本文说明了根据支付卡行业数据安全标准 (PCI-DSS 3.2.1) 配置的 Azure Kubernetes 服务 (AKS) 群集的注意事项。
本文是一系列文章的其中一篇。 阅读简介。
维护信息安全策略
第 12 项要求 — 维护用于解决所有人员的信息安全性问题的策略
Microsoft 使用经批准的合格安全评估员 (QSA) 完成年度 PCI DSS 评估。 期间评估了基础结构、开发、运营、管理、支持和范围内服务的所有方面。 有关详细信息,请参阅支付卡行业 (PCI) 数据安全标准 (DSS)。
此体系结构和实现并非旨在为阐述端到端的官方安全策略提供演示性指导。 有关注意事项,请参阅官方 PCI-DSS 3.2.1 标准中的指南。
下面是部分一般性建议:
维护有关流程和策略的完整和已更新文档。 考虑使用 Microsoft Purview 合规性管理器来评估风险。
在安全策略的年度评审中,纳入 Microsoft、Kubernetes 和包含在 CDE 中的其他第三方解决方案提供的新指导。 部分资源包括供应商发行物,以及派生自 Microsoft Defender for Cloud、Azure 顾问、Azure 架构良好的评审的指导、AKS Azure 安全基线和 CIS Azure Kubernetes 服务基准中的更新,等等。
在建立风险评估流程时,请在可行的情况下与已发布的标准(例如 NIST SP 800-53)保持一致。 将供应商发布的安全列表中的发行物(例如 Microsoft 安全响应中心指南)映射到风险评估流程。
保留有关设备库存和人员访问文档的最新信息。 考虑使用 Microsoft Defender for Endpoint 随附的设备发现功能。 要跟踪访问,可以从 Microsoft Entra 日志中派生该信息。 下面是一些可帮助你入门的文章:
在库存管理中,维护一份已批准的解决方案的列表,这些解决方案作为 PCI 基础结构和工作负载的一部分进行部署。 这包括你选择引入到 CDE 的 VM 映像、数据库和第三方解决方案的列表。 甚至可以通过生成一个服务目录来自动执行此过程。 它通过在特定配置中使用那些已批准的解决方案来提供自助式部署,该配置符合持续平台操作的要求。 有关详细信息,请参阅建立服务目录。
确保安全联系人可以收到来自 Microsoft 的 Azure 事件通知。
这些通知会表明你的资源是否受到威胁。 这样,安全运营团队就可以快速响应潜在的安全风险,并进行修正。 确保 Azure 注册门户中的管理员联系信息包含能够(直接或快速通过 Internet 进程)通知安全运营人员的联系信息。 有关详细信息,请参阅安全运营模型。
下面是可帮助你规划运营合规性的其他文章。