Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze referentiearchitectuur beschrijft de overwegingen voor een AKS-cluster (Azure Kubernetes Service) dat is ontworpen om een gevoelige workload uit te voeren. De richtlijnen zijn gekoppeld aan de wettelijke vereisten van de Payment Card Industry Data Security Standard (PCI DSS 4.0.1).
PCI DSS 4.0.1 introduceert belangrijke wijzigingen ten opzichte van eerdere versies, waaronder:
- De optie voor het gebruik van een 'aangepaste benadering' voor het voldoen aan beveiligingsdoelstellingen, waardoor flexibiliteit in cloud- en containeromgevingen mogelijk is.
- Verbeterde MFA-vereisten (MultiFactor Authentication) voor alle toegang tot de data environment (CDE) van de kaarthouder, inclusief beheerders- en niet-consoletoegang.
- Sterkere vereisten voor cryptografie, versleuteling en sleutelbeheer.
- Uitgebreide en geautomatiseerde logboekregistratie, bewaking en controle van logboeken, inclusief tijdelijke workloads zoals containers.
- Nadruk op continue beveiliging, risicogebasteerd bereik en regelmatige validatie van omgevingsgrenzen.
- SDLC-procedures (Secure Software Development Lifecycle), inclusief geautomatiseerde detectie van beveiligingsproblemen in CI/CD-pijplijnen.
- Verbeterde detectie- en responsmogelijkheden, waaronder het gebruik van cloudeigen en containereigen beveiligingshulpprogramma's.
- Sterkere vereisten voor beheer van externe toegang, geen vertrouwensarchitectuur en beheer van externe providers.
Deze wijzigingen zijn met name relevant voor AKS en cloudeigen architecturen, waarbij automatisering, dynamisch schalen en modellen voor gedeelde verantwoordelijkheid gebruikelijk zijn. Deze richtlijnen weerspiegelen de belangrijkste updates in PCI DSS 4.0.1 en bieden aanbevelingen voor het gebruik van Azure- en AKS-functies om te voldoen aan nalevingsdoelstellingen.
Het is niet ons doel om uw configuratie en/of installatie van uw naleving door deze reeks te vervangen. Het doel is om klanten te helpen aan de slag te gaan met architectuurontwerp door de toepasselijke PCI DSS 4.0.1-controledoelstellingen als tenant in de AKS-omgeving aan te pakken. De richtlijnen hebben betrekking op nalevingsaspecten van de omgeving, waaronder interacties tussen infrastructuur, workloadinteracties, bewerkingen, beheer en service-integraties, met een focus op de nieuwe vereisten en flexibiliteit die zijn geïntroduceerd in PCI DSS 4.0.1.
Belangrijk
De referentiearchitectuur en -implementatie zijn niet gecertificeerd door een officiële instantie. Door deze reeks te voltooien en de codeassets te implementeren, wist u geen controle voor PCI DSS 4.0.1. Nalevingsverklaringen verkrijgen van een externe auditor. Neem altijd contact op met een gekwalificeerde beveiligingsevaluatie (QSA) die bekend is met cloud- en containeromgevingen.
Model voor gedeelde verantwoordelijkheid
Microsoft Trust Center biedt specifieke principes voor nalevingsgerelateerde cloudimplementaties. De beveiligingsgaranties, geleverd door Azure als het cloudplatform en AKS als hostcontainer, worden regelmatig gecontroleerd en getest door QSS (Qualified Security Assessors) van derden voor PCI DSS 4.0.1-naleving.
Gedeelde verantwoordelijkheid met Azure
Het Microsoft Compliance-team zorgt ervoor dat alle documentatie over naleving van Microsoft Azure-regelgeving openbaar beschikbaar is voor klanten. U kunt de PCI DSS Attestation of Compliance voor Azure downloaden in de sectie PCI DSS via de Service Trust-portal. De verantwoordelijkheidsmatrix geeft aan wie, tussen Azure en de klant, verantwoordelijk is voor elk van de PCI DSS 4.0.1-vereisten. Zie Naleving beheren in de cloud voor meer informatie.
Gedeelde verantwoordelijkheid met AKS
Kubernetes is een opensource-systeem voor het automatiseren van implementatie, schalen en beheer van toepassingen in containers. Met AKS kunt u eenvoudig een beheerd Kubernetes-cluster implementeren in Azure. De fundamentele AKS-infrastructuur ondersteunt grootschalige toepassingen in de cloud en is een natuurlijke keuze voor het uitvoeren van bedrijfstoepassingen in de cloud, waaronder PCI-workloads. Toepassingen die zijn geïmplementeerd in AKS-clusters hebben bepaalde complexiteiten bij het implementeren van PCI-geclassificeerde workloads, met name onder de nieuwe vereisten en flexibiliteit van PCI DSS 4.0.1.
Uw verantwoordelijkheid
Als eigenaar van een workload bent u uiteindelijk verantwoordelijk voor uw eigen PCI DSS 4.0.1-naleving. Begrijp uw verantwoordelijkheden duidelijk door de PCI DSS 4.0.1-vereisten te lezen om inzicht te krijgen in de intentie, de matrix voor Azure te bestuderen en deze reeks te voltooien om inzicht te krijgen in de AKS-nuances. Dit proces helpt u bij het voorbereiden van uw implementatie voor een geslaagde evaluatie onder PCI DSS 4.0.1.
Voordat u begint
Voordat u met deze reeks begint, moet u ervoor zorgen dat:
- U bent bekend met Kubernetes-concepten en -werkingen van een AKS-cluster.
- U hebt de referentiearchitectuur van de AKS-basislijn gelezen.
- U hebt de referentie-implementatie van de AKS-basislijn geïmplementeerd.
- U bent bekend met de officiële PCI DSS 4.0.1-specificatie
- U hebt de Azure-beveiligingsbasislijn voor Azure Kubernetes Service gelezen.
Overzicht van de reeks
Deze reeks is onderverdeeld in verschillende artikelen. Elk artikel bevat een overzicht van de PCI DSS 4.0.1-vereiste op hoog niveau, gevolgd door richtlijnen voor het aanpakken van de AKS-specifieke vereiste, met een focus op de nieuwe en bijgewerkte besturingselementen:
| Verantwoordelijkheidsgebied | Beschrijving |
|---|---|
| Netwerksegmentatie | Bescherm gegevens van de kaarthouder met firewallconfiguratie en andere netwerkbesturingselementen. Door de leverancier geleverde standaardwaarden verwijderen. Adressering van dynamische segmentatie en risicogebaseerd bereik zoals vereist door PCI DSS 4.0.1. |
| Gegevensbeveiliging | Alle informatie, opslagobjecten, containers en fysieke media versleutelen. Voeg beveiligingscontroles toe voor gegevens die worden overgedragen en at-rest, met behulp van bijgewerkte cryptografische standaarden. |
| Beheer van beveiligingsproblemen | Voer antivirussoftware, hulpprogramma's voor bewaking van bestandsintegriteit en containerscanners uit als onderdeel van uw detectie van beveiligingsproblemen en beveiligde SDLC. |
| Besturingselementen voor toegang | Veilige toegang via identiteitsbeheer, inclusief verbeterde MFA- en nulvertrouwensprincipes, voor alle toegang tot de CDE. |
| Bewakingsbewerkingen | Behoud de beveiligingspostuur via geautomatiseerde en continue bewakingsbewerkingen, logboekintegriteit en regelmatige tests van uw beveiligingsontwerp en -implementatie. |
| Beleidsbeheer | Behoud uitgebreide en bijgewerkte documentatie over uw beveiligingsprocessen en -beleid, inclusief het gebruik van de aangepaste benadering, indien van toepassing. |
Volgende stappen
Begin met het controleren van de gereguleerde architectuur en ontwerpkeuzen voor PCI DSS 4.0.1.