etkinleştirmek şu anda mümkün değildir. L2 önbelleği, verileri diske yazar. Böylece bu veriler, müşteri kuruluşunun diğer mesaj işlemcileriyle senkronize edilebilir. L2 Önbelleği, verileri diske yazdığından CHD veya diğer kısıtlanmış veriler için önbellek kullanımı desteklenmez.

CHD olmayan ve diğer kısıtlanmamış veriler için müşterilerin önbellek kullanımına izin verilir. Bazı müşteriler tek bir kuruluş üzerinden hem PCI hem de PCI ile ilgili olmayan API çağrıları yaptığından, PCI müşterileri için önbelleği varsayılan olarak devre dışı bırakmayız. Bu özellik PCI müşterileri için hâlâ etkin olduğundan, hizmeti uygun şekilde kullanmak ve kullanıcıları, API çağrısında PCI verileri bulunma olasılığı yüksek olduğunda önbellek kullanmamaları için eğitmek müşterinin sorumluluğundadır. Apigee PCI Uygunluk denetimi, önbellekte depolanan CHD'yi desteklemez.

Önbellek kullanımıyla ilgili ayrıntılı talimatlara Önbelleğe alma ve kalıcılık ekleme bölümünden ulaşabilirsiniz.

Denetim takibi

Müşteriler, Trace kullanımı dahil olmak üzere, müşterinin kuruluşu içinde gerçekleştirilen tüm yönetimsel etkinliklerin denetim takibini inceleyebilir. Ayrıntılı talimatlara buradan ve İzleme aracını kullanma bölümünden ulaşabilirsiniz. (PCI Gereksinimi 10: Ağ kaynaklarına ve kart sahibi verilerine tüm erişimi izleyin ve izleyin)

Karmaşık şifre gereksinimleri veya SAML

Belirli şifre gereksinimleri olan müşterilerin bireysel gereksinimlerini karşılamak için SAML kullanması gerekir. Edge için SAML Kimlik Doğrulamasını Etkinleştirme sayfasına bakın. Edge çok öğeli kimlik doğrulaması da sunar (PCI Gereksinimi 8: Bilgisayar erişimi olan her kişiye benzersiz bir kimlik atayın). Apigee hesabınız için iki faktörlü kimlik doğrulamayı etkinleştirme bölümüne bakın.

Uç nokta güvenliği

Uç nokta taraması

PCI uyumluluğu için ana makinelerin taranması ve test edilmesi gerekir (11. Gereksinim: Güvenlik sistemlerini ve süreçlerini düzenli olarak test edin). Edge Cloud'da müşteriler, Edge'deki API uç noktalarının (bazen "çalışma zamanı bileşenleri" olarak da adlandırılır) taranması ve test edilmesinden sorumludur. Müşteri testleri, Edge'de barındırılan ve API trafiğinin işlenmeden önce Edge'e gönderildiği ve ardından müşteri veri merkezine teslim edildiği gerçek API proxy hizmetlerini kapsamalıdır. Yönetim portalı kullanıcı arayüzü gibi paylaşılan kaynakların test edilmesi, bireysel müşteriler için onaylanmaz (Gizlilik sözleşmesi kapsamında ve talep üzerine müşterilere, paylaşılan hizmetlerin test edilmesini içeren bir üçüncü taraf raporu sunulur).

Müşteriler, API uç noktalarını test etmelidir ve bunu yapmaya teşvik edilir. Apigee ile yaptığınız sözleşme, API uç noktalarınızın test edilmesini yasaklamaz ancak paylaşılan yönetim kullanıcı arayüzünü test etmenize izin vermez. Ek açıklama gerekirse lütfen planlanan testinizi referans gösteren bir destek isteği açın. Test trafiğinden haberdar olabilmemiz için bu bilgileri Apigee'ye önceden bildirmeniz bizim için çok önemlidir.

Uç noktalarını test eden müşteriler; API'lere özgü tüm sorunları ve Apigee hizmetleriyle ilgili sorunları araştırmalı, ayrıca TLS ve diğer yapılandırılabilir öğeleri de kontrol etmelidir. Apigee hizmetleriyle ilgili bulunan tüm öğeler, destek isteği yoluyla Apigee'ye iletilmelidir.

Uç noktayla ilgili öğelerin çoğu müşteri self servis öğeleridir ve Edge belgelerini inceleyerek düzeltilebilir. Bunların nasıl düzeltileceği net olmayan öğeler varsa lütfen destek isteği açın.

TLS yapılandırması

PCI standartları uyarınca SSL ve erken TLS'nin güvenli sürümlere taşınması gerekir. Müşteriler, API proxy'leri için kendi TLS uç noktalarını tanımlamaktan ve yapılandırmaktan sorumludur. Bu, Edge'deki self servis bir özelliktir. Şifreleme, protokol ve algoritma seçimleriyle ilgili müşteri gereksinimleri büyük ölçüde değişkendir ve bireysel kullanım alanlarına özeldir. Apigee, her müşterinin API tasarımının ve veri yüklerinin ayrıntılarını bilmediğinden, geçiş hâlindeki veriler için uygun şifrelemeyi belirleme sorumluluğu müşterilere aittir. TLS yapılandırmasıyla ilgili ayrıntılı talimatlara TLS/SSL adresinden ulaşabilirsiniz.

Veri depolama

Edge'in düzgün çalışması için Edge'de verilerin depolanması gerekmez. Bununla birlikte, Edge'de veri depolama için kullanılabilecek hizmetler de vardır. Müşteriler veri depolama için önbellek, anahtar/değer haritaları veya analizler kullanmayı tercih edebilir. Apigee PCI denetimi uyarınca bu hizmetlerin hiçbirine CHD depolama yetkisi verilmemiştir. PCI Gereksinimi 3 (Depolanan kart sahibi verilerini koruyun) uyarınca, PCI verileri yalnızca PCI uyumlu yerlerde depolanmalıdır. Bu hizmetler, müşterilerin güvenlik ve yasal gereksinimlerine tabi olarak PCCI olmayan verileri veya diğer kısıtlanmamış verileri depolamak için kullanılabilir. Bu hizmetler müşterilerin self servis ürünleridir. Bu nedenle, CHD'yi almayacak veya depolamayacak şekilde yapılandırmak müşterinin sorumluluğundadır. Edge'de veri depolama hizmetlerinin yanlışlıkla veya kötü amaçla uyumlu olmayan bir şekilde kullanılmasını önlemek için yapılandırma, politika ve dağıtımların müşteri yöneticileri tarafından incelenmesi önerilir .

Veri şifreleme

Veri şifreleme araçları, Edge'de kullanılmak üzere müşterilere sunulmaz. Bununla birlikte müşteriler, PCI verilerini Edge'e göndermeden önce şifreleyebilir. PCI Gereksinimi 4: (Kart sahibi verilerinin açık, herkese açık ağlara iletimini şifreleyin) Kart sahibi verilerinin açık, herkese açık ağlarda şifrelenmesi önerilir. Yükteki (veya mesaj gövdesindeki) şifrelenmiş veriler Edge'in çalışmasını engellemez. Bazı Edge politikaları, veriler müşteri tarafından şifrelenmişse verilerle etkileşimde bulunamayabilir. Örneğin, Edge'in değiştirebileceği verinin kendisi için dönüştürme işlemi yapılamaz. Ancak diğer politikalar ve müşteri tarafından oluşturulan politikalar ile paketler, veri yükü şifrelenmiş olsa bile çalışır.