Halaman ini diterjemahkan oleh Cloud Translation API.

Cetak biru keamanan: PCI di GKE

Last reviewed 2025-03-12 UTC

Blueprint PCI di Google Kubernetes Engine berisi serangkaian skrip dan konfigurasi Terraform yang menunjukkan cara mem-bootstrap lingkungan PCI di Google Cloud. Inti dari cetak biru ini adalah aplikasi Online Boutique, yang memungkinkan pengguna untuk mencari item, menambahkannya ke keranjang, dan membelinya.

Blueprint ini dikembangkan untuk Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) versi 3.2.1. Blueprint ini memungkinkan Anda men-deploy workload di GKE yang selaras dengan PCI DSS dengan cara yang berulang, didukung, dan aman.

Arsitektur
Pemetaan kepatuhan
Aset yang dapat di-deploy
Pertanyaan umum (FAQ)
Resource

Arsitektur

Ringkasan project

Dalam cetak biru ini, Anda mem-bootstrap lingkungan data pemegang kartu (CDE) di Google Cloud yang berisi hierarki resource berikut:

Resource Organizational.
Resource Folder. Resource folder memberikan mekanisme pengelompokan dan batas isolasi antar-project.
Resource Project. Anda men-deploy project Google Cloud berikut:
- Jaringan: Project host untuk VPC Bersama.
- Pengelolaan: Project yang akan menyimpan infrastruktur logging dan pemantauan, seperti Cloud Logging.
- Dalam-ruang lingkup: Proyek yang berisi sumber daya dalam ruang lingkup. Dalam solusi ini, project terdiri dari cluster GKE yang dirancang untuk menjalankan aplikasi dalam cakupan. Dalam contoh, ini termasuk layanan Frontend, Pembayaran, dan Checkout.
- Di luar cakupan: Proyek yang berisi sumber daya di luar ruang lingkup. Solusinya adalah cluster GKE yang dirancang untuk menjalankan layanan lainnya.

Ringkasan project.

Aplikasi dan project

Diagram berikut mengilustrasikan batas CDE di Google Cloud dan project mana yang termasuk dalam cakupan penilaian PCI Anda terhadap aplikasi Demo Microservices. Saat mem-build lingkungan, Anda menggunakan ilustrasi seperti ini untuk menyampaikan Google Cloud resource yang masuk dan keluar dari batas PCI Anda.

Jalur berlabel 1 menampilkan data log dari cluster Kubernetes yang mengarah ke Cloud Logging.

Deployment aplikasi.

Tata letak jaringan

Diagram ini menggambarkan detail jaringan dan subnet dalam setiap project. File ini mendokumentasikan aliran data di antara project ke dalam dan keluar batas CDE.

Tata letak jaringan.

Traffic yang dienkripsi

Diagram ini menggambarkan traffic terenkripsi yang masuk dan keluar dari batas PCI:

Traffic yang dienkripsi TLS (HTTPS) dari luar VPC akan masuk ke load balancer publik dalam cakupan.
Traffic terenkripsi TLS antara node cluster Kubernetes dalam cakupan ke cluster di luar cakupan akan mengarah ke load balancer internal.
Traffic dari load balancer internal ke cluster di luar cakupan dienkripsi dengan mTLS menggunakan Istio.
Komunikasi dalam setiap cluster dienkripsi dengan mTLS menggunakan Istio.

Traffic yang dienkripsi.

Pemetaan kepatuhan

Cetak biru yang dijelaskan dalam dokumen ini membahas berbagai persyaratan kepatuhan PCI DSS. Tabel di bagian ini menyoroti beberapa persyaratan tersebut.

Item dalam tabel berikut tidak memenuhi semua persyaratan; kepatuhan terhadap beberapa persyaratan akan dipenuhi oleh infrastruktur Google Cloud sebagai bagian dari tanggung jawab bersama antara Anda dan Google. Kepatuhan terhadap persyaratan lainnya perlu diterapkan oleh Anda. Untuk penjelasan mendetail tentang model tanggung jawab bersama, lihat Menjelajahi keamanan container: model tanggung jawab bersama di GKE di blog Google Cloud .

Angka-angka dalam tanda kurung mengacu pada bagian dari dokumen Standar Keamanan Data Industri Kartu Pembayaran (PCI). Anda dapat mendownload dokumen dari library dokumen situs PCI Security Standards Council.

Persyaratan	Bagian	Deskripsi
Menerapkan segmentasi dan perlindungan batas	1.3.2, 1.3.4	Blueprint ini membantu Anda menerapkan segmentasi logis dengan menggunakan project Google Cloud ; segmentasi memungkinkan Anda membuat batas untuk penilaian PCI Anda. Cetak biru ini menjalankan Istio di Google Kubernetes Engine sebagai add-on yang memungkinkan Anda membuat mesh layanan di sekitar cluster GKE yang mencakup semua komponen yang Anda butuhkan. Cetak biru ini juga membuat perimeter keamanan menggunakan VPC di sekitar semua Google Cloud project yang tercakup dalam PCI.
Mengonfigurasi akses dengan hak istimewa terendah ke Google Cloud resource	7.1, 7.2	Cetak biru ini membantu Anda menerapkan kontrol akses berbasis peran untuk mengelola siapa saja yang memiliki akses ke resource Google Cloud . Cetak biru ini juga mengimplementasikan kontrol akses khusus GKE seperti kontrol akses berbasis peran (RBAC) dan namespace untuk membatasi akses ke resource cluster.
Menetapkan kebijakan tingkat Organisasi		Dengan cetak biru ini, Anda menetapkan kebijakan yang berlaku untuk resource Organisasi Google Cloud, seperti berikut ini: Tidak ada alamat IP eksternal Berbagi dengan domain terbatas Image tepercaya
Menerapkan pemisahan tugas melalui VPC Bersama	7.1.2, 7.1.3	Cetak biru ini menggunakan VPC Bersama untuk konektivitas dan kontrol jaringan terpisah guna menerapkan pemisahan tugas.
Meningkatkan keamanan cluster	2.2, 2.2.5	Cluster GKE dalam cetak biru ini telah melalui proses hardening sebagaimana dijelaskan dalam panduan hardening GKE.

Daftar ini hanyalah sebagian kontrol keamanan yang diterapkan dalam blueprint ini yang dapat memenuhi persyaratan PCI DSS. Anda dapat menemukan daftar lengkap persyaratan yang ditangani dalam dokumen Persyaratan PCI DSS (PDF) di GitHub.

Aset yang dapat di-deploy

Repositori PCI dan GKE Blueprint di GitHub berisi kumpulan konfigurasi dan skrip Terraform yang menunjukkan cara mem-bootstrap lingkungan PCI di Google Cloud. PCI pada project GKE juga menampilkan Google Cloud layanan, alat, dan project yang berguna untuk memulai lingkungan Google Cloud PCI Anda sendiri.

Pertanyaan umum (FAQ)

Bagaimana cara menggunakan cetak biru ini?

Cetak biru PCI pada GKE memberi Anda informasi preskriptif dan petunjuk untuk membuat atau memigrasikan workload di GKE yang selaras dengan persyaratan kepatuhan PCI.

Cetak biru terdiri dari elemen-elemen berikut:

Panduan penerapan
Arsitektur referensi
Skrip Terraform yang menerapkan Infrastructure as code (IaC)
Aplikasi demo
Pemetaan kepatuhan PCI

Sebaiknya baca panduan penerapan dan tinjau arsitektur referensi sebelum men-deploy lingkungan PCI menggunakan Terraform. Kami telah menyediakan aplikasi e-commerce demo yang dapat Anda deploy untuk menguji lingkungan cetak biru PCI.

Apakah ini satu-satunya cara untuk menjalankan workload yang sesuai dengan PCI di Google Cloud?

Tidak. PCI DSS adalah seperangkat standar keamanan dan ada banyak cara untuk menafsirkan dan menerapkan kontrol guna memenuhi standar. Cetak biru ini dirancang sebagai serangkaian praktik terbaik dan rekomendasi untuk mendukung kepatuhan PCI DSS Anda sendiri.

Apakah cetak biru ini mencakup praktik terbaik untuk kepatuhan PCI untuk Google Distributed Cloud?

Meskipun beberapa panduan dalam cetak biru ini berlaku untuk GKE Enterprise, fokusnya adalah pada Google Kubernetes Engine (GKE) yang berjalan di Google Cloud.

Apakah Anda memiliki daftar persyaratan PCI yang dapat dipenuhi oleh cetak biru ini?

Cetak biru ini membahas berbagai persyaratan kepatuhan PCI DSS. Anda dapat menemukan daftar lengkap persyaratan tersebut dalam dokumen Persyaratan PCI DSS (PDF) di GitHub. Daftar ini hanya membahas persyaratan kepatuhan PCI yang didukung oleh infrastruktur Google Cloud sebagai bagian dari tanggung jawab bersama antara Anda dan Google. Perhatikan bahwa penerapan kontrol kepatuhan PCI merupakan tanggung jawab penuh pelanggan dan Anda harus melakukan evaluasi sendiri terhadap kepatuhan PCI di organisasi Anda. Untuk mengetahui informasi selengkapnya tentang model tanggung jawab bersama, lihat Mengeksplorasi keamanan container: model tanggung jawab bersama di GKE di Google Cloud blog.

Layanan apa yang didukung oleh panduan dalam cetak biru ini?

Untuk mengetahui daftar lengkap layanan yang didukung, lihat bagian atas file README di PCI pada repositori GKE di GitHub.

Apakah Anda menerima kontribusi ke PCI pada repositori GKE di GitHub?

Ya. Anda dapat mengirimkan permintaan pull atau melakukan fork repositori.

Resource

Kepatuhan PCI DSS di Google Cloud. Panduan ini membantu Anda mengatasi masalah unik pada aplikasi Google Kubernetes Engine (GKE) saat menerapkan tanggung jawab pelanggan untuk persyaratan PCI DSS.