Dela via

Introduktion till AKS-reglerade kluster för PCI DSS 4.0.1

Den här referensarkitekturen beskriver övervägandena för ett AKS-kluster (Azure Kubernetes Service) som är utformat för att köra en känslig arbetsbelastning. Vägledningen är knuten till de reglerande kraven i Payment Card Industry Data Security Standard (PCI DSS 4.0.1).

PCI DSS 4.0.1 introducerar betydande ändringar från tidigare versioner, inklusive:

  • Alternativet att använda en "anpassad metod" för att uppfylla säkerhetsmålen, vilket ger flexibilitet i moln- och containermiljöer.
  • Förbättrade MFA-krav (multifaktorautentisering) för all åtkomst till korthållardatamiljön (CDE), inklusive administrativ och icke-konsolåtkomst.
  • Starkare krav för kryptografi, kryptering och nyckelhantering.
  • Utökad och automatiserad loggning, övervakning och förhindrande av manipulering av loggar, inklusive tillfälliga arbetsbelastningar som containrar.
  • Betoning på kontinuerlig säkerhet, riskbaserad avgränsning och regelbunden validering av systemgränser.
  • SDLC-metoder (Secure Software Development Lifecycle), inklusive automatiserad sårbarhetsidentifiering i CI/CD-pipelines.
  • Förbättrade identifierings- och svarsfunktioner, inklusive användning av molnbaserade och containerbaserade säkerhetsverktyg.
  • Starkare krav för fjärråtkomst, noll förtroendearkitektur och hantering av tredjeparts-/tjänstleverantörer.

Dessa ändringar är särskilt relevanta för AKS och molnbaserade arkitekturer, där automatisering, dynamisk skalning och modeller för delat ansvar är vanliga. Den här vägledningen återspeglar de viktigaste uppdateringarna i PCI DSS 4.0.1 och ger rekommendationer för att utnyttja Azure- och AKS-funktioner för att uppfylla efterlevnadsmålen.

Det är inte vårt mål att ersätta konfigurationen och/eller uppsättningen av dina efterlevnadsinställningar i denna serie. Avsikten är att hjälpa kunder att påbörja arkitektonisk design genom att hantera tillämpliga PCI DSS 4.0.1-kontrollmål som hyresgäst i AKS-miljön. Vägledningen omfattar efterlevnadsaspekter av miljön, inklusive infrastruktur, arbetsbelastningsinteraktioner, åtgärder, hantering och tjänstintegreringar, med fokus på de nya kraven och flexibiliteten som introduceras i PCI DSS 4.0.1.

Viktigt!

Referensarkitekturen och implementeringen har inte certifierats av en officiell myndighet. Genom att slutföra den här serien och distribuera kodtillgångarna klarar du inte granskningen för överensstämmelse med PCI DSS 4.0.1. Hämta efterlevnadsattester från en tredjepartsrevisor. Kontakta alltid en kvalificerad säkerhetsbedöare (QSA) som är bekant med moln- och containerbaserade miljöer.

Modell för delat ansvar

Microsoft Trust Center innehåller specifika principer för efterlevnadsrelaterade molndistributioner. Säkerhetsgarantierna, som tillhandahålls av Azure som molnplattform och AKS som värdcontainer, granskas och intygas regelbundet av kvalificerade säkerhetsbedölare från tredje part (QSA) för PCI DSS 4.0.1-efterlevnad.

Diagram över modellen med delat ansvar.

  • Delat ansvar med Azure

    Microsofts efterlevnadsteam ser till att all dokumentation om Microsoft Azure-regelefterlevnad är offentligt tillgänglig för kunder. Du kan ladda ned PCI DSS-attesteringen av efterlevnad för Azure under avsnittet PCI DSS från Service Trust-portalen. Ansvarsmatrisen beskriver vem som mellan Azure och kunden ansvarar för var och en av PCI DSS 4.0.1-kraven. Mer information finns i Hantera efterlevnad i molnet.

  • Delat ansvar med AKS

    Kubernetes är ett system med öppen källkod för att automatisera distribution, skalning och hantering av containerbaserade program. AKS gör det enkelt att distribuera ett hanterat Kubernetes-kluster i Azure. Den grundläggande AKS-infrastrukturen stöder storskaliga program i molnet och är ett naturligt val för att köra program i företagsskala i molnet, inklusive PCI-arbetsbelastningar. Program som distribueras i AKS-kluster har vissa komplexiteter vid distribution av PCI-klassificerade arbetsbelastningar, särskilt under de nya kraven och flexibiliteten i PCI DSS 4.0.1.

  • Ditt ansvar

    Som arbetsbelastningsägare är du ytterst ansvarig för din egen PCI DSS 4.0.1-efterlevnad. Ha en tydlig förståelse för ditt ansvar genom att läsa PCI DSS 4.0.1-kraven för att förstå avsikten, studera matrisen för Azure och slutföra den här serien för att förstå AKS-nyanserna. Den här processen hjälper dig att förbereda implementeringen för en lyckad utvärdering enligt PCI DSS 4.0.1.

Innan du börjar

Innan du börjar den här serien kontrollerar du att:

Översikt över serien

Den här serien är uppdelad i flera artiklar. Varje artikel beskriver kraven på PCI DSS 4.0.1 på hög nivå följt av vägledning om hur du hanterar det AKS-specifika kravet, med fokus på de nya och uppdaterade kontrollerna:

Ansvarsområde Beskrivning
Nätverkssegmentering Skydda korthållardata med brandväggskonfiguration och andra nätverkskontroller. Ta bort standardvärden som tillhandahålls av leverantören. Enligt kraven i PCI DSS 4.0.1, hantera dynamisk segmentering och riskbaserad avgränsning.
Dataskydd Kryptera all information, lagringsobjekt, containrar och fysiska medier. Lägg till säkerhetskontroller för data under överföring och i vila med hjälp av uppdaterade kryptografiska standarder.
Sårbarhetshantering Kör antivirusprogram, verktyg för övervakning av filintegritet och containerskannrar som en del av din sårbarhetsidentifiering och säkra SDLC.
Åtkomstkontroller Säker åtkomst via identitetskontroller, inklusive förbättrade principer för MFA och noll förtroende, för all åtkomst till CDE.
Övervakningsåtgärder Upprätthålla säkerhetsstatusen genom automatiserade och kontinuerliga övervakningsåtgärder, loggintegritet och regelbunden testning av din säkerhetsdesign och implementering.
Principhantering Underhåll noggrann och uppdaterad dokumentation om dina säkerhetsprocesser och principer, inklusive användningen av den anpassade metoden där det är tillämpligt.

Nästa steg

Börja med att granska de reglerade arkitektur- och designvalen för PCI DSS 4.0.1.

Arkitektur för ett AKS-reglerat kluster för PCI DSS 4.0.1