このリファレンス アーキテクチャでは、機密性の高いワークロードを実行するように設計されている Azure Kubernetes Service (AKS) クラスターに関する考慮事項について説明します。 このガイダンスは、Payment Card Industry Data Security Standard (PCI DSS 4.0.1) の規制要件に関連付けられています。
PCI DSS 4.0.1 では、次のような以前のバージョンからの大幅な変更が導入されています。
- セキュリティ目標を満たすための "カスタマイズされたアプローチ" を使用するオプションにより、クラウド環境とコンテナー環境で柔軟性を実現できます。
- 管理アクセスと非コンソール アクセスを含む、カード所有者データ環境 (CDE) へのすべてのアクセスに対する多要素認証 (MFA) 要件が強化されました。
- 暗号化、暗号化、およびキー管理のより強力な要件。
- コンテナーなどの一時的なワークロードを含む、ログのログ記録、監視、改ざん防止を拡張および自動化しました。
- 継続的なセキュリティ、リスクベースのスコープ、環境境界の定期的な検証に重点を置いています。
- CI/CD パイプラインでの自動脆弱性検出を含む、ソフトウェア開発ライフサイクル (SDLC) プラクティスをセキュリティで保護します。
- クラウドネイティブおよびコンテナーネイティブのセキュリティ ツールの活用など、検出と応答の機能が強化されました。
- リモート アクセス、ゼロ トラスト アーキテクチャ、サードパーティ/サービス プロバイダー管理に対するより強力な要件。
これらの変更は、自動化、動的スケーリング、および共有責任モデルが一般的である AKS およびクラウドネイティブ アーキテクチャに特に関連します。 このガイダンスは、PCI DSS 4.0.1 の主要な更新プログラムを反映しており、コンプライアンス目標を満たすために Azure と AKS の機能を活用するための推奨事項を提供します。
コンプライアンスの構成やセットアップをこのシリーズに置き換えるのは、Microsoft の目標ではありません。 この目的は、AKS 環境のテナントとして、該当する PCI DSS 4.0.1 制御目標に対処することで、お客様がアーキテクチャ設計を始めるのを支援することです。 このガイダンスでは、PCI DSS 4.0.1 で導入された新しい要件と柔軟性に焦点を当て、インフラストラクチャ、ワークロードの相互作用、運用、管理、サービス統合などの環境のコンプライアンスの側面について説明します。
Von Bedeutung
参照アーキテクチャと実装は、公式の機関によって認定されていません。 このシリーズを完了し、コード資産をデプロイしても、PCI DSS 4.0.1 の監査はクリアされません。 サードパーティの監査人からコンプライアンス証明書を取得します。 クラウドおよびコンテナー化された環境に精通している認定セキュリティ 評価者 (QSA) に常に相談してください。
共同責任モデル
Microsoft Trust Center は、コンプライアンス関連のクラウド デプロイに関する具体的な原則を公開しています。 クラウド プラットフォームとして Azure によって提供され、ホスト コンテナーとして AKS によって提供されるセキュリティ保証は、PCI DSS 4.0.1 コンプライアンスに関するサード パーティの認定セキュリティ評価者 (QSA) によって定期的に監査および構成証明されます。
Azure との責任の共有
Microsoft コンプライアンス チームは、Microsoft Azure 規制コンプライアンスに関するすべてのドキュメントをお客様が公開することを保証します。 Azure の PCI DSS 準拠証明書は、 Service Trust ポータル の PCI DSS セクションでダウンロードできます。 責任マトリックスでは、Azure と顧客の間で PCI DSS 4.0.1 の各要件を担当するユーザーについて概説します。 詳細については、「クラウドでのコンプライアンスを管理」を参照してください。
AKS との責任の共有
Kubernetes は、コンテナー化されたアプリケーションのデプロイ、スケーリング、管理を自動化するためのオープンソース システムです。 AKS を使用すると、マネージド Kubernetes クラスターを Azure に簡単にデプロイできます。 AKS の基本インフラストラクチャは、クラウド内の大規模なアプリケーションをサポートしており、クラウドでエンタープライズ規模のアプリケーション (PCI ワークロードなど) を実行する際の選択肢として適切です。 AKS クラスターにデプロイされるアプリケーションは、PCI に分類されたワークロードをデプロイするときに、特に PCI DSS 4.0.1 の新しい要件と柔軟性の下で、特定の複雑さがあります。
お客様の責任範囲
ワークロード所有者は、最終的に独自の PCI DSS 4.0.1 コンプライアンスに責任を負います。 PCI DSS 4.0.1 の要件を読んで意図を理解し、 Azure のマトリックスを調査し、このシリーズを完了して AKS の微妙な違いを理解することで、責任を明確に理解してください。 このプロセスは、PCI DSS 4.0.1 で評価を成功させるために実装を準備するのに役立ちます。
開始する前に
このシリーズを開始する前に、次のことを確認してください。
- Kubernetes の概念と AKS クラスターの仕組みを理解している。
- AKS ベースラインのリファレンス アーキテクチャに関する記事を読んでいる。
- AKS ベースライン リファレンス実装をデプロイ済みである。
- PCI DSS 4.0.1 の公式仕様に慣れている
- 「Azure Kubernetes Service 用の Azure セキュリティ ベースライン」を読んでいる。
シリーズの概要
このシリーズはさまざまな記事で構成されています。 各記事では、高レベルの PCI DSS 4.0.1 要件の概要と、AKS 固有の要件に対処する方法に関するガイダンスを示し、新しいコントロールと更新されたコントロールに焦点を当てます。
| 責任の分担 | 説明 |
|---|---|
| ネットワークのセグメント化 | ファイアウォール構成やその他のネットワーク制御を使用してカード所有者データを保護します。 ベンダーが提供する既定値を削除します。 PCI DSS 4.0.1 で必要に応じて、動的セグメント化とリスクベースのスコープに対処します。 |
| データ保護 | すべての情報、ストレージ オブジェクト、コンテナー、物理メディアを暗号化します。 更新された暗号化標準を使用して、転送中および保存中のデータのセキュリティ制御を追加します。 |
| 脆弱性管理 | ウイルス対策ソフトウェア、ファイル整合性監視ツール、コンテナー スキャナーを脆弱性検出と安全な SDLC の一部として実行します。 |
| アクセス制御 | CDE へのすべてのアクセスに対して、強化された MFA とゼロ トラストの原則を含む ID 制御を使用してアクセスをセキュリティで保護します。 |
| 監視操作 | 自動化された継続的な監視操作、ログの整合性、セキュリティの設計と実装の定期的なテストを通じて、セキュリティ体制を維持します。 |
| ポリシー管理 | 必要に応じてカスタマイズされたアプローチの使用を含め、セキュリティ プロセスとポリシーに関する完全かつ更新されたドキュメントを維持します。 |
次のステップ
まず、PCI DSS 4.0.1 の規制アーキテクチャと設計の選択を確認します。
GitHub で Microsoft と共同作業する
このコンテンツのソースは GitHub にあります。そこで、issue や pull request を作成および確認することもできます。 詳細については、共同作成者ガイドを参照してください。
Azure Kubernetes Service