PCI DSS 4.0.1 的 AKS 管控群集简介

本参考体系结构介绍了用于运行敏感工作负载的 Azure Kubernetes 服务 (AKS) 群集的注意事项。 本指南与支付卡行业数据安全标准（PCI DSS 4.0.1）的法规要求有关。

PCI DSS 4.0.1 引入了早期版本的重大更改，包括：

• 使用“自定义方法”来实现安全目标的选项，从而在云和容器环境中实现灵活性。
• 增强的多重身份验证（MFA）要求对持卡人数据环境（CDE）的所有访问，包括管理和非控制台访问。
• 加密、加密和密钥管理的要求更强。
• 扩展和自动化日志记录、监视及防篡改处理，包括短生命周期工作负载（如容器）。
• 强调持续安全性、基于风险的范围和定期验证环境边界。
• 安全软件开发生命周期（SDLC）做法，包括 CI/CD 管道中的自动漏洞检测。
• 改进了检测和响应功能，包括利用云原生和容器原生安全工具。
• 远程访问、零信任体系结构和第三方/服务提供商管理的更严格的要求。

这些更改尤其适用于 AKS 和云原生体系结构，其中自动化、动态缩放和共同责任模型很常见。 本指南反映 PCI DSS 4.0.1 中的主要更新，并提供有关利用 Azure 和 AKS 功能来满足合规性目标的建议。

这不是我们的目标是替换你的配置和/或设置符合此系列。 目的是，作为 AKS 环境中的租户，通过解决适用的 PCI DSS 4.0.1 控制目标，帮助客户开始进行体系结构设计。 本指南涵盖环境的合规性方面，包括基础结构、工作负荷交互、作、管理和服务集成，重点介绍 PCI DSS 4.0.1 中引入的新要求和灵活性。

共同责任模型

Microsoft 信任中心提供与合规性相关的云部署的特定原则。 Azure 作为云平台和 AKS 作为主机容器的安全保证，定期由第三方合格安全评估师 (QSA) 审核并证明其符合 PCI DSS 4.0.1。

• 与 Azure 共担责任

  Microsoft 合规团队确保 Microsoft Azure 合规性的所有文档对客户公开可用。 可以从服务信任门户的 PCI DSS 部分下下载适用于 Azure 的 PCI DSS 合规性证明。 责任矩阵概述了 Azure 与客户之间的谁负责每个 PCI DSS 4.0.1 要求。 有关详细信息，请参阅在云端管理合规性。

• 与 AKS 共担责任

  Kubernetes 是一个开源系统，可以自动部署、缩放和管理容器化应用程序。 可使用 AKS 在 Azure 中轻松地部署托管的 Kubernetes 群集。 AKS 基本基础结构支持云中的大规模应用程序，是在云中运行企业级应用程序（包括 PCI 工作负载）的必然选择。 部署在 AKS 群集中的应用程序在部署 PCI 分类工作负载时具有一定的复杂性，尤其是在 PCI DSS 4.0.1 的新要求和灵活性下。

• 你的责任

  作为工作负荷所有者，你最终负责自己的 PCI DSS 4.0.1 符合性。 通过阅读 PCI DSS 4.0.1 要求来了解意向、研究 Azure 矩阵并完成本系列以了解 AKS 细微差别，从而清楚地了解你的职责。 此过程将有助于为 PCI DSS 4.0.1 下的成功评估做好准备。

在您开始之前

在开始此系列之前，请确保：

• 熟悉 Kubernetes 概念和 AKS 群集的工作原理。
• 已阅读 AKS 基线参考体系结构。
• 已部署 AKS 基线参考实现。
• 你熟悉官方 PCI DSS 4.0.1 规范
• 已阅读适用于 Azure Kubernetes 服务的 Azure 安全基线。

系列概述

本系列分为几篇文章。 每篇文章概述了高级 PCI DSS 4.0.1 要求，并遵循有关如何解决 AKS 特定要求的指导，重点介绍新的和更新的控制：

后续步骤

首先查看 PCI DSS 4.0.1 的受监管体系结构和设计选择。