Vorstellung eines regulierten AKS-Clusters für PCI-DSS 3.2.1 (Teil 1 von 9)

Azure Kubernetes Service (AKS)
Azure Monitor

In dieser Referenzarchitektur werden die Aspekte eines AKS-Clusters (Azure Kubernetes Service) beschrieben, der zum Ausführen einer vertraulichen Workload vorgesehen ist. Der Leitfaden orientiert sich an den Vorgaben von PCI-DSS 3.2.1 (Payment Card Industry Data Security Standard).

Es ist nicht unser Ziel, mit dieser Reihe Ihren Compliancenachweis zu ersetzen. Vielmehr möchten wir Händler bei den ersten Entwurfsschritten für die Architektur unterstützen, indem wir auf die relevanten DSS-Kontrollziele als Mandant in der AKS-Umgebung eingehen. Der Leitfaden behandelt die Complianceaspekte der Umgebung, einschließlich Infrastruktur, Interaktionen mit der Workload, Betrieb, Verwaltung und Interaktionen zwischen Diensten.

Wichtig

Die Referenzarchitektur und -implementierung wurden nicht von einer offiziellen Stelle zertifiziert. Wenn Sie diese Reihe durchlaufen und die Coderessourcen bereitstellen, ist trotzdem noch eine PCI-DSS-Überprüfung erforderlich. Nutzen Sie einen externen Prüfer, um Konformitätsnachweise zu erhalten.

Voraussetzungen

Microsoft Trust Center bietet spezifische Prinzipien für compliancebezogene Cloudbereitstellungen. Die von Azure als Cloudplattform und AKS als Hostcontainer bereitgestellten Sicherheitsgarantien werden regelmäßig durch einen externen Qualified Security Assessor (QSA) für PCI-DSS überprüft und bestätigt.

Diagramm: Modell der gemeinsamen Verantwortung

  • Gemeinsame Verantwortung mit Azure

    Das Compliance-Team von Microsoft sorgt dafür, dass sämtliches Dokumentationsmaterial für die Einhaltung gesetzlicher Bestimmungen von Microsoft Azure öffentlich für unsere Kunden zugänglich ist. Der PCI-DSS-Konformitätsnachweis für Azure kann im Service Trust Portal im Abschnitt „PCI-DSS“ heruntergeladen werden. Die Zuständigkeitsmatrix gibt Aufschluss darüber, wer zwischen Azure und dem Kunden jeweils für die einzelnen PCI-Anforderungen zuständig ist. Weitere Informationen finden Sie unter Einfache Compliance in der Cloud.

  • Gemeinsame Verantwortung mit AKS

    Kubernetes ist ein Open-Source-System für die Automatisierung der Bereitstellung, Skalierung und Verwaltung von Containeranwendungen. AKS vereinfacht das Bereitstellen eines verwalteten Kubernetes-Clusters in Azure. Die grundlegende AKS-Infrastruktur unterstützt umfangreiche Anwendungen in der Cloud und bietet sich für die Ausführung von Unternehmensanwendungen in der Cloud an – einschließlich PCI-Workloads. Bei in AKS-Clustern bereitgestellten Anwendungen gibt es gewisse Komplexitäten im Zusammenhang mit der Bereitstellung PCI-klassifizierter Workloads.

  • Ihre Verantwortung

    Als Workloadbesitzer sind Sie letztendlich für Ihre eigene PCI-DSS-Konformität verantwortlich. Informieren Sie sich genau über Ihre Zuständigkeitsbereiche. Lesen Sie dazu die PCI-Anforderungen, um die Absicht zu verstehen, sehen Sie sich die Matrix für Azure an, und durchlaufen Sie diese Reihe, um sich mit den AKS-Feinheiten vertraut zu machen. Mit diesem Prozess können Sie Ihre Implementierung für eine erfolgreiche Bewertung vorbereiten.

Für diese Reihe wird Folgendes vorausgesetzt:

Inhalt dieser Serie

Diese Reihe ist in mehrere Artikel unterteilt. In den einzelnen Artikeln wird jeweils die allgemeine Anforderung beschrieben. Danach folgen Informationen zur Erfüllung der AKS-spezifischen Anforderung.

Zuständigkeitsbereich BESCHREIBUNG
Netzwerksegmentierung Schützen Sie Karteninhaberdaten mit Firewallkonfiguration und anderen Netzwerksteuerungen. Entfernen Sie vom Anbieter angegebene Standardwerte.
Datenschutz Verschlüsseln Sie alle Informationen, Speicherobjekte, Container und physischen Medien. Fügen Sie Sicherheitskontrollen hinzu, wenn Daten zwischen Komponenten übertragen werden.
Verwaltung von Sicherheitsrisiken Führen Sie Antivirensoftware, Tools zur Überwachung der Dateiintegrität und Containerscanner aus, um das System in Ihre Sicherheitsrisikoerkennung zu integrieren.
Zugriffssteuerungen Schützen Sie den Zugriff über Identitätskontrollen, die den Zugriff auf den Cluster bzw. auf andere Komponenten verweigern, die Teil der Datenumgebung des Karteninhabers sind.
Überwachen von Vorgängen Überwachen Sie Vorgänge, und testen Sie regelmäßig Ihren Sicherheitsentwurf und Ihre Sicherheitsimplementierung, um den Sicherheitsstatus aufrechtzuerhalten.
Richtlinienverwaltung Pflegen Sie eine umfassende und aktuelle Dokumentation für Ihre Sicherheitsprozesse und -richtlinie.

Nächste Schritte

Machen Sie sich zunächst mit der regulierten Architektur und den Entwurfsoptionen vertraut.