Azure 本地和 PCI DSS
适用于:Azure Local 2311.2 及更高版本
本文介绍如何Microsoft Azure 本地安全功能可帮助支付卡行业的组织实现云中和本地环境中 PCI DSS 的安全控制要求。
PCI DSS
支付卡行业(PCI)数据安全标准(DSS)是一项全球信息安全标准,旨在通过增加对信用卡数据的控制来防止欺诈。 PCI DSS 由支付卡品牌授权,并由支付卡行业安全标准委员会管理。
存储、处理或传输持卡人数据(CHD)的任何组织都需要符合 PCI DSS 的要求。 受 PCI DSS 合规性约束的组织包括(但不限于)商家、付款处理器、颁发者、收购者和服务提供商。
在 PCI 安全标准委员会文档库中详细了解标准。
共担责任
必须了解 PCI DSS 不仅仅是技术和产品标准,而且还涵盖人员和流程的安全要求。 合规性的责任由你作为涵盖实体和Microsoft作为服务提供商共享。
Microsoft客户
作为涵盖实体,你有责任实现和管理自己的 PCI DSS 证书。 组织需要评估其不同的环境,尤其是托管服务付款或付款相关工作负载的部分,其中持卡人数据存储、处理和/或传输。 这称为持卡人数据环境(CDE)。 之后,组织需要规划和实施适当的安全控制、策略和过程,才能在接受正式测试过程之前满足所有指定要求。 组织最终与合格安全评估器(QSA)签订合同,该评估程序验证环境是否符合所有要求。
Microsoft
尽管你有责任保持符合 PCI DSS 标准,但你并不孤单。 Microsoft在整个混合环境中提供补充材料和安全功能,以帮助降低完成 PCI DSS 验证的相关工作量和成本。 例如,评估者可以使用符合性(AOC)Azure 证明,而不是从头开始测试所有内容,以用于 Azure 中部署的持卡人数据环境部分。 在以下内容中了解详细信息。
Azure 本地符合性
设计和生成 Azure 本地时,Microsoft考虑到Microsoft云环境和客户本地环境的安全要求。
连接的云服务
Azure Local 提供与各种 Azure 服务(例如 Azure Monitor、Azure 备份 和 Azure Site Recovery)的深度集成,为混合设置带来新功能。 这些云服务在服务提供商级别 1 的 PCI DSS 版本 4.0 下认证为合规。 在 PCI DSS - Azure 合规性中 详细了解 Azure 云服务的符合性计划。
重要
请务必注意,Azure PCI DSS 符合性状态不会自动转换为组织在 Azure 平台上构建或托管的服务的 PCI DSS 验证。 客户负责确保其组织符合 PCI DSS 要求。
本地解决方案
作为本地解决方案,Azure Local 提供了一系列功能,可帮助组织满足 PCI DSS 和其他金融服务安全标准的合规性。
与 PCI DSS 相关的 Azure 本地功能
本部分简要概述了组织如何使用 Azure 本地功能来满足 PCI DSS 的要求。 请务必注意,PCI DSS 要求适用于包含在持卡人数据环境或连接到持卡人数据环境(CDE)中的所有系统组件。
以下内容重点介绍 Azure 本地平台级别,该级别托管服务付款或与付款相关的工作负载,其中包括持卡人数据。
要求 1:安装和维护网络安全控制
借助 Azure 本地,可以应用网络安全控制来保护平台及其上运行的工作负载免受外部和内部的网络威胁。 该平台还保证主机上的公平网络分配,并通过负载均衡功能提高工作负荷性能和可用性。 若要详细了解 Azure Local 中的网络安全,请参阅以下文章。
要求 2:对所有系统组件应用安全配置
默认情况下安全
默认情况下,Azure Local 使用安全工具和技术进行安全配置,以防范新式威胁,并与 Azure 计算安全基线保持一致。 在 Azure 本地安全基线设置中了解详细信息。
偏移保护
平台的默认安全配置和安全核心设置在部署和运行时都受到保护,并受到 偏移控制 保护。 启用时,偏移控制保护每隔 90 分钟定期刷新安全设置,以确保修正来自指定状态的任何更改。 通过这种持续监视和自动护理,可以在设备的整个生命周期内配置一致且可靠的安全配置。 配置安全设置时,可以在部署期间禁用偏移保护。
工作负荷的安全基线
对于在 Azure 本地上运行的工作负荷,可以使用 Azure 建议的操作系统基线(适用于 Windows 和 Linux)作为基准来定义计算资源配置基线。
要求 3:保护存储的帐户数据
使用 BitLocker 加密数据
在 Azure 本地实例上,可以通过 BitLocker XTS-AES 256 位加密来加密所有数据静态数据。 默认情况下,系统会建议启用 BitLocker 以加密 Azure 本地部署中的所有操作系统(OS)卷和群集共享卷(CSV)。 对于部署后添加的任何新存储卷,需要手动启用 BitLocker 来加密新的存储卷。 使用 BitLocker 保护数据可以帮助组织遵守 ISO/IEC 27001。 有关详细信息,请在 将 BitLocker 与群集共享卷(CSV)配合使用。
要求 4:在通过开放、公用网络传输期间使用强加密保护持卡人数据
使用 TLS/DTLS 保护外部网络流量
默认情况下,所有到本地和远程终结点的主机通信都使用 TLS1.2、TLS1.3 和 DTLS 1.2 进行加密。 平台禁用旧协议/哈希(如 TLS/DTLS 1.1 SMB1)的使用。 Azure Local 还支持强密码套件,例如仅限 NIST 曲线 P-256 和 P-384 的符合 SDL 的椭圆曲线。
要求 5:保护所有系统和网络免受恶意软件的攻击
Windows Defender 防病毒
Windows Defender 防病毒是一个实用工具应用程序,可强制实施实时系统扫描和定期扫描,以保护平台和工作负载免受病毒、恶意软件、间谍软件和其他威胁的攻击。 默认情况下,Microsoft Defender 防病毒在 Azure 本地启用。 Microsoft建议将Microsoft Defender 防病毒与 Azure 本地(而不是第三方防病毒和恶意软件检测软件和服务)配合使用,因为它们可能会影响操作系统接收更新的能力。 在 Windows Server 上的Microsoft Defender 防病毒了解详细信息。
应用程序控制
默认情况下,Azure Local 上启用了应用程序控制,以控制允许哪些驱动程序和应用程序直接在每台服务器上运行,从而有助于防止恶意软件访问系统。 请参阅 Azure Local 的应用程序控制,详细了解 Azure Local 中包含的基本策略以及如何创建补充策略。
Microsoft Defender for Cloud
使用 Endpoint Protection(通过 Defender for Servers 计划启用)Microsoft Defender for Cloud 提供了具有高级威胁防护功能的安全态势管理解决方案。 它提供用于评估基础结构的安全状态、保护工作负载、引发安全警报以及遵循特定建议来修正攻击和解决未来威胁的工具。 它通过自动预配和保护 Azure 服务,在云中以高速方式执行所有这些服务,无需部署开销。 在 Microsoft Defender for Cloud 中了解详细信息。
要求 6:开发和维护安全系统和软件
平台更新
Azure Local 的所有组件(包括操作系统、核心代理和服务以及解决方案扩展)都可以使用生命周期管理器轻松维护。 此功能允许将不同的组件捆绑到更新版本中,并验证版本的组合以确保互操作性。 在 Azure 本地解决方案更新的生命周期管理器中了解详细信息。
工作负荷更新
对于在 Azure Local 上运行的工作负荷(包括Azure Kubernetes 服务(AKS)混合、Azure Arc 和基础结构虚拟机(VM)未集成到生命周期管理器中,请按照使用生命周期管理器中介绍的方法进行更新以使其保持更新并符合 PCI DSS 要求。
要求 7:根据业务需求限制对系统组件和持卡人数据的访问
你有责任根据组织的业务要求确定角色及其访问需求,然后根据工作职责分配特权,确保只有经过授权的人员才能访问敏感系统和数据。 使用要求 8 中所述 的功能:识别用户并验证对系统组件 的访问权限以实现策略和过程。
要求 8:识别用户并验证对系统组件的访问权限
Azure Local 通过多个接口(例如 Azure Arc 和 Windows PowerShell)提供对计算机上运行的基础系统的完全直接访问权限。 可以在本地环境中使用传统的 Windows 工具或基于云的解决方案(如 Microsoft Entra ID(前 Azure Active Directory)来管理标识和访问平台。 在这两种情况下,都可以利用内置安全功能,例如多重身份验证(MFA)、条件访问、基于角色的访问控制(RBAC)和特权标识管理(PIM),以确保环境安全且合规。
有关本地标识和访问管理的详细信息,请参阅 Microsoft Identity Manager 和 privileged Access Management for Active Directory 域服务。 有关基于云的标识和访问管理的详细信息,请参阅 Microsoft Entra ID。
要求 9:限制对持卡人数据的物理访问
对于本地环境,请确保物理安全性与 Azure 本地值及其包含的数据相适应。
要求 10:记录和监视对系统组件和持卡人数据的所有访问
本地系统日志
默认情况下,将记录在 Azure Local 中执行的所有操作,以便跟踪谁在平台上执行了哪些操作、时间和位置。 还包含由 Windows Defender 创建的日志和警报,以帮助防止、检测和尽量减少数据泄露的可能性和影响。 但是,由于系统日志通常包含大量信息,因此大部分信息都与信息安全监视无关,因此需要确定要收集和利用哪些事件以实现安全监视目的。 Azure 监视功能有助于收集、存储、警报和分析这些日志。 参考 Azure 本地的安全基线了解详细信息。
本地活动日志
Azure 本地生命周期管理器为执行的任何行动计划创建和存储活动日志。 这些日志支持更深入的调查和合规性监视。
云活动日志
通过将系统注册到 Azure,可以使用 Azure Monitor 活动日志 记录订阅层中每个资源上的操作,以确定对订阅中的资源执行的任何写入操作(放置、发布或删除)时,以及何时执行哪些操作。
云标识日志
如果使用 Microsoft Entra ID 来管理标识和访问平台,可以查看 Azure AD 报告中的日志或将其与 Azure Monitor 集成、Microsoft Sentinel 或其他 SIEM/监视工具,以便进行复杂的监视和分析用例。 如果使用本地 Active Directory,请使用 Microsoft Defender for Identity 解决方案来使用本地 Active Directory信号来识别、检测和调查针对组织的高级威胁、泄露标识和恶意内部操作。
SIEM 集成
Microsoft Defender for Cloud 和 Microsoft Sentinel 本机与已启用 Arc 的 Azure 本地计算机集成。 可以启用日志并将其载入 Microsoft Sentinel,后者提供安全信息事件管理(SIEM)和安全业务流程自动响应(SOAR)功能。 Microsoft Sentinel 与其他 Azure 云服务一样,符合许多成熟的安全标准,例如 PCI DSS、HITRUST 和 FedRAMP 授权,这有助于完成认证过程。 此外,Azure Local 还提供本机 syslog 事件转发器,用于将系统事件发送到第三方 SIEM 解决方案。
Azure Local Insights
使用 Azure Local Insights 可以监视连接到 Azure 并注册到监视中的系统的运行状况、性能和使用情况信息。 在 Insights 配置期间,将创建数据收集规则,该规则指定要收集的数据。 此数据存储在 Log Analytics 工作区中,然后聚合、筛选和分析,以便使用 Azure 工作簿提供预生成的监视仪表板。 可以从 Azure 本地资源页或 Azure Monitor 查看单节点系统和多节点系统的监视数据。 在 Monitor Azure Local with Insights 中了解详细信息。
Azure 本地指标
指标将受监视资源的数字数据存储到时序数据库中。 可以使用 Azure Monitor 指标资源管理器 以交互方式分析指标数据库中的数据,并在一段时间内绘制多个指标的值图表。 使用指标,可以从指标值创建图表,并直观地关联趋势。
日志警报
若要实时指示问题,可以使用预先存在的示例日志查询(例如服务器 CPU、可用内存、可用卷容量等)为 Azure 本地实例设置警报。 有关详细信息,请查看 “为 Azure 本地实例设置警报”。
指标警报
指标警报规则通过定期评估资源指标的条件来监视资源。 如果满足条件,则会触发警报。 指标时序是在一段时间内捕获的一系列指标值。 可以使用这些指标来创建警报规则。 详细了解如何在指标警报中创建 指标警报。
服务和设备警报
Azure Local 为连接、OS 更新、Azure 配置等提供基于服务的警报。 群集运行状况故障的基于设备的警报也可用。 还可以使用 PowerShell 或运行状况服务监视 Azure 本地实例及其基础组件。
要求 11:定期测试系统和网络的安全性
除了自行执行频繁的安全评估和渗透测试外,还可以使用 Microsoft Defender for Cloud 评估云和本地混合工作负荷的安全状态,包括已启用 Arc 的虚拟机、容器映像和 SQL 服务器。
要求 12:使用组织策略和计划支持信息安全
负责维护建立组织安全计划并保护持卡人数据环境的信息安全策略和活动。 Azure 服务(如 Microsoft Entra ID)提供的自动化功能以及 PCI DSS 法规合规性内置计划详细信息中共享的信息可帮助你减轻管理这些策略和计划的负担。