Ta architektura referencyjna opisuje zagadnienia dotyczące klastra Azure Kubernetes Service (AKS) przeznaczonego do uruchamiania wrażliwego obciążenia. Wytyczne są powiązane z wymaganiami prawnymi standardu PCI-DSS 3.2.1 payment Card Industry Data Security Standard.
Nie naszym celem jest zastąpienie pokazu zgodności z tą serią. Celem jest pomoc sprzedawcom w rozpoczęciu projektowania architektury przez uwzględnienie odpowiednich celów kontroli DSS jako dzierżawy w środowisku usługi AKS. Wskazówki obejmują aspekty zgodności środowiska, w tym infrastrukturę, interakcje z obciążeniem, operacjami, zarządzaniem i interakcjami między usługami.
Ważne
Architektura referencyjna i implementacja nie zostały certyfikowane przez urząd urzędowy. Ukończenie tej serii i wdrożenie zasobów kodu nie powoduje wyczyszczenia inspekcji dla standardu PCI DSS. Uzyskiwanie zaświadczeń dotyczących zgodności od audytora innej firmy.
Zanim rozpoczniesz
Centrum zaufania Firmy Microsoft udostępnia określone zasady dotyczące wdrożeń w chmurze związanych ze zgodnością. Zabezpieczenia — zapewniane przez platformę Azure jako platforma w chmurze i usługa AKS jako kontener hosta — są regularnie poddawane inspekcji i zaświadczane przez kwalifikowaną ocenę zabezpieczeń (QSA) innej firmy pod kątem zgodności ze standardem PCI DSS.
Wspólna odpowiedzialność z platformą Azure
Zespół ds. zgodności firmy Microsoft zapewnia, że publicznie jest dostępna dla naszych klientów cała dokumentacja zgodności z przepisami platformy Microsoft Azure. Możesz pobrać kartę PCI DSS Zaświadczania zgodności dla platformy Azure w sekcji PCI DSS w raportach inspekcji. Macierz odpowiedzialności przedstawia, kto między platformą Azure a klientem jest odpowiedzialny za każde z wymagań PCI. Aby uzyskać więcej informacji, zobacz Zarządzanie zgodnością w chmurze.
Wspólna odpowiedzialność z usługą AKS
Kubernetes to system typu open source do automatyzacji wdrażania, skalowania i zarządzania konteneryzowanymi aplikacjami. Usługa AKS ułatwia wdrażanie zarządzanego klastra Kubernetes na platformie Azure. Podstawowa infrastruktura usługi AKS obsługuje aplikacje na dużą skalę w chmurze i jest naturalnym wyborem do uruchamiania aplikacji w skali przedsiębiorstwa w chmurze, w tym obciążeń PCI. Aplikacje wdrożone w klastrach usługi AKS mają pewne złożoność podczas wdrażania obciążeń sklasyfikowanych przez pci.
Twoja odpowiedzialność
Jako właściciel obciążenia jesteś ostatecznie odpowiedzialny za zgodność z normą PCI DSS. Aby zrozumieć swoje obowiązki, zapoznaj się z wymaganiami PCI, aby zrozumieć intencję, przeanalizować macierz dla platformy Azure i ukończyć tę serię, aby zrozumieć niuanse usługi AKS. Ten proces sprawi, że wdrożenie będzie gotowe do pomyślnej oceny.
Zalecane artykuły
W tej serii przyjęto założenie:
- Znasz pojęcia i działania klastra usługi AKS na platformie Kubernetes.
- Zapoznaliśmy się z architekturą referencyjną punktu odniesienia usługi AKS.
- Wdrożono implementację referencyjną punktu odniesienia usługi AKS.
- Znasz oficjalną specyfikację PCI DSS 3.2.1.
- Przeczytaliśmy punkt odniesienia zabezpieczeń platformy Azure dla Azure Kubernetes Service.
W tej serii
Ta seria jest podzielona na kilka artykułów. W każdym artykule opisano wymagania wysokiego poziomu, a następnie wskazówki dotyczące sposobu rozwiązywania wymagań specyficznych dla usługi AKS.
| Obszar odpowiedzialności | Opis |
|---|---|
| Segmentacja sieci | Ochrona danych karty za pomocą konfiguracji zapory i innych kontrolek sieciowych. Usuń wartości domyślne dostarczone przez dostawcę. |
| Ochrona danych | Szyfruj wszystkie informacje, obiekty magazynu, kontenery i nośniki fizyczne. Dodaj mechanizmy kontroli zabezpieczeń, gdy dane przesyłane między składnikami. |
| Zarządzanie lukami w zabezpieczeniach | Uruchom oprogramowanie antywirusowe, narzędzia do monitorowania integralności plików i skanery kontenerów, aby upewnić się, że system jest częścią wykrywania luk w zabezpieczeniach. |
| Kontrole dostępu | Bezpieczny dostęp za pomocą mechanizmów kontroli tożsamości, które odmawiają próby nawiązania połączenia z klastrem lub innymi składnikami należącymi do środowiska danych posiadaczy kart. |
| Operacje monitorowania | Zachowaj stan zabezpieczeń za pomocą operacji monitorowania i regularnie testuj projekt zabezpieczeń i implementację. |
| Zarządzanie zasadami | Zachowaj szczegółową i zaktualizowaną dokumentację dotyczącą procesów i zasad zabezpieczeń. |
Następne kroki
Zacznij od zrozumienia architektury regulowanej i wyborów projektowych.