Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In dieser Referenzarchitektur werden die Aspekte eines AKS-Clusters (Azure Kubernetes Service) beschrieben, der zum Ausführen einer vertraulichen Workload vorgesehen ist. Die Anleitung ist an die gesetzlichen Anforderungen des Payment Card Industry Data Security Standard (PCI DSS 4.0.1) gebunden.
PCI DSS 4.0.1 führt erhebliche Änderungen von früheren Versionen ein, darunter:
- Die Option zum Verwenden eines "angepassten Ansatzes" für die Erfüllung von Sicherheitszielen, was Flexibilität in Cloud- und Containerumgebungen ermöglicht.
- Erweiterte mehrstufige Authentifizierungsanforderungen (MFA) für den gesamten Zugriff auf die Kartenhalterdatenumgebung (CDE), einschließlich administrativer und nicht konsolenbezogener Zugriff.
- Stärkere Anforderungen für Kryptografie, Verschlüsselung und Schlüsselverwaltung.
- Erweiterte und automatisierte Protokollierung, Überwachung und Manipulationsprüfung von Protokollen, einschließlich kurzlebiger Workloads wie Container.
- Betonung auf kontinuierliche Sicherheit, risikobasierte Bereichsdefinition und regelmäßige Überprüfung von Umgebungsgrenzen.
- Secure Software Development Lifecycle (SDLC)-Praktiken, einschließlich automatisierter Erkennung von Sicherheitsrisiken in CI/CD-Pipelines.
- Verbesserte Erkennungs- und Reaktionsfunktionen, einschließlich der Nutzung von cloudeigenen und containereigenen Sicherheitstools.
- Stärkere Anforderungen für Remotezugriff, Zero Trust-Architektur und Verwaltung von Drittanbietern/Dienstanbietern.
Diese Änderungen sind insbesondere für AKS- und cloudeigene Architekturen relevant, bei denen Automatisierungs-, dynamische Skalierungs- und Gemeinsame Verantwortungsmodelle üblich sind. Dieser Leitfaden spiegelt die wichtigsten Updates in PCI DSS 4.0.1 wider und bietet Empfehlungen für die Nutzung von Azure- und AKS-Features zur Erfüllung von Compliancezielen.
Es ist nicht unser Ziel, Ihre Konfiguration und/oder Einrichtung Ihrer Compliance mit dieser Reihe zu ersetzen. Die Absicht besteht darin, Kunden bei den ersten Schritten bei der Architekturgestaltung zu unterstützen, indem sie die anwendbaren PCI DSS 4.0.1-Kontrollziele als Mandant in der AKS-Umgebung adressieren. Die Anleitung umfasst Complianceaspekte der Umgebung, einschließlich Infrastruktur, Workloadinteraktionen, Betriebs-, Verwaltungs- und Dienstintegrationen, wobei der Schwerpunkt auf den neuen Anforderungen und flexibilität liegt, die in PCI DSS 4.0.1 eingeführt wurden.
Von Bedeutung
Die Referenzarchitektur und -implementierung wurden nicht von einer offiziellen Behörde zertifiziert. Wenn Sie diese Reihe abschließen und die Coderessourcen bereitstellen, deaktivieren Sie die Überwachung für PCI DSS 4.0.1 nicht. Nutzen Sie einen externen Prüfer, um Konformitätsnachweise zu erhalten. Wenden Sie sich immer an einen qualifizierten Sicherheitsassesor (Qualified Security Assessor, QSA), der mit cloud- und containerisierten Umgebungen vertraut ist.
Modell für gemeinsame Verantwortung
Microsoft Trust Center bietet spezifische Prinzipien für compliancebezogene Cloudbereitstellungen. Die Sicherheitsvorkehrungen, die von Azure als Cloudplattform und AKS als Hostcontainer bereitgestellt werden, werden regelmäßig von qualifizierten Sicherheitsprüfern (Qualified Security Assessors, QSAs) von Drittanbietern für die PCI DSS 4.0.1-Compliance überprüft und bestätigt.
Gemeinsame Verantwortung mit Azure
Das Microsoft Compliance-Team stellt sicher, dass alle Dokumentationen zur Einhaltung gesetzlicher Vorschriften von Microsoft Azure für Kunden öffentlich verfügbar sind. Der PCI-DSS-Konformitätsnachweis für Azure kann im Service Trust Portal im Abschnitt „PCI-DSS“ heruntergeladen werden. Die Verantwortungsmatrix beschreibt, wer zwischen Azure und dem Kunden für die einzelnen PCI DSS 4.0.1-Anforderungen verantwortlich ist. Weitere Informationen finden Sie unter Einfache Compliance in der Cloud.
Gemeinsame Verantwortung mit AKS
Kubernetes ist ein Open-Source-System für die Automatisierung der Bereitstellung, Skalierung und Verwaltung von Containeranwendungen. AKS vereinfacht das Bereitstellen eines verwalteten Kubernetes-Clusters in Azure. Die grundlegende AKS-Infrastruktur unterstützt umfangreiche Anwendungen in der Cloud und bietet sich für die Ausführung von Unternehmensanwendungen in der Cloud an – einschließlich PCI-Workloads. Anwendungen, die in AKS-Clustern bereitgestellt werden, weisen bestimmte Komplexitäten bei der Bereitstellung von PCI-klassifizierten Workloads auf, insbesondere unter den neuen Anforderungen und der Flexibilität von PCI DSS 4.0.1.
Ihre Verantwortung
Als Workload-Besitzer sind Sie letztendlich für Ihre eigene PCI DSS 4.0.1 Compliance verantwortlich. Sie haben ein klares Verständnis ihrer Verantwortlichkeiten, indem Sie die PCI DSS 4.0.1-Anforderungen lesen, um die Absicht zu verstehen, die Matrix für Azure zu untersuchen und diese Reihe abzuschließen, um die AKS-Nuancen zu verstehen. Dieser Prozess hilft ihnen, Ihre Implementierung auf eine erfolgreiche Bewertung unter PCI DSS 4.0.1 vorzubereiten.
Bevor Sie anfangen
Bevor Sie mit dieser Reihe beginnen, stellen Sie folgendes sicher:
- Sie sind mit Kubernetes-Konzepten und mit der Funktionsweise eines AKS-Clusters vertraut.
- Sie haben den Artikel Baselinearchitektur für einen AKS-Cluster (Azure Kubernetes Service) gelesen.
- Sie haben die Baselinereferenzimplementierung von AKS bereitgestellt.
- Sie sind mit der offiziellen PCI DSS 4.0.1 Spezifikation vertraut
- Sie haben die Azure-Sicherheitsbaseline für Azure Kubernetes Service gelesen.
Übersicht über die Reihe
Diese Reihe ist in mehrere Artikel unterteilt. In jedem Artikel wird die allgemeine PCI DSS 4.0.1-Anforderung beschrieben, gefolgt von Anleitungen zur Behebung der AKS-spezifischen Anforderung, wobei der Schwerpunkt auf den neuen und aktualisierten Steuerelementen liegt:
| Zuständigkeitsbereich | BESCHREIBUNG |
|---|---|
| Netzwerksegmentierung | Schützen Sie Karteninhaberdaten mit Firewallkonfiguration und anderen Netzwerksteuerungen. Entfernen Sie vom Anbieter angegebene Standardwerte. Adressieren Sie die dynamische Segmentierung und risikobasierte Bereichsdefinition gemäß PCI DSS 4.0.1. |
| Datenschutz | Verschlüsseln Sie alle Informationen, Speicherobjekte, Container und physischen Medien. Fügen Sie Sicherheitssteuerelemente für Daten während der Übertragung und ruhenden Daten hinzu, wobei aktualisierte kryptografische Standards verwendet werden. |
| Sicherheitsrisikoverwaltung | Führen Sie Antivirensoftware, Dateiintegritätsüberwachungstools und Containerscanner als Teil Ihrer Sicherheitsrisikoerkennung und sicheren SDLC aus. |
| Zugriffssteuerungen | Sicherer Zugriff über Identitätskontrollen, einschließlich erweiterter MFA- und Zero Trust-Prinzipien, für den gesamten Zugriff auf das CDE. |
| Überwachen von Vorgängen | Verwalten Sie den Sicherheitsstatus durch automatisierte und kontinuierliche Überwachungsvorgänge, Protokollintegrität und regelmäßige Tests Ihres Sicherheitsdesigns und ihrer Implementierung. |
| Richtlinienverwaltung | Verwalten Sie sorgfältige und aktualisierte Dokumentationen zu Ihren Sicherheitsprozessen und -richtlinien, einschließlich der Verwendung des angepassten Ansatzes, sofern zutreffend. |
Nächste Schritte
Überprüfen Sie zunächst die regulierte Architektur und die Designoptionen für PCI DSS 4.0.1.