Introduzione di un cluster di regolamentato AKS per PCI-DSS 3.2.1 (parte 1 di 9)

Servizio Azure Kubernetes
Monitoraggio di Azure

Questa architettura di riferimento descrive le considerazioni relative a un cluster servizio Azure Kubernetes (AKS) progettato per eseguire un carico di lavoro sensibile. Le linee guida sono associate ai requisiti normativi dello standard di sicurezza dei dati del settore delle carte di pagamento (PCI-DSS 3.2.1).

Non è il nostro obiettivo sostituire la dimostrazione della conformità con questa serie. Lo scopo è aiutare i commercianti a iniziare a progettare l'architettura indirizzando gli obiettivi di controllo DSS applicabili come tenant nell'ambiente AKS. Le linee guida illustrano gli aspetti di conformità dell'ambiente, tra cui l'infrastruttura, le interazioni con il carico di lavoro, le operazioni, la gestione e le interazioni tra i servizi.

Importante

L'architettura di riferimento e l'implementazione non sono state certificate da un'autorità ufficiale. Completando questa serie e distribuendo gli asset di codice, non si cancella il controllo per PCI DSS. Acquisire attestazioni di conformità da un revisore di terze parti.

Operazioni preliminari

Il Centro protezione Microsoft fornisce principi specifici per le distribuzioni cloud correlate alla conformità. Le garanzie di sicurezza, fornite da Azure come piattaforma cloud e AKS come contenitore host, vengono controllate e attestate regolarmente da esperti di sicurezza qualificati (QSA) di terze parti per la conformità a PCI DSS.

Diagramma del modello di responsabilità condivisa.

  • Responsabilità condivisa con Azure

    Il team di conformità Microsoft garantisce che tutta la documentazione della conformità alle normative di Microsoft Azure sia disponibile pubblicamente per i clienti. È possibile scaricare l'attestazione PCI DSS di conformità per Azure nella sezione PCI DSS dal portale Service Trust. La matrice di responsabilità descrive chi, tra Azure e il cliente, è responsabile di ognuno dei requisiti PCI. Per maggiori informazioni, consultare la sezione Gestione della conformità nel cloud.

  • Responsabilità condivisa con AKS

    Kubernetes è un sistema open source per l'automazione delle attività di distribuzione, ridimensionamento e gestione delle applicazioni in contenitori. AKS semplifica la distribuzione di un cluster Kubernetes gestito in Azure. L'infrastruttura fondamentale di AKS supporta applicazioni su larga scala nel cloud ed è una scelta naturale per l'esecuzione di applicazioni su scala aziendale nel cloud, inclusi i carichi di lavoro PCI. Le applicazioni distribuite nei cluster di AKS presentano alcune complessità durante la distribuzione di carichi di lavoro classificati da PCI.

  • Responsabilità

    In qualità di proprietario del carico di lavoro, si è in ultima analisi responsabili della conformità PCI DSS. Comprendere chiaramente le responsabilità leggendo i requisiti PCI per comprendere la finalità, studiare la matrice per Azure e completare questa serie per comprendere le sfumature di AKS. Questo processo rende l'implementazione pronta per una valutazione corretta.

Questa serie presuppone:

In questa serie

Questa serie è suddivisa in diversi articoli. Ogni articolo descrive il requisito generale seguito da indicazioni su come soddisfare i requisiti specifici di AKS.

Area di responsabilità Descrizione
Segmentazione di rete Proteggere i dati dei titolari di carte con la configurazione del firewall e altri controlli di rete. Rimuovere le impostazioni predefinite fornite dal fornitore.
Protezione dei dati Crittografare tutte le informazioni, gli oggetti di archiviazione, i contenitori e i supporti fisici. Aggiungere controlli di sicurezza quando i dati trasferiti tra i componenti.
gestione della vulnerabilità Eseguire software antivirus, strumenti di monitoraggio dell'integrità dei file e scanner di contenitori per assicurarsi che il sistema faccia parte del rilevamento delle vulnerabilità.
Controlli di accesso Proteggere l'accesso tramite controlli di identità che negano i tentativi di cluster o di altri componenti che fanno parte dell'ambiente dati dei titolari di carte.
Monitoraggio delle operazioni Mantenere il comportamento di sicurezza tramite operazioni di monitoraggio e testare regolarmente la progettazione e l'implementazione della sicurezza.
Gestione dei criteri Mantenere una documentazione completa e aggiornata sui processi e i criteri di sicurezza.

Passaggi successivi

Per iniziare, comprendere l'architettura regolamentata e le scelte di progettazione.