Introductie van een AKS-gereguleerd cluster voor PCI-DSS 3.2.1 (deel 1 van 9)

Azure Kubernetes Service (AKS)
Azure Monitor

Deze referentiearchitectuur beschrijft de overwegingen voor een AKS-cluster (Azure Kubernetes Service) dat is ontworpen om een gevoelige workload uit te voeren. De richtlijnen zijn gekoppeld aan de wettelijke vereisten van de Payment Card Industry Data Security Standard (PCI-DSS 3.2.1).

Het is niet ons doel om uw demonstratie van uw naleving met deze reeks te vervangen. Het is de bedoeling om verkopers te helpen aan de slag te gaan met het architectuurontwerp door de toepasselijke doelstellingen voor DSS-beheer aan te pakken als een tenant in de AKS-omgeving. De richtlijnen hebben betrekking op de nalevingsaspecten van de omgeving, waaronder infrastructuur, interacties met de workload, bewerkingen, beheer en interacties tussen services.

Belangrijk

De referentiearchitectuur en implementatie zijn niet gecertificeerd door een officiële instantie. Door deze reeks te voltooien en de codeassets te implementeren, wist u de controle voor PCI DSS niet. Nalevingsverklaringen verkrijgen van externe auditor.

Voordat u begint

Het Vertrouwenscentrum van Microsoft biedt specifieke principes voor nalevingsgerelateerde cloudimplementaties. De beveiligingsgaranties, die door Azure worden geleverd als het cloudplatform en AKS als hostcontainer, worden regelmatig gecontroleerd en getest door een derde gekwalificeerde beveiligingsevaluatie (QSA) voor PCI DSS-naleving.

Diagram van het model voor gedeelde verantwoordelijkheid.

  • Gedeelde verantwoordelijkheid met Azure

    Het Microsoft Compliance-team zorgt ervoor dat alle documentatie over naleving van Microsoft Azure-regelgeving openbaar beschikbaar is voor onze klanten. U kunt de PCI DSS Attestation of Compliance voor Azure downloaden in de sectie PCI DSS in auditrapporten. De verantwoordelijkheidsmatrix geeft aan wie, tussen Azure en de klant, verantwoordelijk is voor elk van de PCI-vereisten. Zie Naleving beheren in de cloud voor meer informatie.

  • Gedeelde verantwoordelijkheid met AKS

    Kubernetes is een opensource-systeem voor het automatiseren van implementatie, schaalaanpassing en beheer van toepassingen in containers. Met AKS kunt u eenvoudig een beheerd Kubernetes-cluster implementeren in Azure. De basisinfrastructuur van AKS ondersteunt grootschalige toepassingen in de cloud en is een natuurlijke keuze voor het uitvoeren van toepassingen op ondernemingsniveau in de cloud, waaronder PCI-workloads. Toepassingen die zijn geïmplementeerd in AKS-clusters hebben bepaalde complexiteiten bij het implementeren van PCI-geclassificeerde workloads.

  • Uw verantwoordelijkheid

    Als eigenaar van een workload bent u uiteindelijk verantwoordelijk voor uw eigen PCI DSS-naleving. Zorg voor een duidelijk begrip van uw verantwoordelijkheden door de PCI-vereisten te lezen om de intentie te begrijpen, de matrix voor Azure te bestuderen en deze reeks te voltooien om inzicht te krijgen in de AKS-nuances. Dit proces maakt uw implementatie gereed voor een succesvolle evaluatie.

In deze reeks wordt uitgegaan van het volgende:

In deze serie

Deze reeks is opgesplitst in verschillende artikelen. Elk artikel bevat een overzicht van de vereiste op hoog niveau, gevolgd door richtlijnen voor het aanpakken van de AKS-specifieke vereiste.

Verantwoordelijkheidsgebied Beschrijving
Netwerksegmentatie Beveilig de gegevens van de kaarthouder met firewallconfiguratie en andere netwerkbesturingselementen. Door de leverancier opgegeven standaardinstellingen verwijderen.
Gegevensbescherming Versleutel alle informatie, opslagobjecten, containers en fysieke media. Voeg beveiligingscontroles toe wanneer gegevens worden overgedragen tussen onderdelen.
Beheer van beveiligingsproblemen Voer antivirussoftware, hulpprogramma's voor het bewaken van bestandsintegriteit en containerscanners uit om ervoor te zorgen dat het systeem deel uitmaakt van de detectie van beveiligingsproblemen.
Besturingselementen voor toegang Beveilig de toegang via identiteitsbesturingselementen die pogingen tot het cluster of andere onderdelen die deel uitmaken van de gegevensomgeving van de kaarthouder weigeren.
Bewakingsbewerkingen Behoud de beveiligingspostuur via bewakingsbewerkingen en test regelmatig uw beveiligingsontwerp en -implementatie.
Beleidsbeheer Houd uitgebreide en bijgewerkte documentatie bij over uw beveiligingsprocessen en -beleid.

Volgende stappen

Begin met het begrijpen van de gereguleerde architectuur en de ontwerpkeuzen.