本文說明根據支付卡產業資料安全性標準 (PCI-DSS 3.2.1) 所設定的 Azure Kubernetes Service (AKS) 叢集的考慮。
本文是一系列文章的一部分。 閱讀簡介 。
維護資訊安全性原則
需求 12 - 維護可解決所有人員資訊安全性的原則
Microsoft 使用已核准的合格安全性評估工具 (QSA) 完成年度 PCI DSS 評定。 考慮基礎結構、開發、作業、管理、支援和範圍服務的所有層面。 如需詳細資訊,請參閱 支付卡產業 (PCI) 資料安全性標準 (DSS) 。
此架構和實作並非設計來提供說明指引來記錄官方安全性原則端對端。 如需考慮,請參閱官方 PCI-DSS 3.2.1 標準中的指引。
以下是一些一般建議:
維護程式與原則的徹底和更新檔。 請考慮 使用 Microsoft Purview 合規性管理員來評估您的風險 。
在安全性原則的年度檢閱中,納入 Microsoft、Kubernetes 和其他屬於 CDE 的協力廠商解決方案所提供的新指導方針。 某些資源包括廠商發行集,結合衍生自 適用於雲端的 Microsoft Defender、Azure Advisor、 Azure 良好架構檢閱 的指引,以及 AKS Azure 安全性基準 和 CIS Azure Kubernetes Service 基準 中的更新 ,以及其他。
建立風險評估程式時,請配合已發佈的標準,例如 NIST SP 800-53 。 將廠商已發佈安全性清單中的發行集,例如 Microsoft 安全性回應中心指南 ,對應到風險評估程式。
掌握裝置清查和人員存取檔的最新資訊。 請考慮使用包含在適用於端點的 Microsoft Defender中的裝置探索功能。 若要追蹤存取,您可以從 Microsoft Entra 記錄衍生該資訊。 以下是一些可供您開始使用的文章:
作為庫存管理的一部分,請維護已核准的解決方案清單,這些解決方案會部署為 PCI 基礎結構和工作負載的一部分。 這包括 VM 映射、資料庫、您選擇的協力廠商解決方案清單,這些解決方案會帶至 CDE。 您甚至可以藉由建置服務類別目錄將該程式自動化。 它會在特定組態中使用那些已核准的解決方案來提供自助部署,其會遵循進行中的平臺作業。 如需詳細資訊,請參閱 建立服務類別目錄 。
請確定安全性連絡人會收到來自 Microsoft 的 Azure 事件通知。
這些通知會指出您的資源是否遭到入侵。 這可讓安全性作業小組快速回應潛在的安全性風險並加以補救。 確定 Azure 註冊入口網站中的系統管理員連絡資訊包含連絡資訊,可透過內部程式直接或快速通知安全性作業。 如需詳細資訊,請參閱 安全性作業模型 。
以下是可協助您規劃作業合規性的其他文章。