W tym artykule opisano zagadnienia dotyczące klastra usługi Azure Kubernetes Service (AKS), który jest skonfigurowany zgodnie z standardem Payment Card Industry Data Security Standard (PCI-DSS 3.2.1).
Ten artykuł jest częścią serii. Przeczytaj wprowadzenie.
Obsługa zasad zabezpieczeń informacji
Wymaganie 12 — zachowaj zasady, które dotyczą zabezpieczeń informacji dla wszystkich pracowników
Firma Microsoft kończy roczną ocenę PCI DSS przy użyciu zatwierdzonego kwalifikowanego oceniania zabezpieczeń (QSA). Weź pod uwagę wszystkie aspekty infrastruktury, programowania, operacji, zarządzania, pomocy technicznej i usług w zakresie. Aby uzyskać więcej informacji, zobacz Payment Card Industry (PCI) Data Security Standard (DSS).
Ta architektura i implementacja nie są zaprojektowane w celu zapewnienia ilustracyjnych wskazówek dotyczących dokumentowania oficjalnych zasad zabezpieczeń. Aby wziąć pod uwagę uwagi, zapoznaj się ze wskazówkami w oficjalnym standardzie PCI-DSS 3.2.1.
Poniżej przedstawiono kilka ogólnych sugestii:
Zachowaj szczegółową i zaktualizowaną dokumentację dotyczącą procesu i zasad. Rozważ użycie Menedżera zgodności usługi Microsoft Purview w celu oceny ryzyka.
W rocznym przeglądzie zasad zabezpieczeń uwzględnij nowe wskazówki dostarczone przez firmę Microsoft, Kubernetes i inne rozwiązania innych firm, które są częścią twojego rozwiązania CDE. Niektóre zasoby obejmują publikacje dostawców połączone ze wskazówkami pochodzącymi z Microsoft Defender dla Chmury, Azure Advisor, Azure Well-Architected Review i aktualizacjami w artykule AKS Azure Security Baseline and CIS Azure Kubernetes Service Benchmark i inne.
Podczas ustanawiania procesu oceny ryzyka należy dostosować do opublikowanego standardu, w którym jest to praktyczne, na przykład NIST SP 800-53. Zamapuj publikacje z opublikowanej listy zabezpieczeń dostawcy, takiej jak przewodnik Centrum zabezpieczeń firmy Microsoft, do procesu oceny ryzyka.
Aktualizuj aktualne informacje o spisie urządzeń i dokumentacji dotyczącej dostępu do personelu. Rozważ użycie funkcji odnajdywania urządzeń zawartych w Ochrona punktu końcowego w usłudze Microsoft Defender. W celu śledzenia dostępu można uzyskać te informacje z dzienników firmy Microsoft Entra. Oto kilka artykułów, które ułatwiają rozpoczęcie pracy:
W ramach zarządzania zapasami zachowaj listę zatwierdzonych rozwiązań wdrożonych w ramach infrastruktury PCI i obciążenia. Obejmuje to listę obrazów maszyn wirtualnych, baz danych i rozwiązań innych firm, które można przenieść do usługi CDE. Ten proces można nawet zautomatyzować, tworząc katalog usług. Zapewnia ona samoobsługowe wdrażanie przy użyciu tych zatwierdzonych rozwiązań w określonej konfiguracji, która jest zgodna z trwającymi operacjami platformy. Aby uzyskać więcej informacji, zobacz Ustanawianie wykazu usług.
Upewnij się, że kontakt zabezpieczeń odbiera powiadomienia o zdarzeniach platformy Azure od firmy Microsoft.
Te powiadomienia wskazują, czy zasób został naruszony. Umożliwia to zespołowi ds. operacji zabezpieczeń szybkie reagowanie na potencjalne zagrożenia bezpieczeństwa i ich korygowanie. Upewnij się, że informacje kontaktowe administratora w portalu rejestracji platformy Azure zawierają informacje kontaktowe, które będą powiadamiać operacje zabezpieczeń bezpośrednio lub szybko za pośrednictwem procesu wewnętrznego. Aby uzyskać szczegółowe informacje, zobacz Model operacji zabezpieczeń.
Poniżej przedstawiono inne artykuły, które pomogą Ci zaplanować zgodność operacyjną.
- Zarządzanie chmurą w przewodniku Cloud Adoption Framework
- Ład w przewodniku Microsoft Cloud Adoption Framework dla platformy Azure