Bu başvuru mimarisinde, hassas bir iş yükünü Azure Kubernetes Service tasarlanmış bir Azure Kubernetes Service (AKS) kümesiyle ilgili dikkat edilmesi gerekenler açıkmaktadır. Bu kılavuz, Ödeme Kartı Sektörü Veri Güvenliği Standardı'nın (PCI-DSS 3.2.1) mevzuat gereksinimlerine bağlanır.
Bu seriyle uyumluluğun gösterimini değiştirmek bizim hedefimiz değildir. Amaç, satıcılara AKS ortamında kiracı olarak uygun DSS denetim hedeflerini ele alan mimari tasarıma başlamalarına yardımcı olmaktır. Kılavuz altyapı, iş yüküyle etkileşimler, işlemler, yönetim ve hizmetler arasındaki etkileşimler dahil olmak üzere ortamın uyumluluk yönlerini kapsar.
Önemli
Başvuru mimarisi ve uygulaması resmi bir yetkili tarafından onaylanmaz. Bu seriyi tamamlayarak ve kod varlıklarını dağıtarak, kod varlıkları için denetim PCI DSS. Üçüncü taraf denetçiden uyumluluk testlerini alın.
Başlamadan önce...
Microsoft Güven Merkezi, uyumlulukla ilgili bulut dağıtımları için belirli ilkeler sağlar. Bulut platformu olarak Azure ve konak kapsayıcısı olarak AKS tarafından sağlanan güvenlik güvenceleri, uyumluluk için üçüncü taraf Nitelikli Güvenlik Değerlendireci (QSA) tarafından düzenli olarak denetleniyor ve PCI DSS onaylanıyor.
Azure ile paylaşılan sorumluluk
Microsoft Uyumluluk ekibi, yasal uyumluluk Microsoft Azure tüm belgelerinin müşterilerimizin kullanımına açık olduğunu garanti eder. Denetim raporları bölümündeki PCI DSS Azure için Uyumluluk PCI DSS'ı indirebilirsiniz. Sorumluluk matrisi, Azure ile müşteri arasında PCI gereksinimlerinin her biri için kimin sorumlu olduğunu özetler. Daha fazla bilgi için bkz. Bulutta uyumluluğu yönetme.
AKS ile paylaşılan sorumluluk
Kubernetes, kapsayıcılı uygulamaların dağıtımını, ölçeklendirmesini ve yönetimini otomatik hale göstermeye yardımcı olan açık kaynak bir sistemdir. AKS, Azure'da yönetilen bir Kubernetes kümesi dağıtmayı basit bir şekilde yapar. AKS temel altyapısı, bulutta büyük ölçekli uygulamaları destekler ve PCI iş yükleri de dahil olmak üzere kurumsal ölçekli uygulamaları bulutta çalıştırmanın doğal bir seçimidir. AKS kümelerinde dağıtılan uygulamaların PCI sınıflandırılmış iş yüklerini dağıtırken belirli karmaşıklıkları vardır.
Sorumluluğun
İş yükü sahibi olarak, kendi iş yükü uyumluluğundan PCI DSS olur. Amacı anlamak için PCI gereksinimlerini okuyarak, Azurematrisi üzerinde çalışarak ve AKS nüanslarını anlamak için bu seriyi tamamlayarak sorumluluklarınızı net bir şekilde anlayarak. Bu işlem, uygulamanızı başarılı bir değerlendirme için hazır hale gelecektir.
Önerilen makaleler
Bu seride şu kabuller yer almaktadır:
- Bir AKS kümesinde Kubernetes kavramları ve çalışma hakkında bilgi sahibisiniz.
- AKS temel başvuru mimarisini okudunuz.
- AKS temel başvuru uygulamasını dağıttınız.
- Resmi 3.2.1 PCI DSS bilgili olduğunuz.
- Azure Kubernetes Service için Azure güvenlik temel Azure Kubernetes Service.
Bu seride
Bu seri birkaç makaleye ayrılır. Her makalede üst düzey gereksinim ve aks'ye özgü gereksinimin nasıl ele atılları konusunda rehberlik yer almaktadır.
| Sorumluluk alanı | Description |
|---|---|
| Ağ segmentasyonu | Kart sahibi verilerini güvenlik duvarı yapılandırması ve diğer ağ denetimleriyle koruyun. Satıcı tarafından sağlanan varsayılanları kaldırın. |
| Veri koruma | Tüm bilgileri, depolama nesnelerini, kapsayıcıları ve fiziksel medyayı şifreler. Bileşenler arasında aktarılan veriler olduğunda güvenlik denetimleri ekleyin. |
| Güvenlik açığı yönetimi | Sistemin güvenlik açığı algılama kapsamında olduğundan emin olmak için virüsten koruma yazılımı, dosya bütünlüğü izleme araçları ve kapsayıcı tarayıcıları çalıştırın. |
| Erişim denetimleri | Kümeye veya kart sahibi veri ortamının parçası olan diğer bileşenlere yönelik girişimleri reddeden kimlik denetimleri aracılığıyla erişimin güvenliğini sağlama. |
| İzleme işlemleri | İzleme işlemleriyle güvenlik duruşlarını sürdürün ve güvenlik tasarımınızı ve uygulamanızı düzenli olarak test etmek. |
| İlke yönetimi | Güvenlik süreçleriniz ve ilkeleriniz hakkında kapsamlı ve güncelleştirilmiş belgelere sahip olun. |
Sonraki
Düzenlenen mimariyi ve tasarım seçimlerini anarak başlayabilirsiniz.