Bu başvuru mimarisi, hassas bir iş yükünü çalıştırmak için tasarlanmış bir Azure Kubernetes Service (AKS) kümesi için dikkat edilmesi gereken noktaları açıklar. Bu kılavuz, Ödeme Kartı Sektörü Veri Güvenliği Standardı'nın (PCI-DSS 3.2.1) mevzuat gereksinimlerine bağlıdır.
Bu seriye uyumluluğunuzu göstermenizin yerini almak hedefimiz değil . Amaç, AKS ortamında kiracı olarak geçerli DSS denetim hedeflerini ele alarak satıcıların mimari tasarıma başlamalarına yardımcı olmaktır. Bu kılavuz altyapı, iş yüküyle etkileşimler, operasyonlar, yönetim ve hizmetler arasındaki etkileşimler de dahil olmak üzere ortamın uyumluluk yönlerini kapsar.
Önemli
Referans mimarisi ve uygulaması resmi bir yetkili tarafından onaylanmamıştır. Bu seriyi tamamlayıp kod varlıklarını dağıtarak PCI DSS denetimini temizlemezsiniz. Üçüncü taraf denetçiden uyumluluk kanıtlamaları alma.
Başlamadan önce
Microsoft Güven Merkezi , uyumlulukla ilgili bulut dağıtımları için belirli ilkeler sağlar. Bulut platformu olarak Azure ve konak kapsayıcısı olarak AKS tarafından sağlanan güvenlik güvenceleri, PCI DSS uyumluluğu için üçüncü taraf Nitelikli Güvenlik Değerlendiricisi (QSA) tarafından düzenli olarak denetlenip onaylanır.
Azure ile paylaşılan sorumluluk
Microsoft Uyumluluk ekibi, Microsoft Azure mevzuat uyumluluğuna ilişkin tüm belgelerin müşterilerimizin kullanımına açık olmasını sağlar. Azure için PCI DSS Uyumluluk Kanıtı'nı Hizmet Güveni portalındaki PCI DSS bölümünden indirebilirsiniz. Sorumluluk matrisi, PcI gereksinimlerinin her birinin Azure ile müşteri arasında kimin sorumlu olduğunu özetler. Daha fazla bilgi için bkz . Bulutta uyumluluğu yönetme.
AKS ile paylaşılan sorumluluk
Kubernetes, kapsayıcılı uygulamaların dağıtımını, ölçeklendirmesini ve yönetimini otomatikleştirmeye yönelik bir açık kaynak sistemdir. AKS, Azure'da yönetilen bir Kubernetes kümesi dağıtmayı kolaylaştırır. AKS temel altyapısı, buluttaki büyük ölçekli uygulamaları destekler ve PCI iş yükleri dahil olmak üzere kurumsal ölçekli uygulamaları bulutta çalıştırmak için doğal bir seçimdir. AKS kümelerine dağıtılan uygulamaların PCI sınıflı iş yükleri dağıtılırken bazı karmaşıklıkları vardır.
Sizin sorumluluğunuzda
İş yükü sahibi olarak, kendi PCI DSS uyumluluğunuzdan nihai olarak siz sorumlu olursunuz. Amacı anlamak için PCI gereksinimlerini okuyarak, Azure matrisini inceleyerek ve AKS nüanslarını anlamak için bu seriyi tamamlayarak sorumluluklarınızı net bir şekilde anlayın. Bu işlem uygulamanızı başarılı bir değerlendirmeye hazır hale getirir.
Önerilen makaleler
Bu seride şu varsayımlar yer alır:
- Aks kümesinin Kubernetes kavramları ve çalışmaları hakkında bilgi sahibisiniz.
- AKS temel başvuru mimarisini okudunuz.
- AKS temel başvuru uygulamasını dağıttınız.
- Resmi PCI DSS 3.2.1 belirtimini çok iyi biliyorsunuz.
- Azure Kubernetes Service için Azure güvenlik temelini okudunuz.
Bu seride
Bu seri birkaç makaleye ayrılmıştır. Her makalede, AKS'ye özgü gereksinimin nasıl ele alındığı hakkında yönergeler ve ardından üst düzey gereksinim özetlenir.
| Sorumluluk alanı | Açıklama |
|---|---|
| Ağ segmentasyonu | Güvenlik duvarı yapılandırması ve diğer ağ denetimleriyle kart sahibi verilerini koruyun. Satıcı tarafından sağlanan varsayılan değerleri kaldırın. |
| Veri koruma | Tüm bilgileri, depolama nesnelerini, kapsayıcıları ve fiziksel medyayı şifreleyin. Bileşenler arasında veri aktarılırken güvenlik denetimleri ekleyin. |
| Güvenlik açığı yönetimi | Sistemin güvenlik açığı algılamanızın bir parçası olduğundan emin olmak için virüsten koruma yazılımı, dosya bütünlüğü izleme araçları ve kapsayıcı tarayıcıları çalıştırın. |
| Erişim denetimleri | Kart sahibi veri ortamının parçası olan kümeye veya diğer bileşenlere yönelik girişimleri reddeden kimlik denetimleri aracılığıyla güvenli erişim. |
| İzleme işlemleri | İzleme işlemleriyle güvenlik duruşunu koruyun ve güvenlik tasarımınızı ve uygulamanızı düzenli olarak test edin. |
| İlke yönetimi | Güvenlik süreçleriniz ve ilkelerinizle ilgili kapsamlı ve güncelleştirilmiş belgeleri koruyun. |
Sonraki adımlar
Düzenlemeye tabi mimariyi ve tasarım seçimlerini anlayarak başlayın.