In deze referentiearchitectuur worden de overwegingen beschreven voor een AKS-cluster (Azure Kubernetes Service) dat is ontworpen om een gevoelige workload uit te voeren. De richtlijnen zijn gekoppeld aan de wettelijke vereisten van de Payment Card Industry Data Security Standard (PCI-DSS 3.2.1).
Het is niet ons doel om uw demonstratie van uw naleving met deze reeks te vervangen. Het doel is om u te helpen aan de slag te gaan met het architectuurontwerp door de toepasselijke DSS-beheerdoelstellingen als tenant in de AKS-omgeving aan te pakken. De richtlijnen hebben betrekking op de nalevingsaspecten van de omgeving, waaronder infrastructuur, interacties met de workload, bewerkingen, beheer en interacties tussen services.
Belangrijk
De referentiearchitectuur en -implementatie zijn niet gecertificeerd door een officiële instantie. Door deze reeks te voltooien en de code-assets te implementeren, wordt de controle voor de PCI DSS. Verkrijg nalevingsverklaringen van externe auditor.
Voordat u begint...
Microsoft Trust Center biedt specifieke principes voor cloudimplementaties met betrekking tot naleving. De beveiligingsgaranties die azure als cloudplatform en AKS als hostcontainer biedt, worden regelmatig gecontroleerd en beoordeeld door — — QSA (Qualified Security Assessor) van derden voor PCI DSS naleving.
Gedeelde verantwoordelijkheid met Azure
Het Microsoft Compliance-team zorgt ervoor dat alle documentatie Microsoft Azure naleving van regelgeving openbaar beschikbaar is voor onze klanten. U kunt de PCI DSS Attestation of Compliance for Azure downloaden in de sectie PCI DSS auditrapporten. In de verantwoordelijkheidsmatrix wordt beschreven wie, tussen Azure en de klant, verantwoordelijk is voor elk van de PCI-vereisten. Zie Naleving beheren in de cloud voor meer informatie.
Gedeelde verantwoordelijkheid met AKS
Kubernetes is een opensource-systeem voor het automatiseren van implementatie, schalen en beheer van toepassingen in containers. Met AKS kunt u eenvoudig een beheerd Kubernetes-cluster implementeren in Azure. De fundamentele AKS-infrastructuur ondersteunt grootschalige toepassingen in de cloud en is een natuurlijke keuze voor het uitvoeren van zakelijke toepassingen in de cloud, waaronder PCI-workloads. Toepassingen die zijn geïmplementeerd in AKS-clusters hebben bepaalde complexiteit bij het implementeren van pci-geclassificeerde workloads.
Uw verantwoordelijkheid
Als eigenaar van een workload bent u uiteindelijk verantwoordelijk voor uw eigen PCI DSS naleving. Zorg voor een duidelijk begrip van uw verantwoordelijkheden door de PCI-vereisten te lezen om de intentie te begrijpen, de matrix voor Azurete bestuderen en deze reeks te voltooien om inzicht te krijgen in de AKS-nuances. Dit proces maakt uw implementatie gereed voor een geslaagde evaluatie.
Aanbevolen artikelen
In deze reeks wordt ervan uitgenomen dat:
- U bent bekend met Kubernetes-concepten en -werkingen van een AKS-cluster.
- U hebt de referentiearchitectuur voor de AKS-basislijn gelezen.
- U hebt de AKS-basislijnreferentie-implementatie geïmplementeerd.
- U bent bekend met de officiële specificatie PCI DSS 3.2.1.
- U hebt de Azure-beveiligingsbasislijn gelezen voor Azure Kubernetes Service.
In deze reeks
Deze reeks is opgesplitst in verschillende artikelen. Elk artikel bevat een overzicht van de vereisten op hoog niveau, gevolgd door richtlijnen voor het aanpakken van de AKS-specifieke vereiste.
| Verantwoordelijkheidsgebied | Description |
|---|---|
| Netwerksegmentatie | Gegevens van kaartaanduidingen beveiligen met firewallconfiguratie en andere netwerkbesturingselementen. Verwijder de standaardinstellingen die door de leverancier zijn opgegeven. |
| Gegevensbeveiliging | Versleutel alle gegevens, opslagobjecten, containers en fysieke media. Voeg beveiligingscontroles toe wanneer gegevens worden overgebracht tussen onderdelen. |
| Beheer van beveiligingsleed | Voer antivirussoftware, bewakingshulpprogramma's voor bestandsintegriteit en containerscanners uit om ervoor te zorgen dat het systeem wordt gebruikt als onderdeel van de detectie van beveiligingsprobleem. |
| Besturingselementen voor toegang | Beveiligde toegang via identiteitsbesturingselementen die pogingen tot het cluster of andere onderdelen weigeren die deel uitmaken van de gegevensomgeving van de kaarthouder. |
| Bewakingsbewerkingen | Behoudt de beveiligingsstatus via bewakingsbewerkingen en test regelmatig uw beveiligingsontwerp en -implementatie. |
| Beleidsbeheer | Onderhouden van uitgebreide en bijgewerkte documentatie over uw beveiligingsprocessen en -beleid. |
Volgende
Begin met inzicht in de gereguleerde architectuur en de ontwerpkeuzen.