Questa architettura di riferimento descrive le considerazioni per un cluster servizio Azure Kubernetes (AKS) progettato per eseguire un carico di lavoro sensibile. Le linee guida sono associate ai requisiti normativi dello Standard di sicurezza dei dati del settore della carta di pagamento (PCI-DSS 3.2.1).
Non è il nostro obiettivo sostituire la dimostrazione della conformità con questa serie. La finalità consiste nell'aiutare i commercianti a iniziare a progettare l'architettura indirizzando gli obiettivi di controllo DSS applicabili come tenant nell'ambiente del servizio Azure Kubernetes. Le linee guida illustrano gli aspetti di conformità dell'ambiente, tra cui l'infrastruttura, le interazioni con il carico di lavoro, le operazioni, le operazioni, la gestione e le interazioni tra i servizi.
Importante
L'architettura di riferimento e l'implementazione non sono state certificate da un'autorità ufficiale. Completando questa serie e distribuendo gli asset di codice, non si cancella il controllo per PCI DSS. Acquisire attestazioni di conformità da revisori di terze parti.
Prima di iniziare
Microsoft Trust Center fornisce principi specifici per le distribuzioni cloud correlate alla conformità. Le garanzie di sicurezza, fornite da Azure come piattaforma cloud e servizio Azure Kubernetes come contenitore host, vengono regolarmente controllate e attestate dall'amministratore di sicurezza qualificato di terze parti (QSA) per la conformità a PCI DSS.
Responsabilità condivisa con Azure
Il team di conformità Microsoft garantisce che tutta la documentazione della conformità alle normative di Microsoft Azure sia disponibile pubblicamente ai clienti. È possibile scaricare l'attestazione PCI DSS di Conformità per Azure nella sezione PCI DSS in report di controllo. La matrice di responsabilità descrive chi, tra Azure e il cliente, è responsabile di ognuno dei requisiti PCI. Per altre informazioni, vedere Gestione della conformità nel cloud.
Responsabilità condivisa con il servizio Azure Kubernetes
Kubernetes è un sistema open source per automatizzare la distribuzione, il ridimensionamento e la gestione delle applicazioni in contenitori. Il servizio Azure Kubernetes semplifica la distribuzione di un cluster Kubernetes gestito in Azure. L'infrastruttura fondamentale del servizio Azure Kubernetes supporta applicazioni su larga scala nel cloud ed è una scelta naturale per l'esecuzione di applicazioni su scala aziendale nel cloud, inclusi i carichi di lavoro PCI. Le applicazioni distribuite nei cluster del servizio Azure Kubernetes presentano alcune complessità durante la distribuzione di carichi di lavoro classificati da PCI.
Responsabilità
Come proprietario del carico di lavoro, si è in definitiva responsabili della conformità PCI DSS. Avere una chiara comprensione delle responsabilità leggendo i requisiti PCI per comprendere la finalità, studiare la matrice per Azure e completare questa serie per comprendere le sfumature del servizio Azure Kubernetes. Questo processo rende l'implementazione pronta per una valutazione riuscita.
Articoli consigliati
Questa serie presuppone:
- Si ha familiarità con i concetti di Kubernetes e le operazioni di un cluster del servizio Azure Kubernetes.
- È stata letto l'architettura di riferimento alla baseline del servizio Azure Kubernetes.
- È stata distribuita l'implementazione della baseline del servizio Azure Kubernetes.
- Si ha familiarità con la specifica PCI DSS 3.2.1 ufficiale.
- Per servizio Azure Kubernetes è stata lette la baseline di sicurezza di Azure.
In questa serie
Questa serie è suddivisa in diversi articoli. Ogni articolo descrive il requisito elevato seguito da indicazioni su come soddisfare il requisito specifico del servizio Azure Kubernetes.
| Area di responsabilità | Descrizione |
|---|---|
| Segmentazione di rete | Proteggere i dati dei titolari di carte con la configurazione del firewall e altri controlli di rete. Rimuovere le impostazioni predefinite fornite dal fornitore. |
| Protezione dei dati | Crittografare tutte le informazioni, gli oggetti di archiviazione, i contenitori e i supporti fisici. Aggiungere controlli di sicurezza quando i dati trasferiti tra i componenti. |
| Gestione delle vulnerabilità | Eseguire software antivirus, strumenti di monitoraggio dell'integrità dei file e scanner di contenitori per assicurarsi che il sistema faccia parte del rilevamento delle vulnerabilità. |
| Controlli di accesso | Proteggere l'accesso tramite controlli di identità che negano tentativi al cluster o ad altri componenti che fanno parte dell'ambiente dati del titolare della carta. |
| Monitoraggio delle operazioni | Mantenere il comportamento di sicurezza tramite operazioni di monitoraggio e testare regolarmente la progettazione e l'implementazione della sicurezza. |
| Gestione dei criteri | Mantenere una documentazione completa e aggiornata sui processi e i criteri di sicurezza. |
Passaggi successivi
Iniziare comprendendo l'architettura regolamentata e le scelte di progettazione.