Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Ez a referenciaarchitektúra a bizalmas számítási feladatok futtatására tervezett Azure Kubernetes Service-fürt (AKS) szempontjait ismerteti. Az útmutató a Payment Card Industry Data Security Standard (PCI DSS 4.0.1) szabályozási követelményeihez kapcsolódik.
A PCI DSS 4.0.1 jelentős változásokat vezet be a korábbi verziókhoz képest, beleértve a következőket:
- A "testreszabott megközelítés" használata a biztonsági célkitűzések teljesítéséhez, ami rugalmasságot tesz lehetővé a felhő- és tárolókörnyezetekben.
- Továbbfejlesztett többtényezős hitelesítés (MFA) követelmények a kártyatulajdonosi adatkörnyezethez (CDE) való minden hozzáféréshez, beleértve a rendszergazdai és nem konzolos hozzáférést is.
- A titkosítás, a titkosítás és a kulcskezelés szigorúbb követelményei.
- A naplók bővített és automatizált naplózása, monitorozása és illetéktelen hozzáférés-ellenőrzése, beleértve a rövid élettartamú számítási feladatokat, például a tárolókat.
- A folyamatos biztonság, a kockázatalapú hatókörkezelés és a környezeti határok rendszeres ellenőrzése.
- Biztonságos szoftverfejlesztési életciklus (SDLC) eljárások, beleértve az automatizált sebezhetőség-észlelést a CI/CD-folyamatokban.
- Továbbfejlesztett észlelési és válaszképességek, beleértve a natív felhőbeli és a tárolón kívüli biztonsági eszközök használatát.
- Szigorúbb követelmények a távelérésre, a megbízhatóság nélküli architektúrára és a külső/szolgáltatói felügyeletre.
Ezek a változások különösen fontosak az AKS és a natív felhőbeli architektúrák esetében, ahol gyakori az automatizálás, a dinamikus skálázás és a megosztott felelősségi modellek használata. Ez az útmutató a PCI DSS 4.0.1 fő frissítéseit tükrözi, és javaslatokat nyújt az Azure és az AKS funkcióinak a megfelelőségi célkitűzések teljesítéséhez való használatához.
Nem célunk lecserélni a konfigurálást és/vagy a sorozattal való megfelelőség beállítását. A cél az, hogy segítse az ügyfeleket az architekturális tervezés megkezdésében azáltal, hogy a vonatkozó PCI DSS 4.0.1 szabályozási célkitűzéseket kezeli bérlőként az AKS-környezetben. Az útmutató a környezet megfelelőségi szempontjait ismerteti, beleértve az infrastruktúrát, a számítási feladatok interakcióit, az üzemeltetést, a felügyeletet és a szolgáltatásintegrációkat, különös tekintettel a PCI DSS 4.0.1-ben bevezetett új követelményekre és rugalmasságra.
Fontos
A referenciaarchitektúra és a megvalósítás nem hivatalos hatóság által hitelesített. A sorozat befejezésével és a kódegységek üzembe helyezésével nem törli a PCI DSS 4.0.1 naplózását. Megfelelőségi igazolások beszerzése külső könyvvizsgálótól. Mindig forduljon a felhőbeli és tárolóalapú környezeteket ismerő minősített biztonsági értékelővel (QSA).
Megosztott felelősség modell
A Microsoft Adatvédelmi központ a megfelelőséghez kapcsolódó felhőtelepítésekre vonatkozó konkrét alapelveket biztosít. Az Azure által felhőplatformként nyújtott biztonsági garanciákat és az AKS-t, mint gazdatárolót, a PCI DSS 4.0.1 megfelelőségére vonatkozó, külső minősített biztonsági értékelők (QSA-k) rendszeresen auditálják és tanúsítják.
Megosztott felelősség az Azure-ral
A Microsoft megfelelőségi csapata biztosítja, hogy a Microsoft Azure jogszabályi megfelelőségének összes dokumentációja nyilvánosan elérhető legyen az ügyfelek számára. Az Azure PCI DSS megfelelőségi igazolását a PCI DSS szakaszban töltheti le a Szolgáltatásmegbízhatósági portálról. A felelősségi mátrix azt ismerteti, hogy ki felel az Azure és az ügyfél között a PCI DSS 4.0.1 egyes követelményeiért. További információ: Megfelelőség kezelése a felhőben.
Megosztott felelősség az AKS-sel
A Kubernetes egy nyílt forráskódú rendszer a tárolóalapú alkalmazások üzembe helyezésének, méretezésének és felügyeletének automatizálására. Az AKS egyszerűvé teszi egy felügyelt Kubernetes-fürt üzembe helyezését az Azure-ban. Az AKS alapvető infrastruktúrája támogatja a nagy léptékű alkalmazásokat a felhőben, és természetes választás nagyvállalati szintű alkalmazások felhőben való futtatásához, beleértve a PCI-számítási feladatokat is. Az AKS-fürtökben üzembe helyezett alkalmazások bizonyos összetettséggel rendelkeznek a PCI-besorolású számítási feladatok telepítésekor, különösen a PCI DSS 4.0.1 új követelményei és rugalmassága alapján.
Az Ön felelőssége
Számítási feladat tulajdonosaként végső soron Ön a felelős saját PCI DSS 4.0.1-megfelelőségéért. A PCI DSS 4.0.1 követelményeinek elolvasásával, az Azure mátrixának tanulmányozásával és az AKS-árnyalatok megértéséhez a sorozat befejezésével világos ismeretekkel rendelkezhet a feladatairól. Ez a folyamat segít előkészíteni a megvalósítást a PCI DSS 4.0.1-ben végzett sikeres értékelésre.
Mielőtt hozzákezdene
A sorozat megkezdése előtt győződjön meg arról, hogy:
- Ismeri az AKS-fürtök Kubernetes-fogalmait és működését.
- Elolvasta az AKS alapkonfigurációs referenciaarchitektúráját.
- Üzembe helyezte az AKS referencia-implementációját.
- Ismeri a PCI DSS 4.0.1 hivatalos specifikációját
- Elolvasta az Azure Kubernetes Service Azure biztonsági alapkonfigurációját.
A sorozat áttekintése
Ez a sorozat több cikkre oszlik. Minden cikk ismerteti a magas szintű PCI DSS 4.0.1 követelményt, majd útmutatást ad az AKS-specifikus követelmény kezeléséhez, az új és frissített vezérlőkre összpontosítva:
| Felelősségi terület | Leírás |
|---|---|
| Hálózati szegmentálás | A kártyaőrzők adatainak védelme tűzfalkonfigurációval és más hálózati vezérlőkkel. Távolítsa el a szállító által megadott alapértelmezett értékeket. A PCI DSS 4.0.1 által megkövetelt dinamikus szegmentálás és kockázatalapú hatókörkezelés kezelése. |
| Adatvédelem | Az összes információ, tárolóobjektum, tároló és fizikai adathordozó titkosítása. Adjon hozzá biztonsági vezérlőket az átvitt és inaktív adatokhoz a frissített titkosítási szabványok használatával. |
| Sérülékenység-kezelés | Futtassa a víruskereső szoftvereket, a fájlintegritási monitorozási eszközöket és a tárolóolvasókat a biztonsági rések észlelésének és a biztonságos SDLC-nek a részeként. |
| Hozzáférés-vezérlők | A CDE-hez való hozzáférés biztosítása identitásvezérlőkkel, beleértve a továbbfejlesztett MFA-t és a zéró megbízhatósági elveket. |
| Monitorozási műveletek | A biztonsági helyzet fenntartása automatizált és folyamatos monitorozási műveletekkel, naplóintegritással és a biztonsági tervezés és megvalósítás rendszeres tesztelésével. |
| Szabályzatkezelés | A biztonsági folyamatokkal és szabályzatokkal kapcsolatos részletes és frissített dokumentáció fenntartása, beleértve adott esetben a testreszabott megközelítés használatát is. |
Következő lépések
Első lépésként tekintse át a PCI DSS 4.0.1-hez tartozó szabályozott architektúrát és tervezési lehetőségeket.