В этой эталонной архитектуре описываются рекомендации для кластера Служба Azure Kubernetes (AKS), предназначенного для выполнения конфиденциальной рабочей нагрузки. Руководство связано с нормативными требованиями стандарта безопасности данных отрасли платежных карт (PCI-DSS 3.2.1).
Наша цель не заключается в том, чтобы заменить вашу демонстрацию соответствия этой серии. Цель состоит в том, чтобы помочь продавцам приступить к проектированию архитектуры путем решения применимых целей управления DSS в качестве клиента в среде AKS. Руководство охватывает аспекты соответствия среды, включая инфраструктуру, взаимодействие с рабочей нагрузкой, операции, управление и взаимодействие между службами.
Важно!
Эталонная архитектура и реализация не были сертифицированы официальным органом. Завершив эту серию и развернув ресурсы кода, вы не очищаете аудит для PCI DSS. Получение аттестаций соответствия требованиям у стороннего аудитора.
Подготовка к работе
Центр управления безопасностью Майкрософт предоставляет конкретные принципы для облачных развертываний, связанных с соответствием требованиям. Гарантии безопасности, предоставляемые Azure в качестве облачной платформы и AKS в качестве контейнера узла, регулярно проверяются и проверяются сторонним квалифицированным экспертом по безопасности (QSA) на соответствие требованиям PCI DSS.
Совместная ответственность с Azure
Группа соответствия требованиям Майкрософт гарантирует, что вся документация по соответствию нормативным требованиям Microsoft Azure является общедоступной для наших клиентов. Вы можете скачать аттестацию соответствия требованиям PCI DSS для Azure в разделе PCI DSS в отчетах об аудите. В матрице ответственности показано, кто отвечает за каждое из требований PCI между Azure и клиентом. Дополнительные сведения см. в статье Управление соответствием требованиям в облаке.
Совместная ответственность с AKS
Kubernetes — это система с открытым кодом для автоматизации развертывания, масштабирования и управления контейнерными приложениями. AKS упрощает развертывание управляемого кластера Kubernetes в Azure. Базовая инфраструктура AKS поддерживает крупномасштабные приложения в облаке и является естественным выбором для запуска приложений корпоративного уровня в облаке, включая рабочие нагрузки PCI. Приложения, развернутые в кластерах AKS, имеют определенные сложности при развертывании рабочих нагрузок, классифицированных pci.
Зона вашей ответственности
Как владелец рабочей нагрузки вы несете ответственность за соответствие требованиям PCI DSS. Четко поймите свои обязанности, прочитав требования PCI, чтобы понять намерение, изучив матрицу для Azure и пройдя эту серию, чтобы понять нюансы AKS. Этот процесс сделает реализацию готовой к успешной оценке.
Рекомендованные статьи
В этой серии предполагается следующее:
- Вы знакомы с понятиями Kubernetes и работой кластера AKS.
- Вы ознакомились с базовой эталонной архитектурой AKS.
- Вы развернули эталонную реализацию базовых показателей AKS.
- Вы хорошо знакомы с официальной спецификацией PCI DSS 3.2.1.
- Вы ознакомились с базовыми показателями безопасности Azure для Служба Azure Kubernetes.
В этой серии
Эта серия разделена на несколько статей. В каждой статье описывается общее требование, за которым следует руководство по удовлетворению требований, относящихся к AKS.
| Область ответственности | Описание |
|---|---|
| сегментация сети. | Защитите данные владельцев карт с помощью конфигурации брандмауэра и других элементов управления сетью. Удалите предоставленные поставщиком значения по умолчанию. |
| Защита данных | Шифрование всей информации, объектов хранения, контейнеров и физических носителей. Добавьте элементы управления безопасностью при передаче данных между компонентами. |
| управление уязвимостями; | Запустите антивирусную программу, средства мониторинга целостности файлов и сканеры контейнеров, чтобы убедиться, что система является частью обнаружения уязвимостей. |
| Элементы управления доступом | Безопасный доступ с помощью элементов управления удостоверениями, которые запрещают попытки доступа к кластеру или другим компонентам, которые являются частью среды данных владельца карты. |
| Мониторинг операций | Поддерживайте состояние безопасности с помощью операций мониторинга и регулярно тестируйте разработку и реализацию системы безопасности. |
| Управление политикой | Ведите подробную и обновленную документацию о ваших процессах и политиках безопасности. |
Дальнейшие действия
Начните с понимания регулируемой архитектуры и вариантов проектирования.