Den här referensarkitekturen beskriver övervägandena för ett AKS-kluster (Azure Kubernetes Service) som är utformat för att köra en känslig arbetsbelastning. Vägledningen är knuten till de reglerande kraven i Payment Card Industry Data Security Standard (PCI-DSS 3.2.1).
Det är inte vårt mål att ersätta din demonstration av din efterlevnad med den här serien. Avsikten är att hjälpa säljare att komma igång med arkitekturdesignen genom att hantera tillämpliga DSS-kontrollmål som klientorganisation i AKS-miljön. Vägledningen omfattar efterlevnadsaspekterna i miljön, inklusive infrastruktur, interaktioner med arbetsbelastningen, åtgärder, hantering och interaktioner mellan tjänster.
Viktigt!
Referensarkitekturen och implementeringen har inte certifierats av en officiell myndighet. Genom att slutföra den här serien och distribuera kodtillgångarna rensar du inte granskning för PCI DSS. Hämta efterlevnadsattester från en tredjepartsrevisor.
Innan du börjar
Microsoft Trust Center innehåller specifika principer för efterlevnadsrelaterade molndistributioner. Säkerhetsgarantierna – som tillhandahålls av Azure som molnplattform och AKS som värdcontainer – granskas och intygas regelbundet av QSA (Qualified Security Assessor) från tredje part för PCI DSS-efterlevnad.
Delat ansvar med Azure
Microsofts efterlevnadsteam ser till att all dokumentation om Microsoft Azure-regelefterlevnad är offentligt tillgänglig för våra kunder. Du kan ladda ned PCI DSS-attesteringen av efterlevnad för Azure under avsnittet PCI DSS från Service Trust-portalen. Ansvarsmatrisen beskriver vem som mellan Azure och kunden ansvarar för vart och ett av PCI-kraven. Mer information finns i Hantera efterlevnad i molnet.
Delat ansvar med AKS
Kubernetes är ett system med öppen källkod för att automatisera distribution, skalning och hantering av containerbaserade program. AKS gör det enkelt att distribuera ett hanterat Kubernetes-kluster i Azure. Den grundläggande AKS-infrastrukturen stöder storskaliga program i molnet och är ett naturligt val för att köra program i företagsskala i molnet, inklusive PCI-arbetsbelastningar. Program som distribueras i AKS-kluster har vissa komplexiteter vid distribution av PCI-klassificerade arbetsbelastningar.
Ditt ansvar
Som arbetsbelastningsägare är du ytterst ansvarig för din egen PCI DSS-efterlevnad. Ha en tydlig förståelse för ditt ansvar genom att läsa PCI-kraven för att förstå avsikten, studera matrisen för Azure och slutföra den här serien för att förstå AKS-nyanserna. Den här processen gör implementeringen redo för en lyckad utvärdering.
Rekommenderade artiklar
Den här serien förutsätter:
- Du är bekant med Kubernetes-begrepp och fungerar i ett AKS-kluster.
- Du har läst referensarkitekturen för AKS-baslinjen.
- Du har distribuerat referensimplementeringen för AKS-baslinjen.
- Du är mycket bekant med den officiella PCI DSS 3.2.1-specifikationen.
- Du har läst Azures säkerhetsbaslinje för Azure Kubernetes Service.
I den här serien
Den här serien är uppdelad i flera artiklar. Varje artikel beskriver kraven på hög nivå följt av vägledning om hur du hanterar AKS-specifika krav.
| Ansvarsområde | beskrivning |
|---|---|
| Nätverkssegmentering | Skydda korthållardata med brandväggskonfiguration och andra nätverkskontroller. Ta bort standardvärden som tillhandahålls av leverantören. |
| Dataskydd | Kryptera all information, lagringsobjekt, containrar och fysiska medier. Lägg till säkerhetskontroller när data som överförs mellan komponenter. |
| Sårbarhetshantering | Kör antivirusprogram, verktyg för övervakning av filintegritet och containerskannrar för att se till att systemet är en del av sårbarhetsidentifieringen. |
| Åtkomstkontroller | Säker åtkomst via identitetskontroller som nekar försök till klustret eller andra komponenter som ingår i korthållardatamiljön. |
| Övervakningsåtgärder | Upprätthålla säkerhetsstatusen genom övervakningsåtgärder och testa regelbundet din säkerhetsdesign och implementering. |
| Principhantering | Underhåll noggrann och uppdaterad dokumentation om dina säkerhetsprocesser och principer. |
Nästa steg
Börja med att förstå den reglerade arkitekturen och designvalen.