Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En esta arquitectura de referencia se describen las consideraciones para un clúster de Azure Kubernetes Service (AKS) diseñado para ejecutar una carga de trabajo confidencial. Las instrucciones están vinculadas a los requisitos normativos del estándar de seguridad de datos del sector de tarjetas de pago (PCI DSS 4.0.1).
PCI DSS 4.0.1 presenta cambios significativos de versiones anteriores, entre los que se incluyen:
- La opción de usar un "enfoque personalizado" para cumplir los objetivos de seguridad, lo que permite flexibilidad en entornos de nube y contenedor.
- Requisitos mejorados de autenticación multifactor (MFA) para todo el acceso al entorno de datos de titulares de tarjetas (CDE), incluido el acceso administrativo y no de consola.
- Requisitos más sólidos para la criptografía, el cifrado y la administración de claves.
- Registro expandido y automatizado, supervisión y corrección de alteraciones de registros, incluidas cargas de trabajo efímeras como contenedores.
- Énfasis en la seguridad continua, el ámbito basado en riesgos y la validación regular de los límites del entorno.
- Prácticas seguras del ciclo de vida de desarrollo de software (SDLC), incluida la detección automatizada de vulnerabilidades en canalizaciones de CI/CD.
- Se han mejorado las funcionalidades de detección y respuesta, incluido el aprovechamiento de las herramientas de seguridad nativas de la nube y de contenedor.
- Requisitos más sólidos para el acceso remoto, la arquitectura de confianza cero y la administración de proveedores de servicios o de terceros.
Estos cambios son especialmente relevantes para las arquitecturas nativas de LA NUBE y AKS, donde los modelos de automatización, escalado dinámico y responsabilidad compartida son comunes. Esta guía refleja las principales actualizaciones de PCI DSS 4.0.1 y proporciona recomendaciones para aprovechar las características de Azure y AKS para cumplir los objetivos de cumplimiento.
No es nuestro objetivo reemplazar la configuración o configuración de su cumplimiento con esta serie. La intención es ayudar a los clientes a empezar a trabajar en el diseño arquitectónico abordando los objetivos de control de PCI DSS 4.0.1 aplicables como inquilino en el entorno de AKS. Las instrucciones tratan los aspectos de cumplimiento del entorno, como la infraestructura, las interacciones de cargas de trabajo, las operaciones, la administración y las integraciones de servicios, con un enfoque en los nuevos requisitos y flexibilidad introducidos en PCI DSS 4.0.1.
Importante
La arquitectura de referencia y la implementación no han sido certificadas por una autoridad oficial. Al completar esta serie e implementar los recursos de código, no borra la auditoría de PCI DSS 4.0.1. Adquiera las atestaciones de cumplimiento de un auditor de terceros. Consulte siempre con un evaluador de seguridad calificado (QSA) familiarizado con los entornos en contenedores y en la nube.
Modelo de responsabilidad compartida
En el Centro de confianza de Microsoft se ofrecen los principios específicos para las implementaciones en la nube relacionadas con el cumplimiento. Las garantías de seguridad, proporcionadas por Azure como plataforma en la nube y AKS como contenedor host, se auditan y atestiguan periódicamente por evaluadores de seguridad calificados (QSA) de terceros para el cumplimiento de PCI DSS 4.0.1.
Responsabilidad compartida con Azure
El equipo de cumplimiento de Microsoft garantiza que toda la documentación del cumplimiento normativo de Microsoft Azure esté disponible públicamente para los clientes. Puede descargar la atestación de cumplimiento de PCI DSS de Azure en la sección PCI DSS del Portal de confianza de servicios. La matriz de responsabilidades describe quién, entre Azure y el cliente, es responsable de cada uno de los requisitos de PCI DSS 4.0.1. Para más información, consulte Administración del cumplimiento en la nube.
Responsabilidad compartida con AKS
Kubernetes es un sistema de código abierto para automatizar la implementación, el escalado y la administración de aplicaciones en contenedores. AKS simplifica la implementación de clústeres de Kubernetes administrados en Azure. La infraestructura fundamental de AKS admite aplicaciones a gran escala en la nube y es una opción natural para ejecutar aplicaciones de escala empresarial en la nube, incluidas las cargas de trabajo de PCI. Las aplicaciones implementadas en clústeres de AKS tienen ciertas complejidades al implementar cargas de trabajo clasificadas por PCI, especialmente bajo los nuevos requisitos y flexibilidad de PCI DSS 4.0.1.
Su responsabilidad
Como propietario de la carga de trabajo, en última instancia es responsable de su propio cumplimiento de PCI DSS 4.0.1. Tenga una comprensión clara de sus responsabilidades leyendo los requisitos de PCI DSS 4.0.1 para comprender la intención, estudiar la matriz de Azure y completar esta serie para comprender los matices de AKS. Este proceso le ayudará a preparar la implementación para una evaluación correcta en PCI DSS 4.0.1.
Antes de empezar
Antes de comenzar esta serie, asegúrese de que:
- Está familiarizado con los conceptos de Kubernetes y el funcionamiento de un clúster de AKS.
- Ha leído la arquitectura de referencia de línea de base de AKS.
- Ha realizado la implementación de referencia de línea de base de AKS.
- Está familiarizado con la especificación oficial de PCI DSS 4.0.1
- Ha leído la línea de base de seguridad de Azure para Azure Kubernetes Service.
Información general de la serie
Esta serie se divide en varios artículos. En cada artículo se describe el requisito de PCI DSS 4.0.1 de alto nivel seguido de instrucciones sobre cómo abordar el requisito específico de AKS, con un enfoque en los controles nuevos y actualizados:
| Área de responsabilidad | Descripción |
|---|---|
| Segmentación de red | Proteja los datos de los titulares de tarjetas con la configuración del firewall y otros controles de red. Quite los valores predeterminados proporcionados por el proveedor. Abordar la segmentación dinámica y el ámbito basado en riesgos según sea necesario para PCI DSS 4.0.1. |
| Protección de datos | Cifre toda la información, objetos de almacenamiento, contenedores y medios físicos. Agregue controles de seguridad para los datos en tránsito y en reposo mediante estándares criptográficos actualizados. |
| Administración de vulnerabilidades | Ejecute software antivirus, herramientas de supervisión de integridad de archivos y escáneres de contenedores como parte de la detección de vulnerabilidades y sdLC seguro. |
| Controles de acceso | Proteja el acceso a través de controles de identidad, incluidos los principios mejorados de MFA y confianza cero, para todo el acceso al CDE. |
| Supervisión de operaciones | Mantenga la posición de seguridad a través de operaciones automatizadas y continuas de supervisión, integridad del registro y pruebas periódicas del diseño y la implementación de seguridad. |
| Administración de directivas | Mantenga documentación exhaustiva y actualizada sobre los procesos y directivas de seguridad, incluido el uso del enfoque personalizado cuando corresponda. |
Pasos siguientes
Empiece por revisar las opciones de diseño y arquitectura reguladas para PCI DSS 4.0.1.