Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта эталонная архитектура описывает рекомендации для кластера Служба Azure Kubernetes (AKS), предназначенного для выполнения конфиденциальной рабочей нагрузки. Руководство связано с нормативными требованиями стандарта безопасности данных индустрии оплаты (PCI DSS 4.0.1).
PCI DSS 4.0.1 содержит значительные изменения из предыдущих версий, в том числе:
- Вариант использования "настраиваемого подхода" для достижения целей безопасности, что позволяет гибко использовать облачные и контейнерные среды.
- Расширенные требования к многофакторной проверке подлинности (MFA) для всех доступа к среде данных заполнителей карт (CDE), включая административный и не консольный доступ.
- Более строгие требования к шифрованию, шифрованию и управлению ключами.
- Расширенная и автоматическая ведение журналов, мониторинг и изменение правописания журналов, включая временные рабочие нагрузки, такие как контейнеры.
- Акцент на непрерывной безопасности, области на основе рисков и регулярной проверке границ среды.
- Рекомендации по обеспечению безопасности жизненного цикла разработки программного обеспечения (SDLC), включая автоматическое обнаружение уязвимостей в конвейерах CI/CD.
- Улучшены возможности обнаружения и реагирования, включая использование средств безопасности на основе облака и контейнеров.
- Более строгие требования к удаленному доступу, архитектуре нулевого доверия и управлению сторонними поставщиками услуг.
Эти изменения особенно важны для akS и облачных архитектур, где автоматизация, динамическое масштабирование и общие модели ответственности являются общими. Это руководство отражает основные обновления в PCI DSS 4.0.1 и предоставляет рекомендации по использованию функций Azure и AKS для удовлетворения целей соответствия требованиям.
Это не наша цель заменить конфигурацию и /или настроить соответствие требованиям этой серии. Цель состоит в том, чтобы помочь клиентам приступить к проектированию архитектуры, обращаясь к применимым целям управления PCI DSS 4.0.1 в качестве клиента в среде AKS. В этом руководстве рассматриваются аспекты соответствия среды, включая инфраструктуру, взаимодействие с рабочей нагрузкой, операции, управление и интеграцию служб, с акцентом на новые требования и гибкость, представленные в PCI DSS 4.0.1.
Это важно
Эталонная архитектура и реализация не сертифицированы официальным органом. Завершив эту серию и развернув ресурсы кода, вы не очищаете аудит PCI DSS 4.0.1. Получение аттестаций соответствия от стороннего аудитора. Всегда консультируйтесь с квалифицированным специалистом по оценке безопасности (QSA), знакомым с облачными и контейнерными средами.
Модель общей ответственности
Центр управления безопасностью Майкрософт предоставляет конкретные принципы развертывания облачных решений, связанных с соответствием требованиям. Гарантии безопасности, предоставляемые Azure в качестве облачной платформы и AKS в качестве контейнера узла, регулярно проверяются и проверяются сторонними квалифицированными оценщиками безопасности (QSAs) для соответствия требованиям PCI DSS 4.0.1.
Общая ответственность с Azure
Группа соответствия требованиям Майкрософт гарантирует, что все документы по соответствию нормативным требованиям Microsoft Azure общедоступны для клиентов. Вы можете скачать аттестацию соответствия PCI DSS для Azure в разделе PCI DSS на портале управления безопасностью служб. Матрица ответственности описывает, кто между Azure и клиентом отвечает за каждое из требований PCI DSS 4.0.1. Дополнительные сведения см. в разделе "Управление соответствием в облаке".
Общая ответственность с AKS
Kubernetes — это система с открытым исходным кодом для автоматизации развертывания, масштабирования и управления контейнерными приложениями. AKS упрощает развертывание управляемого кластера Kubernetes в Azure. Базовая инфраструктура AKS поддерживает крупномасштабные приложения в облаке и является естественным выбором для запуска корпоративных приложений в облаке, включая рабочие нагрузки PCI. Приложения, развернутые в кластерах AKS, имеют определенные сложности при развертывании рабочих нагрузок, классифицированных ПО PCI, особенно в соответствии с новыми требованиями и гибкостью PCI DSS 4.0.1.
Ваша ответственность
Как владелец рабочей нагрузки, вы в конечном итоге отвечаете за соответствие PCI DSS 4.0.1. Читайте требования PCI DSS 4.0.1 для понимания намерения, изучения матрицы для Azure и выполнения этой серии, чтобы понять нюансы AKS. Этот процесс поможет подготовить реализацию к успешной оценке в рамках PCI DSS 4.0.1.
Перед тем как начать
Прежде чем начать эту серию, убедитесь, что:
- Вы знакомы с концепциями Kubernetes и работой кластера AKS.
- Вы прочитали базовую эталонную архитектуру AKS.
- Вы развернули базовую эталонную реализацию AKS.
- Вы знакомы с официальной спецификацией PCI DSS 4.0.1
- Вы прочитали базовые показатели безопасности Azure для Служба Azure Kubernetes.
Обзор серии
Эта серия разделена на несколько статей. В каждой статье описывается требование высокого уровня PCI DSS 4.0.1, за которым следует руководство по устранению требований, относящихся к AKS, с фокусом на новых и обновленных элементах управления:
| Область ответственности | Описание |
|---|---|
| Сегментация сети | Защита данных заполнителей карт с помощью конфигурации брандмауэра и других сетевых элементов управления. Удалите предоставленные поставщиком значения по умолчанию. Устранение динамической сегментации и области на основе рисков в соответствии с требованиями PCI DSS 4.0.1. |
| Защита данных | Шифрование всех данных, объектов хранилища, контейнеров и физических носителей. Добавьте элементы управления безопасностью для передаваемых и неактивных данных, используя обновленные криптографические стандарты. |
| Управление уязвимостями | Запустите антивирусное программное обеспечение, средства мониторинга целостности файлов и сканеры контейнеров в рамках обнаружения уязвимостей и защиты SDLC. |
| элементы управления доступом | Безопасный доступ с помощью элементов управления удостоверениями, включая расширенные принципы MFA и нулевого доверия для всех доступа к CDE. |
| Операции мониторинга | Обеспечение безопасности с помощью автоматизированных и непрерывных операций мониторинга, целостности журналов и регулярного тестирования разработки и реализации безопасности. |
| Управление политиками | Ведите тщательную и обновленную документацию о процессах и политиках безопасности, включая использование настраиваемого подхода, в котором применимо. |
Дальнейшие шаги
Начните с просмотра регулируемых архитектур и вариантов проектирования для PCI DSS 4.0.1.