A PCI-DSS 3.2.1-hez készült AKS-szabályozott fürt bemutatása (9. rész)

Azure Kubernetes Service (AKS)

Azure Monitor

Ez a referenciaarchitektúra a bizalmas számítási feladatok futtatására tervezett Azure Kubernetes Service-fürt (AKS) szempontjait ismerteti. Az útmutató a Payment Card Industry Data Security Standard (PCI-DSS 3.2.1) szabályozási követelményeihez kapcsolódik.

Nem az a célunk, hogy lecseréljük a sorozatnak való megfelelést bemutató bemutatót. A szándék az, hogy segítse a kereskedőket az architekturális tervezés megkezdésében azáltal, hogy az AKS-környezetben bérlőként kezeli a DSS-vezérlési célkitűzéseket. Az útmutató a környezet megfelelőségi szempontjait ismerteti, beleértve az infrastruktúrát, a számítási feladatokkal való interakciókat, a műveleteket, a felügyeletet és a szolgáltatások közötti interakciókat.

Fontos

A referenciaarchitektúrát és a megvalósítást egy hivatalos hatóság nem hitelesítette. A sorozat befejezésével és a kódegységek üzembe helyezésével nem törli a PCI DSS naplózását. Megfelelőségi igazolások beszerzése külső könyvvizsgálótól.

Mielőtt elkezdené

A Microsoft Adatvédelmi központ a megfelelőséghez kapcsolódó felhőtelepítésekre vonatkozó konkrét alapelveket biztosít. Az Azure által felhőplatformként nyújtott biztonsági garanciákat és az AKS-t mint gazdagéptárolót rendszeresen auditálják és tanúsítják a külső minősített biztonsági értékelők (QSA) a PCI DSS-megfelelőség érdekében.

• Megosztott felelősség az Azure-ral

  A Microsoft megfelelőségi csapata biztosítja, hogy a Microsoft Azure jogszabályi megfelelőségének összes dokumentációja nyilvánosan elérhető legyen az ügyfeleink számára. Az Azure PCI DSS megfelelőségi igazolását a PCI DSS szakaszban töltheti le a Szolgáltatásmegbízhatósági portálról. A felelősségi mátrix azt ismerteti, hogy ki felel az Azure és az ügyfél között az egyes PCI-követelményekért. További információ: Megfelelőség kezelése a felhőben.

• Megosztott felelősség az AKS-sel

  A Kubernetes egy nyílt forráskódú rendszer a tárolóalapú alkalmazások üzembe helyezésének, méretezésének és felügyeletének automatizálására. Az AKS egyszerűvé teszi egy felügyelt Kubernetes-fürt üzembe helyezését az Azure-ban. Az AKS alapvető infrastruktúrája támogatja a nagy léptékű alkalmazásokat a felhőben, és természetes választás nagyvállalati szintű alkalmazások felhőben való futtatásához, beleértve a PCI-számítási feladatokat is. Az AKS-fürtökben üzembe helyezett alkalmazások bizonyos összetettséggel rendelkeznek a PCI-besorolású számítási feladatok üzembe helyezésekor.

• Az Ön felelőssége

  Számítási feladat tulajdonosaként végső soron Ön a felelős a saját PCI DSS-megfelelőségéért. A pci-követelmények elolvasásával, az Azure mátrixának tanulmányozásával és az AKS-árnyalatok megértéséhez a sorozat befejezésével világos ismereteket szerezhet a felelősségi körökről. Ez a folyamat felkészíti a megvalósítást a sikeres értékelésre.

Ajánlott cikkek

Ez a sorozat a következőket feltételezi:

• Ismeri az AKS-fürtök Kubernetes-fogalmait és működését.
• Elolvasta az AKS alapkonfigurációs referenciaarchitektúráját.
• Üzembe helyezte az AKS referencia-implementációját.
• Nagyon ismeri a PCI DSS 3.2.1 hivatalos specifikációját.
• Elolvasta az Azure Kubernetes Service Azure biztonsági alapkonfigurációját.

Ebben a sorozatban

Ez a sorozat több cikkre oszlik. Minden cikk ismerteti a magas szintű követelményt, majd útmutatást ad az AKS-specifikus követelmény kezeléséhez.

Felelősségi terület	Leírás
Hálózati szegmentálás	A kártyaőrzők adatainak védelme tűzfalkonfigurációval és más hálózati vezérlőkkel. Távolítsa el a szállító által megadott alapértelmezett értékeket.
Adatvédelem	Az összes információ, tárolóobjektum, tároló és fizikai adathordozó titkosítása. Biztonsági vezérlők hozzáadása az összetevők között átvitt adatokhoz.
Biztonságirés-kezelés	Futtassa a víruskereső szoftvereket, a fájlintegritási monitorozási eszközöket és a tárolószkennereket annak érdekében, hogy a rendszer a biztonsági rések észlelésének részeként működjön.
Hozzáférés-vezérlés	Biztonságos hozzáférés olyan identitásvezérlőkkel, amelyek megtagadják a fürtre vagy a kártyaőrző adatkörnyezet részét képező egyéb összetevőkre irányuló kísérleteket.
Monitorozási műveletek	A biztonsági helyzet fenntartása monitorozási műveleteken keresztül, valamint a biztonsági tervezés és megvalósítás rendszeres tesztelése.
Szabályzatkezelés	A biztonsági folyamatokkal és szabályzatokkal kapcsolatos részletes és frissített dokumentáció fenntartása.

Következő lépések

Kezdje a szabályozott architektúra és a tervezési lehetőségek megismerésével.

AKS-szabályozott fürt architektúrája a PCI-DSS 3.2.1-hez

Ez a referenciaarchitektúra a bizalmas számítási feladatok futtatására tervezett Azure Kubernetes Service-fürt (AKS) szempontjait ismerteti. Az útmutató a Payment Card Industry Data Security Standard (PCI-DSS 3.2.1) szabályozási követelményeihez kapcsolódik.

Nem az a célunk, hogy lecseréljük a sorozatnak való megfelelést bemutató bemutatót. A szándék az, hogy segítse a kereskedőket az architekturális tervezés megkezdésében azáltal, hogy az AKS-környezetben bérlőként kezeli a DSS-vezérlési célkitűzéseket. Az útmutató a környezet megfelelőségi szempontjait ismerteti, beleértve az infrastruktúrát, a számítási feladatokkal való interakciókat, a műveleteket, a felügyeletet és a szolgáltatások közötti interakciókat.

Fontos

A referenciaarchitektúrát és a megvalósítást egy hivatalos hatóság nem hitelesítette. A sorozat befejezésével és a kódegységek üzembe helyezésével nem törli a PCI DSS naplózását. Megfelelőségi igazolások beszerzése külső könyvvizsgálótól.

Mielőtt elkezdené

A Microsoft Adatvédelmi központ a megfelelőséghez kapcsolódó felhőtelepítésekre vonatkozó konkrét alapelveket biztosít. Az Azure által felhőplatformként nyújtott biztonsági garanciákat és az AKS-t mint gazdagéptárolót rendszeresen auditálják és tanúsítják a külső minősített biztonsági értékelők (QSA) a PCI DSS-megfelelőség érdekében.

• Megosztott felelősség az Azure-ral

  A Microsoft megfelelőségi csapata biztosítja, hogy a Microsoft Azure jogszabályi megfelelőségének összes dokumentációja nyilvánosan elérhető legyen az ügyfeleink számára. Az Azure PCI DSS megfelelőségi igazolását a PCI DSS szakaszban töltheti le a Szolgáltatásmegbízhatósági portálról. A felelősségi mátrix azt ismerteti, hogy ki felel az Azure és az ügyfél között az egyes PCI-követelményekért. További információ: Megfelelőség kezelése a felhőben.

• Megosztott felelősség az AKS-sel

  A Kubernetes egy nyílt forráskódú rendszer a tárolóalapú alkalmazások üzembe helyezésének, méretezésének és felügyeletének automatizálására. Az AKS egyszerűvé teszi egy felügyelt Kubernetes-fürt üzembe helyezését az Azure-ban. Az AKS alapvető infrastruktúrája támogatja a nagy léptékű alkalmazásokat a felhőben, és természetes választás nagyvállalati szintű alkalmazások felhőben való futtatásához, beleértve a PCI-számítási feladatokat is. Az AKS-fürtökben üzembe helyezett alkalmazások bizonyos összetettséggel rendelkeznek a PCI-besorolású számítási feladatok üzembe helyezésekor.

• Az Ön felelőssége

  Számítási feladat tulajdonosaként végső soron Ön a felelős a saját PCI DSS-megfelelőségéért. A pci-követelmények elolvasásával, az Azure mátrixának tanulmányozásával és az AKS-árnyalatok megértéséhez a sorozat befejezésével világos ismereteket szerezhet a felelősségi körökről. Ez a folyamat felkészíti a megvalósítást a sikeres értékelésre.

Ajánlott cikkek

Ez a sorozat a következőket feltételezi:

• Ismeri az AKS-fürtök Kubernetes-fogalmait és működését.
• Elolvasta az AKS alapkonfigurációs referenciaarchitektúráját.
• Üzembe helyezte az AKS referencia-implementációját.
• Nagyon ismeri a PCI DSS 3.2.1 hivatalos specifikációját.
• Elolvasta az Azure Kubernetes Service Azure biztonsági alapkonfigurációját.

Ebben a sorozatban

Ez a sorozat több cikkre oszlik. Minden cikk ismerteti a magas szintű követelményt, majd útmutatást ad az AKS-specifikus követelmény kezeléséhez.

Felelősségi terület	Leírás
Hálózati szegmentálás	A kártyaőrzők adatainak védelme tűzfalkonfigurációval és más hálózati vezérlőkkel. Távolítsa el a szállító által megadott alapértelmezett értékeket.
Adatvédelem	Az összes információ, tárolóobjektum, tároló és fizikai adathordozó titkosítása. Biztonsági vezérlők hozzáadása az összetevők között átvitt adatokhoz.
Biztonságirés-kezelés	Futtassa a víruskereső szoftvereket, a fájlintegritási monitorozási eszközöket és a tárolószkennereket annak érdekében, hogy a rendszer a biztonsági rések észlelésének részeként működjön.
Hozzáférés-vezérlés	Biztonságos hozzáférés olyan identitásvezérlőkkel, amelyek megtagadják a fürtre vagy a kártyaőrző adatkörnyezet részét képező egyéb összetevőkre irányuló kísérleteket.
Monitorozási műveletek	A biztonsági helyzet fenntartása monitorozási műveleteken keresztül, valamint a biztonsági tervezés és megvalósítás rendszeres tesztelése.
Szabályzatkezelés	A biztonsági folyamatokkal és szabályzatokkal kapcsolatos részletes és frissített dokumentáció fenntartása.

Következő lépések

Kezdje a szabályozott architektúra és a tervezési lehetőségek megismerésével.

AKS-szabályozott fürt architektúrája a PCI-DSS 3.2.1-hez