In diesem Artikel werden die Aspekte eines AKS-Clusters (Azure Kubernetes Service) beschrieben, der gemäß des Payment Card Industry Data Security Standard (PCI-DSS 3.2.1) konfiguriert ist.
Dieser Artikel ist Teil einer Serie. Die Einführung finden Sie hier.
Verwalten einer Informationssicherheitsrichtlinie
Anforderung 12: Verwalten Sie eine Richtlinie, die die Informationssicherheit für alle Mitarbeiter regelt.
Microsoft lässt eine jährliche PCI-DSS-Bewertung durch einen zugelassenen Qualified Security Assessor (QSA) durchführen. Berücksichtigen Sie alle Aspekte der Infrastruktur, der Entwicklung, des Betriebs, der Verwaltung, des Supports und der betroffenen Dienste. Weitere Informationen finden Sie unter Datensicherheitsstandard (DSS) der Zahlungskartenbranche (Payment Card Industry, PCI).
Architektur und Implementierung sind nicht dazu gedacht, einen veranschaulichenden Leitfaden für die Dokumentation der offiziellen Sicherheitsrichtlinie von Anfang bis Ende zu liefern. Informationen zu den zu berücksichtigenden Punkten finden Sie im Leitfaden zum offiziellen PCI-DSS 3.2.1-Standard.
Hier folgen einige allgemeine Vorschläge:
Führen Sie eine umfassende und aktuelle Dokumentation über den Prozess und die Richtlinien. Erwägen Sie die Verwendung von Microsoft Purview Compliance Manager für die Bewertung Ihres Risikos.
Berücksichtigen Sie bei der jährlichen Überprüfung der Sicherheitsrichtlinie neue Anleitungen von Microsoft, Kubernetes und anderen Drittanbieterlösungen, die Teil Ihrer Datenumgebung für Karteninhaber (Cardholder Data Environment, CDE) sind. Zu den Ressourcen gehören Veröffentlichungen von Anbietern in Kombination mit Anleitungen aus Microsoft Defender für Cloud, Azure Advisor, Azure Well-Architected Review sowie Aktualisierungen in der AKS Azure-Sicherheitsbaseline und dem CIS Azure Kubernetes Service-Benchmark und anderen.
Orientieren Sie sich bei der Erstellung Ihres Risikobewertungsprozesses nach Möglichkeit an einem veröffentlichten Standard, z. B. NIST SP 800-53. Ordnen Sie Veröffentlichungen aus der von Ihrem Anbieter veröffentlichten Sicherheitsliste, wie z. B. den Leitfaden für das Microsoft Security Response Center, Ihrem Risikobewertungsprozess zu.
Bewahren Sie aktuelle Informationen über den Gerätebestand und die Dokumentation zum Mitarbeiterzugriff. Erwägen Sie die Verwendung der in Microsoft Defender for Endpoint enthaltenen Funktion zur Geräteermittlung. Um den Zugriff zu verfolgen, können Sie diese Informationen aus den Microsoft Entra-Protokollen ableiten. Hier finden Sie einige Artikel für die ersten Schritte:
Führen Sie im Rahmen Ihrer Bestandsverwaltung eine Liste der genehmigten Lösungen, die als Teil der PCI-Infrastruktur und der Workload bereitgestellt werden. Dazu gehört eine Liste von VM-Images, Datenbanken und Drittanbieterlösungen Ihrer Wahl, die Sie in die CDE übernehmen. Sie können diesen Prozess sogar automatisieren, indem Sie einen Dienstkatalog erstellen. Er bietet eine Self-Service-Bereitstellung, indem er diese genehmigten Lösungen in einer bestimmten Konfiguration verwendet, die dem laufenden Plattformbetrieb gerecht wird. Weitere Informationen finden Sie unter Einrichten eines Dienstkatalogs.
Stellen Sie sicher, dass ein Sicherheitskontakt Benachrichtigungen über Azure-Incidents von Microsoft empfängt.
Diese Benachrichtigungen zeigen an, wenn Ihre Ressource gefährdet ist. Dadurch kann Ihr Team für Sicherheitsvorgänge schnell auf potenzielle Sicherheitsrisiken reagieren und diese beheben. Stellen Sie sicher, dass die Kontaktinformationen des Administrators im Azure-Registrierungsportal Kontaktinformationen enthalten, durch die das Team für Sicherheitsvorgänge direkt oder schnell über einen internen Prozess benachrichtigt werden kann. Weitere Informationen finden Sie unter Sicherheitsbetriebsmodell.
Hier finden Sie weitere Artikel, die Ihnen bei der Planung der betriebsbezogenen Compliance helfen.
- Cloudverwaltung im Framework für die Cloudeinführung
- Governance für die Einführung der Microsoft Cloud für Azure (Microsoft Cloud Adoption Framework)