Azure Local and PCI DSS
W tym artykule wyjaśniono, jak funkcje zabezpieczeń lokalnych platformy Microsoft Azure mogą pomóc organizacjom w branży kart płatniczych osiągnąć wymagania dotyczące kontroli zabezpieczeń PCI DSS, zarówno w chmurze, jak i w środowiskach lokalnych.
PCI DSS
Payment Card Industry (PCI) Data Security Standard (DSS) to globalny standard zabezpieczeń informacji zaprojektowany w celu zapobiegania oszustwom dzięki zwiększonej kontroli nad danymi kart kredytowych. PCI DSS jest upoważniony przez marki kart płatniczych i administrowane przez Payment Card Industry Security Standards Council.
Zgodność z normą PCI DSS jest wymagana dla każdej organizacji, która przechowuje, przetwarza lub przesyła dane karty (CHD). Organizacje objęte zgodnością PCI DSS obejmują (ale nie tylko) handlowców, podmiotów przetwarzających płatności, wystawców, nabywców i dostawców usług.
Dowiedz się więcej o standardzie w bibliotece dokumentacji Rady Standardów Bezpieczeństwa PCI.
Wspólna odpowiedzialność
Ważne jest, aby zrozumieć, że PCI DSS nie jest tylko standardem technologii i produktu, ale obejmuje również wymagania dotyczące zabezpieczeń dla osób i procesów. Odpowiedzialność za zgodność jest współdzielona między Tobą jako jednostka objęta a firmą Microsoft jako dostawca usług.
Klienci firmy Microsoft
Jako jednostka objęta obowiązkiem jest osiągnięcie własnego certyfikatu PCI DSS i zarządzanie nim. Organizacje muszą ocenić swoje odrębne środowisko, zwłaszcza części hostujące płatności usług lub obciążenia związane z płatnościami, w których dane posiadaczy kart są przechowywane, przetwarzane i/lub przesyłane. Jest to nazywane środowiskiem danych karty (CDE). Następnie organizacje muszą zaplanować i wdrożyć odpowiednie mechanizmy kontroli zabezpieczeń, zasady i procedury, aby spełnić wszystkie określone wymagania przed przejściem oficjalnego procesu testowania. Organizacje ostatecznie umowy z kwalifikowanym doradcą oceny zabezpieczeń (QSA), który sprawdza, czy środowisko spełnia wszystkie wymagania.
Microsoft
Chociaż twoim zadaniem jest zachowanie zgodności ze standardem PCI DSS, nie jesteś sam w podróży. Firma Microsoft udostępnia dodatkowe materiały i funkcje zabezpieczeń w środowisku hybrydowym, co pomaga zmniejszyć związane z tym nakłady pracy i koszty ukończenia weryfikacji PCI DSS. Na przykład zamiast testować wszystko od podstaw, twoi asesorzy mogą używać zaświadczania o zgodności (AOC) platformy Azure dla części środowiska danych posiadaczy kart, które jest wdrażane na platformie Azure. Dowiedz się więcej w następującej zawartości.
Zgodność lokalna platformy Azure
Podczas projektowania i tworzenia środowiska lokalnego platformy Azure firma Microsoft uwzględnia wymagania dotyczące zabezpieczeń zarówno dla chmury firmy Microsoft, jak i środowiska lokalnego klienta.
Połączone usługi w chmurze
Usługa Azure Local oferuje głęboką integrację z różnymi usługami platformy Azure, takimi jak Azure Monitor, Azure Backup i Azure Site Recovery, w celu wprowadzenia nowych funkcji do ustawienia hybrydowego. Te usługi w chmurze są certyfikowane jako zgodne w standardzie PCI DSS w wersji 4.0 na poziomie dostawcy usług 1. Dowiedz się więcej o programie zgodności usług w chmurze platformy Azure na stronie PCI DSS — Azure Compliance.
Ważne
Należy pamiętać, że stan zgodności ze standardem PCI DSS platformy Azure nie jest automatycznie tłumaczony na walidację PCI DSS dla usług, które organizacje tworzą lub hostują na platformie Azure. Klienci są odpowiedzialni za zapewnienie, że ich organizacje osiągną zgodność z wymaganiami PCI DSS.
Rozwiązania lokalne
Jako rozwiązanie lokalne platforma Azure Local udostępnia szereg funkcji, które pomagają organizacjom spełnić zgodność ze standardami PCI DSS i innymi standardami zabezpieczeń usług finansowych.
Możliwości lokalne platformy Azure związane z pci DSS
W tej sekcji krótko opisano, jak organizacje mogą używać funkcji lokalnych platformy Azure do spełnienia wymagań PCI DSS. Należy pamiętać, że wymagania PCI DSS mają zastosowanie do wszystkich składników systemowych zawartych w środowisku danych karty (CDE) lub podłączonych do niego.
Poniższa zawartość koncentruje się na poziomie platformy Lokalnej platformy Azure, który hostuje płatności usług lub obciążenia związane z płatnościami, które obejmują dane posiadaczy kart.
Wymaganie 1: Instalowanie i utrzymywanie mechanizmów kontroli zabezpieczeń sieci
Dzięki usłudze Azure Local możesz zastosować mechanizmy zabezpieczeń sieci w celu ochrony platformy i obciążeń uruchomionych na niej przed zagrożeniami sieciowymi poza i wewnątrz. Platforma gwarantuje również uczciwą alokację sieci na hoście oraz zwiększa wydajność i dostępność obciążeń dzięki możliwościom równoważenia obciążenia. Więcej informacji na temat zabezpieczeń sieci w usłudze Azure Local można uzyskać w następujących artykułach.
- Omówienie zapory centrum danych
- Programowy moduł równoważenia obciążenia (SLB) dla oprogramowania Define Network (SDN)
- Brama usługi dostępu zdalnego (RAS) dla sieci SDN
- Zasady jakości usług dla obciążeń hostowanych na platformie Azure Lokalnie
Wymaganie 2: Stosowanie bezpiecznych konfiguracji do wszystkich składników systemu
Zabezpieczanie domyślnie
Usługa Azure Local jest domyślnie konfigurowana z użyciem narzędzi i technologii zabezpieczeń w celu obrony przed nowoczesnymi zagrożeniami i dopasowania ich do punktów odniesienia zabezpieczeń usługi Azure Compute. Dowiedz się więcej na stronie Ustawienia punktu odniesienia zabezpieczeń dla usługi Azure Local.
Ochrona dryfu
Domyślna konfiguracja zabezpieczeń i ustawienia zabezpieczonego rdzenia platformy są chronione zarówno podczas wdrażania, jak i środowiska uruchomieniowego z ochroną kontroli dryfu. Po włączeniu ochrona przed dryfem odświeża ustawienia zabezpieczeń regularnie co 90 minut, aby upewnić się, że wszelkie zmiany z określonego stanu zostaną skorygowane. To ciągłe monitorowanie i autoremediation umożliwia uzyskanie spójnej i niezawodnej konfiguracji zabezpieczeń w całym cyklu życia urządzenia. Ochronę dryfu można wyłączyć podczas wdrażania podczas konfigurowania ustawień zabezpieczeń.
Punkt odniesienia zabezpieczeń dla obciążenia
W przypadku obciążeń uruchomionych na platformie Azure Lokalnie można użyć zalecanego planu bazowego systemu operacyjnego platformy Azure (zarówno dla systemu Windows , jak i Linux) jako testu porównawczego w celu zdefiniowania punktu odniesienia konfiguracji zasobów obliczeniowych.
Wymaganie 3. Ochrona przechowywanych danych konta
Szyfrowanie danych za pomocą funkcji BitLocker
W przypadku wystąpień lokalnych platformy Azure wszystkie dane magazynowane mogą być szyfrowane za pośrednictwem 256-bitowego szyfrowania XTS-AES funkcji BitLocker. Domyślnie system zaleca włączenie funkcji BitLocker do szyfrowania wszystkich woluminów systemu operacyjnego i udostępnionych woluminów klastra (CSV) w ramach wdrożenia lokalnego platformy Azure. W przypadku wszystkich nowych woluminów magazynu dodanych po wdrożeniu należy ręcznie włączyć funkcję BitLocker, aby zaszyfrować nowy wolumin magazynu. Używanie funkcji BitLocker do ochrony danych może pomóc organizacjom zachować zgodność z normą ISO/IEC 27001. Dowiedz się więcej na temat używania funkcji BitLocker z udostępnionymi woluminami klastra (CSV).
Wymaganie 4. Ochrona danych posiadaczy kart przy użyciu silnej kryptografii podczas transmisji przez otwarte sieci publiczne
Ochrona ruchu sieciowego zewnętrznego za pomocą protokołu TLS/DTLS
Domyślnie cała komunikacja hosta z lokalnymi i zdalnymi punktami końcowymi jest szyfrowana przy użyciu protokołów TLS1.2, TLS1.3 i DTLS 1.2. Platforma wyłącza korzystanie ze starszych protokołów/skrótów, takich jak TLS/DTLS 1.1 SMB1. Usługa Azure Local obsługuje również silne zestawy szyfrowania, takie jak krzywe eliptyczne zgodne ze standardem SDL ograniczone do krzywych NIST P-256 i P-384.
Wymaganie 5. Ochrona wszystkich systemów i sieci przed złośliwym oprogramowaniem
Program antywirusowy Windows Defender
Program antywirusowy Windows Defender to aplikacja narzędziowa, która umożliwia wymuszanie skanowania systemu w czasie rzeczywistym i okresowego skanowania w celu ochrony platformy i obciążeń przed wirusami, złośliwym oprogramowaniem, programami szpiegującymi i innymi zagrożeniami. Domyślnie Program antywirusowy Microsoft Defender jest włączona w usłudze Azure Local. Firma Microsoft zaleca używanie Program antywirusowy Microsoft Defender z platformą Azure lokalnie, a nie oprogramowaniem antywirusowym i usługami wykrywania złośliwego oprogramowania, ponieważ może to mieć wpływ na zdolność systemu operacyjnego do odbierania aktualizacji. Dowiedz się więcej na stronie Program antywirusowy Microsoft Defender w systemie Windows Server.
Windows Defender Application Control (WDAC)
Funkcja Windows Defender Application Control (WDAC) jest domyślnie włączona w usłudze Azure Local w celu kontrolowania, które sterowniki i aplikacje mogą być uruchamiane bezpośrednio na każdym serwerze, co pomaga zapobiec uzyskiwaniu dostępu do systemów przez złośliwe oprogramowanie. Dowiedz się więcej na temat zasad podstawowych zawartych w usłudze Azure Local i sposobu tworzenia zasad uzupełniających w temacie Kontrola aplikacji usługi Windows Defender dla platformy Azure Lokalnie.
Microsoft Defender for Cloud
Microsoft Defender dla Chmury z programem Endpoint Protection (włączonym za pośrednictwem planu usługi Defender for Servers) zapewnia rozwiązanie do zarządzania stanem zabezpieczeń z zaawansowanymi funkcjami ochrony przed zagrożeniami. Udostępnia ona narzędzia umożliwiające ocenę stanu zabezpieczeń infrastruktury, ochronę obciążeń, podniesienie alertów zabezpieczeń oraz wykonanie określonych zaleceń w celu skorygowania ataków i rozwiązania przyszłych zagrożeń. Wykonuje ona wszystkie te usługi z dużą szybkością w chmurze bez obciążeń związanych z wdrażaniem dzięki automatycznej aprowizacji i ochronie usług platformy Azure. Dowiedz się więcej na stronie Microsoft Defender dla Chmury.
Wymaganie 6. Opracowywanie i utrzymywanie bezpiecznych systemów i oprogramowania
Aktualizacja platformy
Wszystkie składniki usługi Azure Local, w tym system operacyjny, agenci i usługi podstawowe oraz rozszerzenie rozwiązania, można łatwo obsługiwać za pomocą Menedżera cyklu życia. Ta funkcja umożliwia łączenie różnych składników w wydanie aktualizacji i weryfikowanie kombinacji wersji w celu zapewnienia współdziałania. Dowiedz się więcej na stronie Menedżer cyklu życia aktualizacji rozwiązań lokalnych platformy Azure.
Aktualizacja obciążenia
W przypadku obciążeń działających na platformie Azure lokalnie, w tym hybrydowej usługi Azure Kubernetes Service (AKS), usługi Azure Arc i maszyn wirtualnych infrastruktury, które nie są zintegrowane z menedżerem cyklu życia, postępuj zgodnie z metodami opisanymi w temacie Use Lifecycle Manager (Używanie menedżera cyklu życia), aby aktualizować je i dostosowywać do wymagań PCI DSS.
Wymaganie 7. Ograniczanie dostępu do składników systemowych i danych posiadaczy kart przez firmę musi wiedzieć
Twoim zadaniem jest zidentyfikowanie ról i ich potrzeb związanych z dostępem na podstawie wymagań biznesowych organizacji, a następnie upewnienie się, że tylko autoryzowani pracownicy mają dostęp do poufnych systemów i danych, przypisując uprawnienia na podstawie obowiązków związanych z zadaniem. Skorzystaj z możliwości opisanych w temacie Wymaganie 8: Identyfikowanie użytkowników i uwierzytelnianie dostępu do składników systemu w celu zaimplementowania zasad i procedur.
Wymaganie 8. Identyfikowanie użytkowników i uwierzytelnianie dostępu do składników systemowych
Usługa Azure Local zapewnia pełny i bezpośredni dostęp do podstawowego systemu uruchomionego na maszynach za pośrednictwem wielu interfejsów, takich jak Azure Arc i Windows PowerShell. Do zarządzania tożsamościami i dostępem do platformy można użyć konwencjonalnych narzędzi systemu Windows w środowiskach lokalnych lub rozwiązań opartych na chmurze, takich jak Microsoft Entra ID (dawniej Azure Active Directory). W obu przypadkach można korzystać z wbudowanych funkcji zabezpieczeń, takich jak uwierzytelnianie wieloskładnikowe (MFA), dostęp warunkowy, kontrola dostępu oparta na rolach (RBAC) i zarządzanie tożsamościami uprzywilejowanymi (PIM), aby zapewnić bezpieczeństwo i zgodność środowiska.
Dowiedz się więcej o zarządzaniu tożsamościami lokalnymi i dostępem w usłudze Microsoft Identity Manager i Privileged Access Management for domena usługi Active Directory Services. Dowiedz się więcej na temat zarządzania tożsamościami i dostępem opartymi na chmurze na stronie Microsoft Entra ID.
Wymaganie 9: Ograniczanie fizycznego dostępu do danych posiadaczy kart
W przypadku środowisk lokalnych upewnij się, że zabezpieczenia fizyczne są współmierne z wartością usługi Azure Local i danymi, które zawiera.
Wymaganie 10: Rejestrowanie i monitorowanie całego dostępu do składników systemowych i danych karty
Dzienniki systemu lokalnego
Domyślnie wszystkie operacje wykonywane w ramach usługi Azure Local są rejestrowane, aby śledzić, kto zrobił co, kiedy i gdzie na platformie. Dzienniki i alerty utworzone przez usługę Windows Defender są również uwzględniane w celu zapobiegania, wykrywania i minimalizowania prawdopodobieństwa naruszenia zabezpieczeń danych oraz ich wpływu. Jednak ponieważ dziennik systemu często zawiera dużą ilość informacji, wiele z nich jest nadmiarowych do monitorowania zabezpieczeń informacji, należy określić, które zdarzenia mają być zbierane i wykorzystywane do celów monitorowania zabezpieczeń. Funkcje monitorowania platformy Azure ułatwiają zbieranie, przechowywanie, alerty i analizowanie tych dzienników. Zapoznaj się z punktem odniesienia zabezpieczeń dla platformy Azure Local , aby dowiedzieć się więcej.
Lokalne dzienniki aktywności
Menedżer cyklu życia lokalnego platformy Azure tworzy i przechowuje dzienniki aktywności dla dowolnego wykonanego planu działania. Te dzienniki obsługują dokładniejsze badanie i monitorowanie zgodności.
Dzienniki aktywności w chmurze
Rejestrując systemy na platformie Azure, możesz użyć dzienników aktywności usługi Azure Monitor, aby rejestrować operacje na poszczególnych zasobach w warstwie subskrypcji, aby określić, co, kto i kiedy dla jakichkolwiek operacji zapisu (umieścić, opublikować lub usunąć) pobranych na zasoby w subskrypcji.
Dzienniki tożsamości w chmurze
Jeśli używasz identyfikatora Entra firmy Microsoft do zarządzania tożsamościami i dostępem do platformy, możesz wyświetlać dzienniki w raportach usługi Azure AD lub integrować je z usługą Azure Monitor, Microsoft Sentinel lub innymi narzędziami SIEM/monitorowania do zaawansowanych przypadków użycia monitorowania i analizy. Jeśli używasz lokalna usługa Active Directory, użyj rozwiązania Microsoft Defender for Identity, aby wykorzystać sygnały lokalna usługa Active Directory do identyfikowania, wykrywania i badania zaawansowanych zagrożeń, tożsamości z naruszonymi zabezpieczeniami i złośliwych akcji wewnętrznych skierowanych do organizacji.
Integracja rozwiązania SIEM
Microsoft Defender dla Chmury i Microsoft Sentinel są natywnie zintegrowane z maszynami lokalnymi platformy Azure z obsługą usługi Arc. Dzienniki można włączyć i dołączyć do usługi Microsoft Sentinel, która zapewnia funkcję zarządzania zdarzeniami zabezpieczeń (SIEM) i automatycznego reagowania na zdarzenia zabezpieczeń (SOAR). Usługa Microsoft Sentinel, podobnie jak inne usługi w chmurze platformy Azure, jest zgodna z wieloma dobrze ugruntowanymi standardami zabezpieczeń, takimi jak PCI DSS, HITRUST i FedRAMP Authorization, co może pomóc w procesie akredytacji. Ponadto usługa Azure Local udostępnia natywny moduł przesyłania dalej zdarzeń dziennika systemowego w celu wysyłania zdarzeń systemowych do rozwiązań SIEM innych firm.
Azure Local Insights
Usługa Azure Local Insights umożliwia monitorowanie informacji o kondycji, wydajności i użyciu dla systemów połączonych z platformą Azure i zarejestrowanych w monitorowaniu. Podczas konfigurowania usługi Insights tworzona jest reguła zbierania danych, która określa dane do zebrania. Te dane są przechowywane w obszarze roboczym usługi Log Analytics, który jest następnie agregowany, filtrowany i analizowany w celu zapewnienia wstępnie utworzonych pulpitów nawigacyjnych monitorowania przy użyciu skoroszytów platformy Azure. Dane monitorowania dla systemów z jednym węzłem i wieloma węzłami można wyświetlić na stronie zasobów lokalnych platformy Azure lub w usłudze Azure Monitor. Dowiedz się więcej na stronie Monitorowanie usługi Azure Local za pomocą szczegółowych informacji.
Metryki lokalne platformy Azure
Metryki przechowują dane liczbowe z monitorowanych zasobów do bazy danych szeregów czasowych. Eksplorator metryk usługi Azure Monitor umożliwia interaktywne analizowanie danych w bazie danych metryk i tworzenie wykresów wartości wielu metryk w czasie. Za pomocą metryk można tworzyć wykresy na podstawie wartości metryk i wizualnie korelować trendy.
Alerty dotyczące dzienników
Aby wskazać problemy w czasie rzeczywistym, możesz skonfigurować alerty dla wystąpień lokalnych platformy Azure przy użyciu wstępnie istniejących przykładowych zapytań dziennika, takich jak średnie użycie procesora CPU serwera, dostępna pamięć, dostępna pojemność woluminu i nie tylko. Dowiedz się więcej na stronie Konfigurowanie alertów dla wystąpień lokalnych platformy Azure.
Alerty dotyczące metryk
Reguła alertu metryki monitoruje zasób, oceniając warunki metryk zasobów w regularnych odstępach czasu. Jeśli warunki zostaną spełnione, zostanie wyzwolony alert. Szereg czasowy metryki to seria wartości metryk przechwyconych w danym okresie. Te metryki umożliwiają tworzenie reguł alertów. Dowiedz się więcej na temat tworzenia alertów metryk w obszarze Alerty metryk.
Alerty dotyczące usług i urządzeń
Usługa Azure Local udostępnia alerty oparte na usłudze dotyczące łączności, aktualizacji systemu operacyjnego, konfiguracji platformy Azure i nie tylko. Dostępne są również alerty oparte na urządzeniach dotyczące błędów kondycji klastra. Możesz również monitorować wystąpienia lokalne platformy Azure i ich podstawowe składniki przy użyciu programu PowerShell lub Usługa kondycji.
Wymaganie 11: Regularne testowanie zabezpieczeń systemów i sieci
Oprócz przeprowadzania częstych ocen zabezpieczeń i testów penetracyjnych można również użyć Microsoft Defender dla Chmury do oceny stanu zabezpieczeń między obciążeniami hybrydowymi w chmurze i lokalnie, w tym maszyn wirtualnych, obrazów kontenerów i serwerów SQL z włączoną usługą Arc.
Wymaganie 12: Obsługa zabezpieczeń informacji przy użyciu zasad i programów organizacyjnych
Twoim obowiązkiem jest utrzymanie zasad i działań dotyczących zabezpieczeń informacji, które ustanawiają organizacyjny program zabezpieczeń i chronią środowisko danych posiadaczy kart. Funkcje automatyzacji oferowane przez usługi platformy Azure, takie jak Microsoft Entra ID i informacje udostępniane w sekcji Szczegóły wbudowanej inicjatywy ZGODNOŚCI z przepisami PCI DSS, mogą pomóc zmniejszyć obciążenie związane z zarządzaniem tymi zasadami i programami.