PCI DSS 4.0.1 的 AKS 管控群集的第三方和供应链安全性

PCI DSS 4.0.1 扩展了管理第三方服务提供商和供应链风险的要求。 本文档提供有关在 AKS 中管理依赖项、映像和提供程序的指导。

AKS 功能支持

AKS 提供了多种功能，可帮助你满足 PCI DSS 4.0.1 第三方和供应链安全要求：

• Microsoft Defender for Cloud：监视第三方映像以及 AKS 群集中的漏洞和合规性依赖项。
• Azure Policy：强制实施批准的映像注册表和控制第三方组件的部署。
• Azure 容器注册表（ACR）任务：支持容器映像的自动映像扫描和审批工作流。
• Azure Monitor：跟踪第三方集成的提供程序活动和符合性状态。

你的责任

• 维护 AKS 工作负载中使用的所有第三方组件、映像和服务提供商的 up-to日期清单。
• 在部署前对所有依赖项和映像强制实施漏洞扫描和审批。
• 使用 Defender for Cloud 和 Azure Monitor 监视提供程序符合性和安全性状况。
• 所有有权访问 CDE 的第三方提供商的文档合同、SLA 和安全要求。
• 随着新的风险和依赖项的出现，定期查看和更新供应链安全控制。

关键做法

• 维护所有第三方组件和映像的清单。
• 对所有依赖项强制实施漏洞扫描和审批。
• 监视提供程序符合性和安全性状况。
• 与第三方提供商记录合同和 SLA。

集成的 AKS 安全上下文

应实施第三方和供应链安全性，作为更广泛的安全策略的一部分，其中包括：

• 策略和管理的安全策略。
• 标识和访问管理 标识和访问管理。
• 用于监视和警报的监视和日志记录。

有关最新的 AKS 安全功能，请参阅 Azure Kubernetes 服务（AKS）文档。

后续步骤

了解如何在标准要求不适用时实现符合 PCI DSS 的自定义方法。

相关资源

有关详细信息，请查看官方 PCI DSS 4.0.1 文档。