Azure Stack HCI y PCI DSS

En este artículo se explica cómo las características de seguridad de Microsoft Azure Stack HCI pueden ayudar a las organizaciones del sector de las tarjetas de pago a lograr los requisitos de control de seguridad de PCI DSS, tanto en la nube como en sus entornos locales.

PCI DSS

El Estándar de seguridad de datos (DSS) del sector de tarjetas de pago (PCI) es un estándar de seguridad de la información global diseñado para evitar fraudes mediante un mayor control de los datos de tarjetas de crédito. El PCI DSS es obligatorio por marcas de tarjetas de pago y administradas por el Consejo de Estándares de Seguridad del Sector de tarjetas de pago.

El cumplimiento de PCI DSS es necesario para cualquier organización que almacene, procese o transmita datos de titulares de tarjetas (CHD). Las organizaciones sujetas al cumplimiento de PCI DSS incluyen (pero no están limitados a) comerciantes, procesadores de pago, emisores, adquiridores y proveedores de servicios.

Obtenga más información sobre el estándar en la biblioteca de documentación del Consejo de estándares de seguridad de PCI.

Responsabilidades compartidas

Es importante comprender que PCI DSS no es solo una tecnología y un estándar de producto, sino que también cubre los requisitos de seguridad para personas y procesos. La responsabilidad del cumplimiento se comparte entre usted como una entidad cubierta y Microsoft como proveedor de servicios.

Clientes de Microsoft

Como entidad cubierta, es su responsabilidad lograr y administrar su propio certificado PCI DSS. Las organizaciones deben evaluar su entorno distinto, especialmente las partes que hospedan pagos de servicio o cargas de trabajo relacionadas con pagos en los que se almacenan, procesan o transmiten los datos de los titulares de tarjetas. Esto se denomina entorno de datos de titular de tarjeta (CDE). Después, las organizaciones deben planear e implementar los controles, directivas y procedimientos de seguridad adecuados para cumplir todos los requisitos especificados antes de realizar un proceso de prueba oficial. En última instancia, las organizaciones contratan con un evaluador de seguridad calificado (QSA) que comprueba si el entorno cumple todos los requisitos.

Microsoft

Aunque es su responsabilidad mantener el cumplimiento del estándar PCI DSS, no está solo en el recorrido. Microsoft proporciona materiales complementarios y características de seguridad en todo el entorno híbrido para ayudarle a reducir el esfuerzo asociado y el costo de completar la validación de PCI DSS. Por ejemplo, en lugar de probar todo desde cero, los evaluadores pueden usar Azure Attestation of Compliance (AOC) para la parte del entorno de datos de titular de tarjeta que se implementa en Azure. Obtenga más información en el siguiente contenido.

Cumplimiento de Azure Stack HCI

Al diseñar y compilar Azure Stack HCI, Microsoft tiene en cuenta los requisitos de seguridad para los entornos locales y en la nube de Microsoft.

servicios en la nube Conectar

Azure Stack HCI ofrece una integración profunda con varios servicios de Azure, como Azure Monitor, Azure Backup y Azure Site Recovery, para incorporar nuevas funcionalidades a la configuración híbrida. Estos servicios en la nube están certificados como compatibles con PCI DSS versión 4.0 en el nivel 1 del proveedor de servicios. Obtenga más información sobre el programa de cumplimiento de los servicios en la nube de Azure en PCI DSS – Azure Compliance.

Importante

Es importante tener en cuenta que el estado de cumplimiento de Azure PCI DSS no se traduce automáticamente en la validación de PCI DSS para los servicios que las organizaciones crean o hospedan en la plataforma Azure. Los clientes son responsables de garantizar que sus organizaciones cumplan los requisitos de PCI DSS.

Soluciones en el entorno local

Como solución local, Azure Stack HCI proporciona una matriz de características que ayudan a las organizaciones a satisfacer el cumplimiento de PCI DSS y otros estándares de seguridad para los servicios financieros.

Funcionalidades de Azure Stack HCI relevantes para PCI DSS

En esta sección se describe brevemente cómo las organizaciones pueden usar la funcionalidad de Azure Stack HCI para cumplir los requisitos de PCI DSS. Es importante tener en cuenta que los requisitos de PCI DSS son aplicables a todos los componentes del sistema incluidos o conectados al entorno de datos de titular de tarjetas (CDE). El siguiente contenido se centra en el nivel de plataforma de Azure Stack HCI, que hospeda los pagos de servicio o las cargas de trabajo relacionadas con pagos que incluyen datos de titulares de tarjetas.

Requisito 1: Instalar y mantener controles de seguridad de red

Con Azure Stack HCI, puede aplicar controles de seguridad de red para proteger la plataforma y las cargas de trabajo que se ejecutan en ella desde amenazas de red fuera y dentro. La plataforma también garantiza una asignación de red equitativa en un host y mejora el rendimiento y la disponibilidad de la carga de trabajo con funcionalidades de equilibrio de carga. Obtenga más información sobre la seguridad de red en Azure Stack HCI en los siguientes artículos.

• Introducción al firewall del centro de datos
• Equilibrador de carga de software (SLB) para la definición de software (SDN)
• Puerta de enlace del servicio de acceso remoto (RAS) para SDN
• Directivas de calidad de servicio para las cargas de trabajo hospedadas en Azure Stack HCI

Requisito 2: Aplicar configuraciones seguras a todos los componentes del sistema

Seguro de forma predeterminada

Azure Stack HCI está configurado de forma segura de forma predeterminada con herramientas y tecnologías de seguridad para defenderse de amenazas modernas y alinearse con las líneas base de Azure Compute Security. Obtenga más información en Configuración de línea base de seguridad para Azure Stack HCI.

Protección contra desfase

La configuración de seguridad predeterminada y la configuración de núcleo protegido de la plataforma están protegidas durante la implementación y el tiempo de ejecución con protección de control de desfase. Cuando se habilita, la protección de control de desfase actualiza la configuración de seguridad periódicamente cada 90 minutos para asegurarse de que se corrija cualquier cambio del estado especificado. Esta supervisión continua y la corrección automática le permiten tener una configuración de seguridad coherente y confiable a lo largo del ciclo de vida del dispositivo. Puede deshabilitar la protección contra desfase durante la implementación al configurar las opciones de seguridad.

Línea base de seguridad para la carga de trabajo

En el caso de las cargas de trabajo que se ejecutan en la plataforma Azure Stack HCI, puede usar la línea de base del sistema operativo recomendada de Azure (para Windows y Linux) como prueba comparativa para definir la línea base de configuración de recursos de proceso.

Requisito 3: Protección de los datos almacenados de la cuenta

Cifrado de datos con BitLocker

En los clústeres de Azure Stack HCI, todos los datos en reposo se pueden cifrar a través del cifrado XTS-AES de BitLocker de 256 bits. De forma predeterminada, el sistema recomienda habilitar BitLocker para cifrar todos los volúmenes del sistema operativo (SO) y los volúmenes compartidos de clúster (CSV) en la implementación de Azure Stack HCI. Para los nuevos volúmenes de almacenamiento agregados después de la implementación, debe activar manualmente BitLocker para cifrar el nuevo volumen de almacenamiento. El uso de BitLocker para proteger los datos puede ayudar a las organizaciones a mantener la conformidad con ISO/IEC 27001. Obtenga más información en Uso de BitLocker con volúmenes compartidos de clúster (CSV).

Requisito 4: Proteger los datos de titulares de tarjetas con criptografía fuerte durante la transmisión a través de redes públicas abiertas

Protección del tráfico de red externo con TLS/DTLS

De forma predeterminada, todas las comunicaciones de host a puntos de conexión locales y remotos se cifran mediante TLS1.2, TLS1.3 y DTLS 1.2. La plataforma deshabilita el uso de protocolos o hash anteriores, como TLS/DTLS 1.1 SMB1. Azure Stack HCI también admite conjuntos de cifrado seguros, como curvas elípticas compatibles con SDL limitadas a curvas NIST P-256 y P-384 solo.

Requisito 5: Proteger todos los sistemas y redes del software malintencionado

Antivirus de Windows Defender

Antivirus de Windows Defender es una aplicación de utilidad que permite aplicar el examen del sistema en tiempo real y el examen periódico para proteger la plataforma y las cargas de trabajo contra virus, malware, spyware y otras amenazas. De forma predeterminada, Antivirus de Microsoft Defender está habilitado en Azure Stack HCI. Microsoft recomienda usar Antivirus de Microsoft Defender con Azure Stack HCI en lugar de software y servicios de detección de malware y antivirus de terceros, ya que pueden afectar a la capacidad del sistema operativo para recibir actualizaciones. Obtenga más información en Antivirus de Microsoft Defender en Windows Server.

Control de aplicaciones de Windows Defender (WDAC)

El Control de aplicaciones de Windows Defender (WDAC) está habilitado de forma predeterminada en Azure Stack HCI para controlar qué controladores y aplicaciones pueden ejecutarse directamente en cada servidor, lo que ayuda a evitar que el malware acceda a los sistemas. Obtenga más información sobre las directivas base incluidas en Azure Stack HCI y cómo crear directivas complementarias en Control de aplicaciones de Windows Defender para Azure Stack HCI.

Microsoft Defender for Cloud

Microsoft Defender for Cloud con Endpoint Protection (habilitado a través de planes de servidor) proporciona una solución de administración de la posición de seguridad con funcionalidades avanzadas de protección contra amenazas. Proporciona herramientas para evaluar el estado de seguridad de la infraestructura, proteger las cargas de trabajo, generar alertas de seguridad y seguir recomendaciones específicas para corregir ataques y abordar amenazas futuras. Realiza todos estos servicios a alta velocidad en la nube sin sobrecarga de implementación mediante el aprovisionamiento automático y la protección con los servicios de Azure. Obtenga más información en Microsoft Defender for Cloud.

Requisito 6: Desarrollar y mantener sistemas y software seguros

Actualización de plataforma

Todos los componentes de la plataforma Azure Stack HCI, incluidos el sistema operativo, los agentes principales y los servicios, y la extensión de solución, se pueden mantener fácilmente con el Administrador de ciclo de vida. Esta característica permite agrupar distintos componentes en una versión de actualización y valida la combinación de versiones para garantizar la interoperabilidad. Obtenga más información en Lifecycle Manager para las actualizaciones de soluciones de Azure Stack HCI.

Actualización de la carga de trabajo

En el caso de las cargas de trabajo que se ejecutan sobre la plataforma azure Stack HCI, incluidos los híbridos de Azure Kubernetes Service (AKS), Azure Arc y las máquinas virtuales de infraestructura (VM) que no están integradas en El Administrador de ciclo de vida, siga los métodos explicados en Uso de Lifecycle Manager para las actualizaciones para mantenerlos actualizados y alineados con los requisitos de PCI DSS.

Requisito 7: Restringir el acceso a los componentes del sistema y a los datos de los titulares de tarjetas por necesidad empresarial de conocer

Es su responsabilidad identificar roles y sus necesidades de acceso en función de los requisitos empresariales de su organización y, a continuación, asegurarse de que solo el personal autorizado tenga acceso a sistemas confidenciales y datos mediante la asignación de privilegios en función de las responsabilidades del trabajo. Use las funcionalidades descritas en requisito 8: identificar a los usuarios y autenticar el acceso a los componentes del sistema para implementar las directivas y los procedimientos.

Requisito 8: Identificación de usuarios y autenticación del acceso a los componentes del sistema

La plataforma Azure Stack HCI proporciona acceso completo y directo al sistema subyacente que se ejecuta en nodos de clúster a través de varias interfaces, como Azure Arc y Windows PowerShell. Puede usar herramientas convencionales de Windows en entornos locales o soluciones basadas en la nube, como Microsoft Entra ID (anteriormente Azure Active Directory) para administrar la identidad y el acceso a la plataforma. En ambos casos, puede aprovechar las características de seguridad integradas, como la autenticación multifactor (MFA), el acceso condicional, el control de acceso basado en rol (RBAC) y la administración de identidades con privilegios (PIM) para asegurarse de que el entorno sea seguro y compatible.

Obtenga más información sobre la administración de identidades y acceso locales en Microsoft Identity Manager y Privileged Access Management para Servicios de dominio de Active Directory. Obtenga más información sobre la administración de identidades y acceso basadas en la nube en Microsoft Entra ID.

Requisito 9: Restringir el acceso físico a los datos de los titulares de tarjetas

Para entornos locales, asegúrese de que la seguridad física sea acorde con el valor de la plataforma Azure Stack HCI y los datos que contiene.

Requisito 10: Registrar y supervisar todo el acceso a los componentes del sistema y a los datos de los titulares de tarjetas

Registros del sistema local

De forma predeterminada, todas las operaciones que se realizan en la plataforma azure Stack HCI se registran para que pueda realizar un seguimiento de quién hizo qué, cuándo y dónde se encuentra en la plataforma. También se incluyen registros y alertas creados por Windows Defender para ayudarte a evitar, detectar y minimizar la probabilidad y el impacto de un riesgo de datos. Sin embargo, dado que el registro del sistema a menudo contiene un gran volumen de información, gran parte de ella es extraño a la supervisión de la seguridad de la información, debe identificar qué eventos son relevantes para recopilarse y utilizarse con fines de supervisión de seguridad. Las funcionalidades de supervisión de Azure ayudan a recopilar, almacenar, alertar y analizar esos registros. Consulte la línea de base de seguridad para Azure Stack HCI para más información.

Registros de actividad local

Azure Stack HCI Lifecycle Manager crea y almacena registros de actividad para cualquier plan de acción ejecutado. Estos registros admiten una investigación más profunda y la supervisión del cumplimiento.

Registros de actividad en la nube

Al registrar los clústeres con Azure, puede usar los registros de actividad de Azure Monitor para registrar las operaciones en cada recurso en el nivel de suscripción para determinar qué, quién y cuándo para las operaciones de escritura (put, post o delete) tomadas en los recursos de la suscripción.

Registros de identidad en la nube

Si usa microsoft Entra ID para administrar la identidad y el acceso a la plataforma, puede ver los registros en los informes de Azure AD o integrarlos con Azure Monitor, Microsoft Sentinel u otras herramientas de SIEM o supervisión para sofisticados casos de uso de supervisión y análisis. Si usa Active Directory local, use la solución Microsoft Defender for Identity para consumir las señales de Active Directory local para identificar, detectar e investigar amenazas avanzadas, identidades en peligro y acciones internas malintencionadas dirigidas a su organización.

Integración de SIEM

Microsoft Defender for Cloud y Microsoft Sentinel se integran de forma nativa con nodos de Azure Stack HCI habilitados para Arc. Puede habilitar e incorporar los registros a Microsoft Sentinel, que proporciona la administración de eventos de información de seguridad (SIEM) y la funcionalidad de respuesta automatizada de orquestación de seguridad (SOAR). Microsoft Sentinel, al igual que otros servicios en la nube de Azure, cumple con muchos estándares de seguridad bien establecidos, como PCI DSS, HITRUST y Autorización de FedRAMP, que pueden ayudarle con el proceso de acreditación. Además, Azure Stack HCI proporciona un reenviador de eventos syslog nativo para enviar los eventos del sistema a soluciones SIEM de terceros.

Conclusiones de Azure Stack HCI

Azure Stack HCI Ideas le permite supervisar la información de mantenimiento, rendimiento y uso de los clústeres que están conectados a Azure y están inscritos en la supervisión. Durante Ideas configuración, se crea una regla de recopilación de datos, que especifica los datos que se van a recopilar. Estos datos se almacenan en un área de trabajo de Log Analytics, que luego se agrega, filtra y analiza para proporcionar paneles de supervisión precompilados mediante libros de Azure. Puede ver los datos de supervisión de un único clúster o varios clústeres desde la página de recursos de Azure Stack HCI o Azure Monitor. Obtenga más información en Supervisión de Azure Stack HCI con Ideas.

Métricas de Azure Stack HCI

Las métricas almacenan datos numéricos de recursos supervisados en una base de datos de serie temporal. Puede usar el explorador de métricas de Azure Monitor para analizar interactivamente los datos de la base de datos de métricas y trazar los valores de varias métricas a lo largo del tiempo. Con Las métricas, puede crear gráficos a partir de valores de métricas y correlacionar visualmente las tendencias.

Alertas de registro

Para indicar problemas en tiempo real, puede configurar alertas para sistemas de Azure Stack HCI, mediante consultas de registro de ejemplo preexistentes, como la CPU media del servidor, la memoria disponible, la capacidad de volumen disponible y mucho más. Obtenga más información en Configuración de alertas para sistemas de Azure Stack HCI.

Alertas de métricas

Una regla de alertas de métrica supervisa un recurso mediante la evaluación de las condiciones de las métricas de recursos a intervalos regulares. Si se cumplen las condiciones, se desencadena una alerta. Una serie temporal de métricas es una serie de valores de métricas capturados durante un período de tiempo. Puede usar estas métricas para crear reglas de alerta. Obtenga más información sobre cómo crear alertas de métricas en Alertas de métricas.

Alertas de servicio y dispositivo

Azure Stack HCI proporciona alertas basadas en servicios para la conectividad, las actualizaciones del sistema operativo, la configuración de Azure y mucho más. También hay disponibles alertas basadas en dispositivos para errores de estado del clúster. También puede supervisar clústeres de Azure Stack HCI y sus componentes subyacentes mediante PowerShell o Servicio de mantenimiento.

Requisito 11: Probar la seguridad de sistemas y redes con regularidad

Además de llevar a cabo evaluaciones frecuentes de seguridad y pruebas de penetración, también puede usar Microsoft Defender for Cloud para evaluar el estado de seguridad en cargas de trabajo híbridas en la nube y en el entorno local, incluidas máquinas virtuales, imágenes de contenedor y servidores SQL Server habilitados para Arc.

Requisito 12: Compatibilidad con la seguridad de la información con programas y directivas de la organización

Es su responsabilidad mantener las directivas y actividades de seguridad de la información que establecen el programa de seguridad de la organización y protegen el entorno de datos de los titulares de tarjetas. Las características de automatización que ofrecen los servicios de Azure, como Microsoft Entra ID y la información compartida en Detalles de la iniciativa integrada de cumplimiento normativo de PCI DSS, pueden ayudarle a reducir la molestia de administrar estas directivas y programas.