Tato referenční architektura popisuje důležité informace pro cluster Azure Kubernetes Service (AKS) určený ke spouštění citlivých úloh. Pokyny se váže na zákonné požadavky standardu PCI-DSS 3.2.1 (Payment Card Industry Data Security Standard).
Vaším cílem není nahradit ukázku dodržování předpisů touto řadou. Cílem je pomoct obchodníci začít s návrhem architektury tím, že se příslušné cíle kontroly DSS řeší jako tenant v prostředí AKS. Pokyny se věnuje aspektům dodržování předpisů prostředí, včetně infrastruktury, interakcí s úlohami, provozu, správy a interakcí mezi službami.
Důležité
Referenční architektura a implementace nejsou certifikované oficiální autoritou. Dokončením této série a nasazením prostředků kódu nevyčtete audit pro PCI DSS. Získání osvědčení o dodržování předpisů od auditorů třetích stran
Než začnete...
Centrum zabezpečení Microsoftu poskytuje konkrétní principy pro cloudová nasazení související s dodržováním předpisů. Záruky zabezpečení, které Azure poskytuje jako cloudová platforma a AKS jako kontejner hostitele, pravidelně audituje a testuje kvalifikovaný vyhodnocovač zabezpečení — (QSA) třetí strany, aby se PCI DSS — předpisů.
Sdílená odpovědnost s Azure
Tým Microsoftu pro dodržování předpisů zajišťuje, aby byla veškerá dokumentace Microsoft Azure dodržování právních předpisů veřejně dostupná našim zákazníkům. Informace o ověření PCI DSS dodržování předpisů pro Azure si můžete stáhnout v části PCI DSS sestavách auditu. Matice zodpovědností popisuje, kdo zodpovídá za každý z požadavků PCI mezi Azure a zákazníkem. Další informace najdete v tématu Správa dodržování předpisů v cloudu.
Sdílená odpovědnost s AKS
Kubernetes je open source systém pro automatizaci nasazení, škálování a správy kontejnerizovaných aplikací. AKS usnadňuje nasazení spravovaného clusteru Kubernetes v Azure. Základní infrastruktura AKS podporuje rozsáhlé aplikace v cloudu a je přirozenou volbou pro spouštění podnikových aplikací v cloudu, včetně úloh PCI. Aplikace nasazené v clusterech AKS mají při nasazování klasifikovaných úloh PCI určité složitosti.
Vaše zodpovědnost
Jako vlastník úlohy v konečném důsledku zodpovídáte za vlastní dodržování PCI DSS předpisů. Seznamte se s vašimi zodpovědnostmi tak, že si prostudovat požadavky na PCI, abyste porozuměli záměru, prostudovat si matici pro Azurea dokončit tuto sérii, abyste porozuměli nuancíM AKS. Tento proces připraví vaši implementaci na úspěšné posouzení.
Doporučené články
Tato série předpokládá:
- Znáte koncepty Kubernetes a pracujete s clusterem AKS.
- Přečetli jste si referenční architekturu standardních hodnot AKS.
- Nasadili jste referenční implementaci standardních hodnot AKS.
- Jste zkránění oficiální specifikací PCI DSS 3.2.1.
- Přečetli jste si standardní hodnoty zabezpečení Azure pro Azure Kubernetes Service.
V této sérii
Tato série je rozdělená do několika článků. Každý článek popisuje požadavky vysoké úrovně a pokyny k řešení požadavků specifických pro AKS.
| Oblast zodpovědnosti | Popis |
|---|---|
| segmenty sítě. | Chraňte data držitelů karet pomocí konfigurace brány firewall a dalších síťových ovládacích prvků. Odeberte výchozí hodnoty od dodavatele. |
| Ochrana dat | Zašifruje všechny informace, objekty úložiště, kontejnery a fyzická média. Přidejte bezpečnostní prvky při přenosu dat mezi komponentami. |
| Správa ohrožení zabezpečení | Spusťte antivirový software, nástroje pro monitorování integrity souborů a kontroly kontejnerů, abyste se ujistili, že systém je součástí detekce ohrožení zabezpečení. |
| Ovládací prvky přístupu | Zabezpečený přístup prostřednictvím řízení identity, které zamítá pokusy o přístup ke clusteru nebo jiným komponentám, které jsou součástí datového prostředí držitelů karet. |
| Operace monitorování | Udržujte postoj k zabezpečení prostřednictvím operací monitorování a pravidelně testujte návrh a implementaci zabezpečení. |
| Správa zásad | Udržujte důkladnou a aktualizovanou dokumentaci týkající se procesů a zásad zabezpečení. |
Další
Začněte tím, že pochopíte regulovanou architekturu a možnosti návrhu.