Esta arquitetura de referência descreve as considerações para um cluster de Azure Kubernetes Service (AKS) concebido para executar uma carga de trabalho confidencial. A documentação de orientação está associada aos requisitos regulamentares da Norma de Segurança de Dados da Indústria de Cartões de Pagamento (PCI-DSS 3.2.1).
Não é nosso objetivo substituir a sua demonstração da sua conformidade com esta série. A intenção é ajudar os comerciantes a começar a estrutura de arquitetura ao abordar os objetivos de controlo DSS aplicáveis como inquilino no ambiente do AKS. A documentação de orientação abrange os aspetos de conformidade do ambiente, incluindo a infraestrutura, as interações com a carga de trabalho, as operações, a gestão e as interações entre serviços.
Importante
A arquitetura de referência e a implementação não foram certificadas por uma autoridade oficial. Ao concluir esta série e implementar os recursos de código, não limpa a auditoria do PCI DSS. Adquirir atestados de conformidade de auditores de terceiros.
Antes de começar
O Centro de Confiança da Microsoft fornece princípios específicos para implementações na cloud relacionadas com conformidade. As garantias de segurança , fornecidas pelo Azure como a plataforma na cloud e o AKS como contentor anfitrião, são regularmente auditadas e atestadas pelo Avaliador de Segurança Qualificado (QSA) de terceiros para conformidade com o PCI DSS.
Responsabilidade partilhada com o Azure
A equipa de Conformidade da Microsoft garante que toda a documentação da conformidade regulamentar do Microsoft Azure está publicamente disponível para os nossos clientes. Pode transferir o Atestado de Conformidade do PCI DSS para o Azure na secção PCI DSS em relatórios de auditoria. A matriz de responsabilidade descreve quem, entre o Azure e o cliente, é responsável por cada um dos requisitos do PCI. Para obter mais informações, veja Gerir a conformidade na cloud.
Responsabilidade partilhada com o AKS
O Kubernetes é um sistema open source para automatizar a implementação, o dimensionamento e a gestão de aplicações em contentores. O AKS simplifica a implementação de um cluster do Kubernetes gerido no Azure. A infraestrutura fundamental do AKS suporta aplicações em grande escala na cloud e é uma opção natural para executar aplicações à escala empresarial na cloud, incluindo cargas de trabalho PCI. As aplicações implementadas em clusters do AKS têm determinadas complexidades ao implementar cargas de trabalho classificadas com PCI.
A sua responsabilidade
Como proprietário de uma carga de trabalho, é, em última análise, responsável pela sua própria conformidade com o PCI DSS. Compreenda claramente as suas responsabilidades ao ler os requisitos do PCI para compreender a intenção, estudar a matriz do Azure e concluir esta série para compreender as nuances do AKS. Este processo fará com que a sua implementação esteja pronta para uma avaliação bem-sucedida.
Artigos recomendados
Esta série pressupõe:
- Está familiarizado com os conceitos e o funcionamento do Kubernetes de um cluster do AKS.
- Leu a arquitetura de referência da linha de base do AKS.
- Implementou a implementação de referência da linha de base do AKS.
- Está familiarizado com a especificação oficial do PCI DSS 3.2.1.
- Leu a linha de base de segurança do Azure para Azure Kubernetes Service.
Nesta série
Esta série é dividida em vários artigos. Cada artigo descreve o requisito de alto nível seguido de orientações sobre como abordar o requisito específico do AKS.
| Área de responsabilidade | Descrição |
|---|---|
| Segmentação de rede | Proteja os dados do marcador de cartão com a configuração da firewall e outros controlos de rede. Remova as predefinições fornecidas pelo fornecedor. |
| Proteção de dados | Encripte todas as informações, objetos de armazenamento, contentores e suportes de dados físicos. Adicione controlos de segurança quando os dados que estão a ser transferidos entre componentes. |
| Gestão de vulnerabilidades | Execute software antivírus, ferramentas de monitorização de integridade de ficheiros e scanners de contentor para garantir que o sistema faz parte da deteção de vulnerabilidades. |
| Controlos de acesso | Proteger o acesso através de controlos de identidade que negam tentativas para o cluster ou outros componentes que fazem parte do ambiente de dados do marcador de cartões. |
| Operações de monitorização | Mantenha a postura de segurança através de operações de monitorização e teste regularmente a conceção e implementação de segurança. |
| Gestão de políticas | Mantenha documentação detalhada e atualizada sobre os seus processos e políticas de segurança. |
Passos seguintes
Comece por compreender a arquitetura regulada e as escolhas de estrutura.