Deze referentiearchitectuur beschrijft de overwegingen voor een AKS-cluster (Azure Kubernetes Service) dat is ontworpen om een gevoelige workload uit te voeren. De richtlijnen zijn gekoppeld aan de wettelijke vereisten van de Payment Card Industry Data Security Standard (PCI-DSS 3.2.1).
Het is niet ons doel om uw naleving van deze reeks te vervangen. De bedoeling is om verkopers te helpen aan de slag te gaan met het architectuurontwerp door de toepasselijke DSS-controledoelstellingen als tenant in de AKS-omgeving aan te pakken. De richtlijnen hebben betrekking op de nalevingsaspecten van de omgeving, waaronder infrastructuur, interacties met de workload, bewerkingen, beheer en interacties tussen services.
Belangrijk
De referentiearchitectuur en -implementatie zijn niet gecertificeerd door een officiële instantie. Door deze reeks te voltooien en de codeassets te implementeren, wist u geen controle voor PCI DSS. Nalevingsverklaringen verkrijgen van een externe auditor.
Voordat u begint
Microsoft Trust Center biedt specifieke principes voor nalevingsgerelateerde cloudimplementaties. De beveiligingsgaranties, geleverd door Azure als het cloudplatform en AKS als de hostcontainer, worden regelmatig gecontroleerd en getest door QSA (Qualified Security Assessor) van derden voor PCI DSS-naleving.
Gedeelde verantwoordelijkheid met Azure
Het Microsoft Compliance-team zorgt ervoor dat alle documentatie over naleving van Microsoft Azure-regelgeving openbaar beschikbaar is voor onze klanten. U kunt de PCI DSS Attestation of Compliance voor Azure downloaden in de sectie PCI DSS via de Service Trust-portal. De verantwoordelijkheidsmatrix geeft aan wie, tussen Azure en de klant, verantwoordelijk is voor elk van de PCI-vereisten. Zie Naleving beheren in de cloud voor meer informatie.
Gedeelde verantwoordelijkheid met AKS
Kubernetes is een opensource-systeem voor het automatiseren van implementatie, schalen en beheer van toepassingen in containers. Met AKS kunt u eenvoudig een beheerd Kubernetes-cluster implementeren in Azure. De fundamentele AKS-infrastructuur ondersteunt grootschalige toepassingen in de cloud en is een natuurlijke keuze voor het uitvoeren van bedrijfstoepassingen in de cloud, waaronder PCI-workloads. Toepassingen die zijn geïmplementeerd in AKS-clusters hebben bepaalde complexiteiten bij het implementeren van PCI-geclassificeerde workloads.
Uw verantwoordelijkheid
Als eigenaar van een workload bent u uiteindelijk verantwoordelijk voor uw eigen PCI DSS-naleving. Begrijp uw verantwoordelijkheden duidelijk door de PCI-vereisten te lezen om inzicht te krijgen in de intentie, het bestuderen van de matrix voor Azure en het voltooien van deze reeks om inzicht te krijgen in de AKS-nuances. Dit proces zorgt ervoor dat uw implementatie gereed is voor een geslaagde evaluatie.
Aanbevolen artikelen
In deze reeks wordt ervan uitgegaan:
- U bent bekend met Kubernetes-concepten en -werkingen van een AKS-cluster.
- U hebt de referentiearchitectuur van de AKS-basislijn gelezen.
- U hebt de referentie-implementatie van de AKS-basislijn geïmplementeerd.
- U bent erg bekend met de officiële PCI DSS 3.2.1-specificatie.
- U hebt de Azure-beveiligingsbasislijn voor Azure Kubernetes Service gelezen.
In deze reeks
Deze reeks is onderverdeeld in verschillende artikelen. Elk artikel bevat een overzicht van de vereiste op hoog niveau, gevolgd door richtlijnen over het aanpakken van de AKS-specifieke vereiste.
| Verantwoordelijkheidsgebied | Beschrijving |
|---|---|
| Netwerksegmentatie | Bescherm gegevens van de kaarthouder met firewallconfiguratie en andere netwerkbesturingselementen. Door de leverancier geleverde standaardwaarden verwijderen. |
| Gegevensbeveiliging | Alle informatie, opslagobjecten, containers en fysieke media versleutelen. Beveiligingscontroles toevoegen wanneer gegevens worden overgedragen tussen onderdelen. |
| Beheer van beveiligingsproblemen | Voer antivirussoftware, hulpprogramma's voor bewaking van bestandsintegriteit en containerscanners uit om ervoor te zorgen dat het systeem onderdeel is van de detectie van beveiligingsproblemen. |
| Besturingselementen voor toegang | Beveilig toegang via identiteitsbesturingselementen die pogingen tot het cluster of andere onderdelen weigeren die deel uitmaken van de gegevensomgeving van de kaarthouder. |
| Bewakingsbewerkingen | Behoud de beveiligingspostuur door middel van bewakingsbewerkingen en test regelmatig uw beveiligingsontwerp en -implementatie. |
| Beleidsbeheer | Houd uitgebreide en bijgewerkte documentatie over uw beveiligingsprocessen en -beleid bij. |
Volgende stappen
Begin met het begrijpen van de gereguleerde architectuur en de ontwerpkeuzen.