この記事では、Payment Card Industry Data Security Standard (PCI-DSS 3.2.1) に準拠して構成された Azure Kubernetes Service (AKS) クラスターの考慮事項について説明します。
この記事はシリーズの一部です。 概要を参照してください。
情報セキュリティポリシーを維持する
要件 12—すべての職員が情報セキュリティに対処するポリシーを保持する
Microsoft では、承認済みの Qualified Security Assessor (QSA) を使用して年間 PCI DSS 評価を完了しました。 インフラストラクチャ、開発、運用、管理、サポート、および対象サービスのすべての側面を考慮します。 詳細については、「Payment Card Industry (PCI) Data Security Standard (DSS)」を参照してください。
このアーキテクチャと実装は、公式のセキュリティ ポリシーをエンドツーエンドでドキュメント化するための説明のガイダンスを提供するように設計されていません。 考慮事項については、公式の PCI DSS 3.2.1 標準のガイダンスを参照してください。
一般的な推奨事項を次に示します。
プロセスとポリシーに関する詳細かつ最新のドキュメントを保持します。 Microsoft Purview コンプライアンスマネージャーを使用してリスクを評価することを検討してください。
セキュリティ ポリシーの年間レビューで、Microsoft、Kubernetes、および CDE に含まれるその他のサードパーティ ソリューションによって提供される新しいガイダンスを組み込みます。 一部のリソースには、Microsoft Defender for Cloud、Azure Advisor、Azure Well-Architected Review、および AKS Azure セキュリティベースラインや CIS Azure Kubernetes Service ベンチマークなどの更新から得られるガイダンスと組み合わされたベンダーのパブリケーションが含まれます。
リスク評価プロセスを確立する際は、必要に応じて、NIST SP 800-53 などの公開された標準に合わせます。 Microsoft Security Response Center ガイドなどのベンダーの公開されたセキュリティ リストからのパブリケーションを、リスク評価プロセスにマップします。
デバイス インベントリと個人のアクセスのドキュメントに関する最新情報を保持します。 Microsoft Defender for Endpoint に含まれるデバイス検出機能を使用することを検討してください。 アクセスを追跡するために、Microsoft Entra ログからその情報を取得できます。 次に、作業を開始するためのいくつかのリソースを示します。
インベントリ管理の一環として、PCI インフラストラクチャおよびワークロードの一部としてデプロイされた承認済みソリューションの一覧を保持します。 これには、CDE に取り込むことを選択した VM イメージ、データベース、およびサードパーティ ソリューションの一覧が含まれます。 サービス カタログを構築して、そのプロセスを自動化することもできます。 それにより、特定の構成でそれらの承認済みのソリューションを使用して、実行中のプラットフォーム運用に準拠するセルフサービス デプロイを実現します。 詳細については、「サービスカタログを確立する」を参照してください。
セキュリティ連絡先が Microsoft からの Azure インシデント通知を必ず受け取るようにしてください。
これらの通知は、リソースが侵害されているかどうかを示します。 これにより、セキュリティ運用チームは潜在的なセキュリティ リスクに迅速に対応し、それらを修復することができます。 Azure 登録ポータルの管理者連絡先情報に、直接的に、または内部プロセスを介して迅速にセキュリティ運用の通知を行う連絡先の情報が含まれているようにしてください。 詳細については、「セキュリティ運用のモデル」を参照してください。
次に、運用のコンプライアンスを計画する際に役立つその他の記事を示します。