このリファレンス アーキテクチャでは、機密性の高いワークロードを実行するように設計されている Azure Kubernetes Service (AKS) クラスターに関する考慮事項について説明します。 このガイダンスは、Payment Card Industry Data Security Standard (PCI-DSS 3.2.1) の規制要件に関連しています。
コンプライアンスを実証することをこのシリーズで置き換えることを目的とは "していません"。 マーチャントが、AKS 環境のテナントとして適用可能な DSS 制御目標に取り組むことで、アーキテクチャの設計を開始できるようにすることを目的としています。 このガイダンスでは、インフラストラクチャ、ワークロードとの相互作用、操作、管理、サービス間の相互作用など、環境のコンプライアンス面について説明します。
重要
リファレンス アーキテクチャと実装は、公的機関の認定を受けていません。 このシリーズを完了し、コード アセットをデプロイしても、PCI DSS の監査を通過するものではありません。 第三者監査人から準拠性証明書を取得してください。
開始する前に
Microsoft Trust Center は、コンプライアンス関連のクラウド デプロイに関する具体的な原則を公開しています。 クラウド プラットフォームとしての Azure とホスト コンテナーとしての AKS により提供されるセキュリティ保証に対し、第三者の認定セキュリティ評価機関 (QSA) により PCI DSS コンプライアンスの監査と証明が定期的に実施されます。
Azure との責任の共有
Microsoft コンプライアンス チームは、Microsoft Azure の規制コンプライアンスに関するすべてのドキュメントを、お客様が利用できるように公開します。 Azure の PCI DSS 準拠証明書は、監査レポートの「PCI DSS」セクションからダウンロードできます。 責任マトリックスには、Azure とお客様の間での PCI の各要件の責任者の概要が示されています。 詳細については、「クラウドでのコンプライアンスを管理」を参照してください。
AKS との責任の共有
Kubernetes は、コンテナー化されたアプリケーションのデプロイ、スケーリング、管理を自動化するためのオープンソース システムです。 AKS を使用すると、マネージド Kubernetes クラスターを Azure に簡単にデプロイできます。 AKS の基本インフラストラクチャは、クラウド内の大規模なアプリケーションをサポートしており、クラウドでエンタープライズ規模のアプリケーション (PCI ワークロードなど) を実行する際の選択肢として適切です。 AKS クラスターにデプロイされたアプリケーションでは、PCI 分類ワークロードをデプロイする際に特定の複雑さがあります。
お客様の責任範囲
お客様は、ワークロード所有者として自身の PCI DSS コンプライアンスに関する最終的な責任を負います。 責任範囲を明確に理解するため、PCI の要件を読んでその意図を理解し Azureのマトリックスを確認し、このシリーズを完了して AKS の微妙な違いを理解します。 この作業により、評価の成功に向けて実装を準備できます。
推奨される記事
このシリーズの前提条件を次に示します。
- Kubernetes の概念と AKS クラスターの仕組みを理解している。
- AKS ベースラインのリファレンス アーキテクチャに関する記事を読んでいる。
- AKS ベースライン リファレンス実装をデプロイ済みである。
- 公式の PCI DSS 3.2.1 仕様を熟知している。
- 「Azure Kubernetes Service 用の Azure セキュリティ ベースライン」を読んでいる。
このシリーズの内容
このシリーズはさまざまな記事で構成されています。 各記事では、要件の概要と、AKS 特有の要件に対処する方法に関するガイダンスを説明します。
| 責任の分担 | 説明 |
|---|---|
| ネットワークのセグメント化 | ファイアウォール構成やその他のネットワーク制御を使用してカード所有者データを保護します。 ベンダーが提供する既定値を削除します。 |
| データ保護 | すべての情報、ストレージ オブジェクト、コンテナー、物理メディアを暗号化します。 コンポーネント間のデータ転送時のセキュリティ コントロールを強化します。 |
| 脆弱性の管理 | ウイルス対策ソフトウェア、ファイル整合性監視ツール、コンテナー スキャナーを実行して、システムが脆弱性検出の対象に含まれているようにします。 |
| アクセス制御 | カード所有者データ環境の一部であるクラスターまたは他のコンポーネントに対する試行を拒否する ID コントロールにより、アクセスを保護します。 |
| 操作の監視 | 操作の監視によりセキュリティ態勢を維持し、セキュリティの設計と実装を定期的にテストします。 |
| ポリシー管理 | セキュリティ プロセスとポリシーに関する詳細かつ最新のドキュメントを保持します。 |
次の手順
最初に、規制対象のアーキテクチャと設計の選択肢について理解します。