Den här referensarkitekturen beskriver överväganden för ett Azure Kubernetes Service-kluster (AKS) som utformats för att köra en känslig arbetsbelastning. Vägledningen är knuten till de regelmässiga kraven i Payment Card Industry Data Security Standard (PCI-DSS 3.2.1).
Det är inte vårt mål att ersätta din demonstration av din efterlevnad med den här serien. Avsikten är att hjälpa handlare att komma igång med arkitekturdesignen genom att hantera tillämpliga DSS-kontrollmål som klientorganisation i AKS-miljön. Vägledningen beskriver efterlevnadsaspekterna i miljön, inklusive infrastruktur, interaktioner med arbetsbelastningen, åtgärder, hantering och interaktioner mellan tjänster.
Viktigt
Referensarkitekturen och implementeringen har inte certifierats av en officiell myndighet. Genom att slutföra den här serien och distribuera kodtillgångarna rensar du inte granskning för PCI DSS. Hämta efterlevnadsattester från tredjepartsrevisor.
Innan du börjar
Microsoft Trust Center innehåller specifika principer för efterlevnadsrelaterade molndistributioner. Säkerhetsgarantierna – som tillhandahålls av Azure som molnplattform och AKS som värdcontainer – granskas och intygas regelbundet av QSA (Qualified Security Assessor) från tredje part för PCI DSS-efterlevnad.
Delat ansvar med Azure
Microsofts efterlevnadsteam ser till att all dokumentation om regelefterlevnad i Microsoft Azure är offentligt tillgänglig för våra kunder. Du kan ladda ned PCI DSS-attesteringen av efterlevnad för Azure under avsnittet PCI DSS i granskningsrapporter. Ansvarsmatrisen beskriver vem mellan Azure och kunden som ansvarar för var och en av PCI-kraven. Mer information finns i Hantera efterlevnad i molnet.
Delat ansvar med AKS
Kubernetes är ett system med öppen källkod för att automatisera distribution, skalning och hantering av containerbaserade program. AKS gör det enkelt att distribuera ett hanterat Kubernetes-kluster i Azure. Den grundläggande AKS-infrastrukturen stöder storskaliga program i molnet och är ett naturligt val för att köra program i företagsskala i molnet, inklusive PCI-arbetsbelastningar. Program som distribueras i AKS-kluster har vissa komplexiteter vid distribution av PCI-klassificerade arbetsbelastningar.
Ditt ansvar
Som arbetsbelastningsägare är du ytterst ansvarig för din egen PCI DSS-efterlevnad. Få en tydlig förståelse för ditt ansvar genom att läsa PCI-kraven för att förstå avsikten, studera matrisen för Azure och slutföra den här serien för att förstå AKS-nyanserna. Den här processen gör implementeringen redo för en lyckad utvärdering.
Rekommenderade artiklar
Den här serien förutsätter:
- Du är bekant med Kubernetes-begrepp och hur ett AKS-kluster fungerar.
- Du har läst referensarkitekturen för AKS-baslinjen.
- Du har distribuerat referensimplementeringen av AKS-baslinjen.
- Du är mycket bekant med den officiella PCI DSS 3.2.1-specifikationen.
- Du har läst Azures säkerhetsbaslinje för Azure Kubernetes Service.
I den här serien
Den här serien är uppdelad i flera artiklar. Varje artikel beskriver de övergripande kraven följt av vägledning om hur du åtgärdar det AKS-specifika kravet.
Ansvarsområde | Description |
---|---|
Nätverkssegmentering | Skydda korthållardata med brandväggskonfiguration och andra nätverkskontroller. Ta bort standardinställningar som tillhandahålls av leverantören. |
Dataskydd | Kryptera all information, lagringsobjekt, containrar och fysiska medier. Lägg till säkerhetskontroller när data som överförs mellan komponenter. |
Sårbarhetshantering | Kör antivirusprogram, övervakningsverktyg för filintegritet och containerskannrar för att se till att systemet är en del av sårbarhetsidentifieringen. |
Åtkomstkontroller | Säker åtkomst via identitetskontroller som nekar försök till klustret eller andra komponenter som ingår i korthållardatamiljön. |
Övervakningsåtgärder | Upprätthålla säkerhetsstatusen genom övervakningsåtgärder och testa regelbundet din säkerhetsdesign och implementering. |
Principhantering | Underhåll noggrann och uppdaterad dokumentation om dina säkerhetsprocesser och principer. |
Nästa steg
Börja med att förstå den reglerade arkitekturen och designvalen.