Wprowadzenie klastra regulowanego usługi AKS dla standardu PCI-DSS 3.2.1 (część 1 z 9)

Azure Kubernetes Service (AKS)
Azure Monitor

Ta architektura referencyjna opisuje zagadnienia dotyczące klastra usługi Azure Kubernetes Service (AKS) przeznaczonego do uruchamiania wrażliwego obciążenia. Wskazówki są powiązane z wymaganiami prawnymi standardu Payment Card Industry Data Security Standard (PCI-DSS 3.2.1).

Nie naszym celem jest zastąpienie pokazu zgodności z tą serią. Celem jest pomoc handlowcom w rozpoczęciu projektowania architektury, zwracając się do odpowiednich celów kontroli DSS jako dzierżawy w środowisku usługi AKS. Wskazówki obejmują aspekty zgodności środowiska, w tym infrastrukturę, interakcje z obciążeniem, operacjami, zarządzaniem i interakcjami między usługami.

Ważne

Architektura referencyjna i implementacja nie zostały certyfikowane przez urząd urzędnika. Ukończenie tej serii i wdrożenie zasobów kodu nie powoduje wyczyszczenia inspekcji dla standardu PCI DSS. Uzyskiwanie zaświadczeń dotyczących zgodności od zewnętrznego audytora.

Zanim rozpoczniesz

Centrum zaufania Firmy Microsoft udostępnia konkretne zasady dotyczące wdrożeń w chmurze związanych ze zgodnością. Zabezpieczenia zapewniane przez platformę Azure jako platforma w chmurze i usługa AKS jako kontener hosta są regularnie poddawane inspekcji i zaświadczane przez kwalifikowaną ocenę zabezpieczeń (QSA) innej firmy pod kątem zgodności ze standardem PCI DSS.

Diagram modelu wspólnej odpowiedzialności.

  • Wspólna odpowiedzialność za platformę Azure

    Zespół ds. zgodności firmy Microsoft zapewnia, że wszystkie dokumenty dotyczące zgodności z przepisami platformy Microsoft Azure są publicznie dostępne dla naszych klientów. Możesz pobrać zaświadczenie PCI DSS dla platformy Azure w sekcji PCI DSS w portalu zaufania usług. W macierzy odpowiedzialności opisano, kto między platformą Azure a klientem jest odpowiedzialny za każde z wymagań PCI. Aby uzyskać więcej informacji, zobacz Zarządzanie zgodnością w chmurze.

  • Wspólna odpowiedzialność za usługę AKS

    Kubernetes to system typu open source do automatyzacji wdrażania, skalowania i zarządzania konteneryzowanymi aplikacjami. Usługa AKS ułatwia wdrażanie zarządzanego klastra Kubernetes na platformie Azure. Podstawowa infrastruktura usługi AKS obsługuje aplikacje na dużą skalę w chmurze i jest naturalnym wyborem do uruchamiania aplikacji w skali przedsiębiorstwa w chmurze, w tym obciążeń PCI. Aplikacje wdrożone w klastrach usługi AKS mają pewne złożoność podczas wdrażania obciążeń sklasyfikowanych przez pci.

  • Twoja odpowiedzialność

    Jako właściciel obciążenia jesteś ostatecznie odpowiedzialny za własną zgodność ze standardem PCI DSS. Aby zrozumieć swoje obowiązki, zapoznaj się z wymaganiami PCI, aby zrozumieć intencję, zapoznać się z macierzą dla platformy Azure i ukończyć tę serię, aby zrozumieć niuanse usługi AKS. Ten proces sprawi, że wdrożenie będzie gotowe do pomyślnej oceny.

W tej serii przyjęto założenie:

W tej serii

Ta seria jest podzielona na kilka artykułów. W każdym artykule opisano wymaganie wysokiego poziomu, a następnie wskazówki dotyczące sposobu rozwiązywania wymagań specyficznych dla usługi AKS.

Obszar odpowiedzialności opis
Segmentacja sieci Ochrona danych karty przy użyciu konfiguracji zapory i innych mechanizmów kontroli sieci. Usuń wartości domyślne dostarczone przez dostawcę.
Ochrona danych Szyfruj wszystkie informacje, obiekty magazynu, kontenery i nośniki fizyczne. Dodawanie mechanizmów kontroli zabezpieczeń podczas przesyłania danych między składnikami.
Zarządzanie lukami w zabezpieczeniach Uruchom oprogramowanie antywirusowe, narzędzia do monitorowania integralności plików i skanery kontenerów, aby upewnić się, że system jest częścią wykrywania luk w zabezpieczeniach.
Kontrole dostępu Bezpieczny dostęp za pomocą mechanizmów kontroli tożsamości, które odmawiają prób klastra lub innych składników będących częścią środowiska danych posiadaczy kart.
Operacje monitorowania Zachowaj stan zabezpieczeń przez operacje monitorowania i regularnie testuj projekt zabezpieczeń i implementację.
Zarządzanie zasadami Zachowaj szczegółową i zaktualizowaną dokumentację dotyczącą procesów i zasad zabezpieczeń.

Następne kroki

Zacznij od zrozumienia regulowanej architektury i wyborów projektowych.