Ez a referenciaarchitektúra a bizalmas számítási feladatok futtatására tervezett Azure Kubernetes Service -fürtök (AKS) szempontjait ismerteti. Az útmutató a Payment Card Industry Data Security Standard (PCI-DSS 3.2.1) jogszabályi követelményeihez kapcsolódik.
Nem az a célunk, hogy lecseréljük a sorozatnak való megfelelést bemutató bemutatóját. A cél az, hogy segítse a kereskedőket az architektúra tervezésének megkezdésében azáltal, hogy az AKS-környezetben bérlőként kezeli a DSS-vezérlésre vonatkozó célokat. Az útmutató a környezet megfelelőségi szempontjait ismerteti, beleértve az infrastruktúrát, a számítási feladatokkal való interakciókat, a műveleteket, a felügyeletet és a szolgáltatások közötti interakciókat.
Fontos
A referenciaarchitektúrát és a megvalósítást egy hivatalos hatóság nem tanúsította. A sorozat befejezésével és a kódegységek üzembe helyezésével nem törli a PCI DSS naplózását. Megfelelőségi igazolások beszerzése külső auditortól.
Előkészületek
A Microsoft Adatvédelmi központ konkrét alapelveket biztosít a megfelelőséghez kapcsolódó felhőtelepítésekhez. Az Azure által a felhőplatformként és az AKS-ként üzemeltetett tárolóként nyújtott biztonsági biztosítékokat a pci DSS-megfelelőség érdekében a külső minősített biztonsági értékelő (QSA) rendszeresen naplóz és igazolja.
Megosztott felelősség az Azure-ral
A Microsoft megfelelőségi csapata biztosítja, hogy a Microsoft Azure jogszabályi megfelelőségének összes dokumentációja nyilvánosan elérhető legyen az ügyfeleink számára. Az Auditjelentések PCI DSS szakaszában letöltheti az Azure-beli PCI DSS megfelelőségi igazolást. A felelősségi mátrix azt ismerteti, hogy ki felel az Azure és az ügyfél között az egyes PCI-követelményekért. További információ: Megfelelőség kezelése a felhőben.
Megosztott felelősség az AKS-sel
A Kubernetes egy nyílt forráskódú rendszer a tárolóalapú alkalmazások üzembe helyezésének, méretezésének és felügyeletének automatizálására. Az AKS egyszerűvé teszi egy felügyelt Kubernetes-fürt üzembe helyezését az Azure-ban. Az AKS alapvető infrastruktúrája támogatja a nagy léptékű alkalmazásokat a felhőben, és természetes választás nagyvállalati szintű alkalmazások felhőben való futtatásához, beleértve a PCI-számítási feladatokat is. Az AKS-fürtökben üzembe helyezett alkalmazások bizonyos összetettséggel rendelkeznek a PCI által besorolt számítási feladatok üzembe helyezésekor.
Az Ön felelőssége
Számítási feladat tulajdonosaként végső soron Ön a felelős a saját PCI DSS-megfelelőségéért. Tisztában kell lennie a felelősségekkel, ha elolvassa a PCI-követelményeket a szándék megértéséhez, az Azure mátrixának tanulmányozásához és a sorozat befejezéséhez az AKS árnyalatainak megértéséhez. Ez a folyamat felkészíti a megvalósítást a sikeres értékelésre.
Ajánlott cikkek
Ez a sorozat a következőket feltételezi:
- Ismeri az AKS-fürtök Kubernetes-fogalmait és működését.
- Elolvasta az AKS alapkonfigurációs referenciaarchitektúráját.
- Üzembe helyezte az AKS alapkonfiguráció-referencia implementációját.
- Nagyon ismeri a PCI DSS 3.2.1 hivatalos specifikációját.
- Elolvasta az Azure biztonsági alapkonfigurációját Azure Kubernetes Service.
Ebben a sorozatban
Ez a sorozat több cikkre oszlik. Minden cikk ismerteti a magas szintű követelményt, majd útmutatást ad az AKS-specifikus követelmények kezeléséhez.
| Felelősségi terület | Leírás |
|---|---|
| Hálózatszegmentálás | A kártyaőrzők adatainak védelme tűzfal-konfigurációval és más hálózati vezérlőkkel. Távolítsa el a szállító által megadott alapértelmezett értékeket. |
| Adatvédelem | Az összes információ, tárolóobjektum, tároló és fizikai adathordozó titkosítása. Biztonsági vezérlők hozzáadása az összetevők között átvitt adatokhoz. |
| Biztonságirés-kezelés | Futtassa a víruskereső szoftvereket, a fájlintegritási monitorozási eszközöket és a tárolóolvasókat, hogy a rendszer a sebezhetőség-észlelés részeként működjön. |
| Hozzáférés-vezérlés | Biztonságos hozzáférés olyan identitásvezérlőkkel, amelyek megtagadják a fürtre vagy a kártyaőrző adatkörnyezet részét képező egyéb összetevőkre irányuló kísérleteket. |
| Monitorozási műveletek | Tartsa fenn a biztonsági állapotot a monitorozási műveleteken keresztül, és rendszeresen tesztelje a biztonsági kialakítást és a megvalósítást. |
| Szabályzatkezelés | A biztonsági folyamatokkal és szabályzatokkal kapcsolatos részletes és frissített dokumentáció karbantartása. |
Következő lépések
Kezdje a szabályozott architektúra és a tervezési lehetőségek megismerésével.