Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ta architektura referencyjna opisuje zagadnienia dotyczące klastra usługi Azure Kubernetes Service (AKS) przeznaczonego do uruchamiania wrażliwego obciążenia. Wskazówki są powiązane z wymaganiami prawnymi standardu Payment Card Industry Data Security Standard (PCI DSS 4.0.1).
PCI DSS 4.0.1 wprowadza znaczące zmiany z poprzednich wersji, w tym:
- Opcja użycia "dostosowanego podejścia" do realizacji celów zabezpieczeń, umożliwiając elastyczność w środowiskach chmurowych i kontenerów.
- Rozszerzone wymagania dotyczące uwierzytelniania wieloskładnikowego (MFA) dla całego dostępu do środowiska danych karty (CDE), w tym dostępu administracyjnego i niekondycyjnego.
- Silniejsze wymagania dotyczące kryptografii, szyfrowania i zarządzania kluczami.
- Rozszerzone i zautomatyzowane rejestrowanie, monitorowanie i sprawdzanie manipulacji dzienników, w tym efemeryczne obciążenia, takie jak kontenery.
- Nacisk na ciągłe zabezpieczenia, określanie zakresu opartego na ryzyku i regularne sprawdzanie granic środowiska.
- Bezpieczne rozwiązania dotyczące cyklu tworzenia oprogramowania (SDLC), w tym automatyczne wykrywanie luk w zabezpieczeniach w potokach ciągłej integracji/ciągłego wdrażania.
- Ulepszone możliwości wykrywania i reagowania, w tym korzystanie z natywnych dla chmury i natywnych dla kontenerów narzędzi zabezpieczeń.
- Silniejsze wymagania dotyczące dostępu zdalnego, architektury zerowej zaufania i zarządzania dostawcą usług/innej firmy.
Te zmiany są szczególnie istotne w przypadku architektur AKS i architektur natywnych dla chmury, w których typowe są modele automatyzacji, skalowania dynamicznego i współdzielonej odpowiedzialności. Te wskazówki odzwierciedlają główne aktualizacje w standardzie PCI DSS 4.0.1 i zawierają zalecenia dotyczące korzystania z funkcji platformy Azure i usługi AKS w celu spełnienia celów zgodności.
Nie naszym celem jest zastąpienie konfiguracji i/lub konfiguracji zgodności z tą serią. Celem jest pomoc klientom w rozpoczęciu projektowania architektury, zwracając się do odpowiednich celów kontroli PCI DSS 4.0.1 jako dzierżawy w środowisku usługi AKS. Wskazówki obejmują aspekty zgodności środowiska, w tym infrastrukturę, interakcje obciążeń, operacje, zarządzanie i integracje usług, z uwzględnieniem nowych wymagań i elastyczności wprowadzonych w standardzie PCI DSS 4.0.1.
Ważne
Architektura referencyjna i implementacja nie zostały certyfikowane przez urząd urzędnika. Ukończenie tej serii i wdrożenie zasobów kodu nie powoduje wyczyszczenia inspekcji dla standardu PCI DSS 4.0.1. Uzyskiwanie zaświadczeń dotyczących zgodności od zewnętrznego audytora. Zawsze skonsultuj się z kwalifikowaną oceną zabezpieczeń (QSA) zaznajomioną ze środowiskami chmurowymi i konteneryzowanymi.
Model wspólnej odpowiedzialności
Centrum zaufania Firmy Microsoft udostępnia konkretne zasady dotyczące wdrożeń w chmurze związanych ze zgodnością. Zabezpieczenia zapewniane przez platformę Azure jako platforma w chmurze i usługa AKS jako kontener hosta są regularnie poddawane inspekcji i zaświadczane przez kwalifikowane osoby trzeciej klasy oceniania zabezpieczeń (QSA) pod kątem zgodności ze standardem PCI DSS 4.0.1.
Wspólna odpowiedzialność za platformę Azure
Zespół ds. zgodności firmy Microsoft zapewnia, że wszystkie dokumenty zgodności z przepisami platformy Microsoft Azure są publicznie dostępne dla klientów. Możesz pobrać zaświadczenie PCI DSS dla platformy Azure w sekcji PCI DSS w portalu zaufania usług. Macierz odpowiedzialności przedstawia, kto między platformą Azure a klientem jest odpowiedzialny za każde z wymagań PCI DSS 4.0.1. Aby uzyskać więcej informacji, zobacz Zarządzanie zgodnością w chmurze.
Wspólna odpowiedzialność za usługę AKS
Kubernetes to system typu open source do automatyzacji wdrażania, skalowania i zarządzania konteneryzowanymi aplikacjami. Usługa AKS ułatwia wdrażanie zarządzanego klastra Kubernetes na platformie Azure. Podstawowa infrastruktura usługi AKS obsługuje aplikacje na dużą skalę w chmurze i jest naturalnym wyborem do uruchamiania aplikacji w skali przedsiębiorstwa w chmurze, w tym obciążeń PCI. Aplikacje wdrożone w klastrach usługi AKS mają pewne złożoność podczas wdrażania obciążeń sklasyfikowanych standardem PCI, zwłaszcza w ramach nowych wymagań i elastyczności pci DSS 4.0.1.
Twoja odpowiedzialność
Jako właściciel obciążenia jesteś ostatecznie odpowiedzialny za własną zgodność ze standardem PCI DSS 4.0.1. Zapoznaj się z wymaganiami PCI DSS 4.0.1, aby zrozumieć intencję, przeanalizować macierz dla platformy Azure i ukończyć tę serię, aby zrozumieć niuanse usługi AKS. Ten proces pomoże przygotować implementację do pomyślnej oceny w ramach standardu PCI DSS 4.0.1.
Zanim rozpoczniesz
Przed rozpoczęciem tej serii upewnij się, że:
- Znasz pojęcia i funkcje klastra AKS platformy Kubernetes.
- Zapoznaliśmy się z architekturą referencyjną punktu odniesienia usługi AKS.
- Wdrożono implementację referencyjną punktu odniesienia usługi AKS.
- Znasz oficjalną specyfikację PCI DSS 4.0.1
- Przeczytaliśmy punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Kubernetes Service.
Omówienie serii
Ta seria jest podzielona na kilka artykułów. W każdym artykule opisano ogólne wymaganie PCI DSS 4.0.1, a następnie wskazówki dotyczące sposobu rozwiązywania wymagań specyficznych dla usługi AKS, koncentrując się na nowych i zaktualizowanych kontrolkach:
| Obszar odpowiedzialności | Opis |
|---|---|
| Segmentacja sieci | Ochrona danych karty przy użyciu konfiguracji zapory i innych mechanizmów kontroli sieci. Usuń wartości domyślne dostarczone przez dostawcę. Rozwiązywanie problemów z segmentacją dynamiczną i określaniem zakresu na podstawie ryzyka zgodnie z wymaganiami standardu PCI DSS 4.0.1. |
| Ochrona danych | Szyfruj wszystkie informacje, obiekty magazynu, kontenery i nośniki fizyczne. Dodaj mechanizmy kontroli zabezpieczeń dla danych przesyłanych i magazynowanych przy użyciu zaktualizowanych standardów kryptograficznych. |
| Zarządzanie lukami w zabezpieczeniach | Uruchom oprogramowanie antywirusowe, narzędzia do monitorowania integralności plików i skanery kontenerów w ramach wykrywania luk w zabezpieczeniach i bezpiecznego standardu SDLC. |
| Kontrola dostępu | Bezpieczny dostęp za pomocą mechanizmów kontroli tożsamości, w tym rozszerzonych zasad uwierzytelniania wieloskładnikowego i zerowego zaufania, dla wszystkich dostępu do usługi CDE. |
| Operacje monitorowania | Zachowaj stan zabezpieczeń za pomocą zautomatyzowanych i ciągłych operacji monitorowania, integralności dzienników i regularnego testowania projektu i implementacji zabezpieczeń. |
| Zarządzanie zasadami | Zachowaj szczegółową i zaktualizowaną dokumentację dotyczącą procesów i zasad zabezpieczeń, w tym zastosowanie dostosowanego podejścia. |
Dalsze kroki
Zacznij od przejrzenia regulowanej architektury i wyborów projektowych dla pci DSS 4.0.1.