PCI DSS 4.0.1 引入了满足要求的“自定义方法”,允许组织在满足标准的意图和严格性时实施替代控制。 本文档提供有关在 Azure Kubernetes 服务 (AKS) 环境中记录、证明和验证自定义控件的指南。
何时使用自定义方法
自定义方法适用于以下情况:
- 由于技术或业务约束,标准控件不可行。
- 利用不同于传统控件的云原生或特定于容器的安全功能时。
文档要求
- 明确描述替代控件及其如何满足 PCI DSS 要求的意图。
- 提供替代控制的风险分析和理由。
- 包括验证和测试过程。
示例模板
| Requirement | 标准控件 | 自定义控件 | 理由 | 验证/测试 |
|---|---|---|---|---|
| 用于管理员访问权限的 MFA | 传统 MFA | 使用 FIDO2 进行 Azure AD 条件访问 | 更强大的保证,云原生 | 查看策略,测试登录 |
集成的 AKS 安全上下文
应实现自定义方法,作为更广泛的安全策略的一部分,其中包括:
有关最新的 AKS 安全功能,请参阅 Azure Kubernetes 服务(AKS)文档。
后续步骤
查看 PCI DSS 要求与 AKS 实现和控制的完整映射。
相关资源
有关详细信息,请查看官方 PCI DSS 4.0.1 文档。