Azures säkerhets- och efterlevnadsskiss: Analys för PCI DSS

Översikt

Den här azure-säkerhets- och efterlevnadsskissen ger vägledning för distributionen av en dataanalysarkitektur i Azure som hjälper till med kraven i Payment Card Industry Data Security Standards (PCI DSS 3.2). Den visar en gemensam referensarkitektur och visar korrekt hantering av kreditkortsdata (inklusive kortnummer, förfallodatum och verifieringsdata) i en säker, kompatibel miljö med flera nivåer. Den här skissen visar hur kunder kan uppfylla specifika säkerhets- och efterlevnadskrav och fungerar som en grund för kunder att skapa och konfigurera sina egna dataanalyslösningar i Azure.

Den här referensarkitekturen, implementeringsguiden och hotmodellen utgör en grund för kunderna att uppfylla PCI DSS 3.2-kraven. Den här lösningen tillhandahåller en baslinje som hjälper kunder att distribuera arbetsbelastningar till Azure på ett PCI DSS 3.2-kompatibelt sätt. Den här lösningen bör dock inte användas som den är i en produktionsmiljö eftersom ytterligare konfiguration krävs.

För att uppnå PCI DSS-efterlevnad krävs att en ackrediterad QSA (Qualified Security Assessor) certifierar en kundlösning för produktion. Kunderna ansvarar för att utföra lämpliga säkerhets- och efterlevnadsbedömningar av alla lösningar som skapats med hjälp av den här arkitekturen, eftersom kraven kan variera beroende på detaljerna i varje kunds implementering.

Arkitekturdiagram och komponenter

Den här azure-säkerhets- och efterlevnadsskissen tillhandahåller en analysplattform där kunderna kan skapa egna analysverktyg. Referensarkitekturen beskriver ett allmänt användningsfall där kunder matar in data antingen via massdataimport från SQL/dataadministratören eller via uppdateringar av driftdata via en driftanvändare. Båda arbetsströmmarna innehåller Azure Functions för att importera data till Azure SQL Database. Azure Functions måste konfigureras av kunden via Azure Portal för att kunna hantera importuppgifter som är unika för varje kunds egna analyskrav.

Azure erbjuder olika rapporterings- och analystjänster för kunderna. Den här lösningen omfattar Azure Machine Learning tillsammans med Azure SQL Database för att snabbt bläddra igenom data och leverera snabbare resultat genom smartare modellering. Azure Machine Learning ökar frågehastigheterna genom att identifiera nya relationer mellan datauppsättningar. När data har tränats genom flera statistiska funktioner kan upp till 7 ytterligare frågepooler (totalt 8 inklusive kundservern) synkroniseras med samma tabellmodeller för att sprida frågearbetsbelastningar och minska svarstiderna.

För förbättrad analys och rapportering kan Azure SQL databaser konfigureras med columnstore-index. Både Azure Machine Learning och Azure SQL databaser kan skalas upp eller ned eller stängas av helt som svar på kundanvändningen. All SQL-trafik krypteras med SSL genom att självsignerade certifikat inkluderas. Som bästa praxis rekommenderar Azure att du använder en betrodd certifikatutfärdare för förbättrad säkerhet.

När data har laddats upp till Azure SQL Database och tränats av Azure Machine Learning sammanfattas de av både den operativa användaren och SQL/Data Admin med Power BI. Power BI visar data intuitivt och samlar information över flera datauppsättningar för att få större insikt. Dess höga grad av anpassningsbarhet och enkel integrering med Azure SQL Database säkerställer att kunderna kan konfigurera den för att hantera en mängd olika scenarier som krävs av deras affärsbehov.

Lösningen använder Azure Storage-konton, som kunder kan konfigurera för att använda kryptering av lagringstjänst för att upprätthålla konfidentialitet för vilande data. Azure lagrar tre kopior av data i en kunds valda datacenter för återhämtning. Geografisk redundant lagring säkerställer att data replikeras till ett sekundärt datacenter hundratals mil bort och sedan lagras som tre kopior i datacentret, vilket förhindrar att en negativ händelse i kundens primära datacenter resulterar i dataförlust.

För förbättrad säkerhet hanteras alla resurser i den här lösningen som en resursgrupp via Azure Resource Manager. Rollbaserad åtkomstkontroll i Azure Active Directory används för att kontrollera åtkomsten till distribuerade resurser, inklusive deras nycklar i Azure Key Vault. Systemhälsa övervakas via Azure Security Center och Azure Monitor. Kunder konfigurerar både övervakningstjänster för att samla in loggar och visa systemets hälsa på en enda instrumentpanel som enkelt kan navigeras.

Azure SQL Database hanteras ofta via SQL Server Management Studio (SSMS), som körs från en lokal dator som har konfigurerats för att komma åt Azure SQL Database via en säker VPN- eller ExpressRoute-anslutning. Microsoft rekommenderar att du konfigurerar en VPN- eller ExpressRoute-anslutning för hantering och dataimport till referensarkitekturresursgruppen.

Den här lösningen använder följande Azure-tjänster. Information om distributionsarkitekturen finns i avsnittet Distributionsarkitektur .

• Application Insights
• Azure Active Directory
• Azure Data Catalog
• Azure Disk Encryption
• Azure Event Grid
• Azure Functions
• Azure Key Vault
• Azure Machine Learning
• Azure Monitor
• Azure Security Center
• Azure SQL Database
• Azure Storage
• Azure Virtual Network
  • (1) /16 Nätverk
  • (2) /24 Nätverk
  • (2) Nätverkssäkerhetsgrupper
• Power BI-instrumentpanel

Distributionsarkitektur

I följande avsnitt beskrivs distributions- och implementeringselementen.

Azure Event Grid: Azure Event Grid gör att kunderna enkelt kan skapa program med händelsebaserade arkitekturer. Användare väljer den Azure-resurs som de vill prenumerera på och ger händelsehanteraren eller webhooken en slutpunkt att skicka händelsen till. Kunder kan skydda webhook-slutpunkter genom att lägga till frågeparametrar i webhookens URL när de skapar en händelseprenumeration. Azure Event Grid stöder endast HTTPS webhook-slutpunkter. Azure Event Grid gör det möjligt för kunder att kontrollera åtkomstnivån för olika användare för att utföra olika hanteringsåtgärder, till exempel lista händelseprenumerationer, skapa nya och generera nycklar. Event Grid använder rollbaserad åtkomstkontroll i Azure.

Azure Functions: Azure Functions är en serverlös beräkningstjänst som gör det möjligt för användare att köra kod på begäran utan att uttryckligen behöva etablera eller hantera infrastruktur. Använd Azure Functions för att köra ett skript eller kod som svar på en rad olika händelser.

Azure Machine Learning: Azure Machine Learning är en datavetenskapsteknik som gör att datorer kan använda befintliga data för att förutsäga framtida beteenden, resultat och trender.

Azure Data Catalog: Data Catalog gör datakällorna lätta att identifiera och förstå för de användare som hanterar data. Vanliga datakällor kan registreras, taggas och sökas efter finansiella data. Data finns kvar på den befintliga platsen, men en kopia av dess metadata läggs till i Data Catalog, tillsammans med en referens till datakällans plats. Dessa metadata indexeras också för att det ska bli enkelt att identifiera alla datakällor och för att användare som identifierar dem ska förstå dem.

Virtuellt nätverk

Arkitekturen definierar ett privat virtuellt nätverk med adressutrymmet 10.200.0.0/16.

Nätverkssäkerhetsgrupper: Nätverkssäkerhetsgrupper innehåller åtkomstkontrollistor som tillåter eller nekar trafik i ett virtuellt nätverk. Nätverkssäkerhetsgrupper kan användas för att skydda trafik på undernäts- eller enskild VM-nivå. Följande nätverkssäkerhetsgrupper finns:

• En nätverkssäkerhetsgrupp för Active Directory
• En nätverkssäkerhetsgrupp för arbetsbelastningen

Var och en av nätverkssäkerhetsgrupperna har specifika portar och protokoll öppna så att lösningen kan fungera säkert och korrekt. Dessutom är följande konfigurationer aktiverade för varje nätverkssäkerhetsgrupp:

• Diagnostikloggar och händelser aktiveras och lagras i ett lagringskonto
• Azure Monitor-loggar är anslutna till nätverkssäkerhetsgruppens diagnostikloggar

Undernät: Varje undernät är associerat med motsvarande nätverkssäkerhetsgrupp.

Data under överföring

Azure krypterar all kommunikation till och från Azure-datacenter som standard. Alla transaktioner till Azure Storage via Azure Portal ske via HTTPS.

Vilande data

Arkitekturen skyddar vilande data via kryptering, databasgranskning och andra mått.

Azure Storage: För att uppfylla vilande krypterade data använder all Azure Storagekryptering av lagringstjänsten. Detta hjälper till att skydda korthållardata till stöd för organisationens säkerhetsåtaganden och efterlevnadskrav som definieras av PCI DSS 3.2.

Azure Disk Encryption: Azure Disk Encryption använder BitLocker-funktionen i Windows för att tillhandahålla volymkryptering för datadiskar. Lösningen integreras med Azure Key Vault för att styra och hantera diskkrypteringsnycklarna.

Azure SQL Database: Azure SQL Database-instansen använder följande databassäkerhetsåtgärder:

• Active Directory-autentisering och auktorisering möjliggör identitetshantering av databasanvändare och andra Microsoft-tjänster på en central plats.
• SQL-databasgranskning spårar databashändelser och skriver dem till en granskningslogg i ett Azure Storage-konto.
• Azure SQL Database har konfigurerats för att använda transparent datakryptering, som utför kryptering i realtid och dekryptering av databasen, associerade säkerhetskopior och transaktionsloggfiler för att skydda vilande information. Transparent datakryptering garanterar att lagrade data inte har utsatts för obehörig åtkomst.
• Brandväggsregler förhindrar all åtkomst till databasservrar tills rätt behörigheter har beviljats. Brandväggen ger åtkomst till databaser baserat på vilken IP-adress som varje begäran kommer från.
• SQL Threat Detection möjliggör identifiering och svar på potentiella hot när de inträffar genom att tillhandahålla säkerhetsaviseringar för misstänkta databasaktiviteter, potentiella sårbarheter, SQL-inmatningsattacker och avvikande mönster för databasåtkomst.
• Krypterade kolumner ser till att känsliga data aldrig visas som klartext i databassystemet. När du har aktiverat datakryptering kan endast klientprogram eller programservrar med åtkomst till nycklarna komma åt klartextdata.
• Utökade egenskaper kan användas för att avbryta bearbetningen av registrerade, eftersom det gör det möjligt för användare att lägga till anpassade egenskaper för databasobjekt och tagga data som "Upphört" för att stödja programlogik för att förhindra bearbetning av associerade finansiella data.
• Säkerhet på radnivå gör det möjligt för användare att definiera principer för att begränsa åtkomsten till data för att avbryta bearbetningen.
• SQL Database dynamisk datamaskering begränsar exponeringen av känsliga data genom att maskera data för icke-privilegierade användare eller program. Dynamisk datamaskering kan automatiskt identifiera potentiellt känsliga data och föreslå lämpliga masker som ska tillämpas. Detta hjälper till att identifiera och minska åtkomsten till data så att den inte avslutar databasen via obehörig åtkomst. Kunderna ansvarar för att justera inställningarna för dynamisk datamaskering så att de följer sitt databasschema.

Identitetshantering

Följande tekniker tillhandahåller funktioner för att hantera åtkomst till data i Azure-miljön:

• Azure Active Directory är Microsofts molnbaserade katalog- och identitetshanteringstjänst för flera klientorganisationer. Alla användare för den här lösningen skapas i Azure Active Directory, inklusive användare som har åtkomst till Azure SQL Database.
• Autentisering till programmet utförs med hjälp av Azure Active Directory. Mer information finns i Integrera program med Azure Active Directory. Dessutom använder databaskolumnkryptering Azure Active Directory för att autentisera programmet till Azure SQL Database. Mer information finns i skydda känsliga data i Azure SQL Database.
• Med rollbaserad åtkomstkontroll i Azure kan administratörer definiera detaljerade åtkomstbehörigheter för att endast bevilja den mängd åtkomst som användarna behöver för att utföra sina jobb. I stället för att ge alla användare obegränsad behörighet för Azure-resurser kan administratörer endast tillåta vissa åtgärder för åtkomst till data. Prenumerationsåtkomsten är begränsad till prenumerationsadministratören.
• Azure Active Directory Privileged Identity Management gör det möjligt för kunder att minimera antalet användare som har åtkomst till viss information. Administratörer kan använda Azure Active Directory Privileged Identity Management för att identifiera, begränsa och övervaka privilegierade identiteter och deras åtkomst till resurser. Den här funktionen kan också användas för att framtvinga administrativ åtkomst på begäran och just-in-time när det behövs.
• Azure Active Directory Identity Protection identifierar potentiella sårbarheter som påverkar en organisations identiteter, konfigurerar automatiserade svar på identifierade misstänkta åtgärder relaterade till en organisations identiteter och undersöker misstänkta incidenter för att vidta lämpliga åtgärder för att lösa dem.

Säkerhet

Hantering av hemligheter: Lösningen använder Azure Key Vault för hantering av nycklar och hemligheter. Azure Key Vault hjälper dig att skydda krypteringsnycklar och hemligheter som används av molnprogram och molntjänster. Följande Funktioner i Azure Key Vault hjälper kunderna att skydda och komma åt sådana data:

• Avancerade åtkomstprinciper konfigureras efter behov.
• Key Vault åtkomstprinciper definieras med minsta nödvändiga behörigheter för nycklar och hemligheter.
• Alla nycklar och hemligheter i Key Vault har förfallodatum.
• Alla nycklar i Key Vault skyddas av specialiserade maskinvarusäkerhetsmoduler. Nyckeltypen är en HSM-skyddad 2048-bitars RSA-nyckel.
• Alla användare och identiteter beviljas minsta nödvändiga behörigheter med hjälp av rollbaserad åtkomstkontroll.
• Diagnostikloggar för Key Vault aktiveras med en kvarhållningsperiod på minst 365 dagar.
• Tillåtna kryptografiska åtgärder för nycklar är begränsade till de som krävs.

Azure Security Center: Med Azure Security Center kan kunderna tillämpa och hantera säkerhetsprinciper centralt över arbetsbelastningar, begränsa exponeringen för hot och identifiera och svara på attacker. Dessutom får Azure Security Center åtkomst till befintliga konfigurationer av Azure-tjänster för att ge konfigurations- och tjänstrekommendationer för att förbättra säkerhetsstatusen och skydda data.

Azure Security Center använder en mängd olika identifieringsfunktioner för att varna kunder om potentiella attacker som riktar sig mot deras miljöer. Dessa aviseringar innehåller värdefull information om vad som utlöste aviseringen, vilka resurser som berörs och attackens källa. Azure Security Center har en uppsättning fördefinierade säkerhetsaviseringar som utlöses när ett hot eller en misstänkt aktivitet äger rum. Anpassade aviseringsregler i Azure Security Center gör det möjligt för kunder att definiera nya säkerhetsaviseringar baserat på data som redan har samlats in från deras miljö.

Azure Security Center tillhandahåller prioriterade säkerhetsaviseringar och incidenter, vilket gör det enklare för kunder att identifiera och åtgärda potentiella säkerhetsproblem. En hotinformationsrapport genereras för varje identifierat hot för att hjälpa incidenthanteringsteam att undersöka och åtgärda hot.

Loggning och granskning

Azure-tjänster loggar system- och användaraktivitet i stor utsträckning, samt systemhälsa:

• Aktivitetsloggar: Aktivitetsloggar ger insikter om åtgärder som utförs på resurser i en prenumeration. Aktivitetsloggar kan hjälpa dig att fastställa en åtgärds initierare, tidpunkt för förekomst och status.
• Diagnostikloggar: Diagnostikloggar innehåller alla loggar som genereras av varje resurs. Dessa loggar omfattar Windows-händelsesystemloggar, Azure Storage-loggar, Key Vault granskningsloggar samt Application Gateway åtkomst- och brandväggsloggar. Alla diagnostikloggar skriver till ett centraliserat och krypterat Azure Storage-konto för arkivering. Kvarhållningen är användarkonfigurerbar i upp till 730 dagar för att uppfylla organisationens specifika kvarhållningskrav.

Azure Monitor-loggar: Dessa loggar konsolideras i Azure Monitor-loggar för bearbetning, lagring och instrumentpanelsrapportering. När data har samlats in ordnas de i separata tabeller för varje datatyp i Log Analytics-arbetsytor, vilket gör att alla data kan analyseras tillsammans oavsett dess ursprungliga källa. Dessutom integreras Azure Security Center med Azure Monitor-loggar så att kunderna kan använda Kusto-frågor för att komma åt sina säkerhetshändelsedata och kombinera dem med data från andra tjänster.

Följande Azure-övervakningslösningar ingår som en del av den här arkitekturen:

• Active Directory-utvärdering: Active Directory-hälsokontrolllösningen utvärderar risken och hälsotillståndet för servermiljöer med jämna mellanrum och tillhandahåller en prioriterad lista över rekommendationer som är specifika för den distribuerade serverinfrastrukturen.
• SQL-utvärdering: SQL-hälsokontrolllösningen utvärderar risken och hälsotillståndet för servermiljöer med jämna mellanrum och ger kunderna en prioriterad lista med rekommendationer som är specifika för den distribuerade serverinfrastrukturen.
• Agenthälsa: Agenthälsolösningen rapporterar hur många agenter som distribueras och deras geografiska distribution, samt hur många agenter som inte svarar och antalet agenter som skickar driftdata.
• Aktivitetslogganalys: Lösningen för aktivitetslogganalys hjälper till med analys av Azure-aktivitetsloggar i alla Azure-prenumerationer för en kund.

Azure Automation: Azure Automation lagrar, kör och hanterar runbooks. I den här lösningen hjälper runbooks till att samla in loggar från Azure SQL Database. Med automationslösningen Ändringsspårning kan kunderna enkelt identifiera ändringar i miljön.

Azure Monitor: Azure Monitor hjälper användare att spåra prestanda, upprätthålla säkerhet och identifiera trender genom att göra det möjligt för organisationer att granska, skapa aviseringar och arkivera data, inklusive att spåra API-anrop i sina Azure-resurser.

Application Insights: Application Insights är en utökningsbar APM-tjänst (Application Performance Management) för webbutvecklare på flera plattformar. Den identifierar prestandaavvikelser och innehåller kraftfulla analysverktyg som hjälper dig att diagnostisera problem och förstå vad användarna faktiskt gör med appen. Den är utformad för att hjälpa användare att kontinuerligt förbättra prestanda och användbarhet.

Hotmodell

Dataflödesdiagrammet för den här referensarkitekturen är tillgängligt för nedladdning eller finns nedan. Den här modellen kan hjälpa kunderna att förstå potentiella risker i systeminfrastrukturen när de gör ändringar.

Efterlevnadsdokumentation

Azures säkerhets- och efterlevnadsskiss – PCI DSS-kundansvarsmatrisen visar ansvarsområden för alla PCI DSS 3.2-krav.

Azures säkerhets- och efterlevnadsritning – PCI DSS-implementeringsmatris för dataanalys innehåller information om vilka PCI DSS 3.2-krav som hanteras av dataanalysarkitekturen, inklusive detaljerade beskrivningar av hur implementeringen uppfyller kraven för varje kontroll som omfattas.

Vägledning och rekommendationer

VPN och ExpressRoute

En säker VPN-tunnel eller ExpressRoute måste konfigureras för att på ett säkert sätt upprätta en anslutning till de resurser som distribueras som en del av den här referensarkitekturen för dataanalys. Genom att konfigurera ett VPN eller ExpressRoute på rätt sätt kan kunderna lägga till ett skyddslager för data under överföring.

Genom att implementera en säker VPN-tunnel med Azure kan du skapa en virtuell privat anslutning mellan ett lokalt nätverk och en Azure-Virtual Network. Den här anslutningen sker via Internet och gör det möjligt för kunder att på ett säkert sätt "tunnel"-information i en krypterad länk mellan kundens nätverk och Azure. Plats-till-plats-VPN är en säker, mogen teknik som har distribuerats av företag av alla storlekar i årtionden. IPsec-tunnelläget används i det här alternativet som en krypteringsmekanism.

Eftersom trafik i VPN-tunneln passerar internet med ett plats-till-plats-VPN erbjuder Microsoft ett annat, ännu säkrare anslutningsalternativ. Azure ExpressRoute är en dedikerad WAN-länk mellan Azure och en lokal plats eller en Exchange-värdleverantör. Eftersom ExpressRoute-anslutningar inte går via Internet ger dessa anslutningar mer tillförlitlighet, snabbare hastigheter, kortare svarstider och högre säkerhet än vanliga anslutningar via Internet. Eftersom detta är en direkt anslutning till kundens telekommunikationsleverantör överförs inte data via Internet och exponeras därför inte för dem.

Metodtips för att implementera ett säkert hybridnätverk som utökar ett lokalt nätverk till Azure är tillgängliga.

Extrahering av transformeringsbelastningsprocess

PolyBase kan läsa in data i Azure SQL Database utan att behöva ett separat extraherings-, transformerings-, inläsnings- eller importverktyg. PolyBase ger åtkomst till data via T-SQL-frågor. Microsofts business intelligence- och analysstack, samt verktyg från tredje part som är kompatibla med SQL Server, kan användas med PolyBase.

Azure Active Directory-konfiguration

Azure Active Directory är viktigt för att hantera distributionen och etablera åtkomst till personal som interagerar med miljön. En befintlig Windows Server Active Directory kan integreras med Azure Active Directory med fyra klick. Kunder kan också koppla den distribuerade Active Directory-infrastrukturen (domänkontrollanter) till en befintlig Azure Active Directory genom att göra den distribuerade Active Directory-infrastrukturen till en underdomän till en Azure Active Directory-skog.

Disclaimer

• This document is for informational purposes only. MICROSOFT LÄMNAR INGA GARANTIER, UTTRYCKLIGA, UNDERFÖRSTÅDDA ELLER LAGSTADGADE, OM INFORMATIONEN I DET HÄR DOKUMENTET. Det här dokumentet tillhandahålls "i nuläget". Information och åsikter som uttrycks i det här dokumentet, inklusive URL-adresser och andra webbplatsreferenser på Internet, kan ändras utan föregående meddelande. Kunder som läser det här dokumentet riskerar att använda det.
• Det här dokumentet ger inte kunderna några juridiska rättigheter till immateriella rättigheter i microsofts produkter eller lösningar.
• Kunder kan kopiera och använda det här dokumentet för interna referensändamål.
• Vissa rekommendationer i det här dokumentet kan leda till ökad användning av data, nätverk eller beräkningsresurser i Azure och kan öka kundens kostnader för Azure-licenser eller prenumerationer.
• Den här arkitekturen är avsedd att fungera som en grund för kunder att anpassa sig till sina specifika krav och bör inte användas som den är i en produktionsmiljö.
• Det här dokumentet är utvecklat som en referens och bör inte användas för att definiera alla sätt som en kund kan uppfylla specifika efterlevnadskrav och föreskrifter på. Kunder bör söka juridisk support från organisationen om godkända kundimplementeringar.