Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Esta arquitetura de referência descreve as considerações para um cluster do Serviço Kubernetes do Azure (AKS) projetado para executar uma carga de trabalho confidencial. A orientação está ligada aos requisitos regulatórios do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS 4.0.1).
O PCI DSS 4.0.1 introduz alterações significativas em relação às versões anteriores, incluindo:
- A opção de usar uma "abordagem personalizada" para atender aos objetivos de segurança, permitindo flexibilidade em ambientes de nuvem e contêineres.
- Requisitos aprimorados de autenticação multifator (MFA) para todo o acesso ao ambiente de dados do titular do cartão (CDE), incluindo acesso administrativo e não-console.
- Requisitos mais fortes para criptografia, encriptação e gerenciamento de chaves.
- Registo, monitorização e proteção contra adulteração expandidos e automatizados dos logs, incluindo cargas de trabalho efémeras, como os contentores.
- Ênfase na segurança contínua, escopo baseado em risco e validação regular dos limites do ambiente.
- Práticas seguras de ciclo de vida de desenvolvimento de software (SDLC), incluindo deteção automatizada de vulnerabilidades em pipelines de CI/CD.
- Recursos aprimorados de deteção e resposta, incluindo o aproveitamento de ferramentas de segurança nativas da nuvem e nativas de contêineres.
- Requisitos mais rigorosos para acesso remoto, arquitetura de confiança zero e gerenciamento de terceiros/provedores de serviços.
Essas mudanças são especialmente relevantes para AKS e arquiteturas nativas da nuvem, onde automação, dimensionamento dinâmico e modelos de responsabilidade compartilhada são comuns. Esta orientação reflete as principais atualizações no PCI DSS 4.0.1 e fornece recomendações para aproveitar os recursos do Azure e do AKS para atender aos objetivos de conformidade.
Não é nosso objetivo substituir a sua configuração e/ou definição da sua conformidade com esta série. A intenção é ajudar os clientes a começar o design arquitetónico, abordando os objetivos de controlo PCI DSS 4.0.1 aplicáveis na qualidade de locatário no ambiente AKS. As orientações abrangem aspetos de conformidade do ambiente, incluindo infraestrutura, interações de carga de trabalho, operações, gerenciamento e integrações de serviços, com foco nos novos requisitos e flexibilidade introduzidos no PCI DSS 4.0.1.
Importante
A arquitetura de referência e a implementação não foram certificadas por uma autoridade oficial. Ao concluir esta série e implantar os recursos de código, não passa na auditoria para PCI DSS 4.0.1. Adquira atestados de conformidade de um auditor terceirizado. Consulte sempre um Assessor de Segurança Qualificado (QSA) familiarizado com ambientes na nuvem e em contentores.
Modelo de responsabilidade partilhada
A Central de Confiabilidade da Microsoft fornece princípios específicos para implantações de nuvem relacionadas à conformidade. As garantias de segurança, fornecidas pelo Azure como a plataforma de nuvem e pelo AKS como o contêiner do host, são regularmente auditadas e atestadas por Assessores de Segurança Qualificados (QSAs) de terceiros para conformidade com o PCI DSS 4.0.1.
Responsabilidade partilhada com o Azure
A equipe de Conformidade da Microsoft garante que toda a documentação de conformidade regulatória do Microsoft Azure esteja disponível publicamente para os clientes. Você pode baixar o Atestado de Conformidade PCI DSS para Azure na seção PCI DSS do portal de Confiança do Serviço. A matriz de responsabilidade descreve quem, entre o Azure e o cliente, é responsável por cada um dos requisitos do PCI DSS 4.0.1. Para obter mais informações, consulte Gerenciando a conformidade na nuvem.
Responsabilidade partilhada com a AKS
O Kubernetes é um sistema de código aberto para automatizar a implantação, o dimensionamento e o gerenciamento de aplicativos em contêineres. O AKS simplifica a implantação de um cluster Kubernetes gerenciado no Azure. A infraestrutura fundamental do AKS suporta aplicativos de grande escala na nuvem e é uma escolha natural para executar aplicativos de escala empresarial na nuvem, incluindo cargas de trabalho PCI. Os aplicativos implantados em clusters AKS têm certas complexidades ao implantar cargas de trabalho classificadas como PCI, especialmente sob os novos requisitos e flexibilidade do PCI DSS 4.0.1.
A sua responsabilidade
Como proprietário de uma carga de trabalho, você é responsável pela sua própria conformidade com o PCI DSS 4.0.1. Tenha uma compreensão clara de suas responsabilidades lendo os requisitos do PCI DSS 4.0.1 para entender a intenção, estudando a matriz para o Azure e completando esta série para entender as nuances do AKS. Esse processo ajudará a preparar sua implementação para uma avaliação bem-sucedida sob o PCI DSS 4.0.1.
Antes de começar
Antes de começar esta série, certifique-se de que:
- Você está familiarizado com os conceitos do Kubernetes e o funcionamento de um cluster AKS.
- Você leu a arquitetura de referência de linha de base do AKS.
- Você implantou a implementação de referência de linha de base do AKS.
- Você está familiarizado com a especificação oficial do PCI DSS 4.0.1
- Você leu a linha de base de segurança do Azure para o Serviço Kubernetes do Azure.
Descrição geral da série
Esta série está dividida em vários artigos. Cada artigo descreve o requisito de alto nível do PCI DSS 4.0.1, seguido de orientações sobre como lidar com o requisito específico do AKS, com foco nos controles novos e atualizados:
| Área de responsabilidade | Descrição |
|---|---|
| Segmentação de rede | Proteja os dados do titular do cartão com a configuração de firewall e outros controles de rede. Remova os padrões fornecidos pelo fornecedor. Aborde a segmentação dinâmica e o escopo baseado em risco, conforme exigido pelo PCI DSS 4.0.1. |
| Proteção de dados | Criptografe todas as informações, objetos de armazenamento, contêineres e mídia física. Adicione controles de segurança para dados em trânsito e em repouso, usando padrões criptográficos atualizados. |
| Gestão de vulnerabilidades | Execute o software antivírus, ferramentas de monitorização de integridade de ficheiros e verificadores de contêineres como parte da deteção de vulnerabilidades e do seu SDLC seguro. |
| Controles de acesso | Acesso seguro por meio de controles de identidade, incluindo MFA aprimorado e princípios de confiança zero, para todo o acesso ao CDE. |
| Acompanhamento das operações | Mantenha a postura de segurança por meio de operações de monitoramento automatizado e contínuo, integridade de log e testes regulares de seu projeto e implementação de segurança. |
| Gestão de políticas | Mantenha documentação completa e atualizada sobre seus processos e políticas de segurança, incluindo o uso da abordagem personalizada, quando aplicável. |
Próximos passos
Comece analisando a arquitetura regulamentada e as opções de design para PCI DSS 4.0.1.