此参考体系结构介绍用于运行敏感工作负荷的 Azure Kubernetes 服务 (AKS) 群集的注意事项。 本指南与支付卡行业数据安全标准(PCI DSS 4.0.1)的法规要求有关。
PCI DSS 4.0.1 引入了早期版本的重大更改,包括:
- 使用“自定义方法”来实现安全目标的选项,从而在云和容器环境中实现灵活性。
- 增强的多重身份验证(MFA)要求对持卡人数据环境(CDE)的所有访问,包括管理和非控制台访问。
- 加密、加密和密钥管理的要求更强。
- 扩展和自动日志记录、监视和篡改日志,包括临时工作负载(如容器)。
- 强调持续安全性、基于风险的范围和定期验证环境边界。
- 安全软件开发生命周期(SDLC)做法,包括 CI/CD 管道中的自动漏洞检测。
- 改进了检测和响应功能,包括利用云原生和容器原生安全工具。
- 远程访问、零信任体系结构和第三方/服务提供商管理的更严格的要求。
这些更改尤其适用于 AKS 和云原生体系结构,其中自动化、动态缩放和共同责任模型很常见。 本指南反映 PCI DSS 4.0.1 中的主要更新,并提供有关利用 Azure 和 AKS 功能来满足合规性目标的建议。
这不是我们的目标是替换你的配置和/或设置符合此系列。 目的是通过解决适用的 PCI DSS 4.0.1 控制目标作为 AKS 环境中的租户,帮助客户开始进行体系结构设计。 本指南涵盖环境的合规性方面,包括基础结构、工作负荷交互、作、管理和服务集成,重点介绍 PCI DSS 4.0.1 中引入的新要求和灵活性。
重要
参考体系结构和实现尚未由官方机构认证。 完成本系列并部署代码资产后,无法清除 PCI DSS 4.0.1 的审核。 从第三方审核员处获取合规性证明。 请始终咨询熟悉云和容器化环境的合格安全评估器(QSA)。
共担责任模型
Microsoft信任中心 提供与合规性相关的云部署的特定原则。 Azure 作为云平台提供的安全保证和 AKS 作为主机容器,定期审核并证明符合 PCI DSS 4.0.1 的第三方合格安全评估程序(QSA)。
与 Azure 共同负责
Microsoft合规性团队可确保客户公开提供 Azure 法规合规性的所有文档。 可以从 服务信任门户的 PCI DSS 部分下载 Azure 的 PCI DSS 合规性证明。 责任矩阵概述了 Azure 与客户之间的谁负责每个 PCI DSS 4.0.1 要求。 有关详细信息,请参阅 在云中管理合规性。
与 AKS 共同负责
Kubernetes 是一个开源系统,用于自动部署、缩放和管理容器化应用程序。 AKS 使在 Azure 上部署托管 Kubernetes 群集变得简单。 AKS 基本基础结构支持云中的大规模应用程序,是运行云中企业规模应用程序(包括 PCI 工作负载)的自然选择。 部署在 AKS 群集中的应用程序在部署 PCI 分类工作负载时具有一定的复杂性,尤其是在 PCI DSS 4.0.1 的新要求和灵活性下。
你的责任
作为工作负荷所有者,你最终负责自己的 PCI DSS 4.0.1 符合性。 通过阅读 PCI DSS 4.0.1 要求来了解意向、研究 Azure 矩阵并完成本系列以了解 AKS 细微差别,从而清楚地了解你的职责。 此过程将有助于为 PCI DSS 4.0.1 下的成功评估做好准备。
在您开始之前
在开始此系列之前,请确保:
- 你熟悉 AKS 群集的 Kubernetes 概念和工作原理。
- 你已阅读 AKS 基线参考体系结构。
- 你已部署 AKS 基线参考实现。
- 你熟悉官方 PCI DSS 4.0.1 规范
系列概述
本系列分为多个文章。 每篇文章概述了高级 PCI DSS 4.0.1 要求,并遵循有关如何解决 AKS 特定要求的指导,重点介绍新的和更新的控制:
| 责任领域 | Description |
|---|---|
| 网络分段 | 使用防火墙配置和其他网络控制保护持卡人数据。 删除供应商提供的默认值。 根据 PCI DSS 4.0.1 的要求解决动态分段和基于风险的范围。 |
| 数据保护 | 加密所有信息、存储对象、容器和物理媒体。 使用更新的加密标准为传输中的数据和静态数据添加安全控制。 |
| 漏洞管理 | 在漏洞检测和安全 SDLC 中运行防病毒软件、文件完整性监视工具和容器扫描程序。 |
| 访问控制 | 通过标识控制(包括增强的 MFA 和零信任原则)保护访问,以便所有对 CDE 的访问。 |
| 监视作 | 通过自动持续监视作、日志完整性和定期测试安全设计和实现来维护安全态势。 |
| 策略管理 | 维护有关安全流程和策略的彻底和更新的文档,包括使用自定义方法(如果适用)。 |
后续步骤
首先查看 PCI DSS 4.0.1 的受监管体系结构和设计选择。