Den här referensarkitekturen beskriver överväganden för ett Azure Kubernetes Service-kluster (AKS) som utformats för att köra en känslig arbetsbelastning. Vägledningen är kopplad till regelkraven i Payment Card Industry Data Security Standard (PCI-DSS 3.2.1).
Det är inte vårt mål att ersätta din demonstration av din efterlevnad med den här serien. Avsikten är att hjälpa säljarna att komma igång med arkitekturdesignen genom att hantera tillämpliga DSS-kontrollmål som en klientorganisation i AKS-miljön. Vägledningen omfattar efterlevnadsaspekter i miljön, inklusive infrastruktur, interaktioner med arbetsbelastning, åtgärder, hantering och interaktioner mellan tjänster.
Viktigt
Referensarkitekturen och implementeringen har inte certifierats av en officiell auktoritet. Genom att slutföra den här serien och distribuera kodtillgångarna rensar du inte granskning för PCI DSS. Skaffa efterlevnadseresteringar från granskare från tredje part.
Innan du börjar...
Microsoft Trust Center innehåller specifika principer för efterlevnadsrelaterade molndistributioner. Säkerhetsgarantin – som tillhandahålls av Azure som molnplattform och AKS som värdcontainer – granskas regelbundet och attesteras av tredje parts kvalificerade säkerhetsbedömare (QSA) för PCI DSS efterlevnad.
Delat ansvar med Azure
Microsofts efterlevnadsteam ser till att all dokumentation Microsoft Azure regelefterlevnad är offentligt tillgänglig för våra kunder. Du kan ladda ned PCI DSS attestation för efterlevnad för Azure under PCI DSS i granskningsrapporterna. Ansvarsmatrisen beskriver vem, mellan Azure och kunden, som ansvarar för vart och ett av PCI-kraven. Mer information finns i Hantera efterlevnad i molnet.
Delat ansvar med AKS
Kubernetes är ett system med öppen källkod för automatisering av distribution, skalning och hantering av program i containrar. AKS gör det enkelt att distribuera ett hanterat Kubernetes-kluster i Azure. Den grundläggande AKS-infrastrukturen stöder storskaliga program i molnet och är ett naturligt val för att köra program i företagsskala i molnet, inklusive PCI-arbetsbelastningar. Program som distribueras i AKS-kluster har vissa komplexiteter vid distribution av PCI-klassificerade arbetsbelastningar.
Ditt ansvar
Som arbetsbelastningsägare ansvarar du i slutändan för din egen PCI DSS efterlevnad. Ha en tydlig förståelse för dina ansvarsområden genom att läsa PCI-kraven för att förstå avsikten, studera matrisen för Azureoch slutföra den här serien för att förstå AKS-nyanserna. Den här processen gör implementeringen redo för en lyckad utvärdering.
Rekommenderade artiklar
Den här serien förutsätter:
- Du är bekant med Kubernetes-begrepp och -arbete i ett AKS-kluster.
- Du har läst referensarkitekturen för AKS-baslinjen.
- Du har distribuerat implementeringen av AKS-baslinjereferensen.
- Du är väl insatt i den officiella PCI DSS 3.2.1-specifikationen.
- Du har läst Säkerhetsbaslinje för Azure för Azure Kubernetes Service.
I den här serien
Den här serien är uppdelad i flera artiklar. Varje artikel beskriver högnivåkravet följt av vägledning om hur du tar itu med det AKS-specifika kravet.
| Ansvarsområde | Description |
|---|---|
| Nätverkssegmentering | Skydda korthållardata med brandväggskonfiguration och andra nätverkskontroller. Ta bort standardvärden som tillhandahålls av leverantören. |
| Dataskydd | Kryptera all information, alla lagringsobjekt, containrar och fysiska media. Lägg till säkerhetskontroller när data överförs mellan komponenter. |
| Sårbarhetshantering | Kör antivirusprogram, övervakningsverktyg för filintegritet och containerskannrar för att kontrollera systemet som en del av din sårbarhetsidentifiering. |
| Åtkomstkontroller | Säker åtkomst via identitetskontroller som nekar försök till klustret eller andra komponenter som ingår i korthållardatamiljön. |
| Övervakningsåtgärder | Upprätthåll säkerhetsstatusen genom övervakningsåtgärder och testa regelbundet din säkerhetsdesign och implementering. |
| Principhantering | Underhåll omfattande och uppdaterad dokumentation om dina säkerhetsprocesser och principer. |
Nästa
Börja med att förstå den reglerade arkitekturen och designvalen.