Tato referenční architektura popisuje aspekty clusteru Azure Kubernetes Service (AKS), který je navržený tak, aby spouštěl citlivou úlohu. Pokyny jsou svázané s zákonnými požadavky standardu PCI-DSS 3.2.1( Payment Card Industry Data Security Standard).
Naším cílem není nahradit vaši ukázku dodržování předpisů touto řadou. Záměrem je pomoct obchodníkům začít s návrhem architektury tím, že řeší příslušné cíle řízení DSS jako tenanta v prostředí AKS. Pokyny zahrnují aspekty dodržování předpisů prostředí, včetně infrastruktury, interakcí s úlohami, provozem, správou a interakcemi mezi službami.
Důležité
Referenční architektura a implementace nebyla ověřena úřední autoritou. Dokončením této řady a nasazením prostředků kódu neskončíte jasný audit pro PCI DSS. Získejte ověření dodržování předpisů od auditora třetí strany.
Než začnete
Centrum zabezpečení Microsoftu poskytuje specifické principy pro cloudová nasazení související s dodržováním předpisů. Záruky zabezpečení poskytované Azure jako cloudovou platformou a AKS jako kontejnerem hostitelů se pravidelně auditují a otestují kvalifikovaným posouzením zabezpečení třetí strany (QSA) pro dodržování předpisů PCI DSS.
Sdílená odpovědnost s Azure
Tým microsoftu pro dodržování předpisů zajišťuje, že veškerá dokumentace k dodržování právních předpisů Microsoft Azure je pro naše zákazníky veřejně dostupná. Ověření dodržování předpisů PCI DSS pro Azure si můžete stáhnout v části PCI DSS z portálu Service Trust Portal. Matice odpovědnosti popisuje, kdo mezi Azure a zákazníkem zodpovídá za každý z požadavků NA PCI. Další informace najdete v tématu Správa dodržování předpisů v cloudu.
Sdílená odpovědnost s AKS
Kubernetes je opensourcový systém pro automatizaci nasazení, škálování a správy kontejnerizovaných aplikací. AKS usnadňuje nasazení spravovaného clusteru Kubernetes v Azure. Základní infrastruktura AKS podporuje rozsáhlé aplikace v cloudu a je přirozenou volbou pro spouštění podnikových aplikací v cloudu, včetně úloh PCI. Aplikace nasazené vclusterch
Vaše zodpovědnost
Jako vlastník úlohy jste nakonec zodpovědní za dodržování předpisů PCI DSS. Seznamte se s vašimi povinnostmi tím, že si přečtete požadavky NA PCI, abyste porozuměli záměru, prozkoumali matici Pro Azure a dokončili tuto řadu, abyste porozuměli nuancí AKS. Tento proces připraví vaši implementaci na úspěšné posouzení.
Doporučené články
Tato řada předpokládá:
- Znáte koncepty Kubernetes a práci clusteru AKS.
- Přečetli jste referenční architekturu AKS podle směrného plánu.
- Nasadili jste referenční implementaci standardních hodnot AKS.
- Jste velmi obeznámeni s oficiální specifikací PCI DSS 3.2.1.
- Přečetli jste si standardní hodnoty zabezpečení Azure pro Azure Kubernetes Service.
V této řadě
Tato série je rozdělená na několik článků. Každý článek popisuje požadavek vysoké úrovně následovaný pokyny k řešení požadavků specifických pro AKS.
| Oblast odpovědnosti | Popis |
|---|---|
| Segmentace sítě | Ochrana dat držitelů karet pomocí konfigurace brány firewall a dalších síťových ovládacích prvků Odeberte výchozí hodnoty zadané dodavatelem. |
| Ochrana dat | Zašifrujte všechny informace, objekty úložiště, kontejnery a fyzická média. Přidejte bezpečnostní prvky při přenosu dat mezi komponentami. |
| Správa ohrožení zabezpečení | Spusťte antivirový software, nástroje pro monitorování integrity souborů a skenery kontejnerů, abyste zajistili, že systém bude součástí detekce ohrožení zabezpečení. |
| Ovládací prvky přístupu | Zabezpečený přístup prostřednictvím ovládacích prvků identit, které zakazují pokusy o cluster nebo jiné komponenty, které jsou součástí datového prostředí držitelů karet. |
| Monitorování operací | Udržujte stav zabezpečení prostřednictvím operací monitorování a pravidelně testujte návrh a implementaci zabezpečení. |
| Správa zásad | Udržujte důkladnou a aktualizovanou dokumentaci o vašich procesech a zásadách zabezpečení. |
Další kroky
Začněte pochopením regulovaných architektur a možností návrhu.