Tato referenční architektura popisuje aspekty clusteru Azure Kubernetes Service (AKS) navrženého pro spouštění citlivých úloh. Pokyny jsou vázány na zákonné požadavky standardu ZABEZPEČENÍ dat pro odvětví platebních karet (PCI-DSS 3.2.1).
Naším cílem není nahradit vaši ukázku dodržování předpisů touto řadou. Záměrem je pomoct obchodníkům začít s návrhem architektury tím, že řeší příslušné cíle kontroly DSS jako tenant v prostředí AKS. Tyto pokyny se týkají aspektů dodržování předpisů v prostředí, včetně infrastruktury, interakcí s úlohami, provozu, správy a interakcí mezi službami.
Důležité
Referenční architektura a implementace nebyly certifikovány oficiálním orgánem. Dokončením této série a nasazením prostředků kódu nevymažete audit PCI DSS. Získejte osvědčení o dodržování předpisů od externího auditora.
Než začnete
Centrum zabezpečení Microsoftu poskytuje specifické principy pro cloudová nasazení související s dodržováním předpisů. Záruky zabezpečení, které poskytuje Azure jako cloudová platforma a AKS jako kontejner hostitele, jsou pravidelně auditovány a ověřovány externím kvalifikovaným posouzením zabezpečení (QSA) kvůli dodržování předpisů PCI DSS.
Sdílená odpovědnost s Azure
Tým Microsoftu pro dodržování předpisů zajišťuje, aby veškerá dokumentace k dodržování právních předpisů Microsoft Azure byla pro naše zákazníky veřejně přístupná. Ověření dodržování předpisů PCI DSS pro Azure si můžete stáhnout v části PCI DSS v sestavách auditu. Matice odpovědnosti popisuje, kdo je mezi Azure a zákazníkem zodpovědný za jednotlivé požadavky PCI. Další informace najdete v tématu Správa dodržování předpisů v cloudu.
Sdílená odpovědnost s AKS
Kubernetes je opensourcový systém pro automatizaci nasazení, škálování a správy kontejnerizovaných aplikací. AKS zjednodušuje nasazení spravovaného clusteru Kubernetes v Azure. Základní infrastruktura AKS podporuje rozsáhlé aplikace v cloudu a je přirozenou volbou pro spouštění podnikových aplikací v cloudu, včetně úloh PCI. Aplikace nasazené v clusterech AKS mají při nasazování úloh klasifikovaných jako PCI určité složitosti.
Vaše odpovědnost
Jako vlastník úlohy jste v konečném důsledku zodpovědní za dodržování předpisů PCI DSS. Seznamte se s požadavky NA PCI, abyste porozuměli záměru, prostudovali si matici pro Azure a dokončili tuto sérii, abyste porozuměli drobným odlišnostem AKS. Tento proces připraví vaši implementaci k úspěšnému posouzení.
Doporučené články
Tato řada předpokládá:
- Znáte koncepty Kubernetes a fungování clusteru AKS.
- Přečetli jste si referenční architekturu AKS.
- Nasadili jste referenční implementaci standardních hodnot AKS.
- Jste velmi obeznámeni s oficiální specifikací PCI DSS 3.2.1.
- Přečetli jste si standardní hodnoty zabezpečení Azure pro Azure Kubernetes Service.
V této řadě
Tato série je rozdělená do několika článků. Každý článek popisuje požadavek vysoké úrovně následovaný pokyny k řešení specifického požadavku AKS.
| Oblast odpovědnosti | Popis |
|---|---|
| segmenty sítě. | Chraňte data držitele karty pomocí konfigurace brány firewall a dalších síťových ovládacích prvků. Odeberte výchozí hodnoty dodané dodavatelem. |
| Ochrana dat | Zašifrujte všechny informace, objekty úložiště, kontejnery a fyzická média. Přidání bezpečnostních prvků při přenosu dat mezi komponentami |
| Správa ohrožení zabezpečení | Spusťte antivirový software, nástroje pro monitorování integrity souborů a kontejnerové skenery a ujistěte se, že systém je součástí detekce ohrožení zabezpečení. |
| Ovládací prvky přístupu | Zabezpečený přístup prostřednictvím ovládacích prvků identit, které zamítají pokusy o přístup ke clusteru nebo jiným komponentám, které jsou součástí datového prostředí držitele karty. |
| Monitorování operací | Udržujte stav zabezpečení prostřednictvím monitorování operací a pravidelně testujte návrh a implementaci zabezpečení. |
| Správa zásad | Udržujte důkladnou a aktualizovanou dokumentaci týkající se procesů a zásad zabezpečení. |
Další kroky
Začněte tím, že pochopíte regulovanou architekturu a možnosti návrhu.