Esta arquitetura de referência descreve as considerações para um cluster do AKS (Serviço de Kubernetes do Azure) projetado para executar uma carga de trabalho confidencial. As diretrizes estão vinculadas aos requisitos regulatórios do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS 3.2.1).
Não é nossa meta substituir a sua demonstração de conformidade com esta série. A intenção é ajudar os comerciantes com uma introdução ao design de arquitetura, abordando os objetivos de controle de DSS aplicáveis como um locatário no ambiente do AKS. As diretrizes abordam os aspectos de conformidade do ambiente, incluindo infraestrutura, interações com a carga de trabalho, operações, gerenciamento e interações entre serviços.
Importante
A arquitetura e a implementação de referência não foram certificadas por uma autoridade oficial. Ao concluir esta série e implantar os ativos de código, você não limpa a auditoria para PCI DSS. Adquira atestados de conformidade de um auditor terceiro.
Antes de começar
A Central de Confiabilidade da Microsoft fornece princípios específicos para implantações de nuvem relacionadas à conformidade. As garantias de segurança, fornecidas pelo Azure como a plataforma de nuvem e o AKS como contêiner de host, são auditadas regularmente e atestadas pelo QSA (Assistente de Segurança Qualificada) de terceiros para conformidade com o PCI DSS.
Responsabilidade compartilhada com o Azure
A equipe de Conformidade da Microsoft garante que toda a documentação da conformidade regulatória do Microsoft Azure esteja disponível publicamente para nossos clientes. Você pode baixar o Atestado de Conformidade do PCI DSS para Azure na seção PCI DSS do portal Service Trust. A matriz de responsabilidades descreve quem, entre o Azure e o cliente, é responsável por cada um dos requisitos de PCI. Para obter mais informações, confira Como gerenciar a conformidade na nuvem.
Responsabilidade compartilhada com o AKS
O Kubernetes é um sistema de código aberto para automatizar a implantação, o dimensionamento e o gerenciamento de aplicativos em contêineres. O AKS simplifica a implantação de um cluster do Kubernetes gerenciado no Azure. A infraestrutura fundamental do AKS dá suporte a aplicativos em grande escala na nuvem e é uma opção natural para executar aplicativos de escala empresarial na nuvem, incluindo cargas de trabalho de PCI. Os aplicativos implantados em clusters do AKS têm determinadas complexidades ao implantar cargas de trabalho classificadas em PCI.
Sua responsabilidade
Como proprietário de uma carga de trabalho, você é responsável por sua conformidade com o PCI DSS. Tenha uma compreensão clara de suas responsabilidades lendo os requisitos de PCI para entender a intenção, estudando a matriz do Azure e concluindo esta série para entender as nuances do AKS. Este processo deixará sua implementação pronta para uma avaliação bem-sucedida.
Artigos recomendados
Esta série pressupõe que:
- Você está familiarizado com os conceitos do Kubernetes e o funcionamento de um cluster do AKS.
- Você leu a arquitetura de referência de linha de base do AKS.
- Você implantou a implementação de referência de linha de base do AKS.
- Você está familiarizado com a especificação oficial do PCI DSS 3.2.1.
- Você leu a Linha de base de segurança do Azure para o Serviço de Kubernetes do Azure.
Nesta série
Esta série é dividida em vários artigos. Cada artigo descreve o requisito de alto nível seguido de diretrizes de como atender aos requisitos específicos do AKS.
| Área de responsabilidade | Descrição |
|---|---|
| Segmentação de rede | Proteja os dados do titular do cartão com configuração de firewall e outros controles de rede. Remova os padrões fornecidos pelo fornecedor. |
| Proteção de dados | Criptografe todas as informações, objetos de armazenamento, contêineres e mídia física. Adicione controles de segurança quando os dados estão sendo transferidos entre componentes. |
| Gerenciamento de vulnerabilidades | Execute software antivírus, ferramentas de monitoramento de integridade de arquivo e scanners de contêiner para garantir que o sistema faça parte da detecção de vulnerabilidades. |
| Controles de acesso | Proteja o acesso por meio de controles de identidade que negam tentativas ao cluster ou a outros componentes que fazem parte do ambiente de dados do titular do cartão. |
| Monitoramento de operações | Mantenha a postura de segurança por meio de operações de monitoramento e teste regularmente seu design e implementação de segurança. |
| Gerenciamento de política | Mantenha a documentação completa e atualizada sobre seus processos e políticas de segurança. |
Próximas etapas
Comece entendendo a arquitetura regulamentada e as opções de design.