您正在查看 Apigee Edge 說明文件。
查看 Apigee X 說明文件。 資訊
如果客戶在 Apigee Edge 公用雲端上符合 PCI 規範,根據「共同責任模式」的規定,客戶擁有某些動作和處理流程。應由購買 PCI 法規遵循套件的客戶審查下列項目,並符合 PCI 規範。這些項目在 Edge 中屬於自助服務,需要提供給客戶機構 (機構) 以符合 PCI 規範。最重要的概念是「Google 會保護平台,客戶會保護資料」。
客戶責任表
客戶在自行進行 PCI 稽核時,應參考 Google Apigee PCI-DSS 3.2.1 責任表,並與 PCI 合格安全性評估機構分享。
PCI 要求對應
| PCI 規定 | Section |
|---|---|
| 要求 7:依業務需求限制持卡人資料的存取權 | |
| 要求 3:保護儲存的持卡人資料 | |
| 要求 10:追蹤及監控所有網路資源和持卡人資料的存取 | |
| 要求 8:指派專屬 ID 給每個具有電腦存取權的使用者 | |
| 要求 11:定期測試安全系統和程序 | |
| 要求 4:加密透過開放公開網路傳輸持卡人資料 | |
| 要求 3:保護儲存的持卡人資料 | |
| 要求 4:加密透過開放公開網路傳輸持卡人資料 |
如要取得 PCI 資料安全標準認證 (AOC),請向 Apigee 支援團隊建立支援單,或與 Apigee 銷售團隊聯絡。
追蹤 / 偵錯
追蹤/偵錯是一項疑難排解工具,讓使用者在透過 Apigee 訊息處理器處理 API 呼叫時,查看其狀態和內容。「追蹤」和「偵錯」是同一項服務的兩個名稱,但透過不同機制存取。Trace 是這項服務在 Edge UI 中的名稱。偵錯是用來透過 API 呼叫使用的服務名稱。在本文件中使用「Trace」一詞適用於 Trace 和 Debug。
系統會在追蹤工作階段期間強制執行「資料遮蓋」。這項工具可以禁止在 Trace 顯示資料,請參閱下方的資料遮蓋一節。
PCI 客戶可以使用加密的金鑰值對應 (KVM)。如果使用經過加密的 KVM,系統仍會使用 Trace,但部分變數將不會顯示在 Trace 顯示畫面中。您也可以採取額外步驟,在 Trace 期間一併顯示這些變數。
如需 Trace 的詳細使用操作說明,請參閱使用追蹤記錄工具。
如需 KVM 的詳細資料 (包括加密的 KVM),請參閱「使用鍵/值對應」一文。
使用/授權
透過 RBAC (角色型存取權控管) 系統管理 Edge 中的使用者帳戶的 Trace 存取權。如要進一步瞭解如何使用 RBAC 系統提供及撤銷 Trace 權限,請參閱「指派角色」和「在 UI 中建立自訂角色」。追蹤權限可讓使用者啟動 Trace、停止 Trace,以及存取 Trace 工作階段的輸出內容。
由於 Trace 可以存取 API 呼叫的酬載 (原稱「訊息內文」),因此請務必考慮哪些使用者可以執行 Trace。由於使用者管理是客戶的責任,因此授予 Trace 權限也是重要的客戶責任。身為平台擁有者,Apigee 能夠將使用者新增至客戶機構及指派權限。只有在客戶服務似乎無法正常運作,且認為該追蹤工作階段應能提供最佳根本原因時,您才能提出支援要求。
資料遮蓋
資料遮蓋功能只會在 Trace/偵錯工作階段中顯示機密資料,無論是在 Trace (Edge UI) 還是由 Debug (Edge API) 於後端顯示。如要進一步瞭解如何設定遮罩,請參閱「資料遮罩和隱藏」一文。遮蓋機密資料屬於 PCI 規定 3 - 保護所儲存持卡人資料的一部分
資料遮罩無法防止資料顯示在記錄檔、快取、數據分析等位置。如需遮蓋記錄中的資料相關協助,請考慮在 logback.xml 檔案中加入規則運算式模式。一般而言,在缺乏充分業務理由和客戶安全性和法律團隊審查的情況下,機密資料不應寫入快取或分析。
L1 和 L2 快取
PCI 客戶可以使用快取,僅適用於未受監管的資料。快取不應用於 PCI 卡片持有者資料 (CHD);Apigee PCI 法規遵循稽核功能並未核准做為 CHD 的儲存位置。根據 PCI 指引 (要求 3:保護儲存的持卡人資料),PCI 資料應只儲存在符合 PCI 規範的位置。使用 L1 快取也會自動使用 L2 快取。L1 快取「僅限記憶體」,而 L2 快取會將資料寫入磁碟,以便在多個 L1 快取間保持同步。L2 快取是用來讓區域內和全域的多個訊息處理器保持同步。目前無法啟用 L1 快取,但前提是當中沒有 L2 快取。L2 快取會將資料寫入磁碟,以便與客戶機構的其他訊息處理器同步處理。由於 L2 快取會將資料寫入磁碟,因此不支援使用 CHD 或其他受限資料的快取。
客戶可使用快取處理非 CHD 和其他不受限的資料。根據預設,我們並不會停用 PCI 客戶的快取,因為部分客戶是透過單一機構同時執行 PCI 和非 PCI 相關的 API 呼叫。由於 PCI 客戶仍為 PCI 客戶啟用此功能,因此客戶有責任妥善使用服務,並訓練使用者不要在 PCI 資料出現在 API 呼叫中時使用快取。Apigee PCI 法規遵循稽核不支援儲存在快取中的 CHD。
如需有關使用快取的詳細操作說明,請參閱「新增快取和持續性」。
稽核追蹤記錄
客戶可以檢閱在客戶機構中所執行所有管理活動的稽核追蹤記錄,包括使用 Trace。如需詳細操作說明,請參閱這裡和使用追蹤記錄工具。(PCI 要求 10:追蹤及監控所有網路資源和持卡人資料的存取)
複雜密碼規定或 SAML
有特定密碼規定的客戶應使用 SAML 滿足個人需求。 請參閱「為 Edge 啟用 SAML 驗證」。Edge 也提供多重驗證 (PCI 要求 8:指派唯一識別碼給每個具有電腦存取權的使用者)。請參閱「為 Apigee 帳戶啟用雙重驗證功能」。
端點安全性
端點掃描
符合 PCI 規範,必須掃描及測試主機 (要求 11:定期測試安全性系統和程序)。以 Edge Cloud 來說,客戶必須負責掃描及測試在 Edge 中的 API 端點 (有時稱為「執行階段元件」)。客戶測試應涵蓋在 Edge 上託管的實際 API Proxy 服務,服務在處理之前會將 API 流量傳送至 Edge,再處理並傳送至客戶資料中心。無法對個別客戶核准共用資源 (例如管理入口網站 UI) 的測試,但根據保密協議,客戶可依要求提供一份說明共用服務測試作業的第三方報告。
並鼓勵客戶測試自己的 API 端點。您與 Apigee 的協議並未禁止測試 API 端點,但不允許您測試共用管理 UI。如需額外說明,請提出參照您預定測試的支援要求。建議預先向 Apigee 發送通知,以便瞭解測試流量。
客戶測試端點時,應找出任何 API 相關問題、與 Apigee 服務相關的任何問題,以及檢查 TLS 和其他可設定項目。找到與 Apigee 服務相關的任何項目,應透過支援要求將其傳遞給 Apigee。
與端點相關的大多數項目都是客戶自行服務項目,如要修正這類項目,請查看 Edge 說明文件。如果品項不清楚如何修正,請建立支援要求。
傳輸層安全標準 (TLS) 設定
根據 PCI 標準,安全資料傳輸層 (SSL) 和早期傳輸層安全標準 (TLS) 必須遷移至安全版本。客戶負責為 API Proxy 定義及設定自己的 TLS 端點。這是 Edge 中的自助式功能。加密、通訊協定和演算法選項的客戶需求相當變動,且會因個別用途而異。由於 Apigee 不知道每個客戶 API 設計和資料酬載的詳細資料,因此客戶必須負責決定適當的傳輸中資料加密機制。如需 TLS 設定的詳細操作說明,請參閱 TLS/SSL。
資料儲存
Edge 不需要儲存在 Edge 中的資料,就能正常運作。不過,Edge 有一項服務可儲存在 Edge 中的資料儲存服務。客戶可以選擇使用快取、鍵/值對應關係或分析資料來儲存資料。這些服務都不符合 Apigee PCI 稽核規定,無法儲存 CHD。根據 PCI 要求 3 (保護儲存的持卡人資料),PCI 資料應只儲存在符合 PCI 規範的位置。使用這些服務時,客戶可以儲存非 PCI 資料,或根據客戶的安全性和法律要求儲存其他未受限的資料。這些服務是客戶自助服務項目,因此客戶應負責將服務設定為不擷取或儲存 CHD。建議您檢查客戶管理員的設定、政策和部署作業,避免以不符規定的方式意外或惡意使用 Edge 中的資料儲存服務。
資料加密
資料加密工具不會提供給客戶在 Edge 中使用。不過,客戶在傳送至 Edge 之前可以自行加密 PCI 資料。PCI 要求 4:(加密公開網路傳輸持卡人資料) 建議透過開放公開網路加密持卡人資料。酬載 (或訊息內文) 中的加密資料不會導致 Edge 無法正常運作。若客戶已加密資料,部分 Edge 政策可能無法與資料互動。舉例來說,如果 Edge 無法存取資料本身,就無法進行轉換。但是,即使資料酬載已加密,其他政策和客戶建立的政策與套裝組合也能正常運作。