Esta página se ha traducido con Cloud Translation API.

Plano de seguridad: PCI en GKE

Last reviewed 2025-03-12 UTC

El plano de PCI en Google Kubernetes Engine incluye un conjunto de configuraciones y secuencias de comandos de Terraform que muestran cómo iniciar un entorno PCI en Google Cloud. La base de este plan es la aplicación Online Boutique, donde los usuarios pueden buscar artículos, añadirlos al carrito y comprarlos.

Este plano se ha desarrollado para la versión 3.2.1 del estándar de seguridad de los datos del sector de las tarjetas de pago (PCI DSS). Este plano te permite desplegar cargas de trabajo en GKE que cumplan con el estándar PCI DSS de una forma sencilla, segura, compatible y que se pueda replicar.

Arquitectura
Mapeado de cumplimiento
Recursos desplegables
Preguntas frecuentes
Recursos

Arquitectura

Descripción general del proyecto

En este plano, se inicia un entorno de datos de titulares de tarjetas (CDE) que contiene la siguiente jerarquía de recursos: Google Cloud

Un recurso de organización.
Un recurso Folder. Los recursos de carpeta proporcionan un mecanismo de agrupación y límites de aislamiento entre proyectos.
Recursos del proyecto. Implementas los siguientes Google Cloud proyectos:
- Red: el proyecto host de la VPC compartida.
- Gestión: proyecto que contendrá la infraestructura de registro y monitorización, como Cloud Logging.
- En el ámbito: un proyecto que contiene los recursos incluidos en el ámbito. En esta solución, el proyecto consta de un clúster de GKE diseñado para ejecutar las aplicaciones incluidas en el ámbito. En el ejemplo, se incluyen los servicios Frontend, Payment y Checkout.
- Fuera del ámbito: un proyecto que contiene los recursos fuera del ámbito. En la solución, se trata de un clúster de GKE diseñado para ejecutar el resto de los servicios.

Descripción general del proyecto.

Aplicaciones y proyectos

En el siguiente diagrama se ilustra el límite del CDE en Google Cloud y qué proyectos están incluidos en el ámbito de su evaluación de cumplimiento de PCI de la aplicación Microservices Demo. A medida que creas tu entorno, usas una ilustración como esta para comunicar Google Cloud los recursos que entran y salen de tu límite de PCI.

La ruta etiquetada como 1 muestra los datos de registro de los clústeres de Kubernetes que se envían a Cloud Logging.

Implementación de aplicaciones.

Diseño de la red

En este diagrama se muestran los detalles de la red y la subred de cada proyecto. Documenta los flujos de datos entre proyectos y hacia dentro y hacia fuera del límite del CDE.

Diseño de la red.

Tráfico cifrado

En este diagrama se muestra el tráfico cifrado que entra y sale del límite de PCI:

El tráfico cifrado con TLS (HTTPS) procedente de fuera de la VPC se dirige al balanceador de carga público incluido en el ámbito.
El tráfico cifrado con TLS entre los nodos del clúster de Kubernetes incluido en el ámbito y el clúster excluido del ámbito se dirige a los balanceadores de carga internos.
El tráfico de los balanceadores de carga internos al clúster fuera del ámbito se cifra con mTLS mediante Istio.
La comunicación dentro de cada clúster se cifra con mTLS mediante Istio.

Tráfico cifrado.

Asignación de cumplimiento

El plan descrito en este documento aborda una serie de requisitos de cumplimiento de PCI DSS. En la tabla de esta sección se destacan algunos de esos requisitos.

Los elementos de la siguiente tabla no cumplen todos los requisitos. La infraestructura de Google Cloud cumple algunos requisitos como parte de la responsabilidad compartida entre usted y Google. Debes cumplir otros requisitos. Para obtener una explicación detallada del modelo de responsabilidad compartida, consulta el artículo Exploring container security: the shared responsibility model in GKE (Exploración de la seguridad de los contenedores: el modelo de responsabilidad compartida en GKE) del Google Cloud blog.

Los números entre paréntesis hacen referencia a las secciones del documento de la normativa de seguridad de datos del sector de las tarjetas de pago (PCI). Puedes descargar el documento de la biblioteca de documentos del sitio web del Consejo sobre Normas de Seguridad de la PCI.

Requisito	Sección	Descripción
Implementar la segmentación y la protección de los límites	1.3.2 y 1.3.4	Este plan te ayuda a implementar una segmentación lógica mediante proyectos. La segmentación te permite crear un límite para tu evaluación de PCI. Google Cloud Este plano ejecuta Istio en Google Kubernetes Engine como un complemento que te permite crear una malla de servicios alrededor del clúster de GKE que incluye todos los componentes que necesitas. El blueprint también crea un perímetro de seguridad mediante VPC en todos los proyectos que se incluyen en el ámbito de PCI. Google Cloud
Configurar el acceso con el principio de mínimos privilegios a los Google Cloud recursos	7.1 y 7.2	Este plano te ayuda a implementar el control de acceso basado en roles para gestionar quién tiene acceso a los Google Cloud recursos. El plano también implementa controles de acceso específicos de GKE, como el control de acceso basado en roles (RBAC) y los espacios de nombres, para restringir el acceso a los recursos del clúster.
Establecer políticas a nivel de organización		Con este plano, puedes establecer políticas que se apliquen a tu recurso de Google Cloud Organización, como las siguientes: Sin direcciones IP externas Uso compartido restringido al dominio Imágenes de confianza
Implementar la separación de funciones mediante VPC compartida	7.1.2 y 7.1.3	Este plano usa VPC compartida para la conectividad y el control de red segregado para aplicar la separación de funciones.
Endurecer la seguridad del clúster	2.2, 2.2.5	Los clústeres de GKE de este plano se han reforzado tal como se describe en la guía de refuerzo de GKE.

Esta lista es solo un subconjunto de los controles de seguridad implementados en este plan que pueden cumplir los requisitos de PCI DSS. Puedes consultar una lista completa de los requisitos que se abordan en el documento Requisitos de PCI DSS (PDF) en GitHub.

Recursos desplegables

El repositorio PCI and GKE Blueprint en GitHub contiene un conjunto de configuraciones y secuencias de comandos de Terraform que muestran cómo iniciar un entorno PCI en Google Cloud. El proyecto PCI en GKE también muestra Google Cloud servicios, herramientas y proyectos Google Cloud que son útiles para empezar a usar tu propio entorno PCI.

Preguntas frecuentes

¿Cómo uso este plano?

El plano de PCI en GKE te proporciona información prescriptiva e instrucciones para crear o migrar cargas de trabajo en GKE que cumplan los requisitos de PCI.

El plano se compone de los siguientes elementos:

Guía de implementación
Arquitecturas de referencia
Secuencias de comandos de Terraform que implementan la infraestructura como código (IaC)
Una aplicación de demostración
Asignaciones de cumplimiento de PCI

Te recomendamos que leas la guía de implementación y consultes las arquitecturas de referencia antes de implementar el entorno de PCI con Terraform. Hemos proporcionado una aplicación de comercio electrónico de demostración que puede implementar para probar el entorno del plan técnico de PCI.

¿Es la única forma de ejecutar cargas de trabajo que cumplan la norma PCI en Google Cloud?

No. PCI DSS es un conjunto de estándares de seguridad y hay muchas formas de interpretar e implementar los controles para cumplir los estándares. Este plan se ha diseñado como un conjunto de prácticas recomendadas para ayudarte a cumplir el estándar PCI DSS.

¿Esta plantilla incluye prácticas recomendadas para cumplir el estándar PCI en Google Distributed Cloud?

Aunque algunas de las directrices de este plan se pueden aplicar a GKE Enterprise, nos centraremos en Google Kubernetes Engine (GKE) que se ejecuta en Google Cloud.

¿Tienes una lista de requisitos de PCI que esta plantilla puede ayudar a cumplir?

Este plan técnico aborda una serie de requisitos de cumplimiento del PCI DSS. Puedes consultar una lista completa de estos requisitos en el documento Requisitos de PCI DSS (PDF) en GitHub. Esta lista solo aborda los requisitos de cumplimiento de PCI que admite la infraestructura de Google Cloud como parte de la responsabilidad compartida entre usted y Google. Ten en cuenta que la implementación de los controles de cumplimiento de PCI es responsabilidad exclusiva del cliente, y debes llevar a cabo tu propia evaluación del cumplimiento de PCI de tu organización. Para obtener más información sobre el modelo de responsabilidad compartida, consulta el artículo Exploring container security: the shared responsibility model in GKE (Exploración de la seguridad de los contenedores: el modelo de responsabilidad compartida en GKE) del Google Cloud blog.

¿Qué servicios se admiten en las directrices de este plan?

Para ver una lista completa de los servicios admitidos, consulta la parte superior del archivo README del repositorio PCI on GKE en GitHub.

¿Aceptáis contribuciones al repositorio de PCI en GKE en GitHub?

Sí. Puedes enviar una solicitud de extracción o bifurcar el repositorio.

Recursos

Cumplimiento del PCI DSS en Google Cloud. En esta guía se explica cómo abordar las cuestiones específicas de las aplicaciones de Google Kubernetes Engine (GKE) al implementar las responsabilidades de los clientes en relación con los requisitos de PCI DSS.