Azure Local and PCI DSS
Questo articolo illustra in che modo le funzionalità di sicurezza locale di Microsoft Azure possono aiutare le organizzazioni nel settore delle carte di pagamento a soddisfare i requisiti di controllo della sicurezza di PCI DSS, sia nel cloud che negli ambienti locali.
PCI DSS
Payment Card Industry (PCI) Data Security Standard (DSS) è uno standard globale di sicurezza delle informazioni progettato per prevenire frodi tramite un maggiore controllo dei dati della carta di credito. Pci DSS è imposto dai marchi di carte di pagamento e amministrato dal Payment Card Industry Security Standards Council.
La conformità a PCI DSS è necessaria per qualsiasi organizzazione che archivia, elabora o trasmette i dati dei titolari di carte. Le organizzazioni soggette alla conformità PCI DSS includono (ma non sono limitati a) commercianti, responsabili dei pagamenti, emittenti, acquirenti e provider di servizi.
Altre informazioni sullo standard sono disponibili nella libreria di documentazione di PCI Security Standards Council.
Responsabilità condivise
È importante comprendere che PCI DSS non è solo una tecnologia e uno standard di prodotto, ma che copre anche i requisiti di sicurezza per persone e processi. La responsabilità della conformità viene condivisa tra l'utente come entità coperta e Microsoft come provider di servizi.
Clienti Microsoft
Come entità coperta, è responsabilità dell'utente ottenere e gestire il proprio certificato PCI DSS. Le organizzazioni devono valutare l'ambiente distinto, in particolare le parti che ospitano i pagamenti dei servizi o i carichi di lavoro correlati ai pagamenti in cui vengono archiviati, elaborati e/o trasmessi i dati dei titolari di carte. Questa operazione è denominata ambiente dei dati dei titolari di carte.This is called the cardholder data environment (CDE). Successivamente, le organizzazioni devono pianificare e implementare i controlli di sicurezza, i criteri e le procedure appropriati per soddisfare tutti i requisiti specificati prima di eseguire un processo di test ufficiale. Le organizzazioni infine si contraeno con un esperto di sicurezza qualificato (QSA) che verifica se l'ambiente soddisfa tutti i requisiti.
Microsoft
Anche se è responsabilità dell'utente mantenere la conformità allo standard PCI DSS, non si è soli nel percorso. Microsoft fornisce materiali supplementari e funzionalità di sicurezza nell'ambiente ibrido per ridurre le attività e i costi associati per completare la convalida pci DSS. Ad esempio, invece di testare tutto da zero, i valutatori possono usare il attestazione di Azure di conformità (AOC) per la parte dell'ambiente dei dati dei titolari di carte distribuito in Azure. Per altre informazioni, vedere il contenuto seguente.
Conformità locale di Azure
Quando si progetta e si compila Un ambiente locale di Azure, Microsoft tiene conto dei requisiti di sicurezza sia per gli ambienti cloud Microsoft che per gli ambienti locali dei clienti.
Servizi cloud connessi
Azure Local offre un'integrazione approfondita con vari servizi di Azure, ad esempio Monitoraggio di Azure, Backup di Azure e Azure Site Recovery, per offrire nuove funzionalità all'impostazione ibrida. Questi servizi cloud sono certificati come conformi in PCI DSS versione 4.0 al livello 1 del provider di servizi. Altre informazioni sul programma di conformità dei servizi cloud di Azure sono disponibili in PCI DSS - Conformità di Azure.
Importante
È importante notare che lo stato di conformità di PCI DSS di Azure non si traduce automaticamente nella convalida PCI DSS per i servizi compilati o ospitati dalle organizzazioni nella piattaforma Azure. I clienti sono responsabili di garantire che le organizzazioni ottengano la conformità ai requisiti pci DSS.
Soluzioni locali
Come soluzione locale, Azure Locale offre una serie di funzionalità che consentono alle organizzazioni di soddisfare la conformità con PCI DSS e altri standard di sicurezza per i servizi finanziari.
Funzionalità locali di Azure rilevanti per PCI DSS
Questa sezione descrive brevemente come le organizzazioni possono usare la funzionalità locale di Azure per soddisfare i requisiti di PCI DSS. È importante notare che i requisiti di PCI DSS sono applicabili a tutti i componenti di sistema inclusi o connessi all'ambiente cde (Cardholder data environment).
Il contenuto seguente è incentrato sul livello della piattaforma locale di Azure, che ospita i pagamenti dei servizi o i carichi di lavoro correlati ai pagamenti che includono i dati dei titolari di carte.
Requisito 1: Installare e gestire i controlli di sicurezza di rete
Con Azure Locale è possibile applicare controlli di sicurezza di rete per proteggere la piattaforma e i carichi di lavoro in esecuzione da minacce di rete all'esterno e all'interno. La piattaforma garantisce anche un'allocazione di rete equa in un host e migliora le prestazioni e la disponibilità dei carichi di lavoro con funzionalità di bilanciamento del carico. Altre informazioni sulla sicurezza di rete in Locale di Azure sono disponibili negli articoli seguenti.
- Panoramica del firewall del data center
- Bilanciamento del carico software (SLB) per la rete SDN (Software Define Network)
- Gateway RAS (Remote Access Service) per SDN
- Criteri di qualità del servizio per i carichi di lavoro ospitati in Locale di Azure
Requisito 2: Applicare configurazioni sicure a tutti i componenti di sistema
Protezione per impostazione predefinita
Azure Local è configurato in modo sicuro per impostazione predefinita con strumenti e tecnologie di sicurezza per difendersi dalle minacce moderne e allinearsi alle baseline di sicurezza di calcolo di Azure. Per altre informazioni, vedere Impostazioni della baseline di sicurezza per Azure Locale.
Protezione deriva
La configurazione di sicurezza predefinita e le impostazioni di base protette della piattaforma sono protette sia durante la distribuzione che il runtime con protezione del controllo deriva. Se abilitata, la protezione del controllo deriva aggiorna regolarmente le impostazioni di sicurezza ogni 90 minuti per assicurarsi che le modifiche apportate allo stato specificato vengano corrette. Questo monitoraggio continuo e correzione automatica consente di avere una configurazione di sicurezza coerente e affidabile per tutto il ciclo di vita del dispositivo. È possibile disabilitare la protezione dalla deriva durante la distribuzione quando si configurano le impostazioni di sicurezza.
Baseline di sicurezza per il carico di lavoro
Per i carichi di lavoro in esecuzione in Locale di Azure, è possibile usare la baseline del sistema operativo consigliato di Azure (per Windows e Linux) come benchmark per definire la baseline di configurazione delle risorse di calcolo.
Requisito 3: Proteggere i dati dell'account archiviati
Crittografia dei dati con BitLocker
Nelle istanze locali di Azure è possibile crittografare tutti i dati inattivi tramite la crittografia bitlocker XTS-AES a 256 bit. Per impostazione predefinita, il sistema consiglia di abilitare BitLocker per crittografare tutti i volumi del sistema operativo e i volumi condivisi del cluster nella distribuzione locale di Azure. Per tutti i nuovi volumi di archiviazione aggiunti dopo la distribuzione, è necessario attivare manualmente BitLocker per crittografare il nuovo volume di archiviazione. L'uso di BitLocker per proteggere i dati può aiutare le organizzazioni a mantenere la conformità con ISO/IEC 27001. Per altre informazioni, vedere Usare BitLocker con volumi condivisi cluster (CSV).
Requisito 4: Proteggere i dati dei titolari di carte con crittografia avanzata durante la trasmissione su reti pubbliche aperte
Protezione del traffico di rete esterno con TLS/DTLS
Per impostazione predefinita, tutte le comunicazioni host verso endpoint locali e remoti vengono crittografate con TLS1.2, TLS1.3 e DTLS 1.2. La piattaforma disabilita l'uso di protocolli/hash meno recenti, ad esempio TLS/DTLS 1.1 SMB1. Azure Local supporta anche pacchetti di crittografia sicuri come curve ellittiche conformi a SDL limitate alle curve NIST solo P-256 e P-384.
Requisito 5: Proteggere tutti i sistemi e le reti da software dannoso
Windows Defender Antivirus
Windows Defender Antivirus è un'applicazione di utilità che consente l'applicazione di analisi del sistema in tempo reale e analisi periodica per proteggere la piattaforma e i carichi di lavoro da virus, malware, spyware e altre minacce. Per impostazione predefinita, Antivirus Microsoft Defender è abilitato in Locale di Azure. Microsoft consiglia di usare Antivirus Microsoft Defender con il software e i servizi di rilevamento antivirus e malware locali di Azure anziché con software e servizi di rilevamento malware di terze parti, in quanto possono influire sulla capacità del sistema operativo di ricevere gli aggiornamenti. Per altre informazioni, vedere Antivirus Microsoft Defender in Windows Server.
Controllo di applicazioni di Windows Defender (WDAC)
Windows Defender Application Control (WDAC) è abilitato per impostazione predefinita in Locale di Azure per controllare quali driver e applicazioni possono essere eseguiti direttamente in ogni server, impedendo così il malware di accedere ai sistemi. Altre informazioni sui criteri di base inclusi in Locale di Azure e su come creare criteri supplementari in Controllo delle applicazioni di Windows Defender per Azure Locale.
Microsoft Defender for Cloud
Microsoft Defender per il cloud con Endpoint Protection (abilitato tramite il piano Defender per server) offre una soluzione di gestione del comportamento di sicurezza con funzionalità avanzate di protezione dalle minacce. Offre strumenti per valutare lo stato di sicurezza dell'infrastruttura, proteggere i carichi di lavoro, generare avvisi di sicurezza e seguire raccomandazioni specifiche per correggere gli attacchi e affrontare le minacce future. Esegue tutti questi servizi ad alta velocità nel cloud senza sovraccarico di distribuzione tramite il provisioning automatico e la protezione con i servizi di Azure. Per altre informazioni, vedere Microsoft Defender per il cloud.
Requisito 6: Sviluppare e gestire sistemi e software sicuri
Aggiornamento della piattaforma
Tutti i componenti di Azure Local, inclusi il sistema operativo, gli agenti e i servizi principali e l'estensione della soluzione, possono essere gestiti facilmente con Lifecycle Manager. Questa funzionalità consente di aggregare componenti diversi in una versione di aggiornamento e convalida la combinazione di versioni per garantire l'interoperabilità. Per altre informazioni, vedere Lifecycle Manager per gli aggiornamenti della soluzione locale di Azure.
Aggiornamento del carico di lavoro
Per i carichi di lavoro in esecuzione su Locale di Azure, tra cui servizio Azure Kubernetes (AKS) ibrido, Azure Arc e macchine virtuali dell'infrastruttura (VM) che non sono integrate in Lifecycle Manager, seguire i metodi illustrati in Usare Lifecycle Manager per gli aggiornamenti per mantenerli aggiornati e allineati ai requisiti pci DSS.
Requisito 7: Limitare l'accesso ai componenti di sistema e ai dati dei titolari di carte da parte dell'azienda devono conoscere
È responsabilità dell'utente identificare i ruoli e le relative esigenze di accesso in base ai requisiti aziendali dell'organizzazione e quindi assicurarsi che solo il personale autorizzato abbia accesso a sistemi e dati sensibili assegnando privilegi in base alle responsabilità del lavoro. Usare le funzionalità descritte in Requisito 8: Identificare gli utenti e autenticare l'accesso ai componenti di sistema per implementare criteri e procedure.
Requisito 8: Identificare gli utenti e autenticare l'accesso ai componenti di sistema
Azure Local offre accesso completo e diretto al sistema sottostante in esecuzione nei computer tramite più interfacce, ad esempio Azure Arc e Windows PowerShell. È possibile usare gli strumenti di Windows convenzionali in ambienti locali o soluzioni basate sul cloud come Microsoft Entra ID (in precedenza Azure Active Directory) per gestire l'identità e l'accesso alla piattaforma. In entrambi i casi, è possibile sfruttare le funzionalità di sicurezza predefinite, ad esempio l'autenticazione a più fattori (MFA), l'accesso condizionale, il controllo degli accessi in base al ruolo e la gestione delle identità con privilegi (PIM) per garantire che l'ambiente sia sicuro e conforme.
Altre informazioni sulla gestione delle identità e degli accessi locali sono disponibili in Microsoft Identity Manager e Privileged Access Management per i servizi di Dominio di Active Directory. Altre informazioni sulla gestione delle identità e degli accessi basate sul cloud sono disponibili in Microsoft Entra ID.
Requisito 9: Limitare l'accesso fisico ai dati dei titolari di carte
Per gli ambienti locali, assicurarsi che la sicurezza fisica sia conforme al valore di Locale di Azure e ai dati contenuti.
Requisito 10: Registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati dei titolari di carte
Log di sistema locali
Per impostazione predefinita, tutte le operazioni eseguite all'interno di Locale di Azure vengono registrate in modo da tenere traccia di chi ha fatto cosa, quando e dove nella piattaforma. Sono inclusi anche i log e gli avvisi creati da Windows Defender per prevenire, rilevare e ridurre al minimo la probabilità e l'impatto di una compromissione dei dati. Tuttavia, poiché il log di sistema spesso contiene un volume elevato di informazioni, gran parte di esso estraneo al monitoraggio della sicurezza delle informazioni, è necessario identificare quali eventi sono rilevanti per essere raccolti e utilizzati a scopo di monitoraggio della sicurezza. Le funzionalità di monitoraggio di Azure consentono di raccogliere, archiviare, inviare avvisi e analizzare tali log. Per altre informazioni, fare riferimento alla baseline di sicurezza per Azure locale .
Log attività locali
Azure Local Lifecycle Manager crea e archivia i log attività per qualsiasi piano di azione eseguito. Questi log supportano analisi più approfondite e il monitoraggio della conformità.
Log attività cloud
Registrando i sistemi con Azure, è possibile usare i log attività di Monitoraggio di Azure per registrare le operazioni su ogni risorsa a livello di sottoscrizione per determinare cosa, chi e quando per le operazioni di scrittura (inserimento, post o eliminazione) eseguite sulle risorse nella sottoscrizione.
Log delle identità cloud
Se si usa Microsoft Entra ID per gestire l'identità e l'accesso alla piattaforma, è possibile visualizzare i log nella creazione di report di Azure AD o integrarli con Monitoraggio di Azure, Microsoft Sentinel o altri strumenti di monitoraggio e gestione degli eventi di sicurezza e gestione degli eventi di sicurezza e monitoraggio per casi d'uso avanzati di monitoraggio e analisi. Se si usa Active Directory locale, usare la soluzione Microsoft Defender per identità per usare i segnali di Active Directory locale per identificare, rilevare e analizzare minacce avanzate, identità compromesse e azioni interne dannose dirette al proprio organizzazione.
Integrazione SIEM
Microsoft Defender per il cloud e Microsoft Sentinel sono integrati in modo nativo con i computer locali di Azure abilitati per Arc. È possibile abilitare ed eseguire l'onboarding dei log in Microsoft Sentinel, che fornisce la funzionalità SIEM (Security Information Event Management) e security orchestration automated response (SOAR). Microsoft Sentinel, come altri servizi cloud di Azure, è conforme a molti standard di sicurezza ben definiti, ad esempio PCI DSS, HITRUST e l'autorizzazione FedRAMP, che possono essere utili per il processo di accreditamento. Inoltre, Locale di Azure fornisce un server d'inoltro eventi syslog nativo per inviare gli eventi di sistema a soluzioni SIEM di terze parti.
Informazioni dettagliate locali di Azure
Informazioni dettagliate locali di Azure consente di monitorare le informazioni sull'integrità, sulle prestazioni e sull'utilizzo per i sistemi connessi ad Azure e registrati nel monitoraggio. Durante la configurazione di Insights viene creata una regola di raccolta dati che specifica i dati da raccogliere. Questi dati vengono archiviati in un'area di lavoro Log Analytics, che viene quindi aggregata, filtrata e analizzata per fornire dashboard di monitoraggio predefiniti usando cartelle di lavoro di Azure. È possibile visualizzare i dati di monitoraggio sia per i sistemi a nodo singolo che per i sistemi multinodo dalla pagina delle risorse locali di Azure o da Monitoraggio di Azure. Per altre informazioni, vedere Monitorare l'ambiente locale di Azure con Informazioni dettagliate.
Metriche locali di Azure
Le metriche archivia i dati numerici dalle risorse monitorate in un database time series. È possibile usare Esplora metriche di Monitoraggio di Azure per analizzare in modo interattivo i dati nel database delle metriche e tracciare i valori di più metriche nel tempo. Con Le metriche è possibile creare grafici dai valori delle metriche e correlare visivamente le tendenze.
Avvisi relativi ai log
Per indicare problemi in tempo reale, è possibile configurare avvisi per le istanze locali di Azure usando query di log di esempio preesistenti, ad esempio CPU del server medio, memoria disponibile, capacità del volume disponibile e altro ancora. Per altre informazioni, vedere Configurare gli avvisi per le istanze locali di Azure.
Avvisi delle metriche
Una regola di avviso delle metriche monitora una risorsa valutando le condizioni sulle metriche delle risorse a intervalli regolari. Se le condizioni sono soddisfatte, viene generato un avviso. Una serie temporale della metrica è una serie di valori delle metriche acquisiti in un periodo di tempo. È possibile usare queste metriche per creare regole di avviso. Altre informazioni su come creare avvisi delle metriche in Avvisi delle metriche.
Avvisi del servizio e dei dispositivi
Azure Locale offre avvisi basati sul servizio per la connettività, gli aggiornamenti del sistema operativo, la configurazione di Azure e altro ancora. Sono disponibili anche avvisi basati su dispositivo per gli errori di integrità del cluster. È anche possibile monitorare le istanze locali di Azure e i relativi componenti sottostanti usando PowerShell o Servizio integrità.
Requisito 11: Testare regolarmente la sicurezza dei sistemi e delle reti
Oltre a eseguire frequenti valutazioni della sicurezza e test di penetrazione, è anche possibile usare Microsoft Defender per il cloud per valutare lo stato di sicurezza tra carichi di lavoro ibridi nel cloud e in locale, tra cui macchine virtuali, immagini del contenitore e server SQL abilitati per Arc.
Requisito 12: Supportare la sicurezza delle informazioni con i criteri e i programmi dell'organizzazione
È responsabilità dell'utente mantenere i criteri e le attività di sicurezza delle informazioni che stabiliscono il programma di sicurezza aziendale e salvaguardare l'ambiente dei dati dei titolari di carte. Le funzionalità di automazione offerte da servizi di Azure, ad esempio Microsoft Entra ID e le informazioni condivise in Dettagli dell'iniziativa predefinita per la conformità alle normative PCI DSS, consentono di ridurre il carico di gestione di questi criteri e programmi.