In dieser Referenzarchitektur werden die Aspekte eines AKS-Clusters (Azure Kubernetes Service) beschrieben, der zum Ausführen einer vertraulichen Workload vorgesehen ist. Der Leitfaden orientiert sich an den Vorgaben von PCI-DSS 3.2.1 (Payment Card Industry Data Security Standard).
Es ist nicht unser Ziel, mit dieser Reihe Ihren Compliancenachweis zu ersetzen. Vielmehr möchten wir Händler bei den ersten Entwurfsschritten für die Architektur unterstützen, indem wir auf die relevanten DSS-Kontrollziele als Mandant in der AKS-Umgebung eingehen. Der Leitfaden behandelt die Complianceaspekte der Umgebung, einschließlich Infrastruktur, Interaktionen mit der Workload, Betrieb, Verwaltung und Interaktionen zwischen Diensten.
Wichtig
Die Referenzarchitektur und -implementierung wurden nicht von einer offiziellen Stelle zertifiziert. Wenn Sie diese Reihe durchlaufen und die Coderessourcen bereitstellen, ist trotzdem noch eine PCI-DSS-Überprüfung erforderlich. Nutzen Sie einen externen Prüfer, um Konformitätsnachweise zu erhalten.
Voraussetzungen
Microsoft Trust Center bietet spezifische Prinzipien für compliancebezogene Cloudbereitstellungen. Die von Azure als Cloudplattform und AKS als Hostcontainer bereitgestellten Sicherheitsgarantien werden regelmäßig durch einen externen Qualified Security Assessor (QSA) für PCI-DSS überprüft und bestätigt.
Gemeinsame Verantwortung mit Azure
Das Compliance-Team von Microsoft sorgt dafür, dass sämtliches Dokumentationsmaterial für die Einhaltung gesetzlicher Bestimmungen von Microsoft Azure öffentlich für unsere Kunden zugänglich ist. Der PCI-DSS-Konformitätsnachweis für Azure kann unter Prüfungsberichte im Abschnitt „PCI/DSS“ heruntergeladen werden. Die Zuständigkeitsmatrix gibt Aufschluss darüber, wer zwischen Azure und dem Kunden jeweils für die einzelnen PCI-Anforderungen zuständig ist. Weitere Informationen finden Sie unter Einfache Compliance in der Cloud.
Gemeinsame Verantwortung mit AKS
Kubernetes ist ein Open-Source-System für die Automatisierung der Bereitstellung, Skalierung und Verwaltung von Containeranwendungen. AKS vereinfacht das Bereitstellen eines verwalteten Kubernetes-Clusters in Azure. Die grundlegende AKS-Infrastruktur unterstützt umfangreiche Anwendungen in der Cloud und bietet sich für die Ausführung von Unternehmensanwendungen in der Cloud an – einschließlich PCI-Workloads. Bei in AKS-Clustern bereitgestellten Anwendungen gibt es gewisse Komplexitäten im Zusammenhang mit der Bereitstellung PCI-klassifizierter Workloads.
Ihre Verantwortung
Als Workloadbesitzer sind Sie letztendlich für Ihre eigene PCI-DSS-Konformität verantwortlich. Informieren Sie sich genau über Ihre Zuständigkeitsbereiche. Lesen Sie dazu die PCI-Anforderungen, um die Absicht zu verstehen, sehen Sie sich die Matrix für Azure an, und durchlaufen Sie diese Reihe, um sich mit den AKS-Feinheiten vertraut zu machen. Mit diesem Prozess können Sie Ihre Implementierung für eine erfolgreiche Bewertung vorbereiten.
Empfohlene Artikel
Für diese Reihe wird Folgendes vorausgesetzt:
- Sie sind mit Kubernetes-Konzepten und mit der Funktionsweise eines AKS-Clusters vertraut.
- Sie haben den Artikel Baselinearchitektur für einen AKS-Cluster (Azure Kubernetes Service) gelesen.
- Sie haben die Baselinereferenzimplementierung von AKS bereitgestellt.
- Sie sind bestens mit der offiziellen PCI-DSS 3.2.1-Spezifikation vertraut.
- Sie haben die Azure-Sicherheitsbaseline für Azure Kubernetes Service gelesen.
Inhalt dieser Serie
Diese Reihe ist in mehrere Artikel unterteilt. In den einzelnen Artikeln wird jeweils die allgemeine Anforderung beschrieben. Danach folgen Informationen zur Erfüllung der AKS-spezifischen Anforderung.
| Zuständigkeitsbereich | BESCHREIBUNG |
|---|---|
| Netzwerksegmentierung | Schützen Sie Karteninhaberdaten mit Firewallkonfiguration und anderen Netzwerksteuerungen. Entfernen Sie vom Anbieter angegebene Standardwerte. |
| Datenschutz | Verschlüsseln Sie alle Informationen, Speicherobjekte, Container und physischen Medien. Fügen Sie Sicherheitskontrollen hinzu, wenn Daten zwischen Komponenten übertragen werden. |
| Verwaltung von Sicherheitsrisiken | Führen Sie Antivirensoftware, Tools zur Überwachung der Dateiintegrität und Containerscanner aus, um das System in Ihre Sicherheitsrisikoerkennung zu integrieren. |
| Zugriffssteuerungen | Schützen Sie den Zugriff über Identitätskontrollen, die den Zugriff auf den Cluster bzw. auf andere Komponenten verweigern, die Teil der Datenumgebung des Karteninhabers sind. |
| Überwachen von Vorgängen | Überwachen Sie Vorgänge, und testen Sie regelmäßig Ihren Sicherheitsentwurf und Ihre Sicherheitsimplementierung, um den Sicherheitsstatus aufrechtzuerhalten. |
| Richtlinienverwaltung | Pflegen Sie eine umfassende und aktuelle Dokumentation für Ihre Sicherheitsprozesse und -richtlinie. |
Nächste Schritte
Machen Sie sich zunächst mit der regulierten Architektur und den Entwurfsoptionen vertraut.