Эта эталонная архитектура описывает рекомендации для кластера Служба Azure Kubernetes (AKS), предназначенного для выполнения конфиденциальной рабочей нагрузки. Руководство связано с нормативными требованиями стандарта безопасности данных индустрии оплаты (PCI-DSS 3.2.1).
Это не наша цель заменить вашу демонстрацию соответствия этой серии. Цель состоит в том, чтобы помочь продавцам приступить к проектированию архитектуры путем решения применимых целей управления DSS в качестве клиента в среде AKS. В этом руководстве рассматриваются аспекты соответствия среды, включая инфраструктуру, взаимодействие с рабочей нагрузкой, операциями, управлением и взаимодействием между службами.
Внимание
Эталонная архитектура и реализация не сертифицированы официальным органом. Завершив эту серию и развернув ресурсы кода, вы не очищаете аудит PCI DSS. Получение аттестаций соответствия от стороннего аудитора.
Подготовка к работе
Центр управления безопасностью Майкрософт предоставляет конкретные принципы развертывания облачных решений, связанных с соответствием требованиям. Гарантии безопасности, предоставляемые Azure в качестве облачной платформы и AKS в качестве контейнера узла, регулярно проверяются и проверяются сторонним поставщиком оценки безопасности (QSA) для соответствия ТРЕБОВАНИЯМ PCI DSS.
Общая ответственность с Azure
Команда по соответствию требованиям Майкрософт гарантирует, что для наших клиентов общедоступна документация по соответствию нормативным требованиям Microsoft Azure. Вы можете скачать аттестацию соответствия PCI DSS для Azure в разделе PCI DSS на портале управления безопасностью служб. Матрица ответственности описывает, кто между Azure и клиентом отвечает за каждый из требований PCI. Дополнительные сведения см. в разделе "Управление соответствием в облаке".
Общая ответственность с AKS
Kubernetes — это система с открытым исходным кодом для автоматизации развертывания, масштабирования и управления контейнерными приложениями. AKS упрощает развертывание управляемого кластера Kubernetes в Azure. Базовая инфраструктура AKS поддерживает крупномасштабные приложения в облаке и является естественным выбором для запуска корпоративных приложений в облаке, включая рабочие нагрузки PCI. Приложения, развернутые в кластерах AKS, имеют определенные сложности при развертывании рабочих нагрузок, классифицированных ПО PCI.
Ваша ответственность
Как владелец рабочей нагрузки, вы в конечном итоге отвечаете за соответствие PCI DSS. Четкое понимание ваших обязанностей путем чтения требований PCI для понимания намерения, изучения матрицы для Azure и завершения этой серии, чтобы понять нюансы AKS. Этот процесс сделает реализацию готовой к успешной оценке.
Рекомендованные статьи
В этой серии предполагается:
- Вы знакомы с концепциями Kubernetes и работой кластера AKS.
- Вы прочитали базовую эталонную архитектуру AKS.
- Вы развернули базовую эталонную реализацию AKS.
- Вы очень знакомы с официальной спецификацией PCI DSS 3.2.1.
- Вы прочитали базовые показатели безопасности Azure для Служба Azure Kubernetes.
В этой серии
Эта серия разделена на несколько статей. В каждой статье описывается высокоуровневые требования, за которыми следует руководство по устранению требований, относящихся к AKS.
| Область ответственности | Description |
|---|---|
| Сегментация сети | Защита данных заполнителей карт с помощью конфигурации брандмауэра и других сетевых элементов управления. Удалите предоставленные поставщиком значения по умолчанию. |
| Защита данных | Шифрование всех данных, объектов хранилища, контейнеров и физических носителей. Добавьте элементы управления безопасностью при передаче данных между компонентами. |
| Управление уязвимостями | Запустите антивирусное программное обеспечение, средства мониторинга целостности файлов и сканеры контейнеров, чтобы убедиться, что система в процессе обнаружения уязвимостей. |
| Элементы управления доступом | Безопасный доступ с помощью элементов управления удостоверениями, которые запрещают попытки кластеру или другим компонентам, которые являются частью среды данных заполнителей карт. |
| Операции мониторинга | Поддержание состояния безопасности с помощью операций мониторинга и регулярное тестирование разработки и реализации безопасности. |
| Управление политиками | Тщательно и обновленной документации по процессам и политикам безопасности. |
Следующие шаги
Начните с понимания регулируемых архитектур и вариантов проектирования.