Ta architektura referencyjna opisuje zagadnienia dotyczące klastra usługi Azure Kubernetes Service (AKS) przeznaczonego do uruchamiania wrażliwego obciążenia. Wskazówki są powiązane z wymaganiami prawnymi standardu Payment Card Industry Data Security Standard (PCI-DSS 3.2.1).
Nie naszym celem jest zastąpienie pokazu zgodności z tą serią. Celem jest pomoc handlowcom w rozpoczęciu projektowania architektury, zwracając się do odpowiednich celów kontroli DSS jako dzierżawy w środowisku usługi AKS. Wskazówki obejmują aspekty zgodności środowiska, w tym infrastrukturę, interakcje z obciążeniem, operacjami, zarządzaniem i interakcjami między usługami.
Ważne
Architektura referencyjna i implementacja nie zostały certyfikowane przez urząd urzędnika. Ukończenie tej serii i wdrożenie zasobów kodu nie powoduje wyczyszczenia inspekcji dla standardu PCI DSS. Uzyskiwanie zaświadczeń dotyczących zgodności od zewnętrznego audytora.
Zanim rozpoczniesz
Centrum zaufania Firmy Microsoft udostępnia konkretne zasady dotyczące wdrożeń w chmurze związanych ze zgodnością. Zabezpieczenia zapewniane przez platformę Azure jako platforma w chmurze i usługa AKS jako kontener hosta są regularnie poddawane inspekcji i zaświadczane przez kwalifikowaną ocenę zabezpieczeń (QSA) innej firmy pod kątem zgodności ze standardem PCI DSS.
Wspólna odpowiedzialność za platformę Azure
Zespół ds. zgodności firmy Microsoft zapewnia, że wszystkie dokumenty dotyczące zgodności z przepisami platformy Microsoft Azure są publicznie dostępne dla naszych klientów. Możesz pobrać zaświadczenie PCI DSS dla platformy Azure w sekcji PCI DSS w portalu zaufania usług. W macierzy odpowiedzialności opisano, kto między platformą Azure a klientem jest odpowiedzialny za każde z wymagań PCI. Aby uzyskać więcej informacji, zobacz Zarządzanie zgodnością w chmurze.
Wspólna odpowiedzialność za usługę AKS
Kubernetes to system typu open source do automatyzacji wdrażania, skalowania i zarządzania konteneryzowanymi aplikacjami. Usługa AKS ułatwia wdrażanie zarządzanego klastra Kubernetes na platformie Azure. Podstawowa infrastruktura usługi AKS obsługuje aplikacje na dużą skalę w chmurze i jest naturalnym wyborem do uruchamiania aplikacji w skali przedsiębiorstwa w chmurze, w tym obciążeń PCI. Aplikacje wdrożone w klastrach usługi AKS mają pewne złożoność podczas wdrażania obciążeń sklasyfikowanych przez pci.
Twoja odpowiedzialność
Jako właściciel obciążenia jesteś ostatecznie odpowiedzialny za własną zgodność ze standardem PCI DSS. Aby zrozumieć swoje obowiązki, zapoznaj się z wymaganiami PCI, aby zrozumieć intencję, zapoznać się z macierzą dla platformy Azure i ukończyć tę serię, aby zrozumieć niuanse usługi AKS. Ten proces sprawi, że wdrożenie będzie gotowe do pomyślnej oceny.
Polecane artykuły
W tej serii przyjęto założenie:
- Znasz pojęcia i funkcje klastra AKS platformy Kubernetes.
- Zapoznaliśmy się z architekturą referencyjną punktu odniesienia usługi AKS.
- Wdrożono implementację referencyjną punktu odniesienia usługi AKS.
- Dobrze znasz oficjalną specyfikację PCI DSS 3.2.1.
- Przeczytaliśmy punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Kubernetes Service.
W tej serii
Ta seria jest podzielona na kilka artykułów. W każdym artykule opisano wymaganie wysokiego poziomu, a następnie wskazówki dotyczące sposobu rozwiązywania wymagań specyficznych dla usługi AKS.
Obszar odpowiedzialności | opis |
---|---|
Segmentacja sieci | Ochrona danych karty przy użyciu konfiguracji zapory i innych mechanizmów kontroli sieci. Usuń wartości domyślne dostarczone przez dostawcę. |
Ochrona danych | Szyfruj wszystkie informacje, obiekty magazynu, kontenery i nośniki fizyczne. Dodawanie mechanizmów kontroli zabezpieczeń podczas przesyłania danych między składnikami. |
Zarządzanie lukami w zabezpieczeniach | Uruchom oprogramowanie antywirusowe, narzędzia do monitorowania integralności plików i skanery kontenerów, aby upewnić się, że system jest częścią wykrywania luk w zabezpieczeniach. |
Kontrole dostępu | Bezpieczny dostęp za pomocą mechanizmów kontroli tożsamości, które odmawiają prób klastra lub innych składników będących częścią środowiska danych posiadaczy kart. |
Operacje monitorowania | Zachowaj stan zabezpieczeń przez operacje monitorowania i regularnie testuj projekt zabezpieczeń i implementację. |
Zarządzanie zasadami | Zachowaj szczegółową i zaktualizowaną dokumentację dotyczącą procesów i zasad zabezpieczeń. |
Następne kroki
Zacznij od zrozumienia regulowanej architektury i wyborów projektowych.