Azure локальная среда и PCI DSS

Область применения: Azure Local 2311.2 и более поздних версий

В этой статье объясняется, как функции локальной безопасности Microsoft Azure помогают организациям в отрасли оплаты достичь требований к управлению безопасностью PCI DSS, как в облаке, так и в локальных средах.

PCI DSS

Стандарт безопасности данных (PCI) (DSS) — это глобальный стандарт информационной безопасности, предназначенный для предотвращения мошенничества с помощью повышенного контроля над данными кредитной карты. PCI DSS требуется брендами платежных карт и управляется Советом по безопасности индустрии оплаты карт.

Соответствие требованиям PCI DSS требуется для любой организации, которая хранит, обрабатывает или передает данные заполнителей карт (CHD). Организации, которые соответствуют требованиям PCI DSS, включают (но не ограничиваются) торговцами, обработчиками платежей, издателями, получателями и поставщиками услуг.

Дополнительные сведения о стандарте см. в библиотеке документации совета по стандартам безопасности PCI.

Совместная ответственность

Важно понимать, что PCI DSS не только является технологией и стандартом продукта, но и охватывает требования к безопасности для людей и процессов. Ответственность за соответствие распространяется между вами как охваченной сущностью и корпорацией Майкрософт в качестве поставщика услуг.

Клиенты Майкрософт

В качестве охваченной сущности вы несете ответственность за достижение собственного сертификата PCI DSS и управление им. Организациям необходимо оценить свою уникальную среду, особенно те части, где размещаются обслуживание платежей или рабочие процессы, выполненные с платежами, и где данные держателей карт хранятся, обрабатываются и/или передаются. Это называется средой данных заполнителей карт (CDE). После этого организации должны планировать и реализовывать надлежащие средства управления безопасностью, политики и процедуры для выполнения всех указанных требований перед прохождением официального процесса тестирования. Организации в конечном счете заключают контракт с квалифицированным оценщиком безопасности (QSA), который проверяет, соответствует ли среда всем требованиям.

Microsoft

Хотя вы несете ответственность за обеспечение соответствия стандарту PCI DSS, вы не одиноки в пути. Корпорация Майкрософт предоставляет дополнительные материалы и функции безопасности в гибридной среде, чтобы сократить связанные усилия и затраты на завершение проверки PCI DSS. Например, вместо того чтобы оценивать всё с нуля, ваши оценщики могут использовать Аттестацию соответствия Azure (AOC) для части среды данных держателей карт, развернутой в Azure. Дополнительные сведения см. в следующем содержимом.

Соответствие локальным требованиям Azure

При разработке и создании локальной среды Azure корпорация Майкрософт учитывает требования к безопасности как для облачных, так и для локальных сред Майкрософт.

Подключенные облачные службы

Локальная служба Azure обеспечивает глубокую интеграцию с различными службами Azure, такими как Azure Monitor, Azure Backup и Azure Site Recovery, чтобы предоставить новые возможности в гибридной среде. Эти облачные службы сертифицированы в соответствии с стандартом PCI DSS версии 4.0 на уровне поставщика услуг 1. Узнайте больше о программе соответствия облачных служб Azure в PCI DSS — соответствие стандарту Azure.

Внимание

Важно отметить, что состояние соответствия требованиям AZURE PCI DSS не преобразуется в проверку PCI DSS для служб, которые организации создают или размещают на платформе Azure. Клиенты отвечают за обеспечение соответствия требованиям PCI DSS в своих организациях.

Локальные решения

В качестве локального решения Azure Local предоставляет множество функций, которые помогают организациям удовлетворять требованиям PCI DSS и другим стандартам безопасности для финансовых услуг.

Локальные возможности Azure, относящиеся к PCI DSS

В этом разделе кратко описывается, как организации могут использовать локальные функции Azure для удовлетворения требований PCI DSS. Важно отметить, что требования PCI DSS применимы ко всем системным компонентам, включенным или подключенным к среде данных заполнителей карт (CDE).

Следующее содержимое посвящено уровню локальной платформы Azure, в котором размещаются платежи служб или связанные с платежами рабочие нагрузки, включающие данные заполнителя карт.

Требование 1. Установка и обслуживание элементов управления безопасностью сети

С помощью Azure Local вы можете применить средства управления безопасностью сети для защиты платформы и рабочих нагрузок, выполняемых на ней, от сетевых угроз вне и внутри. Платформа также гарантирует справедливое распределение сети на узле и повышает производительность рабочей нагрузки и доступность с помощью возможностей балансировки нагрузки. Дополнительные сведения о безопасности сети в локальной среде Azure см. в следующих статьях.

• Обзор брандмауэра центра обработки данных
• Software Load Balancer (SLB) для программного определения сети (SDN)
• Шлюз службы удаленного доступа (RAS) для SDN
• Политики качества обслуживания для рабочих нагрузок, размещенных в локальной среде Azure

Требование 2. Применение безопасных конфигураций ко всем системным компонентам

Защита по умолчанию

Azure Local настроен безопасно по умолчанию с помощью средств безопасности и технологий для защиты от современных угроз и соответствия базовым уровням безопасности вычислительных мощностей Azure. Дополнительные сведения см. в разделе "Базовые параметры безопасности" для локальной службы Azure.

Защита от смещения

Конфигурация безопасности по умолчанию и параметры защищенного ядра платформы защищены как во время развертывания, так и во время выполнения с помощью защиты от смещения. При включении защита от смещения регулярно обновляет параметры безопасности каждые 90 минут, чтобы обеспечить исправление любых изменений из указанного состояния. Этот непрерывный мониторинг и автоматическое исправление позволяют поддерживать согласованную и надежную конфигурацию безопасности на протяжении всего жизненного цикла устройства. Вы можете отключить защиту смещения во время развертывания при настройке параметров безопасности.

Базовые показатели безопасности для рабочей нагрузки

Для рабочих нагрузок, работающих в локальной среде Azure, можно использовать рекомендуемые базовые показатели операционной системы Azure (как для Windows, так и Для Linux) для определения базовой конфигурации вычислительных ресурсов.

Требование 3. Защита данных хранимой учетной записи

Шифрование данных с помощью BitLocker

В локальных экземплярах Azure все данные на носителе можно шифровать с помощью BitLocker XTS-AES 256 бит. По умолчанию система рекомендует включить BitLocker для шифрования всех томов операционной системы и общих томов кластера (CSV) в локальном развертывании Azure. Для всех новых томов хранилища, добавленных после развертывания, необходимо вручную включить BitLocker, чтобы зашифровать новый том хранилища. Использование BitLocker для защиты данных может помочь организациям оставаться в соответствии с ISO/IEC 27001. Узнайте больше об использовании BitLocker с общими томами кластера (CSV).

Требование 4. Защита данных заполнителей карт с помощью строгой криптографии во время передачи через открытые, общедоступные сети

Защита внешнего сетевого трафика с помощью TLS/DTLS

По умолчанию все подключения узла к локальным и удаленным конечным точкам шифруются с помощью TLS1.2, TLS1.3 и DTLS 1.2. Платформа отключает использование старых протоколов и хэшей, таких как TLS/DTLS 1.1 SMB1. Azure Local также поддерживает надежные наборы шифров, такие как эллиптические кривые, совместимые с SDL, ограничены только кривыми NIST P-256 и P-384.

Требование 5. Защита всех систем и сетей от вредоносного программного обеспечения

Антивирусная программа "Защитник Windows"

Антивирусная программа Защитника Windows — это приложение, которое позволяет применять проверку системы в режиме реального времени и периодическое сканирование для защиты платформы и рабочих нагрузок от вирусов, вредоносных программ, шпионских программ и других угроз. Антивирусная программа Microsoft Defender по умолчанию включена в локальной среде Azure. Корпорация Майкрософт рекомендует использовать антивирусную программу Microsoft Defender с локальной версией Azure вместо сторонних антивирусных программ и служб обнаружения вредоносных программ, поскольку они могут нарушить возможность операционной системы получать обновления. Дополнительные сведения см. в Microsoft Defender Антивирус для Windows Server.

Управление приложениями

Управление приложениями по умолчанию в Azure Local позволяет управлять тем, какие драйверы и приложения разрешены выполнять непосредственно на каждом сервере, что помогает предотвратить доступ к системам вредоносных программ. Узнайте больше о базовых политиках, включенных в Azure Local, и о создании дополнительных политик в управлении приложениями для Azure Local.

Microsoft Defender для облака

Microsoft Defender для облака с Endpoint Protection (включено с помощью плана Defender для серверов) предоставляет решение для управления безопасностью с расширенными возможностями защиты от угроз. Он предоставляет средства для оценки состояния безопасности инфраструктуры, защиты рабочих нагрузок, повышения оповещений системы безопасности и выполнения конкретных рекомендаций по устранению атак и устранению будущих угроз. Она выполняет все эти службы с высокой скоростью в облаке без затрат на развертывание с помощью автоматической подготовки и защиты с помощью служб Azure. Дополнительные сведения см. в Microsoft Defender для облака.

Требование 6. Разработка и обслуживание безопасных систем и программного обеспечения

Обновление платформы

Все компоненты Azure Local, включая операционную систему, основные агенты и службы, а также расширение решения, можно легко поддерживать с помощью диспетчера жизненного цикла. Эта функция позволяет упаковать различные компоненты в выпуск обновления и проверить сочетание версий, чтобы обеспечить взаимодействие. Дополнительные сведения см. в документации по диспетчеру жизненного цикла для обновлений локального решения Azure.

Обновление рабочей нагрузки

Для рабочих нагрузок, работающих поверх локальной среды Azure, включая гибридные Служба Azure Kubernetes (AKS), Azure Arc и виртуальные машины инфраструктуры, которые не интегрированы в диспетчер жизненного цикла, следуйте методам, описанным в статье "Использование диспетчера жизненного цикла" для обновления, чтобы обеспечить их обновление и соответствие требованиям PCI DSS.

Требование 7. Ограничение доступа к системным компонентам и данным держателей карт по принципу необходимости для бизнеса

Вы несете ответственность за определение ролей и их потребностей в доступе на основе бизнес-требований вашей организации, а затем убедитесь, что только авторизованный персонал имеет доступ к конфиденциальным системам и данным, назначив привилегии на основе обязанностей работы. Используйте возможности, описанные в требованиях 8. Определение пользователей и проверка подлинности доступа к системным компонентам для реализации политик и процедур.

Требование 8. Определение пользователей и проверка подлинности доступа к системным компонентам

Локальный Azure предоставляет полный и прямой доступ к базовой операционной системе, работающей на машинах, через несколько интерфейсов, таких как Azure Arc и Windows PowerShell. Вы можете использовать обычные средства Windows в локальных средах или облачных решениях, таких как Идентификатор Microsoft Entra (ранее Azure Active Directory), для управления удостоверениями и доступом к платформе. В обоих случаях вы можете воспользоваться встроенными функциями безопасности, такими как многофакторная проверка подлинности (MFA), условный доступ, управление доступом на основе ролей (RBAC) и управление привилегированными удостоверениями (PIM), чтобы обеспечить безопасность и соответствие вашей среде.

Дополнительные сведения об управлении локальными удостоверениями и доступом см. в Microsoft Identity Manager и управлении привилегированным доступом для служб домен Active Directory. Дополнительные сведения об облачном управлении удостоверениями и доступом см. в идентификаторе Microsoft Entra.

Требование 9. Ограничение физического доступа к данным заполнителей карт

Для локальных сред убедитесь, что физическая безопасность соответствует значению Azure Local и содержащимся в нем данным.

Требование 10: Ведение журнала и мониторинг доступа ко всем компонентам системы и данным держателей карт.

Журналы локальной системы

По умолчанию все операции, выполняемые в локальной среде Azure, записываются таким образом, чтобы отслеживать, кто сделал что, когда и где на платформе. Журналы и оповещения, созданные Защитником Windows, также включаются для предотвращения, обнаружения и минимизации вероятности и влияния компрометации данных. Тем не менее, поскольку системный журнал часто содержит большой объем информации, большая часть которой является избыточной для мониторинга информационной безопасности, необходимо определить, какие события подходят для сбора и использования в целях мониторинга безопасности. Возможности мониторинга Azure помогают собирать, хранить, оповещать и анализировать эти журналы. Дополнительные сведения см. в базовой конфигурации безопасности для локальной службы Azure.

Локальные журналы действий

Azure Local Lifecycle Manager создает и сохраняет журналы действий для любого плана действий, выполняемого. Эти журналы поддерживают более глубокое исследование и мониторинг соответствия требованиям.

Журналы действий в облаке

Зарегистрировав свои системы в Azure, вы можете использовать журналы действий Azure Monitor для записи операций с каждым ресурсом на уровне подписки, чтобы определить что, кто и когда для всех операций записи (put, post или delete), выполненных с ресурсами в вашей подписке.

Журналы облачной идентификации

Если вы используете идентификатор Microsoft Entra для управления удостоверениями и доступом к платформе, вы можете просматривать журналы в отчетах Azure AD или интегрировать их с Azure Monitor, Microsoft Sentinel или другими средствами SIEM/monitoring для сложных вариантов мониторинга и анализа. Если вы используете локальную службу Active Directory, используйте решение Microsoft Defender для идентификации для получения сигналов локальной службы Active Directory, чтобы выявлять, обнаруживать и исследовать расширенные угрозы, скомпрометированные учетные данные и вредоносные инсайдерские действия, направленные против вашей организации.

Интеграция SIEM

Microsoft Defender для облака и Microsoft Sentinel изначально интегрированы с локальными компьютерами Azure с поддержкой Arc. Вы можете включить и подключить журналы к Microsoft Sentinel, который обеспечивает управление событиями безопасности (SIEM) и автоматическое реагирование системы безопасности (SOAR). Microsoft Sentinel, как и другие облачные службы Azure, соответствует многим хорошо установленным стандартам безопасности, таким как PCI DSS, HITRUST и Авторизация FedRAMP, которые помогут вам в процессе аккредитации. Кроме того, Azure Local предоставляет собственный средство пересылки событий системного журнала для отправки системных событий сторонним решениям SIEM.

Локальная аналитика Azure

Azure Local Insights позволяет отслеживать сведения о работоспособности, производительности и использовании для систем, подключенных к Azure и зарегистрированных в мониторинге. Во время настройки Аналитики создается правило сбора данных, указывающее собираемые данные. Эти данные хранятся в рабочей области Log Analytics, которая затем агрегируется, фильтруется и анализируется для предоставления предварительно созданных панелей мониторинга с помощью книг Azure. Данные мониторинга можно просматривать как для систем с одним узлом, так и с несколькими узлами на странице локальных ресурсов Azure или Azure Monitor. Дополнительные сведения см. в справочнике по Azure Local с помощью Аналитики.

Локальные метрики Azure

Метрики хранят числовые данные из отслеживаемых ресурсов в базу данных временных рядов. Вы можете использовать обозреватель метрик Azure Monitor для интерактивного анализа данных в вашей базе данных метрик и построения графиков значений нескольких метрик со временем. С помощью метрик можно создавать диаграммы из значений метрик и визуально сопоставлять тенденции.

Оповещения журнала

Чтобы указать проблемы в режиме реального времени, можно настроить оповещения для локальных экземпляров Azure, используя предварительно существующие запросы журнала, такие как средний ЦП сервера, доступная память, доступная емкость тома и многое другое. Узнайте больше о настройке оповещений для локальных экземпляров Azure.

Оповещения о метриках

Правило метрического оповещения отслеживает ресурс, оценивая условия на метриках ресурса через регулярные интервалы. При соблюдении условий срабатывает оповещение. Временные ряды метрик — это ряд значений метрик, зарегистрированных за определенный период времени. Эти метрики можно использовать для создания правил генерации оповещений. Узнайте больше о создании оповещений метрик в разделе Оповещения метрик.

Оповещения сервиса и устройства

Azure Local предоставляет служебные оповещения для подключения, обновлений ОС, конфигурации Azure и т. д. Кроме того, доступны оповещения, основанные на устройствах, для сбоев работоспособности кластера. Вы также можете мониторить локальные экземпляры Azure и их базовые компоненты с помощью PowerShell или Служба Здоровья.

Требование 11. Регулярное тестирование безопасности систем и сетей

Помимо проведения частых проверок безопасности и тестов на проникновение, вы также можете использовать Microsoft Defender для облака для оценки состояния безопасности в гибридных рабочих нагрузках в облаке и локальной среде, включая виртуальные машины, образы контейнеров и серверы SQL с поддержкой Arc.

Требование 12. Поддержка информационной безопасности с помощью политик и программ организации

Вы несете ответственность за поддержание политик и действий информационной безопасности, которые устанавливают программу безопасности организации и защищают среду данных заполнителей карт. Функции автоматизации, предоставляемые службами Azure, такими как Microsoft Entra ID, и сведения из подробностей встроенной инициативы по соответствию нормативным требованиям PCI DSS, могут помочь снизить нагрузку на управление этими политиками и программами.