本參考架構說明設計用來執行敏感性工作負載之 Azure Kubernetes 服務 (AKS) 叢集的考量事項。 本指南與支付卡產業資料安全性標準 (PCI-DSS 3.2.1) 的法規需求相關。
我們推出此系列的目標,並非取代您對自身合規性的實際展示。 我們的意圖是要協助商家在 AKS 環境中,以租用戶的身分達成適用的 DSS 控制目標,進而開始進行架構設計。 本指南涵蓋環境合規性的各個層面,包括基礎結構、與工作負載的互動、作業、管理,以及服務之間的互動。
重要
參考架構和實作尚未經過官方機構認證。 讀完本系列文章,並部署程式碼資產,並不代表您已通過 PCI DSS 稽核。 請向第三方稽核員取得合規性證明。
開始之前
Microsoft 信任中心提供適用於合規性相關雲端部署的特定原則。 由 Azure (擔任雲端平台) 和 AKS (擔任主機容器) 提供的安全性保證需由第三方合格安全性評估單位 (QSA) 定期稽核並證明,以確保 PCI DSS 合規性。
與 Azure 共同承擔的責任
Microsoft 合規性團隊負責確保所有 Microsoft Azure 法規合規性文件都會公開提供給我們的客戶。 您可以在服務信任入口網站的 PCI DSS 區段下方,下載 Azure 的 PCI DSS 合規性證明。 責任矩陣概述了 Azure 和客戶之間就每項 PCI 需求的責任劃分。 如需詳細資訊,請參閱管理雲端中的合規性。
與 AKS 共同承擔的責任
Kubernetes 是開放原始碼系統,用於自動部署、縮放和管理容器化應用程式。 AKS 可讓您輕鬆在 Azure 上部署受控 Kubernetes 叢集。 AKS 基本基礎結構支援大型雲端應用程式,因而成為在雲端執行企業級應用程式 (包括 PCI 工作負載) 最理所當然的選擇。 部署 PCI 分類工作負載時,部署於 AKS 叢集中的應用程式具有一定的複雜性。
您的責任
做為工作負載擁有者,您必須為自己的 PCI DSS 合規性承擔最終責任。 請閱讀 PCI 需求以了解其意圖、研究 Azure 矩陣,並讀完本系列文章以了解 AKS 的精巧之處,進而清楚了解您的責任。 完成以上流程,將能幫助您的實作做好成功通過評估的準備。
建議文章
此系列假設:
- 您已熟悉 Kubernetes 概念和 AKS 叢集的運作方式。
- 您已讀完 AKS 基準參考架構。
- 您已部署 AKS 基準參考實作。
- 您已十分熟悉官方 PCI DSS 3.2.1 規格。
- 您已讀完適用於 Azure Kubernetes Service 的 Azure 安全性基準。
在此系列中
本系列分為數篇文章。 每篇文章都概述了高階要求,並附上如何滿足 AKS 特定需求的指引。
| 責任範圍 | 描述 |
|---|---|
| 網路分割 | 使用防火牆組態和其他網路控制項,保護持卡人資料。 移除廠商提供的預設值。 |
| 資料保護 | 加密所有資訊、儲存體物件、容器和實體媒體。 在元件之間傳輸資料時,新增安全性控制項。 |
| 弱點管理 | 執行防毒軟體、檔案完整性監視工具和容器掃描器,以確保將系統納入弱點偵測範圍。 |
| 存取控制 | 透過身分識別控制項,拒絕對叢集或持卡人資料環境中其他元件的存取嘗試,以確保安全存取。 |
| 監視作業 | 透過監視作業維護安全性狀態,並定期測試您的安全性設計與實作。 |
| 原則管理 | 維護有關安全性流程和原則的最新詳細文件。 |
下一步
從了解受管制架構和不同的設計選項開始。