本文說明根據支付卡產業資料安全標準 (PCI-DSS 3.2.1) 所設定的 Azure Kubernetes Service (AKS) 叢集的考量事項。
本文是系列文章的一部分。 閱讀簡介。
維護資訊安全性原則
需求 12 - 維護可確保所有人員資訊安全性的原則
Microsoft 會透過經核准的合格資安評估商 (QSA) 完成年度 PCI DSS 評估。 全面考量基礎結構、開發、作業、管理、支援和範圍內服務。 如需詳細資訊,請參閱支付卡產業 (PCI) 資料安全性標準 (DSS)。
此架構和實作並非設計用來為製作完整的官方安全性政策文件提供說明性指引。 相關考量事項請參閱官方 PCI-DSS 3.2.1 標準中的指引。
以下為一些一般建議:
維護有關流程和原則的最新詳盡文件。 請考慮使用 Microsoft Purview 合規性管理員評估您的風險。
在年度安全性政策檢閱期間,納入 Microsoft、Kubernetes 及您的 CDE 中其他第三方解決方案提供的最新指引。 其中一些資源包括廠商出版物,源自適用於雲端的 Microsoft Defender、Azure Advisor 和 Azure Well-Architected 檢閱的指引,以及 AKS Azure 安全性基準和 CIS Azure Kubernetes Service 基準中的更新資訊等。
建立風險評估流程時,請盡可能遵循已發布的標準,例如 NIST SP 800-53。 根據廠商公布的安全性清單中的出版品 (例如 Microsoft 安全性回應中心指南),制定您的風險評估流程。
隨時掌握裝置清查和人員存取權文件中的最新資訊。 請考慮使用適用於端點的 Microsoft Defender 中包含的裝置探索功能。 為了追蹤存取權,您可以從 Microsoft Entra 記錄衍生這些資訊。 這裡有一些可幫助您入門的文章:
做為庫存管理的一部分,請維護一份已核准解決方案的清單,這些解決方案會部署為 PCI 基礎結構和工作負載的一部分。 當中包含一份您選擇導入 CDE 的 VM 映像、資料庫和第三方解決方案的清單。 您甚至可以建立服務類別目錄,以自動執行此流程。 服務類別目錄會根據進行中的平台作業,在特定組態中使用已核准的解決方案來提供自助式部署。 如需詳細資訊,請參閱建立服務類別目錄。
確保安全性連絡人能收到來自 Microsoft 的 Azure 事件通知。
這些通知會顯示您的資源是否遭到入侵。 這可讓您的安全性作業團隊快速回應潛在的安全性風險,並加以補救。 確保 Azure 註冊入口網站中的系統管理員聯絡資訊包含可直接或透過內部程序,快速通知安全性作業團隊的聯絡資訊。 如需詳細資訊,請參閱安全性作業模型。
以下是其他可協助您規劃作業合規性的文章。