Azure Local och PCI DSS

Gäller för: Azure Local 2311.2 och senare

Den här artikeln förklarar hur Microsoft Azure Local-säkerhetsfunktioner kan hjälpa organisationer i betalkortsindustrin att uppfylla kraven på säkerhetskontroll för PCI DSS, både i molnet och i deras lokala miljöer.

PCI DSS

Payment Card Industry (PCI) Data Security Standard (DSS) är en global informationssäkerhetsstandard som är utformad för att förhindra bedrägerier genom ökad kontroll av kreditkortsdata. PCI DSS har mandat av betalkortsmärken och administreras av Payment Card Industry Security Standards Council.

Efterlevnad av PCI DSS krävs för alla organisationer som lagrar, bearbetar eller överför korthållardata (CHD). Organisationer som omfattas av PCI DSS-efterlevnad inkluderar (men är inte begränsade till) handlare, betalningsprocessorer, utfärdare, inlösare och tjänsteleverantörer.

Läs mer om standarden i dokumentationsbiblioteket för PCI Security Standards Council.

Delat ansvar

Det är viktigt att förstå att PCI DSS inte bara är en teknik- och produktstandard, utan även omfattar säkerhetskrav för personer och processer. Ansvaret för efterlevnad delas mellan dig som en täckt entitet och Microsoft som tjänstleverantör.

Microsoft-kunder

Som en täckt entitet är det ditt ansvar att uppnå och hantera ditt eget PCI DSS-certifikat. Organisationer måste utvärdera sin distinkta miljö, särskilt de delar som är värdar för tjänstbetalningar eller betalningsrelaterade arbetsbelastningar där korthållardata lagras, bearbetas och/eller överförs. Detta kallas för korthållardatamiljön (CDE). Därefter måste organisationer planera och implementera rätt säkerhetskontroller, principer och procedurer för att uppfylla alla angivna krav innan de genomgår en officiell testprocess. Organisationer avtalar slutligen med en kvalificerad säkerhetsbedölare (QSA) som verifierar om miljön uppfyller alla krav.

Microsoft

Även om det är ditt ansvar att upprätthålla efterlevnaden av PCI DSS-standarden är du inte ensam under resan. Microsoft tillhandahåller kompletterande material och säkerhetsfunktioner i hybridmiljön för att hjälpa dig att minska den tillhörande ansträngningen och kostnaden för att slutföra PCI DSS-valideringen. I stället för att testa allt från grunden kan dina bedömare till exempel använda Azure Attestation of Compliance (AOC) för den del av din korthållardatamiljö som distribueras i Azure. Läs mer i följande innehåll.

Azure Local-efterlevnad

När du utformar och skapar Azure Local tar Microsoft hänsyn till säkerhetskrav för både Microsoft-molnet och lokala kundmiljöer.

Anslutna molntjänster

Azure Local erbjuder djupgående integrering med olika Azure-tjänster, till exempel Azure Monitor, Azure Backup och Azure Site Recovery, för att få nya funktioner till hybridinställningen. Dessa molntjänster är certifierade som kompatibla enligt PCI DSS version 4.0 på tjänstleverantörsnivå 1. Läs mer om efterlevnadsprogrammet för Azure-molntjänster på PCI DSS – Azure Compliance.

Viktigt!

Observera att Azure PCI DSS-efterlevnadsstatus inte automatiskt översätts till PCI DSS-validering för de tjänster som organisationer skapar eller är värdar för på Azure-plattformen. Kunderna ansvarar för att se till att deras organisationer uppfyller PCI DSS-kraven.

Lokala lösningar

Som en lokal lösning tillhandahåller Azure Local en uppsättning funktioner som hjälper organisationer att uppfylla efterlevnaden av PCI DSS och andra säkerhetsstandarder för finansiella tjänster.

Lokala Azure-funktioner som är relevanta för PCI DSS

I det här avsnittet beskrivs kortfattat hur organisationer kan använda Azure Local-funktioner för att uppfylla kraven i PCI DSS. Observera att PCI DSS-kraven gäller för alla systemkomponenter som ingår i eller är anslutna till korthållardatamiljön (CDE).

Följande innehåll fokuserar på den lokala Azure-plattformsnivån, som är värd för tjänstbetalningar eller betalningsrelaterade arbetsbelastningar som innehåller korthållardata.

Krav 1: Installera och underhålla nätverkssäkerhetskontroller

Med Azure Local kan du använda nätverkssäkerhetskontroller för att skydda din plattform och de arbetsbelastningar som körs på den från nätverkshot utanför och inuti. Plattformen garanterar också rättvis nätverksallokering på en värd och förbättrar arbetsbelastningens prestanda och tillgänglighet med belastningsutjämningsfunktioner. Läs mer om nätverkssäkerhet i Azure Local i följande artiklar.

• Översikt över datacenterbrandväggen
• Software Load Balancer (SLB) för Software Define Network (SDN)
• RAS-gateway (Remote Access Service) för SDN
• Tjänstkvalitetsprinciper för dina arbetsbelastningar som finns i Azure Local

Krav 2: Tillämpa säkra konfigurationer på alla systemkomponenter

Säker som standard

Azure Local konfigureras som standard på ett säkert sätt med säkerhetsverktyg och tekniker för att skydda mot moderna hot och anpassa sig till Azure Compute Security-baslinjerna. Läs mer i Säkerhetsbaslinjeinställningar för Azure Local.

Driftskydd

Standardinställningarna för säkerhetskonfiguration och säker kärna för plattformen skyddas under både distribution och körning med skydd mot driftkontroll . När det är aktiverat uppdaterar driftkontrollskyddet säkerhetsinställningarna regelbundet var 90:e minut för att säkerställa att eventuella ändringar från det angivna tillståndet åtgärdas. Med den här kontinuerliga övervakningen och automatisk förmedling kan du ha en konsekvent och tillförlitlig säkerhetskonfiguration under hela enhetens livscykel. Du kan inaktivera driftskyddet under distributionen när du konfigurerar säkerhetsinställningarna.

Säkerhetsbaslinje för arbetsbelastning

För arbetsbelastningar som körs på Azure Local kan du använda azure-rekommenderad operativsystembaslinje (för både Windows och Linux) som ett riktmärke för att definiera baslinjen för konfiguration av beräkningsresurser.

Krav 3: Skydda lagrade kontodata

Kryptera data med BitLocker

På lokala Azure-instanser kan alla vilande data krypteras via BitLocker XTS-AES 256-bitarskryptering. Som standard rekommenderar systemet att du aktiverar BitLocker för att kryptera alla operativsystemvolymer (OS) och klusterdelade volymer (CSV) i din lokala Azure-distribution. För nya lagringsvolymer som lagts till efter distributionen måste du aktivera BitLocker manuellt för att kryptera den nya lagringsvolymen. Att använda BitLocker för att skydda data kan hjälpa organisationer att hålla sig kompatibla med ISO/IEC 27001. Läs mer i Använda BitLocker med klusterdelade volymer (CSV).

Krav 4: Skydda korthållardata med stark kryptografi under överföring över öppna, offentliga nätverk

Skydda extern nätverkstrafik med TLS/DTLS

Som standard krypteras all värdkommunikation till lokala slutpunkter och fjärrslutpunkter med TLS1.2, TLS1.3 och DTLS 1.2. Plattformen inaktiverar användningen av äldre protokoll/hashar, till exempel TLS/DTLS 1.1 SMB1. Azure Local har också stöd för starka chiffersviter som elliptiska SDL-kompatibla kurvor som är begränsade till NIST-kurvorna P-256 och P-384.

Krav 5: Skydda alla system och nätverk mot skadlig programvara

Windows Defender Antivirus

Windows Defender Antivirus är ett verktygsprogram som möjliggör tillämpning av systemgenomsökning i realtid och regelbunden genomsökning för att skydda plattform och arbetsbelastningar mot virus, skadlig kod, spionprogram och andra hot. Som standard är Microsoft Defender Antivirus aktiverat på Azure Local. Microsoft rekommenderar att du använder Microsoft Defender Antivirus med Azure Local i stället för program och tjänster för identifiering av antivirus och skadlig kod från tredje part eftersom de kan påverka operativsystemets möjlighet att ta emot uppdateringar. Läs mer på Microsoft Defender Antivirus på Windows Server.

Programkontroll

Programkontroll är aktiverat som standard på Azure Local för att styra vilka drivrutiner och program som tillåts köras direkt på varje server, vilket förhindrar att skadlig kod kommer åt systemen. Läs mer om grundläggande principer som ingår i Azure Local och hur du skapar tilläggsprinciper på Application Control för Azure Local.

Microsoft Defender for Cloud

Microsoft Defender för molnet med Endpoint Protection (aktiverat via Defender för servrar-planen) tillhandahåller en lösning för hantering av säkerhetsstatus med avancerade funktioner för skydd mot hot. Det ger dig verktyg för att utvärdera säkerhetsstatusen för din infrastruktur, skydda arbetsbelastningar, skapa säkerhetsaviseringar och följa specifika rekommendationer för att åtgärda attacker och hantera framtida hot. Den utför alla dessa tjänster med hög hastighet i molnet utan några distributionskostnader genom automatisk etablering och skydd med Azure-tjänster. Läs mer på Microsoft Defender för molnet.

Krav 6: Utveckla och underhålla säkra system och programvara

Plattformsuppdatering

Alla komponenter i Azure Local, inklusive operativsystemet, kärnagenter och tjänster och lösningstillägget, kan enkelt underhållas med Livscykelhanteraren. Med den här funktionen kan du paketera olika komponenter i en uppdateringsversion och verifierar kombinationen av versioner för att säkerställa samverkan. Läs mer i Lifecycle Manager för uppdateringar av lokala Azure-lösningar.

Uppdatering av arbetsbelastning

För arbetsbelastningar som körs ovanpå Azure Local, inklusive Azure Kubernetes Service(AKS) hybrid, Azure Arc och virtuella datorer (infrastruktur) som inte är integrerade i Livscykelhanteraren, följer du metoderna som beskrivs i Använd Livscykelhanteraren för uppdateringar för att hålla dem uppdaterade och anpassade till PCI DSS-kraven.

Krav 7: Begränsa åtkomsten till systemkomponenter och korthållardata per företag behöver veta

Det är ditt ansvar att identifiera roller och deras åtkomstbehov baserat på organisationens affärskrav och sedan se till att endast behörig personal har åtkomst till känsliga system och data genom att tilldela behörigheter baserat på jobbansvar. Använd de funktioner som beskrivs i Krav 8: Identifiera användare och autentisera åtkomst till systemkomponenter för att implementera dina principer och procedurer.

Krav 8: Identifiera användare och autentisera åtkomst till systemkomponenter

Azure Local ger fullständig och direkt åtkomst till det underliggande systemet som körs på datorer via flera gränssnitt som Azure Arc och Windows PowerShell. Du kan använda antingen konventionella Windows-verktyg i lokala miljöer eller molnbaserade lösningar som Microsoft Entra ID (tidigare Azure Active Directory) för att hantera identitet och åtkomst till plattformen. I båda fallen kan du dra nytta av inbyggda säkerhetsfunktioner, till exempel multifaktorautentisering (MFA), villkorlig åtkomst, rollbaserad åtkomstkontroll (RBAC) och privilegierad identitetshantering (PIM) för att säkerställa att din miljö är säker och kompatibel.

Läs mer om lokal identitets- och åtkomsthantering i Microsoft Identity Manager och Privileged Access Management för Active Directory-domän Services. Läs mer om molnbaserad identitets- och åtkomsthantering i Microsoft Entra ID.

Krav 9: Begränsa fysisk åtkomst till korthållardata

För lokala miljöer ska du se till att den fysiska säkerheten står i proportion till värdet för Azure Local och de data som den innehåller.

Krav 10: Logga och övervaka all åtkomst till systemkomponenter och korthållardata

Lokala systemloggar

Som standard registreras alla åtgärder som utförs i Azure Local så att du kan spåra vem som gjorde vad, när och var på plattformen. Loggar och aviseringar som skapats av Windows Defender ingår också för att hjälpa dig att förhindra, identifiera och minimera sannolikheten för och effekten av en datakompromiss. Men eftersom systemloggen ofta innehåller en stor mängd information, mycket av den är onödig för övervakning av informationssäkerhet, måste du identifiera vilka händelser som är relevanta för att samlas in och användas för säkerhetsövervakning. Azure-övervakningsfunktioner hjälper dig att samla in, lagra, avisera och analysera loggarna. Mer information finns i Säkerhetsbaslinje för Azure Local .

Lokala aktivitetsloggar

Azure Local Lifecycle Manager skapar och lagrar aktivitetsloggar för alla åtgärdsplaner som körs. Dessa loggar stöder djupare undersöknings- och efterlevnadsövervakning.

Molnaktivitetsloggar

Genom att registrera dina system med Azure kan du använda Azure Monitor-aktivitetsloggar för att registrera åtgärder på varje resurs på prenumerationsnivå för att fastställa vad, vem och när för skrivåtgärder (placera, publicera eller ta bort) som tagits på resurserna i din prenumeration.

Molnidentitetsloggar

Om du använder Microsoft Entra-ID för att hantera identitet och åtkomst till plattformen kan du visa loggar i Azure AD-rapportering eller integrera dem med Azure Monitor, Microsoft Sentinel eller andra SIEM/övervakningsverktyg för avancerade användningsfall för övervakning och analys. Om du använder lokal Active Directory använder du lösningen Microsoft Defender för identitet för att använda dina lokal Active Directory signaler för att identifiera, identifiera och undersöka avancerade hot, komprometterade identiteter och skadliga insideråtgärder som riktas mot din organisation.

SIEM-integration

Microsoft Defender för molnet och Microsoft Sentinel är inbyggt integrerade med Arc-aktiverade lokala Azure-datorer. Du kan aktivera och registrera loggarna i Microsoft Sentinel, som tillhandahåller siem-funktioner (security information event management) och soar(security orchestration automated response). Microsoft Sentinel, liksom andra Azure-molntjänster, uppfyller många väletablerade säkerhetsstandarder som PCI DSS, HITRUST och FedRAMP Authorization, vilket kan hjälpa dig med ackrediteringsprocessen. Dessutom tillhandahåller Azure Local en intern syslog-händelsevidare för att skicka systemhändelserna till SIEM-lösningar från tredje part.

Azure Local Insights

Med Azure Local Insights kan du övervaka information om hälsa, prestanda och användning för system som är anslutna till Azure och som registreras i övervakningen. Under Insights-konfigurationen skapas en datainsamlingsregel som anger vilka data som ska samlas in. Dessa data lagras på en Log Analytics-arbetsyta, som sedan aggregeras, filtreras och analyseras för att tillhandahålla fördefinierade övervakningsinstrumentpaneler med hjälp av Azure-arbetsböcker. Du kan visa övervakningsdata för både system med en enskild nod och flera noder från din Azure Local-resurssida eller Azure Monitor. Läs mer i Övervaka Azure Local med Insights.

Lokala Azure-mått

Mått lagrar numeriska data från övervakade resurser i en tidsseriedatabas. Du kan använda Azure Monitor Metrics Explorer för att interaktivt analysera data i din måttdatabas och kartlägga värdena för flera mått över tid. Med Mått kan du skapa diagram från måttvärden och visuellt korrelera trender.

Loggaviseringar

För att indikera problem i realtid kan du ställa in aviseringar för lokala Azure-instanser med hjälp av befintliga exempelloggfrågor som genomsnittlig serverprocessor, tillgängligt minne, tillgänglig volymkapacitet med mera. Läs mer i Konfigurera aviseringar för lokala Azure-instanser.

Måttaviseringar

En måttaviseringsregel övervakar en resurs genom att utvärdera villkor för resursmåtten med jämna mellanrum. Om villkoren uppfylls utlöses en avisering. En tidsserie för mått är en serie måttvärden som samlats in under en tidsperiod. Du kan använda dessa mått för att skapa aviseringsregler. Läs mer om hur du skapar måttaviseringar i Måttaviseringar.

Tjänst- och enhetsaviseringar

Azure Local tillhandahåller tjänstbaserade aviseringar för anslutning, OS-uppdateringar, Azure-konfiguration med mera. Enhetsbaserade aviseringar för klusterhälsofel är också tillgängliga. Du kan också övervaka lokala Azure-instanser och deras underliggande komponenter med hjälp av PowerShell eller Hälsotjänst.

Krav 11: Testa säkerheten för system och nätverk regelbundet

Förutom att utföra frekventa säkerhetsutvärderingar och intrångstester själv kan du också använda Microsoft Defender för molnet för att utvärdera säkerhetsstatus för hybridarbetsbelastningar i molnet och lokalt, inklusive virtuella datorer, containeravbildningar och SQL-servrar som är Arc-aktiverade.

Krav 12: Stöd för informationssäkerhet med organisationsprinciper och program

Det är ditt ansvar att upprätthålla informationssäkerhetsprinciper och aktiviteter som upprättar organisationens säkerhetsprogram och skyddar din korthållardatamiljö. De automatiseringsfunktioner som erbjuds av Azure-tjänster som Microsoft Entra-ID och informationen som delas i Information om det inbyggda initiativet PCI DSS-regelefterlevnad kan hjälpa dig att minska ansvaret för att hantera dessa principer och program.