此页面由 Cloud Translation API 翻译。

安全蓝图：PCI on GKE
使用集合让一切井井有条根据您的偏好保存内容并对其进行分类。

Last reviewed 2025-03-12 UTC

PCI on Google Kubernetes Engine 蓝图包含一组 Terraform 配置和脚本，演示了如何在 Google Cloud中引导 PCI 环境。此蓝图主要介绍 Online Boutique 应用，用户可以在其中浏览商品、将商品添加到购物车以及购买商品。

此蓝图是针对支付卡行业数据安全标准 (PCI DSS) 3.2.1 版而开发的。借助此蓝图，您可以在 GKE 上以一种可重复且受支持的安全方式部署符合 PCI DSS 的工作负载。

架构
合规性映射
可部署的资源
常见问题解答
资源

架构

项目概览

在此蓝图中，您将在 Google Cloud 中引导一个包含以下资源层次结构的持卡人数据环境 (CDE)：

组织资源。
文件夹资源。文件夹资源提供了分组机制，可为项目划定明确的分界。
项目资源。您将部署以下 Google Cloud 项目：
- 网络：共享 VPC 的宿主项目。
- 管理：用于存储日志记录和监控基础架构（例如 Cloud Logging）的项目。
- 范围内项目：包含范围内资源的项目。此解决方案中的项目包含一个 GKE 集群，该集群旨在运行范围内的应用。在此示例中，这包括前端、付款和结账服务。
- 范围外项目：包含范围外资源的项目。此解决方案中的项目包含一个 GKE 集群，该集群旨在运行其余服务。

项目概览。

应用和项目

下图展示了 Google Cloud 上的 CDE 边界，以及哪些项目在 Microservices Demo 应用的 PCI 评估范围内。在构建环境时，您可以使用类似的图示来向 Google Cloud 传达有关进出 PCI 边界的资源的信息。 Google Cloud

标记为 1 的路径显示从 Kubernetes 集群进入 Cloud Logging 的日志数据。

应用部署。

网络布局

此图展示了每个项目中的网络和子网详情。它记录了项目之间以及进出 CDE 边界的数据流。

网络布局。

加密流量

此图展示了进出 PCI 边界的加密流量：

VPC 外部经过传输层安全协议 (TLS) 加密的 (HTTPS) 流量将进入范围内的公共负载均衡器。
范围内 Kubernetes 集群节点与范围外集群之间经过 TLS 加密的流量将进入内部负载均衡器。
从内部负载均衡器到范围外集群的流量使用 Istio 通过 mTLS 进行加密。
每个集群内的通信均使用 Istio 通过 mTLS 进行加密。

加密流量。

合规性映射

本文档中介绍的蓝图可满足一系列 PCI DSS 合规性要求。本部分中的表格重点介绍了其中一些要求。

下表中的内容并未满足所有要求；您与 Google 须共同承担责任使 Google Cloud 基础架构满足某些合规性要求。其他合规性要求的达成需要由您来实现。如需详细了解共担责任模式，请参阅 Google Cloud 博客上的探索容器安全：GKE 中的共担责任模式。

括号里的数字是指《支付卡行业 (PCI) 数据安全标准》文档中的第几部分。您可以从 PCI 安全标准委员会网站的文档库下载该文档。

要求	部分	说明
实现分段和边界保护	1.3.2、1.3.4	此蓝图可帮助您使用 Google Cloud 项目实现逻辑分割；通过分割，您可以为 PCI 评估创建边界。此蓝图在 Google Kubernetes Engine 上运行 Istio 作为插件，可让您围绕 GKE 集群创建一个服务网格，其中包含您需要的所有组件。此蓝图还使用 VPC 围绕 PCI 范围内的所有 Google Cloud 项目创建安全边界。
配置对 Google Cloud 资源的最小访问权限	7.1、7.2	此蓝图可帮助您实现基于角色的访问控制，以管理哪些人有权访问 Google Cloud 资源。此蓝图还可实现特定于 GKE 的访问权限控制，如基于角色的访问权限控制 (RBAC) 和命名空间，以限制对集群资源的访问。
制定组织级层的政策		借助此蓝图，您可以制定适用于您的 Google Cloud 组织资源的政策，例如：无外部 IP 地址网域限定共享可信映像
通过共享 VPC 实现职责分离	7.1.2、7.1.3	此蓝图使用共享 VPC 进行连接，并通过隔离网络控制来实现职责分离。
强化集群的安全性	2.2、2.2.5	此蓝图中的 GKE 集群已按照 GKE 安全强化指南中的说明进行了强化。

以上列表只是此蓝图实现的可满足 PCI DSS 要求的一部分安全控制措施。您可以在 GitHub 上的 PCI DSS 要求 (PDF) 文档中找到这些要求的完整列表。

可部署的资源

GitHub 上的 PCI 和 GKE 蓝图代码库包含一组 Terraform 配置和脚本，用于演示如何在 Google Cloud中引导 PCI 环境。PCI on GKE 项目还展示了可帮助您启动自己的 Google Cloud PCI 环境的 Google Cloud 服务、工具和项目。

常见问题解答

如何使用此蓝图？

PCI on GKE 蓝图提供了一些介绍性信息和说明，用于在 GKE 上创建或迁移符合 PCI 合规性要求的工作负载。

此蓝图包含以下内容：

实现指南
参考架构
用于实现基础架构即代码 (IaC) 的 Terraform 脚本
演示应用
PCI 合规性映射

我们建议您通读实现指南并查看参考架构，然后再使用 Terraform 部署 PCI 环境。我们提供了一个演示电子商务应用，您可以部署该应用来测试 PCI 蓝图环境。

这是在 Google Cloud上运行符合 PCI 标准的工作负载的唯一方法吗？

不是。PCI DSS 是一套安全标准，您可以通过多种方式来解读和实施控制措施，以符合这些标准。此蓝图包含一系列最佳做法和建议，旨在为您自己的 PCI DSS 合规性提供支持。

该蓝图是否包含 Google Distributed Cloud 的 PCI 合规性最佳实践？

虽然此蓝图中的部分指导适用于 GKE Enterprise，但重点是在 Google Cloud上运行的 Google Kubernetes Engine (GKE)。

如何查看此蓝图可帮助满足的 PCI 要求列表？

此蓝图可帮助满足一系列 PCI DSS 合规性要求。您可以在 GitHub 上的 PCI DSS 要求文档 (PDF) 中找到这些要求的完整列表。此列表仅涉及那些作为您与 Google 共同承担的责任的一部分，由 Google Cloud 基础架构支持的 PCI 合规性要求。请注意，任何 PCI 合规性控制措施的实现均由客户自行负责，您应自行评估您的组织的 PCI 合规性。如需详细了解共担责任模式，请参阅 Google Cloud 博客上的探索容器安全：GKE 中的共担责任模式。

此蓝图支持哪些服务？

如需查看受支持服务的完整列表，请参阅 GitHub 上 PCI on GKE 代码库中 README 文件前面的内容。

是否接受为 GitHub 上的 PCI on GKE 代码库贡献代码？

是。您可以提交拉取请求或者创建代码库分支。

资源

Google Cloud上的 PCI DSS 合规性。本指南可帮助您解决在实现满足 PCI DSS 要求的客户责任时，特定于 Google Kubernetes Engine (GKE) 应用的问题。