本頁面由 Cloud Translation API 翻譯而成。

安全性藍圖：PCI on GKE

Last reviewed 2025-03-12 UTC

PCI on Google Kubernetes Engine 藍圖包含一組 Terraform 設定與指令碼，說明如何在 Google Cloud中啟動 PCI 環境。這個藍圖的核心是線上精品店應用程式，使用者可在其中瀏覽商品、將商品加入購物車並購買。

這份藍圖是針對付款卡產業資料安全標準 (PCI DSS) 3.2.1 版開發。有了這份藍圖，您就能在 GKE 中部署符合 PCI DSS 的工作負載，並確保這些工作負載安全無虞、可重複使用且受到系統支援。

架構
法規遵循對應
可部署的資產
常見問題
資源

架構

專案總覽

在這個藍圖中，您會在 Google Cloud 中啟動持卡人資料環境 (CDE)，其中包含下列資源階層：

機構資源。
Folder 資源。資料夾資源提供分組機制，以及專案之間的隔離邊界。
專案資源。您部署了下列 Google Cloud 專案：
- 網路：共用虛擬私有雲的主專案。
- 管理：專門用於記錄和監控基礎架構的專案，例如 Cloud Logging。
- 在範圍內：包含範圍內資源的專案。在這個解決方案中，專案包含一個 GKE 叢集，這個叢集旨在執行適用範圍內的應用程式。在這個範例中，這包括前端、付款和結帳服務。
- 超出範圍：專案包含超出範圍的資源。在解決方案中，這是專門用於執行其他服務的 GKE 叢集。

專案總覽。

應用程式和專案

下圖顯示 Google Cloud 的 CDE 邊界，以及哪些專案屬於您對 Microservices 示範應用程式進行 PCI 評估的範圍。建構環境時，您可以使用類似以下的插圖，說明 Google Cloud PCI 邊界內外的資源。

標示為 1 的路徑會顯示 Kubernetes 叢集傳送至 Cloud Logging 的記錄資料。

應用程式部署。

網路配置

此圖表說明各個專案中的網路和子網路詳細資料。這份文件會記錄專案之間的資料流動，以及資料流入和流出 CDE 邊界。

網路配置。

加密流量

下圖說明進入和離開 PCI 邊界區域的加密流量：

來自虛擬私有雲端外部的 TLS 加密 (HTTPS) 流量會傳送至範圍內的公開負載平衡器。
範圍內 Kubernetes 叢集節點與範圍外叢集之間的 TLS 加密流量會傳送至內部負載平衡器。
從內部負載平衡器傳送至範圍外叢集的流量，會透過 Istio 使用 mTLS 進行加密。
每個叢集內的通訊都會使用 Istio 的 mTLS 加密。

加密流量。

法規遵循對應

本文件所述的藍圖涵蓋了一系列 PCI DSS 法規遵循要求。本節的資料表會列出其中部分要求。

下表中的項目並未涵蓋所有規定； Google Cloud 基礎架構會負責遵守部分規定，這也是您與 Google 之間共同負責的部分。您必須遵守其他規定。如需共用責任模式的詳細說明，請參閱 Google Cloud 網誌上的「探索容器安全性：GKE 中的共同責任模式」。

括號內的數字是指「付款卡產業資料安全標準」文件中的章節。您可以從 PCI 安全標準委員會網站的文件庫下載這份文件。

需求	區段	說明
實施分割和邊界保護	1.3.2、1.3.4	這個藍圖可協助您使用 Google Cloud 專案實作邏輯區隔，讓您為 PCI 評估建立邊界。此藍圖會以外掛程式形式執行 Google Kubernetes Engine 上的 Istio，讓您在 GKE 叢集周圍建立服務網格，其中包含所有必要元件。範本也會使用虛擬私有雲，在所有 PCI 範圍內的 Google Cloud 專案周圍建立安全範圍。
設定 Google Cloud 資源的最低權限存取權	7.1、7.2	這個藍圖可協助您導入角色型存取權控管機制，以便管理哪些使用者可以存取 Google Cloud 資源。藍圖也會實作 GKE 專屬的存取權控管功能，例如角色型存取權控管 (RBAC) 和命名空間，以限制叢集資源的存取權。
建立機構層級政策		您可以使用這個藍圖，建立套用至 Google Cloud Organization 資源的政策，例如：沒有外部 IP 位址網域限定共用受信任的圖片
透過共用虛擬私有雲強制執行職責分離	7.1.2、7.1.3	這個範本會使用共用虛擬私有雲進行連線和隔離網路控管，以便實施職務分工。
強化叢集安全性	2.2、2.2.5	這個範本中的 GKE 叢集已強化，如 GKE 強化指南所述。

這份清單只是這個範本中實作的安全控管機制中的一小部分，可滿足 PCI DSS 規定。您可以在 GitHub 上查看 PCI DSS 規定 (PDF) 文件中的完整規定清單。

可部署的資產

GitHub 上的 PCI 和 GKE 藍圖存放區包含一組 Terraform 設定與指令碼，說明如何在 Google Cloud中啟動 PCI 環境。GKE 上的 PCI 專案也展示了 Google Cloud 有助於啟動您自己的 Google Cloud PCI 環境的服務、工具和專案。

常見問題

如何使用這個藍圖？

GKE 的 PCI 藍圖提供指示性資訊和操作說明，協助您在 GKE 上建立或遷移符合 PCI 法規遵循要求的工作負載。

藍圖由下列元素組成：

導入指南
參考架構
實作基礎架構即程式碼 (IaC) 的 Terraform 指令碼
示範應用程式
PCI 法規遵循對應

建議您先詳閱導入指南，並查看參考架構，再使用 Terraform 部署 PCI 環境。我們提供示範電子商務應用程式，您可以部署該應用程式來測試 PCI 藍圖環境。

這是在 Google Cloud上執行符合 PCI 規定的工作負載的唯一方法嗎？

否。PCI DSS 是一套安全標準，有多種方式可解讀及實作控管機制，以符合標準。這份藍圖旨在提供一套最佳做法和建議，協助您遵循 PCI DSS 規範。

這個藍圖是否包含 Google Distributed Cloud 的 PCI 法規遵循最佳做法？

雖然本藍圖中的部分指引適用於 GKE Enterprise，但重點是針對在 Google Cloud上執行的 Google Kubernetes Engine (GKE)。

您是否有一份 PCI 規定清單，這個藍圖可以協助滿足這些規定？

此藍圖涵蓋各種 PCI DSS 法規遵循要求。如需這些規定的完整清單，請參閱 GitHub 上的 PCI DSS 規定文件 (PDF)。這份清單僅列出由 Google Cloud 基礎架構支援的 PCI 法規遵循要求，這項要求是您與 Google 共同負責的一部分。請注意，實施任何 PCI 法規遵循控制項的責任，均由客戶自行負責，您應自行評估貴機構的 PCI 法規遵循情況。如要進一步瞭解共同責任模式，請參閱 Google Cloud 網誌上的「探索容器安全性：GKE 的共同責任模式」一文。

這份藍圖中的指引支援哪些服務？

如要瞭解支援的服務有哪些，請前往 GitHub 的 GKE 上 PCI 存放區，查看 README 檔案頂端的內容。

您是否接受 GitHub 上 GKE 的 PCI 存放區貢獻？

可以，您可以提交提取要求或分支存放區。

資源

Google Cloud 的 PCI DSS 法規遵循。本指南可在您履行 PCI DSS 規定的客戶責任時，幫助您解決 Google Kubernetes Engine (GKE) 應用程式專有的問題。