Esta arquitetura de referência descreve as considerações para um cluster do Serviço Kubernetes do Azure (AKS) projetado para executar uma carga de trabalho confidencial. A orientação está ligada aos requisitos regulatórios do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS 3.2.1).
Não é nosso objetivo substituir a sua demonstração de conformidade com esta série. A intenção é ajudar os comerciantes a começar o projeto arquitetônico, abordando os objetivos de controle DSS aplicáveis como um locatário no ambiente AKS. As orientações abrangem os aspetos de conformidade do ambiente, incluindo infraestruturas, interações com a carga de trabalho, operações, gestão e interações entre serviços.
Importante
A arquitetura de referência e a execução não foram certificadas por uma autoridade pública. Ao concluir esta série e implantar os ativos de código, você não limpa a auditoria para PCI DSS. Adquira atestados de conformidade de um auditor terceirizado.
Antes de começar
A Central de Confiabilidade da Microsoft fornece princípios específicos para implantações de nuvem relacionadas à conformidade. As garantias de segurança — fornecidas pelo Azure como a plataforma de nuvem e pelo AKS como o contêiner de host — são regularmente auditadas e atestadas pelo Qualified Security Assessor (QSA) de terceiros para conformidade com PCI DSS.
Responsabilidade partilhada com o Azure
A equipe de Conformidade da Microsoft garante que toda a documentação de conformidade regulatória do Microsoft Azure esteja disponível publicamente para nossos clientes. Você pode baixar o Atestado de Conformidade PCI DSS para Azure na seção PCI DSS do portal de Confiança do Serviço. A matriz de responsabilidade descreve quem, entre o Azure e o cliente, é responsável por cada um dos requisitos PCI. Para obter mais informações, consulte Gerenciando a conformidade na nuvem.
Responsabilidade partilhada com a AKS
O Kubernetes é um sistema de código aberto para automatizar a implantação, o dimensionamento e o gerenciamento de aplicativos em contêineres. O AKS simplifica a implantação de um cluster Kubernetes gerenciado no Azure. A infraestrutura fundamental do AKS suporta aplicativos de grande escala na nuvem e é uma escolha natural para executar aplicativos de escala empresarial na nuvem, incluindo cargas de trabalho PCI. Os aplicativos implantados em clusters AKS têm certas complexidades ao implantar cargas de trabalho classificadas como PCI.
A sua responsabilidade
Como proprietário de uma carga de trabalho, você é, em última análise, responsável pela sua própria conformidade com o PCI DSS. Tenha uma compreensão clara de suas responsabilidades lendo os requisitos PCI para entender a intenção, estudando a matriz para o Azure e completando esta série para entender as nuances do AKS. Este processo tornará a sua implementação pronta para uma avaliação bem-sucedida.
Artigos recomendados
Esta série pressupõe:
- Você está familiarizado com os conceitos do Kubernetes e o funcionamento de um cluster AKS.
- Você leu a arquitetura de referência de linha de base do AKS.
- Você implantou a implementação de referência de linha de base do AKS.
- Você está muito familiarizado com a especificação oficial do PCI DSS 3.2.1.
- Você leu a linha de base de segurança do Azure para o Serviço Kubernetes do Azure.
Nesta série
Esta série está dividida em vários artigos. Cada artigo descreve o requisito de alto nível seguido de orientação sobre como lidar com o requisito específico do AKS.
| Área de responsabilidade | Description |
|---|---|
| Segmentação de rede | Proteja os dados do titular do cartão com a configuração de firewall e outros controles de rede. Remova os padrões fornecidos pelo fornecedor. |
| Proteção de dados | Criptografe todas as informações, objetos de armazenamento, contêineres e mídia física. Adicione controles de segurança quando os dados estiverem sendo transferidos entre componentes. |
| Gestão de vulnerabilidades | Execute software antivírus, ferramentas de monitoramento de integridade de arquivos e scanners de contêiner para garantir que o sistema faça parte da deteção de vulnerabilidades. |
| Controlos de acesso | Acesso seguro por meio de controles de identidade que negam tentativas ao cluster ou a outros componentes que fazem parte do ambiente de dados do titular do cartão. |
| Acompanhamento das operações | Mantenha a postura de segurança através do monitoramento de operações e teste regularmente seu projeto e implementação de segurança. |
| Gestão de políticas | Mantenha documentação completa e atualizada sobre seus processos e políticas de segurança. |
Próximos passos
Comece por compreender a arquitetura regulamentada e as escolhas de design.