Kubernetes& docker containers PCI DSS合规性

时间:2015-09-01 10:32:06

标签: docker payment-gateway kubernetes pci-compliance pci-dss

我们正在创建支付网关处理器的新版本,我们希望使用带有kubernetes的docker容器,但我们担心Kubernetes和docker容器是否符合PCI DSS要求。

我们在PCI DSS规范中找不到任何明确的内容。

4 个答案:

答案 0 :(得分:2)

重申Tim上面的评论:据我所知,还没有人实现完全符合PCI标准的kubernetes安装(他们可能已经完成而没有告诉我们)。我不知道Docker或Kubernetes的任何特定内容会阻止您对部署进行认证。

答案 1 :(得分:0)

PCI-DSS可以通过第三方解决方案实现。

(免责声明 - 我是Twistlock的员工,带来了PCI-DSS解决方案,如果您对此感兴趣,请查看以下链接 - https://info.twistlock.com/guide-to-pci-compliance-for-containers

答案 2 :(得分:0)

我已经为我工作的公司实施了PCI-DSS 1级认证,并将其作为K8S集群作为持卡人数据环境。

不要被要求吓倒,总有一种方法可以使它们“不适用”或用一些肘油来满足它们。

您需要满足的基本要求是:

  • 使用COS,因此您可以跳过所有强化节点的麻烦。
  • 使用--enable-master-authorized-networks标志(Beta),尽管我还没有遇到任何问题。
  • 自己管理网络CIDR,因为您需要提供文档不变的类,并说明如何 那些有权访问群集。
  • 您必须实现NAT网关集群,并通过所有K8S流量,然后在系统上进行愚蠢的设置 传出的IDS / IPS解决方案,我使用了Suricata。 (这很傻,我知道)
  • 您需要将最终要从应用程序调用的任何API的所有传出流量IP列入白名单,并拒绝其他所有内容。

PS:我知道这听起来像BS,但是如果您想通过合规性,就必须这样做。 PPS:记得加强NAT网关,我在STIG剧本中使用了ansible。

这些是最棘手的部分,其他所有东西都很繁琐但易于管理。很高兴提供帮助。

答案 3 :(得分:-1)

请参阅this文章。虽然作者指的是" public iaas"似乎人们可以替代私人kubernetes"。