本参考体系结构介绍了用于运行敏感工作负载的 Azure Kubernetes 服务 (AKS) 群集的注意事项。 本指南与支付卡行业数据安全标准 (PCI-DSS 3.2.1) 的法规要求相关联。
用本系列替换你的合规性证明不是我们的目标。 我们的目标是通过解决 AKS 环境中租户适用的 DSS 控制目标,帮助商家开始体系结构设计。 本指南将介绍环境的合规性情况,包括基础结构、与工作负载的交互、操作、管理以及服务之间的交互。
重要
本参考体系结构和实施尚未由官方机构认证。 通过完成本系列并部署代码资产,无法清除 PCI DSS 的审核。 需要从第三方审核机构获取合规性证明。
准备阶段
Microsoft 信任中心提供与合规性相关的云部署的特定原则。 由 Azure 作为云平台和 AKS 作为主机容器提供的安全保证是由第三方合格安全评估机构 (QSA) 定期审核并证明,以符合 PCI DSS。
与 Azure 共担责任
Microsoft 合规性团队确保向客户公开提供 Microsoft Azure 法规合规性的所有文档。 可以在审核报告的 PCI DSS 部分下下载适用于 Azure 的 PCI DSS 合规性证明。 责任矩阵概述了 Azure 与客户之间应由谁来负责每个 PCI 要求。 有关详细信息,请参阅在云端管理合规性。
与 AKS 共担责任
Kubernetes 是一个开源系统,可以自动部署、缩放和管理容器化应用程序。 可使用 AKS 在 Azure 中轻松地部署托管的 Kubernetes 群集。 AKS 基本基础结构支持云中的大规模应用程序,是在云中运行企业级应用程序(包括 PCI 工作负载)的必然选择。 在部署 PCI 分类工作负载时,在 AKS 群集中部署的应用程序具有一定的复杂性。
你的责任
作为工作负载的所有者,你最终要对自己的 PCI DSS 合规性负责。 阅读 PCI 要求来了解意向、研究 Azure 矩阵,并完成本系列以了解 AKS 细微差别,从而清楚地了解你的责任。 完成此过程,你就准备好实现成功的评估了。
推荐阅读的文章
本系列假定:
- 熟悉 Kubernetes 概念和 AKS 群集的工作原理。
- 已阅读 AKS 基线参考体系结构。
- 已部署 AKS 基线参考实现。
- 熟悉官方 PCI DSS 3.2.1 规范。
- 已阅读适用于 Azure Kubernetes 服务的 Azure 安全基线。
在此系列中
本系列分为几篇文章。 每篇文章都先概述大致要求,然后介绍有关如何解决 AKS 具体要求的指导。
| 责任范围 | 说明 |
|---|---|
| 网络分段 | 使用防火墙配置和其他网络控制措施保护持卡人数据。 移除供应商提供的默认值。 |
| 数据保护 | 加密所有信息、存储对象、容器和物理媒体。 数据正在组件之间传输时,添加安全控制。 |
| 漏洞管理 | 运行防病毒软件、文件完整性监视工具和容器扫描程序,确保系统属于漏洞检测的一部分。 |
| 访问控制 | 通过标识控制保护访问,这些控制拒绝对属于持卡人数据环境的群集或其他组件的尝试访问。 |
| 监视操作 | 通过监视操作维护安全状况,并定期测试安全设计和实现。 |
| 策略管理 | 维护关于安全流程和策略的完整的最新文档。 |
后续步骤
首先了解受管制的体系结构和设计选择。