Cette architecture de référence décrit les considérations relatives à un cluster Azure Kubernetes Service (AKS) conçu pour exécuter une charge de travail sensible. Les instructions sont en lien avec la réglementation de la norme PCI-DSS 3.2.1.
Notre objectif n’est pas de remplacer votre démonstration de votre conformité par cette série. L’objectif est d’aider les prestataires à démarrer la conception architecturale en répondant aux objectifs de contrôle DSS applicables en tant que locataires dans l’environnement AKS. L’aide couvre les aspects de conformité de l’environnement, notamment l’infrastructure, les interactions avec la charge de travail, les opérations, la gestion et les interactions entre les services.
Important
L’architecture et l’implémentation de référence n’ont pas été certifiées par une autorité officielle. En suivant cette série et en déployant les ressources de code, vous n’éliminez pas la nécessité d’un audit PCI DSS. Obtenez des attestations de conformité auprès d’un auditeur tiers.
Avant de commencer
Le Centre de gestion de la confidentialité Microsoft fournit des principes spécifiques pour les déploiements cloud liés à la conformité. Les assurances de sécurité (fournies par Azure en tant que plateforme cloud et AKS en tant que conteneur hôte) sont régulièrement auditées et attestées par un évaluateur de sécurité qualifié (QSA) tiers pour la conformité PCI DSS.
Responsabilité partagée avec Azure
L’équipe de conformité de Microsoft fait en sorte que toute la documentation relative à la conformité réglementaire Microsoft Azure soit accessible aux clients. Vous pouvez télécharger l’attestation de conformité PCI DSS pour Azure dans la section PCI DSS des rapports d’audit. La matrice de responsabilités indique qui, d’Azure ou du client, est responsable de chacune des exigences PCI. Pour plus d’informations, consultez Gestion de la conformité dans le cloud.
Responsabilité partagée avec AKS
Kubernetes est un système open source permettant d'automatiser le déploiement, la mise à l'échelle et la gestion d'applications dans des conteneurs. AKS simplifie le déploiement d’un cluster Kubernetes managé dans Azure. L’infrastructure fondamentale d’AKS prend en charge les applications à grande échelle dans le cloud. Elle constitue un choix évident pour l’exécution d’applications à l’échelle de l’entreprise dans le cloud, y compris les charges de travail PCI. Les applications déployées dans des clusters AKS présentent certaines complexités lors du déploiement des charges de travail PCI.
Votre responsabilité
En tant que propriétaire de charge de travail, vous êtes responsable de votre propre conformité PCI DSS. Ayez une compréhension claire de vos responsabilités en lisant les exigences PCI pour en comprendre l’intention, en étudiant la matrice pour Azure et en suivant cette série pour comprendre les nuances d’AKS. Ce processus prépare votre implémentation à une évaluation réussie.
Articles recommandés
Cette série part du principe que :
- Vous connaissez les concepts Kubernetes et le fonctionnement d’un cluster AKS.
- Vous avez lu l’architecture de référence d’AKS.
- Vous avez déployé l’implémentation de référence d’AKS.
- Vous connaissez bien la spécification PCI DSS 3.2.1 officielle.
- Vous avez lu la base de référence de sécurité Azure pour Azure Kubernetes Service.
Dans cette série
Cette série est divisée en plusieurs articles. Chaque article décrit les exigences générales, puis donne des conseils pour bien répondre aux exigences propres à AKS.
| Domaine de responsabilité | Description |
|---|---|
| Segmentation du réseau | Protégez les données des titulaires de carte avec la configuration de pare-feu et d’autres contrôles réseau. Supprimez les valeurs par défaut fournies par le fournisseur. |
| Protection des données | Chiffrez toutes les informations, les objets de stockage, les conteneurs et les supports physiques. Ajoutez des contrôles de sécurité lorsque des données sont transférées d’un composant à un autre. |
| Gestion des vulnérabilités | Exécutez un logiciel antivirus, des outils de supervision de l’intégrité des fichiers ainsi que des scanneurs de conteneurs pour que le système soit inclus dans la détection des vulnérabilités. |
| Contrôles d’accès | Sécurisez l’accès par le biais de contrôles d’identité qui refusent les tentatives d’accès au cluster ou à d’autres composants faisant partie de l’environnement CDE. |
| Surveillance des opérations | Maintenez votre posture de sécurité en effectuant des opérations de supervision et en testant régulièrement la conception et l’implémentation de la sécurité. |
| Gestion des stratégies | Gérez une documentation complète et à jour sur vos processus et stratégies de sécurité. |
Étapes suivantes
Commencez par comprendre l’architecture réglementée et les choix de conception.