Arsitektur referensi ini menjelaskan pertimbangan klaster Azure Kubernetes Service (AKS) yang dirancang untuk menjalankan beban kerja yang sensitif. Panduan ini terkait dengan persyaratan peraturan standar keamanan data industri kartu pembayaran (PCI-DSS 3.2.1).
Ini bukan tujuan kami untuk menggantikan demonstrasi kepatuhan Anda dengan seri ini. Niatnya adalah untuk membantu memulai desain arsitektur dengan tujuan kontrol DSS yang berlaku sebagai penyewa di lingkungan AKS. Panduan ini mencakup aspek kepatuhan lingkungan termasuk infrastruktur, interaksi dengan beban kerja, operasi, manajemen, dan interaksi antar layanan.
Penting
Arsitektur referensi dan implementasi belum disertifikasi oleh otoritas resmi. Dengan menyelesaikan seri ini dan menerapkan aset kode, Anda tidak menghapus audit PCI DSS. Memperoleh pengesahan kepatuhan dari auditor pihak ketiga.
Sebelum Anda mulai
Microsoft Trust Center tersedia prinsip khusus untuk menerapkan cloud terkait kepatuhan. Jaminan keamanan—yang disediakan oleh Azure sebagai platform cloud dan AKS sebagai tuan rumah—secara teratur diaudit dan dibuktikan oleh Penilai Keamanan tersertifikasi (QSA) yang merupakan pihak ketiga PCI DSS.
Tanggung jawab bersama dengan Azure
Tim Kepatuhan Microsoft memastikan semua dokumentasi peraturan kepatuhan Microsoft Azure tersedia bagi pelanggan kami. Anda dapat mengunduh PCI DSS Attestation of Compliance for Azure di bawah bagian PCI DSS di laporan audit. Matriks tanggung jawab menguraikan siapa, antara Azure dan pelanggan,yang bertanggung jawab atas masing-masing persyaratan PCI. Untuk informasi selengkapnya, lihat Pengelolaan kepatuhan di cloud.
Model tanggung jawab bersama dengan AKS
Kubernetes adalah sistem terbuka yang digunakan untuk mengotomatiskan penyebaran, penskalaan, dan manajemen aplikasi kontainer. AKS memudahkan penyebaran klaster Kubernetes di Azure. Infrastruktur dasar AKS mendukung aplikasi berskala besar di cloud, dan merupakan pilihan untuk menjalankan aplikasi skala perusahaan di cloud, termasuk PCI. Aplikasi yang diterapkan di AKS memiliki kompleksitas tertentu saat menerapkan beban kerja yang diklasifikasikan PCI.
Tanggung jawab Anda
Sebagai pemilik beban kerja, Anda pada akhirnya bertanggung jawab atas kepatuhan PCI DSS Anda sendiri. Miliki pemahaman yang jelas tentang tanggung jawab Anda dengan membaca persyaratan PCI untuk memahami niat, mempelajari matriks untuk Azure, dan menyelesaikan seri ini untuk memahami nuansa AKS. Proses ini membuat Anda siap untuk implementasi yang sukses.
Artikel yang direkomendasikan
Seri ini mengasumsikan:
- Anda sudah tidak asing lagi dengan konsep Kubernetes dan cara kerja klaster AKS.
- Anda telah membaca arsitektur referensi dasar AKS.
- Anda telah menerapkan implementasi referensi dasar AKS.
- Anda sangat terbiasa dengan spesifikasi PCI DSS 3.2.1 resmi.
- Anda telah membaca dasar keamanan Azure untuk Azure Kubernetes Service.
Dalam seri ini
Seri ini dibagi menjadi beberapa artikel. Setiap artikel menguraikan persyaratan tingkat tinggi diikuti dengan panduan cara mengatasi persyaratan khusus AKS.
| Bidang tanggung jawab | Deskripsi |
|---|---|
| Segmentasi jaringan | Lindungi data pemegang kartu dengan konfigurasi firewall dan kontrol jaringan lainnya. Hapus perintah bawaan yang disediakan vendor. |
| Perlindungan data | Enkripsi semua informasi, objek penyimpanan, kontainer, dan media fisik. Tambahkan kontrol keamanan saat data sedang ditransfer antar komponen. |
| Manajemen kerentanan | Jalankan perangkat lunak antivirus, alat pemantauan terintegrasi, dan pemindaian kontainer untuk memastikan sistem dari deteksi kerentanan. |
| Kontrol akses | Keamanan akses melalui kontrol identitas ke klaster atau komponen lain yang merupakan bagian dari data pemegang kartu. |
| Operasi pemantauan | Pertahankan keamanan melalui operasi pemantauan dan uji desain dan implementasi keamanan Anda secara teratur. |
| Manajemen kebijakan | Pertahankan seluruh dokumentasi dan terbaru tentang proses dan kebijakan keamanan Anda. |
Langkah berikutnya
Mulailah dengan memahami arsitektur dan pilihan desain.