이 참조 아키텍처는 중요한 워크로드를 실행하도록 설계된 AKS(Azure Kubernetes Service) 클러스터에 대한 고려 사항을 설명합니다. 이 참고 자료는 PCI-DSS 3.2.1(Payment Card Industry Data Security Standard)의 규정 요구 사항과 관련이 있습니다.
규정 준수 데모를 이 시리즈로 바꾸는 것은 우리의 목표가 아닙니다. AKS 환경에서 테넌트로서 적용 가능한 DSS 제어 목표를 해결하여 가맹점이 아키텍처 설계를 시작할 수 있도록 지원하기 위한 것입니다. 이 참고 자료에서는 인프라, 워크로드와의 상호 작용, 작업, 관리 및 서비스 간 상호 작용을 포함하여 환경의 규정 준수 측면을 다룹니다.
중요
참조 아키텍처 및 구현은 공식 기관에서 인증되지 않았습니다. 이 시리즈를 완료하고 코드 자산을 배포하면 PCI DSS에 대한 감사를 지울 수 없습니다. 타사 감사자로부터 규정 준수 증명을 획득합니다.
시작하기 전에
Microsoft 보안 센터는 규정 준수 관련 클라우드 배포에 대한 특정 원칙을 제공합니다. Azure에서 클라우드 플랫폼으로, AKS가 호스트 컨테이너로 제공하는 보안 보증은 PCI DSS 규정 준수를 위해 타사 QSA(정규화된 보안 평가자)에 의해 정기적으로 감사되고 테스트됩니다.
Azure와 공동 책임
Microsoft 규정 준수 팀은 Microsoft Azure 규정 준수에 대한 모든 설명서를 고객이 공개적으로 사용할 수 있도록 합니다. 감사 보고서의 PCI DSS 섹션에서 Azure에 대한 PCI DSS 준수 증명을 다운로드할 수 있습니다. 책임 매트릭스는 Azure와 고객 간에 각 PCI 요구 사항을 담당하는 사용자를 간략하게 설명합니다. 자세한 내용은 클라우드에서 규정 준수 관리를 참조하세요.
AKS와 공동 책임
Kubernetes는 컨테이너화된 애플리케이션의 배포, 크기 조정, 관리를 자동화하기 위한 오픈 소스 시스템입니다. AKS를 사용하면 Azure에서 관리되는 Kubernetes 클러스터를 간단하게 배포할 수 있습니다. AKS 기본 인프라는 클라우드의 대규모 애플리케이션을 지원하며 PCI 워크로드를 포함하여 클라우드에서 엔터프라이즈급 애플리케이션을 실행하는 데 기본적으로 적합합니다. AKS 클러스터에 배포된 애플리케이션은 PCI 분류 워크로드를 배포할 때 특정한 복잡성이 있습니다.
책임
워크로드 소유자는 궁극적으로 사용자 고유의 PCI DSS 규정 준수를 담당합니다. 의도를 이해하기 위해 PCI 요구 사항을 읽고, Azure에 대한 매트릭스를 연구하고, AKS 뉘앙스를 이해하기 위해 이 시리즈를 완료하여 책임을 명확하게 이해하세요. 이 프로세스는 성공적인 평가를 위해 구현을 준비합니다.
추천 문서
이 시리즈에서는 다음을 가정합니다.
- AKS 클러스터의 Kubernetes 개념 및 작동에 대해 잘 알고 있습니다.
- AKS 기준 참조 아키텍처를 읽었습니다.
- AKS 기준 참조 구현을 배포했습니다.
- 공식 PCI DSS 3.2.1 사양에 매우 익숙합니다.
- Azure Kubernetes Service의 Azure 보안 기준을 읽었습니다.
이 시리즈에서
이 시리즈는 여러 문서로 분할됩니다. 각 문서에서는 AKS 관련 요구 사항을 해결하는 방법에 대한 참고 자료에 이어 개략적인 요구 사항을 간략하게 설명합니다.
| 책임 영역 | Description |
|---|---|
| 네트워크 구분 | 방화벽 구성 및 기타 네트워크 컨트롤을 사용하여 카드 소유자 데이터를 보호합니다. 공급업체에서 제공하는 기본값을 제거합니다. |
| 데이터 보호 | 모든 정보, 스토리지 개체, 컨테이너 및 물리적 미디어를 암호화합니다. 구성 요소 간에 데이터를 전송할 때 보안 컨트롤을 추가합니다. |
| 취약점 관리 | 바이러스 백신 소프트웨어, 파일 무결성 모니터링 도구 및 컨테이너 스캐너를 실행하여 취약성 검색의 일부로 시스템을 확인합니다. |
| 액세스 제어 | 클러스터 또는 카드 소유자 데이터 환경의 일부인 다른 구성 요소에 대한 시도를 거부하는 ID 컨트롤을 통해 액세스를 보호합니다. |
| 모니터링 작업 | 모니터링 작업을 통해 보안 상태를 유지 관리하고 보안 디자인 및 구현을 정기적으로 테스트합니다. |
| 정책 관리 | 보안 프로세스 및 정책에 대한 철저하고 업데이트된 설명서를 유지 관리합니다. |
다음 단계
먼저 규제된 아키텍처 및 디자인 선택을 이해합니다.