Azure Local e PCI DSS

Aplica-se a: Azure Local, versão 23H2

Este artigo explica como os recursos de segurança do Microsoft Azure Local podem ajudar as organizações do setor de cartões de pagamento a atingir os requisitos de controle de segurança do PCI DSS, tanto na nuvem quanto em seus ambientes locais.

PCI DSS

O Padrão de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI) é um padrão global de segurança da informação projetado para evitar fraudes por meio de maior controle dos dados do cartão de crédito. O PCI DSS é exigido pelas marcas de cartões de pagamento e administrado pelo Conselho de Padrões de Segurança do Setor de Cartões de Pagamento.

A conformidade com o PCI DSS é necessária para qualquer organização que armazene, processe ou transmita dados de titulares de cartão (CHD). As organizações sujeitas à conformidade com o PCI DSS incluem (mas não estão limitadas a) comerciantes, processadores de pagamento, emissores, adquirentes e provedores de serviços.

Saiba mais sobre o padrão na biblioteca de documentação do PCI Security Standards Council.

Responsabilidades compartilhadas

É importante entender que o PCI DSS não é apenas um padrão de tecnologia e produto, mas também abrange requisitos de segurança para pessoas e processos. A responsabilidade pela conformidade é compartilhada entre você como uma entidade coberta e a Microsoft como um provedor de serviços.

Clientes da Microsoft

Como uma entidade coberta, é sua responsabilidade obter e gerenciar seu próprio certificado PCI DSS. As organizações precisam avaliar seu ambiente distinto, especialmente as partes que hospedam pagamentos de serviços ou cargas de trabalho relacionadas a pagamentos em que os dados do titular do cartão são armazenados, processados e/ou transmitidos. Isso é chamado de ambiente de dados do titular do cartão (CDE). Depois disso, as organizações precisam planejar e implementar os controles, políticas e procedimentos de segurança adequados para atender a todos os requisitos especificados antes de passar por um processo de teste oficial. As organizações acabam contratando um Avaliador de Segurança Qualificado (QSA) que verifica se o ambiente atende a todos os requisitos.

Microsoft

Embora seja sua responsabilidade manter a conformidade com o padrão PCI DSS, você não está sozinho na jornada. A Microsoft fornece materiais complementares e recursos de segurança em todo o ambiente híbrido para ajudá-lo a reduzir o esforço e o custo associados à conclusão da validação do PCI DSS. Por exemplo, em vez de testar tudo do zero, seus avaliadores podem usar o AOC (Atestado de Conformidade) do Azure para a parte do ambiente de dados do titular do cartão implantada no Azure. Saiba mais no conteúdo a seguir.

Conformidade local do Azure

Ao projetar e criar o Azure Local, a Microsoft leva em consideração os requisitos de segurança para a nuvem da Microsoft e os ambientes locais do cliente.

Serviços de nuvem conectados

O Azure Local oferece integração profunda com vários serviços do Azure, como Azure Monitor, Backup do Azure e Azure Site Recovery, para trazer novos recursos para a configuração híbrida. Esses serviços em nuvem são certificados como compatíveis com o PCI DSS versão 4.0 no Nível 1 do Provedor de Serviços. Saiba mais sobre o programa de conformidade dos serviços de nuvem do Azure em PCI DSS – Conformidade do Azure.

Importante

É importante observar que o status de conformidade do PCI DSS do Azure não se traduz automaticamente na validação do PCI DSS para os serviços que as organizações criam ou hospedam na plataforma do Azure. Os clientes são responsáveis por garantir que suas organizações estejam em conformidade com os requisitos do PCI DSS.

Soluções locais

Como uma solução local, o Azure Local fornece uma variedade de recursos que ajudam as organizações a atender à conformidade com o PCI DSS e outros padrões de segurança para serviços financeiros.

Recursos locais do Azure relevantes para PCI DSS

Esta seção descreve brevemente como as organizações podem usar a funcionalidade local do Azure para atender aos requisitos do PCI DSS. É importante observar que os requisitos do PCI DSS são aplicáveis a todos os componentes do sistema incluídos ou conectados ao ambiente de dados do titular do cartão (CDE).

O conteúdo a seguir se concentra no nível da plataforma local do Azure, que hospeda pagamentos de serviço ou cargas de trabalho relacionadas a pagamentos que incluem dados do titular do cartão.

Requisito 1: Instalar e manter controles de segurança de rede

Com o Azure Local, você pode aplicar controles de segurança de rede para proteger sua plataforma e as cargas de trabalho em execução contra ameaças de rede externas e internas. A plataforma também garante uma alocação justa de rede em um host e melhora o desempenho e a disponibilidade da carga de trabalho com recursos de balanceamento de carga. Saiba mais sobre segurança de rede no Azure Local nos artigos a seguir.

• Visão geral do Firewall do Datacenter
• SLB (Balanceador de Carga de Software) para SDN (Rede de Definição de Software)
• Gateway do Serviço de Acesso Remoto (RAS) para SDN
• Políticas de Qualidade de Serviço para suas cargas de trabalho hospedadas no Azure Local

Requisito 2: Aplicar configurações seguras a todos os componentes do sistema

Seguro por padrão

O Azure Local é configurado com segurança por padrão com ferramentas e tecnologias de segurança para se defender contra ameaças modernas e se alinhar às linhas de base do Azure Compute Security. Saiba mais em Configurações de linha de base de segurança para o Azure Local.

Proteção contra desvios

A configuração de segurança padrão e as configurações de núcleo seguro da plataforma são protegidas durante a implantação e o tempo de execução com proteção de controle de desvios. Quando habilitada, a proteção de controle de descompasso atualiza as configurações de segurança regularmente a cada 90 minutos para garantir que todas as alterações do estado especificado sejam corrigidas. Esse monitoramento contínuo e correção automática permitem que você tenha uma configuração de segurança consistente e confiável durante todo o ciclo de vida do dispositivo. Você pode desabilitar a proteção contra desvios durante a implantação ao definir as configurações de segurança.

Linha de base de segurança para carga de trabalho

Para cargas de trabalho em execução no Azure Local, você pode usar a linha de base do sistema operacional recomendada pelo Azure (para Windows e Linux) como um parâmetro de comparação para definir a linha de base de configuração do recurso de computação.

Requisito 3: proteger os dados da conta armazenados

Criptografando dados com o BitLocker

Em instâncias locais do Azure, todos os dados em repouso podem ser criptografados por meio da criptografia BitLocker XTS-AES de 256 bits. Por padrão, o sistema recomendará que você habilite o BitLocker para criptografar todos os volumes do sistema operacional (SO) e CSV (volumes compartilhados clusterizados) em sua implantação local do Azure. Para todos os novos volumes de armazenamento adicionados após a implantação, você precisa ativar manualmente o BitLocker para criptografar o novo volume de armazenamento. O uso do BitLocker para proteger dados pode ajudar as organizações a permanecerem em conformidade com a ISO/IEC 27001. Saiba mais em Usar o BitLocker com CSV (Volumes Compartilhados Clusterizados).

Requisito 4: Proteger os dados do titular do cartão com criptografia forte durante a transmissão em redes públicas abertas

Protegendo o tráfego de rede externa com TLS/DTLS

Por padrão, todas as comunicações de host para pontos de extremidade locais e remotos são criptografadas usando TLS1.2, TLS1.3 e DTLS 1.2. A plataforma desabilita o uso de protocolos/hashes mais antigos, como TLS/DTLS 1.1 SMB1. O Azure Local também dá suporte a pacotes de criptografia fortes, como curvas elípticas compatíveis com SDL, limitadas apenas às curvas NIST P-256 e P-384.

Requisito 5: Proteger todos os sistemas e redes contra software mal-intencionado

Windows Defender Antivírus

O Windows Defender Antivírus é um aplicativo utilitário que permite a imposição da verificação do sistema em tempo real e da verificação periódica para proteger a plataforma e as cargas de trabalho contra vírus, malware, spyware e outras ameaças. Por padrão, o Microsoft Defender Antivírus está habilitado no Azure Local. A Microsoft recomenda usar o Microsoft Defender Antivírus com o Azure Local em vez de antivírus de terceiros e software e serviços de detecção de malware, pois eles podem afetar a capacidade do sistema operacional de receber atualizações. Saiba mais em Microsoft Defender Antivírus no Windows Server.

Controle de Aplicativo

O Controle de Aplicativos é habilitado por padrão no Azure Local para controlar quais drivers e aplicativos têm permissão para serem executados diretamente em cada servidor, ajudando a impedir que malware acesse os sistemas. Saiba mais sobre as políticas base incluídas no Azure Local e como criar políticas complementares em Controle de Aplicativos para o Azure Local.

Microsoft Defender para Nuvem

Microsoft Defender para Nuvem com Endpoint Protection (habilitado por meio do plano Defender para Servidores) fornece uma solução de gerenciamento de postura de segurança com recursos avançados de proteção contra ameaças. Ele fornece ferramentas para avaliar o status de segurança de sua infraestrutura, proteger cargas de trabalho, gerar alertas de segurança e seguir recomendações específicas para corrigir ataques e lidar com ameaças futuras. Ele executa todos esses serviços em alta velocidade na nuvem, sem sobrecarga de implantação por meio de provisionamento automático e proteção com serviços do Azure. Saiba mais em Microsoft Defender para Nuvem.

Requisito 6: Desenvolver e manter sistemas e software seguros

Atualização da plataforma

Todos os componentes do Azure Local, incluindo o sistema operacional, os principais agentes e serviços e a extensão da solução, podem ser mantidos facilmente com o Lifecycle Manager. Esse recurso permite agrupar diferentes componentes em uma versão de atualização e valida a combinação de versões para garantir a interoperabilidade. Saiba mais em Lifecycle Manager para atualizações de solução local do Azure.

Atualização da carga de trabalho

Para cargas de trabalho em execução no Azure Local, incluindo o AKS (Serviço de Kubernetes do Azure) híbrido, o Azure Arc e as VMs (máquinas virtuais) de infraestrutura que não estão integradas ao Lifecycle Manager, siga os métodos explicados em Usar o Lifecycle Manager para atualizações para mantê-las atualizadas e alinhadas com os requisitos do PCI DSS.

Requisito 7: Restringir o acesso aos componentes do sistema e aos dados do titular do cartão de acordo com a necessidade de negócios

É sua responsabilidade identificar as funções e suas necessidades de acesso com base nos requisitos de negócios de sua organização e, em seguida, garantir que apenas o pessoal autorizado tenha acesso a sistemas e dados confidenciais, atribuindo privilégios com base nas responsabilidades do trabalho. Use os recursos descritos no Requisito 8: Identificar usuários e autenticar o acesso aos componentes do sistema para implementar suas políticas e procedimentos.

Requisito 8: Identificar usuários e autenticar o acesso aos componentes do sistema

O Azure Local fornece acesso total e direto ao sistema subjacente em execução em computadores por meio de várias interfaces, como Azure Arc e Windows PowerShell. Você pode usar ferramentas convencionais do Windows em ambientes locais ou soluções baseadas em nuvem, como o Microsoft Entra ID (antigo Azure Active Directory) para gerenciar a identidade e o acesso à plataforma. Em ambos os casos, você pode aproveitar os recursos de segurança internos, como MFA (autenticação multifator), acesso condicional, RBAC (controle de acesso baseado em função) e PIM (gerenciamento de identidade privilegiada) para garantir que seu ambiente seja seguro e compatível.

Saiba mais sobre o gerenciamento de identidade e acesso local em Microsoft Identity Manager e Gerenciamento de Acesso Privilegiado para Active Directory Domain Services. Saiba mais sobre o gerenciamento de identidade e acesso baseado em nuvem no Microsoft Entra ID.

Requisito 9: Restringir o acesso físico aos dados do titular do cartão

Para ambientes locais, garanta a segurança física proporcional ao valor do Azure Local e aos dados que ele contém.

Requisito 10: Registrar e monitorar todo o acesso aos componentes do sistema e aos dados do titular do cartão

Logs do sistema local

Por padrão, todas as operações executadas no Azure Local são registradas para que você possa acompanhar quem fez o quê, quando e onde na plataforma. Logs e alertas criados pelo Windows Defender também estão incluídos para ajudá-lo a prevenir, detectar e minimizar a probabilidade e o impacto de um comprometimento de dados. No entanto, como o log do sistema geralmente contém um grande volume de informações, muitas delas estranhas ao monitoramento de segurança da informação, você precisa identificar quais eventos são relevantes para serem coletados e utilizados para fins de monitoramento de segurança. Os recursos de monitoramento do Azure ajudam a coletar, armazenar, alertar e analisar esses logs. Consulte a Linha de Base de Segurança do Azure Local para saber mais.

Registros de atividades locais

O Gerenciador de Ciclo de Vida Local do Azure cria e armazena logs de atividades para qualquer plano de ação executado. Esses logs dão suporte a uma investigação mais profunda e ao monitoramento de conformidade.

Logs de atividades na nuvem

Ao registrar seus sistemas no Azure, você pode usar os logs de atividades do Azure Monitor para registrar operações em cada recurso na camada de assinatura para determinar o quê, quem e quando para qualquer operação de gravação (colocar, postar ou excluir) executada nos recursos em sua assinatura.

Registros de identidade na nuvem

Se você estiver usando a ID do Microsoft Entra para gerenciar a identidade e o acesso à plataforma, poderá exibir logs nos relatórios do Azure AD ou integrá-los ao Azure Monitor, ao Microsoft Sentinel ou a outras ferramentas de SIEM/monitoramento para casos de uso sofisticados de monitoramento e análise. Se você estiver usando o Active Directory local, use a solução Microsoft Defender para Identidade para consumir seus sinais do Active Directory local para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas direcionadas à sua organização.

Integração ao SIEM

O Microsoft Defender para Nuvem e o Microsoft Sentinel são integrados nativamente aos computadores locais do Azure habilitados para Arc. Você pode habilitar e integrar seus logs ao Microsoft Sentinel, que fornece o recurso SIEM (gerenciamento de eventos de informações de segurança) e SOAR (resposta automatizada de orquestração de segurança). O Microsoft Sentinel, como outros serviços de nuvem do Azure, está em conformidade com muitos padrões de segurança bem estabelecidos, como PCI DSS, HITRUST e Autorização FedRAMP, que podem ajudá-lo com seu processo de credenciamento. Além disso, o Azure Local fornece um encaminhador de eventos de syslog nativo para enviar os eventos do sistema para soluções SIEM de terceiros.

Insights locais do Azure

O Azure Local Insights permite que você monitore informações de integridade, desempenho e uso para sistemas conectados ao Azure e registrados no monitoramento. Durante a configuração do Insights, é criada uma regra de coleta de dados, que especifica os dados a serem coletados. Esses dados são armazenados em um workspace do Log Analytics, que é agregado, filtrado e analisado para fornecer painéis de monitoramento predefinidos usando pastas de trabalho do Azure. Você pode exibir os dados de monitoramento para sistemas de nó único e vários nós na página de recursos locais do Azure ou no Azure Monitor. Saiba mais em Monitorar o Azure Local com o Insights.

Métricas locais do Azure

O Metrics armazena dados numéricos de recursos monitorados em um banco de dados de série temporal. Você pode usar o gerenciador de métricas do Azure Monitor para analisar interativamente os dados em seu banco de dados de métricas e traçar os valores de várias métricas ao longo do tempo. Com o Metrics, você pode criar gráficos a partir de valores de métricas e correlacionar tendências visualmente.

Alertas de registro

Para indicar problemas em tempo real, você pode configurar alertas para instâncias locais do Azure, usando consultas de log de exemplo pré-existentes, como CPU média do servidor, memória disponível, capacidade de volume disponível e muito mais. Saiba mais em Configurar alertas para instâncias locais do Azure.

Alertas de métricas

Uma regra de alerta de métrica monitora um recurso avaliando as condições nas métricas de recurso em intervalos regulares. Se as condições forem atendidas, um alerta será acionado. Uma série temporal de métrica é uma série de valores de métrica capturados em um período de tempo. Você pode usar essas métricas para criar regras de alerta. Saiba mais sobre como criar alertas de métricas em Alertas de métricas.

Alertas de serviço e dispositivo

O Azure Local fornece alertas baseados em serviço para conectividade, atualizações do sistema operacional, configuração do Azure e muito mais. Alertas baseados em dispositivo para falhas de integridade do cluster também estão disponíveis. Você também pode monitorar instâncias locais do Azure e seus componentes subjacentes usando o PowerShell ou o Serviço de Integridade.

Requisito 11: Testar regularmente a segurança dos sistemas e das redes

Além de realizar avaliações de segurança frequentes e testes de penetração por conta própria, você também pode usar o Microsoft Defender para Nuvem para avaliar o status de segurança em cargas de trabalho híbridas na nuvem e no local, incluindo máquinas virtuais, imagens de contêiner e servidores SQL habilitados para Arc.

Requisito 12: Apoiar a segurança da informação com políticas e programas organizacionais

É sua responsabilidade manter as políticas e atividades de segurança da informação que estabelecem seu programa de segurança organizacional e protegem seu ambiente de dados do titular do cartão. Os recursos de automação oferecidos pelos serviços do Azure, como a ID do Microsoft Entra e as informações compartilhadas em Detalhes da iniciativa interna de Conformidade Regulatória do PCI DSS, podem ajudá-lo a reduzir a carga de gerenciamento dessas políticas e programas.