Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta arquitetura de referência descreve as considerações para um cluster do AKS (Serviço de Kubernetes do Azure) projetado para executar uma carga de trabalho confidencial. As diretrizes estão vinculadas aos requisitos regulatórios do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS 4.0.1).
O PCI DSS 4.0.1 apresenta alterações significativas em relação às versões anteriores, incluindo:
- A opção de usar uma "abordagem personalizada" para atender aos objetivos de segurança, permitindo flexibilidade em ambientes de nuvem e contêiner.
- Requisitos avançados de MFA (autenticação multifator) para todo o acesso ao CDE (ambiente de dados do titular do cartão), incluindo acesso administrativo e não console.
- Requisitos mais robustos para criptografia, encriptação e gerenciamento de chaves.
- Registro expandido e automatizado, monitoramento e proteção contra adulteração de logs, incluindo cargas de trabalho efêmeras, como contêineres.
- Ênfase na segurança contínua, no escopo baseado em risco e na validação regular dos limites do ambiente.
- Práticas seguras de SDLC (ciclo de vida de desenvolvimento de software), incluindo a detecção automatizada de vulnerabilidades em pipelines de CI/CD.
- Recursos aprimorados de detecção e resposta, incluindo a utilização de ferramentas de segurança nativas de nuvem e nativas de contêiner.
- Requisitos mais fortes para acesso remoto, arquitetura de confiança zero e gerenciamento de provedor de serviços/terceiros.
Essas alterações são especialmente relevantes para o AKS e arquiteturas nativas de nuvem, em que a automação, o dimensionamento dinâmico e os modelos de responsabilidade compartilhada são comuns. Essa orientação reflete as principais atualizações no PCI DSS 4.0.1 e fornece recomendações para aproveitar os recursos do Azure e do AKS para atender aos objetivos de conformidade.
Não é nossa meta substituir sua configuração e/ou configuração de sua conformidade com esta série. A intenção é ajudar os clientes a começar a usar o design arquitetônico abordando os objetivos de controle PCI DSS 4.0.1 aplicáveis como um locatário no ambiente do AKS. As diretrizes abordam aspectos de conformidade do ambiente, incluindo infraestrutura, interações de carga de trabalho, operações, gerenciamento e integrações de serviços, com foco nos novos requisitos e flexibilidade introduzidos no PCI DSS 4.0.1.
Importante
A arquitetura e a implementação de referência não foram certificadas por uma autoridade oficial. Ao concluir esta série e implantar os ativos de código, você não passará na auditoria para o PCI DSS 4.0.1. Adquira atestados de conformidade de um auditor terceiro. Sempre consulte um QSA (Assistente de Segurança Qualificada) familiarizado com ambientes em nuvem e em contêineres.
Modelo de responsabilidade compartilhada
A Central de Confiabilidade da Microsoft fornece princípios específicos para implantações de nuvem relacionadas à conformidade. As garantias de segurança, fornecidas pelo Azure como a plataforma de nuvem e o AKS como contêiner de host, são regularmente auditadas e atestadas por QSAs (Assistentes de Segurança Qualificada) de terceiros para conformidade do PCI DSS 4.0.1.
Responsabilidade compartilhada com o Azure
A equipe de Conformidade da Microsoft garante que toda a documentação da conformidade regulatória do Microsoft Azure esteja disponível publicamente para os clientes. Você pode baixar o Atestado de Conformidade do PCI DSS para Azure na seção PCI DSS do portal Service Trust. A matriz de responsabilidade descreve quem, entre o Azure e o cliente, é responsável por cada um dos requisitos do PCI DSS 4.0.1. Para obter mais informações, confira Como gerenciar a conformidade na nuvem.
Responsabilidade compartilhada com o AKS
O Kubernetes é um sistema de código aberto para automatizar a implantação, o dimensionamento e o gerenciamento de aplicativos em contêineres. O AKS simplifica a implantação de um cluster do Kubernetes gerenciado no Azure. A infraestrutura fundamental do AKS dá suporte a aplicativos em grande escala na nuvem e é uma opção natural para executar aplicativos de escala empresarial na nuvem, incluindo cargas de trabalho de PCI. Os aplicativos implantados em clusters do AKS têm certas complexidades ao implantar cargas de trabalho classificadas em PCI, especialmente sob os novos requisitos e flexibilidade do PCI DSS 4.0.1.
Sua responsabilidade
Como proprietário de uma carga de trabalho, você é responsável por sua própria conformidade do PCI DSS 4.0.1. Tenha uma compreensão clara de suas responsabilidades lendo os requisitos do PCI DSS 4.0.1 para entender a intenção, estudando a matriz do Azure e concluindo esta série para entender as nuances do AKS. Esse processo ajudará a preparar sua implementação para uma avaliação bem-sucedida em PCI DSS 4.0.1.
Antes de começar
Antes de começar esta série, verifique se:
- Você está familiarizado com os conceitos do Kubernetes e o funcionamento de um cluster do AKS.
- Você leu a arquitetura de referência de linha de base do AKS.
- Você implantou a implementação de referência de linha de base do AKS.
- Você está familiarizado com a especificação oficial do PCI DSS 4.0.1
- Você leu a Linha de base de segurança do Azure para o Serviço de Kubernetes do Azure.
Visão geral da série
Esta série é dividida em vários artigos. Cada artigo descreve o requisito PCI DSS 4.0.1 de alto nível seguido de diretrizes sobre como atender ao requisito específico do AKS, com foco nos controles novos e atualizados:
| Área de responsabilidade | Descrição |
|---|---|
| Segmentação de rede | Proteja os dados do titular do cartão com configuração de firewall e outros controles de rede. Remova os padrões fornecidos pelo fornecedor. Abordar a segmentação dinâmica e o escopo baseado em risco, conforme exigido pelo PCI DSS 4.0.1. |
| Proteção de dados | Criptografe todas as informações, objetos de armazenamento, contêineres e mídia física. Adicione controles de segurança para dados em trânsito e em repouso, usando padrões criptográficos atualizados. |
| Gerenciamento de vulnerabilidades | Execute software antivírus, ferramentas de monitoramento de integridade de arquivo e scanners de contêiner como parte de sua detecção de vulnerabilidade e SDLC seguro. |
| Controles de acesso | Proteger o acesso por meio de controles de identidade, incluindo MFA aprimorado e princípios de confiança zero, para todo o acesso ao CDE. |
| Operações de monitoramento | Mantenha a postura de segurança por meio de operações de monitoramento automatizadas e contínuas, integridade de log e testes regulares de design e implementação de segurança. |
| Gerenciamento de políticas | Mantenha a documentação completa e atualizada sobre seus processos e políticas de segurança, incluindo o uso da abordagem personalizada, quando aplicável. |
Próximas etapas
Comece examinando as opções de arquitetura e design regulamentadas do PCI DSS 4.0.1.