Este artigo descreve as considerações para um cluster do Serviço Kubernetes do Azure (AKS) configurado de acordo com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS 3.2.1).
Este artigo faz parte de uma série. Leia a introdução.
Manter uma política de segurança da informação
Requisito 12 — manter uma política que aborde a segurança das informações para todo o pessoal
A Microsoft conclui uma avaliação anual do PCI DSS usando um Assessor de Segurança Qualificado (QSA) aprovado. Leve em consideração todos os aspetos da infraestrutura, desenvolvimento, operações, gerenciamento, suporte e serviços no escopo. Para obter mais informações, consulte Padrão de segurança de dados (DSS) do setor de cartões de pagamento (PCI).
Essa arquitetura e a implementação não foram projetadas para fornecer orientação ilustrativa para documentar a política de segurança oficial de ponta a ponta. Para obter considerações, consulte as orientações no padrão oficial PCI-DSS 3.2.1.
Aqui ficam algumas sugestões gerais:
Manter documentação completa e atualizada sobre o processo e as políticas. Considere usar o Microsoft Purview Compliance Manager para avaliar seu risco.
Na revisão anual da política de segurança, incorpore novas orientações fornecidas pela Microsoft, Kubernetes e outras soluções de terceiros que fazem parte do seu CDE. Alguns recursos incluem publicações de fornecedores combinadas com orientações derivadas do Microsoft Defender for Cloud, Azure Advisor, Azure Well-Architected Review e atualizações no AKS Azure Security Baseline e CIS Azure Kubernetes Service Benchmark, entre outros.
Ao estabelecer o seu processo de avaliação de riscos, alinhe-se com uma norma publicada sempre que possível, por exemplo NIST SP 800-53. Mapeie publicações da lista de segurança publicada do seu fornecedor, como o guia do Centro de Resposta de Segurança da Microsoft, para o seu processo de avaliação de riscos.
Mantenha informações atualizadas sobre inventário de dispositivos e documentação de acesso pessoal. Considere usar o recurso de descoberta de dispositivo incluído no Microsoft Defender for Endpoint. Para controlar o acesso, você pode derivar essas informações dos logs do Microsoft Entra. Aqui estão alguns artigos para você começar:
Como parte do gerenciamento de inventário, mantenha uma lista de soluções aprovadas que são implantadas como parte da infraestrutura PCI e da carga de trabalho. Isso inclui uma lista de imagens de VM, bancos de dados e soluções de terceiros de sua escolha que você traz para o CDE. Você pode até mesmo automatizar esse processo criando um catálogo de serviços. Ele fornece implantação de autosserviço usando essas soluções aprovadas em uma configuração específica, que adere às operações contínuas da plataforma. Para obter mais informações, consulte Estabelecer um catálogo de serviços.
Certifique-se de que um contacto de segurança recebe notificações de incidentes do Azure da Microsoft.
Essas notificações indicam se seu recurso está comprometido. Isso permite que sua equipe de operações de segurança responda rapidamente a possíveis riscos de segurança e os corrija. Certifique-se de que as informações de contato do administrador no portal de registro do Azure incluam informações de contato que notificarão as operações de segurança direta ou rapidamente por meio de um processo interno. Para obter detalhes, consulte Modelo de operações de segurança.
Aqui estão outros artigos que irão ajudá-lo a planejar a conformidade operacional.
- Gerenciamento de nuvem na estrutura de adoção de nuvem
- Governança no Microsoft Cloud Adoption Framework para Azure