تصف هذه البنية المرجعية اعتبارات مجموعة Azure Kubernetes Service (AKS) المصممة لتشغيل حمل عمل حساس. ترتبط الإرشادات بالمتطلبات التنظيمية لمعيار أمان بيانات صناعة بطاقات الدفع (PCI-DSS 3.2.1).
ليس هدفنا استبدال إثبات توافقك مع هذه السلسلة. يتمثل الهدف في مساعدة التجار على البدء في التصميم الهيكلي من خلال معالجة أهداف التحكم في نظام دعم القرارات (DSS) المعمول به كمستأجر على بيئة AKS. تغطي الإرشادات جوانب التوافق للبيئة، بما في ذلك البنية الأساسية والتفاعلات مع حمل العمل والعمليات والإدارة والتفاعلات بين الخدمات.
هام
ولم تصادق سلطة رسمية على الهيكل المرجعي والتنفيذ. من خلال إكمال هذه السلسلة وتوزيع أصول التعليمات البرمجية، لا يمكنك إلغاء تحديد التدقيق لـ PCI DSS. الحصول على شهادات التوافق من مدقق الجهات الخارجية.
قبل أن تبدأ
يوفر مركز توثيق Microsoft مبادئ محددة لتوزيع السحابة المتعلقة بالتوافق. يتم تدقيق ضمانات الأمان - التي توفرها Azure كنظام أساسي للسحابة وAKS كحاوية مضيفة - بانتظام من قبل القائم بتقييم الأمان المؤهل (QSA) التابع لجهة خارجية لتوافق PCI DSS.
المسؤولية المشتركة مع Azure
يضمن فريق التوافق في Microsoft توفر جميع وثائق التوافق التنظيمي لـ Microsoft Azure لعملائنا بشكل عام. يمكنك تنزيل شهادة PCI DSS للامتثال لـ Azure ضمن قسم PCI DSS في تقارير التدقيق. توضح مصفوفة المسؤولية من هو المسؤول بين Azure والعميل عن كل من متطلبات PCI. لمزيد من المعلومات، راجع إدارة التوافق في السحابة.
المسؤولية المشتركة مع AKS
إن Kubernetes هو نظام مفتوح المصدر لأتمتة توزيع التطبيقات المعبأة في حاويات وتوسيع نطاقها وإدارتها. تسهل AKS توزيع نظام مجموعة Kubernetes مُدار في Azure. تدعم البنية الأساسية الجوهرية لـ AKS التطبيقات واسعة النطاق في السحابة، وهي خيار طبيعي لتشغيل التطبيقات على نطاق المؤسسة في السحابة، بما في ذلك أحمال عمل PCI. التطبيقات الموزعة في أنظمة مجموعات AKS تضم تعقيدات معينة عند توزيع أحمال العمل المصنفة من قبل PCI.
مسؤوليتك
بصفتك مالك حمل العمل، فأنت مسؤول في النهاية عن توافق PCI DSS الخاص بك. يتوفر لديك فهم واضح لمسؤولياتك من خلال قراءة متطلبات PCI لفهم الهدف، ودراسة مصفوفة Azure، واستكمال هذه السلسلة لفهم الفروق الدقيقة في AKS. ستجعل هذه العملية تنفيذك جاهزاً لتقييم ناجح.
المقالات المُوصى بها
تفترض هذه السلسلة:
- أنت على دراية بمفاهيم Kubernetes وأعمال نظام مجموعة AKS.
- لقد قرأت البنية المرجعية الأساسية لـ AKS.
- لقد قمت بتوزيع تنفيذ مرجع أساس AKS.
- أنت على دراية كبيرة بمواصفات PCI DSS 3.2.1 الرسمية.
- لقد قرأت أساس أمان Azure لـ Azure Kubernetes Service.
في هذه السلسلة
يتم تقسيم هذه السلسلة إلى عدة مقالات. توضح كل مقالة المتطلبات عالية المستوى متبوعة بإرشادات حول كيفية معالجة المتطلبات الخاصة بـ AKS.
| مجال المسؤولية | الوصف |
|---|---|
| تجزئة الشبكة | تقوم بحماية بيانات حامل البطاقة باستخدام تكوين جدار الحماية وعناصر التحكم الأخرى في الشبكة. تقوم بإزالة الإعدادات الافتراضية التي يوفرها المورد. |
| حماية البيانات | تشفير جميع المعلومات وعناصر التخزين والحاويات والوسائط الفعلية. إضافة عناصر تحكم الأمان عند نقل البيانات بين المكونات. |
| إدارة الثغرات الأمنية | تشغيل برامج مكافحة الفيروسات وأدوات مراقبة تكامل الملفات والماسحات الضوئية للحاويات للتأكد من أن النظام كجزء من الكشف عن الثغرات الأمنية. |
| عناصر التحكم بالوصول | الوصول الآمن من خلال عناصر التحكم في الهوية التي ترفض محاولات أنظمة المجموعة أو المكونات الأخرى التي تعد جزءاً من بيئة بيانات حامل البطاقة. |
| عمليات المراقبة | الحفاظ على الوضع الأمني من خلال عمليات المراقبة واختبار تصميم الأمان وتنفيذه بانتظام. |
| إدارة السياسات | احتفظ بوثائق شاملة ومحدثة حول عمليات الأمان ونهجك. |
الخطوات التالية
ابدأ بفهم البنية المنظمة وخيارات التصميم.