Tento článek popisuje aspekty clusteru Azure Kubernetes Service (AKS), který je nakonfigurovaný v souladu se standardem PCI-DSS 3.2.1 ( Payment Card Industry Data Security Standard).
Tento článek je součástí série článků. Přečtěte si úvod.
Údržba zásad zabezpečení informací
Požadavek 12 – Udržování zásad, které řeší zabezpečení informací pro všechny pracovníky
Microsoft dokončí roční posouzení PCI DSS pomocí schváleného kvalifikovaného posouzení zabezpečení (QSA). Vezměte v úvahu všechny aspekty infrastruktury, vývoje, provozu, správy, podpory a služeb v oboru. Další informace naleznete v tématu PcI (Payment Card Industry) Data Security Standard (DSS).
Tato architektura a implementace nejsou navrženy tak, aby poskytovaly ilustrativní pokyny pro dokumentaci oficiální zásady zabezpečení na konci. Důležité informace najdete v pokynech v oficiální normě PCI-DSS 3.2.1.
Tady je několik obecných návrhů:
Udržujte důkladnou a aktualizovanou dokumentaci o procesu a zásadách. Zvažte použití Správce dodržování předpisů Microsoft Purview k posouzení vašeho rizika.
V ročním přezkumu zásad zabezpečení začleňte nové pokyny poskytované Microsoftem, Kubernetes a dalšími řešeními třetích stran, která jsou součástí vaší služby CDE. Mezi zdroje informací patří publikace dodavatelů v kombinaci s pokyny odvozenými z programu Microsoft Defender for Cloud, Azure Advisor, Přehled dobře navržená architektura Azure a aktualizace v srovnávacím testu AKS Azure Security Baseline a CIS Azure Kubernetes Service a dalších.
Při vytváření procesu posouzení rizik se shodujte s publikovaným standardem, kde je to praktické, například NIST SP 800-53. Mapujte publikace z publikovaného seznamu zabezpečení vašeho dodavatele, jako je průvodce centrem Microsoft Security Response Center, na váš proces posouzení rizik.
Udržujte aktuální informace o inventáři zařízení a dokumentaci pro přístup pracovníků. Zvažte použití funkce zjišťování zařízení, která je součástí programu Microsoft Defender for Endpoint. Pro sledování přístupu můžete odvodit informace z protokolů Microsoft Entra. Tady je několik článků, které vám pomůžou začít:
Jako součást správy inventáře udržujte seznam schválených řešení nasazených jako součást infrastruktury a úlohy PCI. To zahrnuje seznam imagí virtuálních počítačů, databází a řešení třetích stran podle vašeho výběru, které do cde přinášíte. Tento proces můžete dokonce automatizovat vytvořením katalogu služeb. Poskytuje samoobslužné nasazení pomocí schválených řešení v konkrétní konfiguraci, která dodržuje probíhající operace platformy. Další informace naleznete v tématu Vytvoření katalogu služeb.
Ujistěte se, že kontakt zabezpečení obdrží oznámení o incidentech Azure od Microsoftu.
Tato oznámení indikují, jestli je váš prostředek napadený. Díky tomu může váš provozní tým zabezpečení rychle reagovat na potenciální bezpečnostní rizika a napravit je. Zajistěte, aby kontaktní informace správce na portálu registrace Azure obsahovaly kontaktní informace, které budou informovat operace zabezpečení přímo nebo rychle prostřednictvím interního procesu. Podrobnosti najdete v tématu Model operací zabezpečení.
Tady jsou další články, které vám pomůžou naplánovat provozní dodržování předpisů.
- Správa cloudu v rámci architektury přechodu na cloud
- Zásady správného řízení v rámci architektury přechodu na cloud od Microsoftu pro Azure