Questa architettura di riferimento descrive le considerazioni relative a un cluster servizio Azure Kubernetes (AKS) progettato per eseguire un carico di lavoro sensibile. Le linee guida sono associate ai requisiti normativi dello standard di sicurezza dei dati del settore delle carte di pagamento (PCI-DSS 3.2.1).
Non è il nostro obiettivo sostituire la dimostrazione della conformità con questa serie. Lo scopo è aiutare i commercianti a iniziare a progettare l'architettura indirizzando gli obiettivi di controllo DSS applicabili come tenant nell'ambiente AKS. Le linee guida illustrano gli aspetti di conformità dell'ambiente, tra cui l'infrastruttura, le interazioni con il carico di lavoro, le operazioni, la gestione e le interazioni tra i servizi.
Importante
L'architettura di riferimento e l'implementazione non sono state certificate da un'autorità ufficiale. Completando questa serie e distribuendo gli asset di codice, non si cancella il controllo per PCI DSS. Acquisire attestazioni di conformità da un revisore di terze parti.
Operazioni preliminari
Il Centro protezione Microsoft fornisce principi specifici per le distribuzioni cloud correlate alla conformità. Le garanzie di sicurezza, fornite da Azure come piattaforma cloud e AKS come contenitore host, vengono controllate e attestate regolarmente da esperti di sicurezza qualificati (QSA) di terze parti per la conformità a PCI DSS.
Responsabilità condivisa con Azure
Il team di conformità Microsoft garantisce che tutta la documentazione della conformità alle normative di Microsoft Azure sia disponibile pubblicamente per i clienti. È possibile scaricare l'attestazione PCI DSS di conformità per Azure nella sezione PCI DSS dal portale Service Trust. La matrice di responsabilità descrive chi, tra Azure e il cliente, è responsabile di ognuno dei requisiti PCI. Per maggiori informazioni, consultare la sezione Gestione della conformità nel cloud.
Responsabilità condivisa con AKS
Kubernetes è un sistema open source per l'automazione delle attività di distribuzione, ridimensionamento e gestione delle applicazioni in contenitori. AKS semplifica la distribuzione di un cluster Kubernetes gestito in Azure. L'infrastruttura fondamentale di AKS supporta applicazioni su larga scala nel cloud ed è una scelta naturale per l'esecuzione di applicazioni su scala aziendale nel cloud, inclusi i carichi di lavoro PCI. Le applicazioni distribuite nei cluster di AKS presentano alcune complessità durante la distribuzione di carichi di lavoro classificati da PCI.
Responsabilità
In qualità di proprietario del carico di lavoro, si è in ultima analisi responsabili della conformità PCI DSS. Comprendere chiaramente le responsabilità leggendo i requisiti PCI per comprendere la finalità, studiare la matrice per Azure e completare questa serie per comprendere le sfumature di AKS. Questo processo rende l'implementazione pronta per una valutazione corretta.
Articoli consigliati
Questa serie presuppone:
- Di avere familiarità con i concetti e le operazioni di Kubernetes di un cluster AKS.
- Di aver letto l'architettura di riferimento della baseline di AKS.
- Di avere distribuito l'implementazione di riferimento della baseline di AKS.
- Di avere familiarità con la specifica di PCI DSS 3.2.1.
- Di avere letto la baseline di sicurezza di Azure per AKS.
In questa serie
Questa serie è suddivisa in diversi articoli. Ogni articolo descrive il requisito generale seguito da indicazioni su come soddisfare i requisiti specifici di AKS.
Area di responsabilità | Descrizione |
---|---|
Segmentazione di rete | Proteggere i dati dei titolari di carte con la configurazione del firewall e altri controlli di rete. Rimuovere le impostazioni predefinite fornite dal fornitore. |
Protezione dei dati | Crittografare tutte le informazioni, gli oggetti di archiviazione, i contenitori e i supporti fisici. Aggiungere controlli di sicurezza quando i dati trasferiti tra i componenti. |
gestione della vulnerabilità | Eseguire software antivirus, strumenti di monitoraggio dell'integrità dei file e scanner di contenitori per assicurarsi che il sistema faccia parte del rilevamento delle vulnerabilità. |
Controlli di accesso | Proteggere l'accesso tramite controlli di identità che negano i tentativi di cluster o di altri componenti che fanno parte dell'ambiente dati dei titolari di carte. |
Monitoraggio delle operazioni | Mantenere il comportamento di sicurezza tramite operazioni di monitoraggio e testare regolarmente la progettazione e l'implementazione della sicurezza. |
Gestione dei criteri | Mantenere una documentazione completa e aggiornata sui processi e i criteri di sicurezza. |
Passaggi successivi
Per iniziare, comprendere l'architettura regolamentata e le scelte di progettazione.