Azure Local en PCI DSS

Van toepassing op: Azure Local 2311.2 en hoger

In dit artikel wordt uitgelegd hoe lokale beveiligingsfuncties van Microsoft Azure organisaties in de betaalkaartindustrie kunnen helpen de vereisten voor beveiligingscontrole van PCI DSS te realiseren, zowel in de cloud als in hun on-premises omgevingen.

PCI DSS

De PCI (Payment Card Industry) Data Security Standard (DSS) is een wereldwijde informatiebeveiligingsstandaard die is ontworpen om fraude te voorkomen door de controle over creditcardgegevens te vergroten. De PCI DSS wordt verplicht door betaalkaartmerken en beheerd door de Security Standards Council van de Payment Card Industry.

Naleving van PCI DSS is vereist voor elke organisatie waarin kaartaanduidingsgegevens (CHD) worden opgeslagen, verwerkt of verzonden. Organisaties die onderhevig zijn aan PCI DSS-naleving, omvatten (maar zijn niet beperkt tot) verkopers, betalingsverwerkers, uitgevers, verwervers en serviceproviders.

Meer informatie over de standaard vindt u in de documentatiebibliotheek voor PCI Security Standards Council.

Gedeelde verantwoordelijkheden

Het is belangrijk om te begrijpen dat PCI DSS niet alleen een technologie- en productstandaard is, maar dat het ook betrekking heeft op beveiligingsvereisten voor personen en processen. De verantwoordelijkheid voor naleving wordt gedeeld tussen u als een gedekte entiteit en Microsoft als serviceprovider.

Microsoft-klanten

Als gedekte entiteit is het uw verantwoordelijkheid om uw eigen PCI DSS-certificaat te bereiken en te beheren. Organisaties moeten hun afzonderlijke omgeving beoordelen, met name de onderdelen die servicebetalingen of betalingsgerelateerde workloads hosten waarbij gegevens van kaartaanduidingen worden opgeslagen, verwerkt en/of verzonden. Dit wordt de CDE (CardHolder Data Environment) genoemd. Daarna moeten organisaties de juiste beveiligingscontroles, beleidsregels en procedures plannen en implementeren om aan alle opgegeven vereisten te voldoen voordat ze een officieel testproces ondergaan. Organisaties contracteren uiteindelijk met een gekwalificeerde beveiligingsevaluatie (QSA) die controleert of de omgeving aan alle vereisten voldoet.

Microsoft

Hoewel het uw verantwoordelijkheid is om de naleving van de PCI DSS-standaard te handhaven, bent u niet alleen in het traject. Microsoft biedt aanvullende materialen en beveiligingsfuncties in de hybride omgeving om u te helpen de bijbehorende inspanning en kosten voor het voltooien van PCI DSS-validatie te verminderen. In plaats van alles helemaal opnieuw te testen, kunnen uw beoordelaars bijvoorbeeld de AOC (Azure Attestation of Compliance) gebruiken voor het gedeelte van de gegevensomgeving van de kaarthouder die in Azure is geïmplementeerd. Meer informatie vindt u in de volgende inhoud.

Lokale Naleving van Azure

Bij het ontwerpen en bouwen van Azure Local houdt Microsoft rekening met beveiligingsvereisten voor zowel de on-premises Omgevingen van Microsoft als de klant.

Verbonden cloudservices

Azure Local biedt uitgebreide integratie met verschillende Azure-services, zoals Azure Monitor, Azure Backup en Azure Site Recovery, om nieuwe mogelijkheden toe te passen aan de hybride instelling. Deze cloudservices zijn gecertificeerd als compatibel onder PCI DSS versie 4.0 op Service Provider Level 1. Meer informatie over het nalevingsprogramma van Azure-cloudservices op PCI DSS – Azure Compliance.

Belangrijk

Het is belangrijk te weten dat de nalevingsstatus van Azure PCI DSS niet automatisch wordt omgezet in PCI DSS-validatie voor de services die organisaties bouwen of hosten op het Azure-platform. Klanten zijn verantwoordelijk voor het garanderen dat hun organisaties voldoen aan de PCI DSS-vereisten.

Lokale oplossingen

Als on-premises oplossing biedt Azure Local een scala aan functies waarmee organisaties voldoen aan de naleving van PCI DSS en andere beveiligingsstandaarden voor financiële services.

Lokale Azure-mogelijkheden die relevant zijn voor PCI DSS

In deze sectie wordt kort beschreven hoe organisaties Azure Local-functionaliteit kunnen gebruiken om te voldoen aan de vereisten van PCI DSS. Het is belangrijk om te weten dat PCI DSS-vereisten van toepassing zijn op alle systeemonderdelen die zijn opgenomen in of zijn verbonden met de data-omgeving van de kaarthouder (CDE).

De volgende inhoud is gericht op het niveau van het lokale Azure-platform, dat als host fungeert voor servicebetalingen of betalingsgerelateerde workloads met gegevens van kaartaanduidingen.

Vereiste 1: Netwerkbeveiligingscontroles installeren en onderhouden

Met Azure Local kunt u netwerkbeveiligingscontroles toepassen om uw platform en de werkbelastingen die erop worden uitgevoerd, te beschermen tegen netwerkbedreigingen buiten en binnen. Het platform garandeert ook eerlijke netwerktoewijzing op een host en verbetert de workloadprestaties en beschikbaarheid met taakverdelingsmogelijkheden. Zie de volgende artikelen voor meer informatie over netwerkbeveiliging in Azure Local.

• Overzicht van Datacenter Firewall
• Software Load Balancer (SLB) voor Software Define Network (SDN)
• RAS-gateway (Remote Access Service) voor SDN
• Quality of Service-beleid voor uw workloads die worden gehost op Azure Local

Vereiste 2: Veilige configuraties toepassen op alle systeemonderdelen

Standaard beveiligen

Azure Local is standaard veilig geconfigureerd met beveiligingshulpprogramma's en -technologieën voor bescherming tegen moderne bedreigingen en is afgestemd op de Azure Compute Security-basislijnen. Meer informatie vindt u in de beveiligingsbasislijninstellingen voor Azure Local.

Driftbeveiliging

De standaardbeveiligingsconfiguratie en beveiligde kerninstellingen van het platform worden beveiligd tijdens zowel implementatie als runtime met driftbesturingsbeveiliging . Wanneer drift control bescherming is ingeschakeld, worden de beveiligingsinstellingen elke 90 minuten bijgewerkt om ervoor te zorgen dat wijzigingen van de opgegeven status worden hersteld. Dankzij deze continue bewaking en automatisch herstel kunt u gedurende de gehele levenscyclus van het apparaat een consistente en betrouwbare beveiligingsconfiguratie hebben. U kunt de driftbeveiliging uitschakelen tijdens de implementatie wanneer u de beveiligingsinstellingen configureert.

Beveiligingsbasislijn voor werkbelasting

Voor workloads die worden uitgevoerd in Azure Local, kunt u de door Azure aanbevolen basislijn voor besturingssystemen (voor Windows en Linux) gebruiken als benchmark om de basislijn voor de configuratie van uw rekenresource te definiëren.

Vereiste 3: Opgeslagen accountgegevens beveiligen

Gegevens versleutelen met BitLocker

Op lokale Azure-exemplaren kunnen alle data-at-rest worden versleuteld via BitLocker XTS-AES 256-bits versleuteling. Standaard wordt u aangeraden BitLocker in te schakelen voor het versleutelen van alle besturingssysteemvolumes en gedeelde clustervolumes (CSV) in uw lokale Azure-implementatie. Voor nieuwe opslagvolumes die na de implementatie zijn toegevoegd, moet u BitLocker handmatig inschakelen om het nieuwe opslagvolume te versleutelen. Door BitLocker te gebruiken om gegevens te beveiligen, kunnen organisaties voldoen aan ISO/IEC 27001. Meer informatie vindt u in BitLocker met gedeelde clustervolumes (CSV).

Vereiste 4: Gegevens van kaarthouders beveiligen met sterke cryptografie tijdens overdracht via open, openbare netwerken

Extern netwerkverkeer beveiligen met TLS/DTLS

Standaard worden alle hostcommunicatie naar lokale en externe eindpunten versleuteld met TLS1.2, TLS1.3 en DTLS 1.2. Het platform schakelt het gebruik van oudere protocollen/hashes, zoals TLS/DTLS 1.1 SMB1, uit. Azure Local biedt ook ondersteuning voor sterke versleutelsuites, zoals SDL-compatibele elliptische curven, die beperkt zijn tot alleen NIST-curven P-256 en P-384.

Vereiste 5: alle systemen en netwerken beschermen tegen schadelijke software

Windows Defender Antivirus

Windows Defender Antivirus is een hulpprogrammatoepassing waarmee realtime systeemscans en periodieke scans kunnen worden uitgevoerd om platformen en workloads te beschermen tegen virussen, malware, spyware en andere bedreigingen. Microsoft Defender Antivirus is standaard ingeschakeld op Azure Local. Microsoft raadt aan Om Microsoft Defender Antivirus te gebruiken met Azure Local in plaats van software en services voor het detecteren van malware van derden, omdat dit van invloed kan zijn op de mogelijkheid van het besturingssysteem om updates te ontvangen. Meer informatie vindt u in Microsoft Defender Antivirus op Windows Server.

Toepassingsbeheer

Toepassingsbeheer is standaard ingeschakeld in Azure Local om te bepalen welke stuurprogramma's en toepassingen rechtstreeks op elke server mogen worden uitgevoerd, zodat malware geen toegang heeft tot de systemen. Meer informatie over de basisbeleidsregels die zijn opgenomen in Azure Local en over hoe u aanvullende beleidsregels kunt maken bij Application Control voor Azure Local.

Microsoft Defender for Cloud

Microsoft Defender voor Cloud met Endpoint Protection (ingeschakeld via het Defender for Servers-plan) biedt een oplossing voor beveiligingspostuurbeheer met geavanceerde mogelijkheden voor bedreigingsbeveiliging. Het biedt u hulpprogramma's voor het beoordelen van de beveiligingsstatus van uw infrastructuur, het beveiligen van workloads, het genereren van beveiligingswaarschuwingen en het volgen van specifieke aanbevelingen voor het oplossen van aanvallen en het oplossen van toekomstige bedreigingen. Het voert al deze services met hoge snelheid uit in de cloud zonder implementatieoverhead via automatische inrichting en beveiliging met Azure-services. Meer informatie vindt u op Microsoft Defender voor Cloud.

Vereiste 6: Veilige systemen en software ontwikkelen en onderhouden

Platform update

Alle onderdelen van Azure Local, inclusief het besturingssysteem, de kernagenten en -services en de oplossingsextensie, kunnen eenvoudig worden onderhouden met levenscyclusbeheer. Met deze functie kunt u verschillende onderdelen bundelen in een updaterelease en de combinatie van versies valideren om interoperabiliteit te garanderen. Meer informatie vindt u in Lifecycle Manager voor updates van lokale Azure-oplossingen.

Werkbelastingupdate

Voor workloads die worden uitgevoerd boven op Azure Local, waaronder Azure Kubernetes Service (AKS) hybride, Virtuele Machines van Azure Arc en infrastructuur (VM's) die niet zijn geïntegreerd in Lifecycle Manager, volgt u de methoden die worden beschreven in Lifecycle Manager voor updates om ze bijgewerkt en afgestemd te houden op PCI DSS-vereisten.

Vereiste 7: De toegang tot systeemonderdelen en gegevens van de kaarthouder beperken op zakelijk belang

Het is uw verantwoordelijkheid om rollen en hun toegangsbehoeften te identificeren op basis van de bedrijfsvereisten van uw organisatie en ervoor te zorgen dat alleen geautoriseerd personeel toegang heeft tot gevoelige systemen en gegevens door bevoegdheden toe te wijzen op basis van taakverantwoordelijkheden. Gebruik de mogelijkheden die worden beschreven in Vereiste 8: Gebruikers identificeren en toegang tot systeemonderdelen verifiëren om uw beleid en procedures te implementeren.

Vereiste 8: gebruikers identificeren en toegang tot systeemonderdelen verifiëren

Azure Local biedt volledige en directe toegang tot het onderliggende systeem dat wordt uitgevoerd op computers via meerdere interfaces, zoals Azure Arc en Windows PowerShell. U kunt conventionele Windows-hulpprogramma's gebruiken in lokale omgevingen of cloudoplossingen zoals Microsoft Entra ID (voorheen Azure Active Directory) om identiteit en toegang tot het platform te beheren. In beide gevallen kunt u profiteren van ingebouwde beveiligingsfuncties, zoals meervoudige verificatie (MFA), voorwaardelijke toegang, op rollen gebaseerd toegangsbeheer (RBAC) en PIM (Privileged Identity Management) om ervoor te zorgen dat uw omgeving veilig en compatibel is.

Meer informatie over lokaal identiteits- en toegangsbeheer in Microsoft Identity Manager en Privileged Access Management voor Active Directory-domein Services. Meer informatie over identiteits- en toegangsbeheer in de cloud vindt u in Microsoft Entra ID.

Vereiste 9: fysieke toegang beperken tot gegevens van de kaarthouder

Voor on-premises omgevingen zorgt u ervoor dat de fysieke beveiliging voldoet aan de waarde van Azure Local en de gegevens die deze bevat.

Vereiste 10: Alle toegang tot systeemonderdelen en gegevens van kaarthouders vastleggen en bewaken

Lokale systeemlogboeken

Standaard worden alle bewerkingen die worden uitgevoerd in Azure Local vastgelegd, zodat u kunt bijhouden wie wat heeft gedaan, wanneer en waar op het platform. Logboeken en waarschuwingen die door Windows Defender zijn gemaakt, worden ook opgenomen om u te helpen bij het voorkomen, detecteren en minimaliseren van de kans en impact van een inbreuk op gegevens. Omdat het systeemlogboek echter vaak een grote hoeveelheid informatie bevat, veel van het overbodige aan gegevensbeveiligingsbewaking, moet u bepalen welke gebeurtenissen relevant zijn om te worden verzameld en gebruikt voor beveiligingsbewakingsdoeleinden. Azure-bewakingsmogelijkheden helpen bij het verzamelen, opslaan, waarschuwen en analyseren van deze logboeken. Raadpleeg de beveiligingsbasislijn voor Azure Local voor meer informatie.

Lokale activiteitenlogboeken

Met Azure Local Lifecycle Manager worden activiteitenlogboeken gemaakt en opgeslagen voor elk uitgevoerd actieplan. Deze logboeken ondersteunen dieper onderzoek en nalevingscontrole.

Activiteitenlogboeken van de cloud

Door uw systemen bij Azure te registreren, kunt u Azure Monitor-activiteitenlogboeken gebruiken om vast te leggen welke bewerkingen zijn uitgevoerd op elke resource op de abonnementslaag, evenals wie ze heeft uitgevoerd en wanneer, voor schrijfbewerkingen (put, post of delete) op de resources in uw abonnement.

Cloudidentiteitslogboeken

Als u Microsoft Entra-id gebruikt om identiteit en toegang tot het platform te beheren, kunt u logboeken in Azure AD-rapportage bekijken of integreren met Azure Monitor, Microsoft Sentinel of andere SIEM-/bewakingshulpprogramma's voor geavanceerde gebruiksscenario's voor bewaking en analyse. Als u on-premises Active Directory gebruikt, gebruikt u de Microsoft Defender for Identity-oplossing om uw on-premises Active Directory-signalen te gebruiken om geavanceerde bedreigingen, gecompromitteerde identiteiten en schadelijke insideracties te identificeren, te detecteren en te onderzoeken die zijn gericht op uw organisatie.

Integratie van SIEM

Microsoft Defender voor Cloud en Microsoft Sentinel is systeemeigen geïntegreerd met lokale Azure-machines met Arc. U kunt uw logboeken inschakelen en onboarden naar Microsoft Sentinel, dat de mogelijkheid biedt voor SIEM (Security Information Event Management) en SOAR-functionaliteit (Security Orchestration Automated Response). Microsoft Sentinel, net als andere Azure-cloudservices, voldoet aan veel bekende beveiligingsstandaarden, zoals PCI DSS, HITRUST en FedRAMP Authorization, die u kunnen helpen bij uw accreditatieproces. Daarnaast biedt Azure Local een systeemeigen syslog-gebeurtenisstuurserver voor het verzenden van de systeem gebeurtenissen naar SIEM-oplossingen van derden.

Azure Local Insights

Met Azure Local Insights kunt u status-, prestatie- en gebruiksgegevens bewaken voor systemen die zijn verbonden met Azure en die zijn ingeschreven bij bewaking. Tijdens de configuratie van Insights wordt een regel voor gegevensverzameling gemaakt, waarmee de gegevens worden opgegeven die moeten worden verzameld. Deze gegevens worden opgeslagen in een Log Analytics-werkruimte, die vervolgens wordt geaggregeerd, gefilterd en geanalyseerd om vooraf gemaakte bewakingsdashboards te bieden met behulp van Azure-werkmappen. U kunt de bewakingsgegevens voor zowel één knooppunt als systemen met meerdere knooppunten bekijken vanaf uw lokale Azure-resourcepagina of Azure Monitor. Meer informatie vindt u in Monitor Azure Local met Insights.

Lokale metrische gegevens van Azure

Metrische gegevens slaan numerieke gegevens van bewaakte resources op in een tijdreeksdatabase. U kunt Azure Monitor Metrics Explorer gebruiken om de gegevens in uw metrische database interactief te analyseren en de waarden van meerdere metrische gegevens in de loop van de tijd in kaart te brengen. Met metrische gegevens kunt u grafieken maken op basis van metrische waarden en trends visueel correleren.

Logboekwaarschuwingen

Als u in realtime problemen wilt aangeven, kunt u waarschuwingen instellen voor lokale Azure-exemplaren, met behulp van bestaande voorbeeldlogboekquery's zoals gemiddelde server-CPU, beschikbaar geheugen, beschikbare volumecapaciteit en meer. Meer informatie over het instellen van waarschuwingen voor lokale Azure-exemplaren.

Waarschuwingen voor metrische gegevens

Een waarschuwingsregel voor metrische gegevens bewaakt een resource door met regelmatige tussenpozen voorwaarden voor de metrische gegevens van de resource te evalueren. Als aan deze voorwaarden wordt voldaan, wordt er een waarschuwing geactiveerd. Een metrische tijdreeks is een reeks metrische waarden die gedurende een bepaalde periode zijn vastgelegd. U kunt deze metrische gegevens gebruiken om waarschuwingsregels te maken. Meer informatie over het maken van waarschuwingen voor metrische gegevens bij metrische waarschuwingen.

Service- en apparaatwaarschuwingen

Azure Local biedt op services gebaseerde waarschuwingen voor connectiviteit, updates van het besturingssysteem, Azure-configuratie en meer. Op apparaten gebaseerde waarschuwingen voor clusterstatusfouten zijn ook beschikbaar. U kunt ook lokale Azure-exemplaren en hun onderliggende onderdelen bewaken met behulp van PowerShell of Health Service.

Vereiste 11: De beveiliging van systemen en netwerken regelmatig testen

Naast het uitvoeren van frequente beveiligingsevaluaties en penetratietests zelf, kunt u ook Microsoft Defender voor Cloud gebruiken om de beveiligingsstatus te beoordelen voor hybride workloads in de cloud en on-premises, waaronder virtuele machines, containerinstallatiekopieën en SQL-servers waarvoor Arc is ingeschakeld.

Vereiste 12: Informatiebeveiliging ondersteunen met organisatiebeleid en -programma's

Het is uw verantwoordelijkheid om het informatiebeveiligingsbeleid en de activiteiten te onderhouden die uw organisatiebeveiligingsprogramma tot stand brengen en uw gegevensomgeving voor de kaarthouder beschermen. De automatiseringsfuncties die worden aangeboden door Azure-services zoals Microsoft Entra ID en de informatie die wordt gedeeld in details van het ingebouwde pci DSS-initiatief voor naleving van regelgeving, kan u helpen om de belasting van het beheer van dit beleid en programma's te verminderen.