En esta arquitectura de referencia se describen las consideraciones para un clúster de Azure Kubernetes Service (AKS) diseñado para ejecutar una carga de trabajo confidencial. La guía está vinculada a los requisitos normativos del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS 3.2.1).
Nuestro objetivo no es reemplazar la demostración de su cumplimiento con esta serie. La intención es ayudar a los comerciantes a empezar a trabajar en el diseño de la arquitectura abordando los objetivos de control de DSS aplicables como inquilino en el entorno de AKS. Las instrucciones tratan los aspectos de cumplimiento del entorno, incluida la infraestructura, las interacciones con la carga de trabajo, las operaciones, la administración y las interacciones entre servicios.
Importante
La arquitectura y la implementación de referencia no han sido certificadas por una autoridad oficial. La realización de esta serie y la implementación de los recursos de código no eximen de la auditoría de PCI DSS. Adquiera las atestaciones de cumplimiento de un auditor de terceros.
Antes de empezar
En el Centro de confianza de Microsoft se ofrecen los principios específicos para las implementaciones en la nube relacionadas con el cumplimiento. Las garantías de seguridad, proporcionadas por Azure como plataforma de nube y por AKS como contenedor host, se auditan y atestiguan periódicamente mediante un evaluador de seguridad cualificado (QSA) de terceros para el cumplimiento del estándar PCI DSS.
Responsabilidad compartida con Azure
El equipo de cumplimiento de Microsoft garantiza que toda la documentación del cumplimiento normativo de Microsoft Azure está disponible públicamente para nuestros clientes. Puede descargar la atestación de cumplimiento de PCI DSS de Azure en la sección PCI DSS de los informes de auditoría. La matriz de responsabilidades describe quién, Azure o el cliente, es responsable de cada uno de los requisitos de PCI. Para más información, consulte Administración del cumplimiento en la nube.
Responsabilidad compartida con AKS
Kubernetes es un sistema de código abierto para automatizar la implementación, el escalado y la administración de aplicaciones en contenedores. AKS simplifica la implementación de clústeres de Kubernetes administrados en Azure. La infraestructura fundamental de AKS admite aplicaciones a gran escala en la nube y es una opción natural para ejecutar aplicaciones de escala empresarial en la nube, incluidas las cargas de trabajo de PCI. Las aplicaciones implementadas en clústeres de AKS presentan ciertas complejidades al implementar cargas de trabajo clasificadas por PCI.
Su responsabilidad
Como propietario de la carga de trabajo, usted es el último responsable de su propio cumplimiento de PCI DSS. Para comprender claramente sus responsabilidades, lea los requisitos de PCI; para entender la intención, estudie la matriz de Azure; y complete esta serie para captar los matices de AKS. Este proceso preparará la implementación para una evaluación correcta.
Artículos recomendados
En esta serie se da por supuesto lo siguiente:
- Está familiarizado con los conceptos de Kubernetes y el funcionamiento de un clúster de AKS.
- Ha leído la arquitectura de referencia de línea de base de AKS.
- Ha realizado la implementación de referencia de línea de base de AKS.
- Ya conoce bien la especificación PCI DSS 3.2.1 oficial.
- Ha leído la línea de base de seguridad de Azure para Azure Kubernetes Service.
En esta serie
Esta serie se divide en varios artículos. En cada uno se describe el requisito general seguido de instrucciones sobre cómo abordar el requisito específico de AKS.
| Área de responsabilidad | Descripción |
|---|---|
| Segmentación de red | Proteja los datos de los titulares de tarjetas con la configuración del firewall y otros controles de red. Quite los valores predeterminados proporcionados por el proveedor. |
| Protección de datos | Cifre toda la información, objetos de almacenamiento, contenedores y medios físicos. Agregue controles de seguridad cuando los datos se transfieran entre componentes. |
| Administración de vulnerabilidades | Ejecute software antivirus, herramientas de supervisión de integridad de archivos y escáneres de contenedores para asegurarse de que el sistema forma parte de la detección de vulnerabilidades. |
| Controles de acceso | Proteja el acceso a través de controles de identidad que les denieguen los intentos al clúster u otros componentes que forman parte del entorno de datos de los titulares de tarjetas. |
| Supervisión de operaciones | Mantenga la posición de seguridad mediante las operaciones de supervisión y pruebe periódicamente el diseño y la implementación de seguridad. |
| Administración de directivas | Mantenga una documentación exhaustiva y actualizada sobre los procesos y directivas de seguridad. |
Pasos siguientes
Empiece por comprender la arquitectura regulada y las opciones de diseño.