此參考架構描述Azure Kubernetes Service (AKS) 叢集的考慮,其設計目的是要執行敏感性工作負載。 本指南系結至付款卡產業資料安全性標準 (PCI-DSS 3.2.1) 的法規需求。
這不是我們的目標,就是以此系列取代您合規性的示範。 目標是藉由將適用的 DSS 控制目標當作 AKS 環境中的租使用者,協助商家開始使用架構設計。 本指南涵蓋環境的合規性層面,包括基礎結構、與工作負載、作業、管理和服務之間的互動。
重要
參考架構和實作尚未由官方授權單位認證。 完成此系列並部署程式碼資產,您不會清除 PCI DSS 的稽核。 從協力廠商稽核員取得合規性證明。
開始之前
Microsoft 信任中心 提供合規性相關雲端部署的特定原則。 Azure 作為雲端平臺提供的安全性保證,以及 AKS 作為主機容器,會定期稽核並證明協力廠商合格安全性評估程式 (QSA) ,以符合 PCI DSS 規範。
與 Azure 共同責任
Microsoft 合規性小組可確保客戶公開提供 Microsoft Azure 法規合規性的所有檔。 您可以在 稽核報告的PCI DSS 區段下,下載適用于 Azure 的 PCI DSS 證明。 責任矩陣概述 Azure 與客戶之間的人員,負責每個 PCI 需求。 如需詳細資訊,請參閱 管理雲端中的合規性。
與 AKS 共同責任
Kubernetes 是開放原始碼系統,可自動化容器化應用程式的部署、調整和管理。 AKS 可讓您輕鬆地在 Azure 上部署受控 Kubernetes 叢集。 AKS 基本基礎結構支援雲端中的大規模應用程式,也是在雲端中執行企業級應用程式的自然選擇,包括 PCI 工作負載。 部署在 AKS 叢集中的應用程式在部署 PCI 分類的工作負載時具有某些複雜度。
您的責任
身為工作負載擁有者,您最終負責自己的 PCI DSS 合規性。 閱讀 PCI 需求以瞭解意圖、研究 Azure 矩陣,以及完成此系列以瞭解 AKS 細微差異,以清楚瞭解您的責任。 此程式可讓您的實作準備好成功評估。
建議的文章
此系列假設:
- 您已熟悉 AKS 叢集的 Kubernetes 概念和運作。
- 您已閱讀 AKS 基準參考架構。
- 您已部署 AKS 基準參考實作。
- 您非常熟悉官方 PCI DSS 3.2.1 規格。
- 您已閱讀適用于 Azure Kubernetes Service 的 Azure 安全性基準。
在此系列中
此系列分成數篇文章。 每篇文章概述高階需求,後面接著如何解決 AKS 特定需求的指引。
| 責任領域 | 描述 |
|---|---|
| 網路分割 | 使用防火牆設定和其他網路控制來保護持卡人資料。 移除廠商提供的預設值。 |
| 資料保護 | 加密所有資訊、儲存體物件、容器和實體媒體。 在元件之間傳輸的資料時,新增安全性控制。 |
| 弱點管理 | 執行防毒軟體、檔案完整性監視工具和容器掃描器,以確保系統成為弱點偵測的一部分。 |
| 存取控制 | 透過身分識別控制來保護存取,這些控制項會拒絕嘗試存取屬於持卡人資料環境的叢集或其他元件。 |
| 監視作業 | 透過監視作業維護安全性狀態,並定期測試您的安全性設計和實作。 |
| 原則管理 | 維護有關安全性程式和原則的徹底和更新檔。 |
下一步
首先瞭解受管制的架構和設計選擇。