Zjištění ohrožení zabezpečení AKS clusteru pro PCI-DSS 3.2.1 (část 5 z 9)

Kubernetes Service
Brána firewall
Application Gateway
Azure Active Directory
Azure Security Center
Monitor

Tento článek popisuje požadavky pro cluster Azure Kubernetes Service (AKS), který je nakonfigurovaný v souladu se standardem PCI-DSS v oboru zabezpečení dat v odvětví platebních karet (PCI-DSS 3.2.1).

Tento článek je součástí série článků. Přečtěte si Úvod.

Stejně jako u jakéhokoli cloudového řešení se na úlohy PCI vztahují hrozby sítě, identity a dat. Běžné příklady zdrojů, které využívají chyby zabezpečení úloh a systému, jsou viry nebo aktualizace softwaru, které vytváří nežádoucí výsledky. Včasné odhalení hrozeb a včasné reakce na zmírnění. Vytvářejte kritické výstrahy pro aktivity úloh a rozšíříte tyto výstrahy na základní systémové procesy. Nástroje pro antivirovou ochranu nebo nástroj pro sledování integrity souborů (FIM) musí být vždycky spuštěné. Mít k dispozici plán odpovědí a tým, který bude tyto výstrahy prozkoumat a provede akci.

Důležité

Doprovodné materiály a doprovodná implementace implementují na AKS základní architektuře. Tato architektura závisí na topologii hvězdicové topologie. Virtuální síť rozbočovače obsahuje bránu firewall pro řízení provozu, provozu brány z místních sítí a třetí sítě pro údržbu. Koncová virtuální síť obsahuje cluster AKS, který poskytuje datové prostředí (CDE) pro držitele a hostuje úlohu PCI DSS.

GitHub s logem GitHub : Kubernetesý Cluster služby Azure (AKS) pro regulované úlohy ukazuje na regulovaných infrastruktuře. Implementace znázorňuje nastavení nástrojů zabezpečení v různých fázích architektury a životního cyklu vývoje. Zahrnuje příklady vlastních agentů zabezpečení v clusteru a nástrojů zabezpečení poskytovaných službou Azure, například Azure Defender.

Údržba programu pro správu ohrožení zabezpečení

Požadavek 5 — Chránit všechny systémy proti malwaru a pravidelně aktualizovat antivirový software nebo programy

Podpora funkcí AKS

AKS se nechová jako tradiční hostitel aplikace. Virtuální počítače uzlu v clusteru AKS mají omezené expozici a nejsou určené k přímému zpřístupnění. Vzhledem k tomu, že virtuální počítače uzlů neodpovídají tradičním virtuálním počítačům, nemůžete použít běžné nástroje virtuálních počítačů. Doporučení v této části jsou tedy aplikována prostřednictvím nativních konstrukcí Kubernetes. Použití těchto požadavků přímo na úrovni virtuálního počítače může způsobit, že váš cluster nebude podporován.

Budete muset nasadit antimalwarový software podle vašeho výběru v DaemonSets, který se bude spouštět v části pod každým uzlem.

Vaše odpovědnosti

Ujistěte se, že je software specializovaný v Kubernetes a kontejnerech. K dispozici je několik možností softwaru třetích stran. Mezi oblíbené možnosti patří Prisma Cloud a Aquasec. K dispozici jsou také možnosti open source, jako je Falco. Máte jistotu, že máte nějaké procesy, abyste měli jistotu, že software třetí strany je aktuální. Monitorování a upozorňování na řešení je také zodpovědností.

Požadavek Zodpovědní
Požadavek 5,1 Nasaďte antivirový software na všechny systémy, které běžně ovlivňují škodlivý software (zejména osobní počítače a servery).
Požadavek 5,2 Zajistěte, aby všechny antivirové mechanismy byly udržované takto:
Požadavek 5,3 Zajistěte, aby antivirové mechanismy byly aktivně spuštěné a aby je uživatelé nepovolili nebo nezměnili, pokud to není v případě omezeného časového období výslovně autorizováno správou jednotlivých případů.
Požadavek 5,4 Zajistěte, aby zásady zabezpečení a provozní postupy pro ochranu systémů proti malwaru byly dokumentovány, používány a byly známy všem postiženým stranám.

Požadavek 6 — Vývoj a údržba zabezpečených systémů a aplikací

Podpora funkcí AKS

Podobně jako u jiných služeb Azure AKS sleduje zabezpečení napříč fázemi procesu vývoje v rámci procesů Microsoft SDL (Security Development Lifecycle). Různé komponenty se hledají v počátečních fázích vývoje a mezery zabezpečení jsou pokryté co nejdříve.

Image AKS se řídí přístupem FedRAMP SLA, což vyžaduje, aby se chyby zabezpečení v imagí v průběhu 30 dnů zakázaly. Aby se to vynutilo, všechny image se upraví prostřednictvím kanálu DevSecOps.

Týdně AKS poskytuje nové image pro fondy uzlů. Je potřeba, abyste je použili k zajištění oprav a aktualizace pracovních uzlů služby Virtual Machine Scale Sets. Další informace najdete v tématu upgrade image uzlu služby Azure Kubernetes (AKS).

V případě roviny ovládacího prvku AKS AKS nainstaluje nebo upgraduje opravy zabezpečení. Aktualizují se každých 24 hodin.

Rovina ovládacího prvku AKS a pracovní uzly jsou posílené před centrem pro Internet Security (CIS). konkrétně AKS cis, Ubuntu cis a Windows cis

AKS je integrovaná s Azure Container Registry (ACR). Pomocí ACR se průběžnými funkcemi pro kontrolu v Azure Security Center Identifikujte ohrožené image a aplikace na různých úrovních rizika. Informace o kontrole obrazu a řízení rizik najdete v tématu zabezpečení kontejneru v Security Center.

Vaše odpovědnosti

Požadavek Zodpovědní
Požadavek 6,1 Vytvořte proces pro identifikaci slabých míst zabezpečení, pomocí důvěryhodných zdrojů informací o ohrožení zabezpečení a přiřaďte hodnocení rizik (například "vysoká", "střední" nebo "nízká") k nově zjištěným chybám zabezpečení.
Požadavek 6,2 Nainstalujte příslušné opravy zabezpečení poskytované dodavatelem a zajistěte, aby byly všechny součásti a software systému chráněny před známými chybami zabezpečení. Nainstalujte důležité opravy zabezpečení do jednoho měsíce od vydání.
Požadavek 6,3 K bezpečnému vývoji interních a externích softwarových aplikací (včetně webového přístupu pro správu).
Požadavek 6,4 Sledujte procesy a postupy řízení změn pro všechny změny systémových součástí.
Požadavek 6,5 Řešení běžných chyb pro kódování v procesech vývoje softwaru.
Požadavek 6,6 Pro veřejné webové aplikace vyřešte nové hrozby a ohrožení zabezpečení a zajistěte, aby byly tyto aplikace chráněny před známými útoky.
Požadavek 6,7 Zajistěte, aby zásady zabezpečení a provozní postupy pro vývoj a údržbu zabezpečených systémů a aplikací byly dokumentovány, používány a byly známy všem postiženým stranám.

Požadavek 5,1

Nasaďte antivirový software na všechny systémy, které běžně ovlivňují škodlivý software (zejména osobní počítače a servery).

Vaše odpovědnosti

Je vaše zodpovědnost za ochranu zatížení, infrastruktury a kanálů nasazení výběrem vhodného antimalwarového softwaru.

Vzhledem k tomu, že přístup k virtuálním počítačům uzlu AKS je omezený, zabezpečte systém ve vrstvách, které mohou vkládat malware do virtuálních počítačů uzlů. Patří sem detekce a prevence na uzlech clusteru, image kontejnerů a interakce modulu runtime se serverem Kubernetes API. Kromě clusteru můžete chránit tyto komponenty, které komunikují s clusterem a můžou mít antivirový software nainstalovaný tradičním způsobem:

  • Pole s odkazy
  • Agenti sestavení

Zarovnejte své aktivity skenování pomocí SDL (Security Development Lifecycle). Tím se zajistí, že kontrola různých součástí architektury začne v počátečních fázích vývoje a bezpečnostní mezery se budou považovat za co nejdříve.

Požadavek 5.1.1

Zajistěte, aby antivirové programy mohly zjistit, odebrat a chránit před všemi známými typy škodlivého softwaru.

Vaše odpovědnosti

Seznamte se s funkcemi každé nabídky softwaru a s hloubkou kontroly, kterou může provádět. Software by měl blokovat běžné hrozby a sledovat nové hrozby. Ujistěte se, že se software pravidelně aktualizuje, otestuje a nahradí, pokud se najde nevhodný. Zvažte software vyvinutý pomocí renomovaných dodavatelů.

  • Nástroje pro monitorování, které zjišťují chyby zabezpečení clusteru.

    V AKS nemůžete spouštět tradiční řešení virtuálních počítačů založená na agentech přímo na virtuálních počítačích uzlů. V DaemonSets budete muset nasadit antimalwarový software, který se spustí v pod každým uzlem.

    Vyberte software, který je specializovaný v Kubernetes a Containers. K dispozici je několik možností softwaru třetích stran. Mezi oblíbené možnosti patří Prisma Cloud a Aquasec. K dispozici jsou také open source možnosti, jako je Například

    Po nasazení se spustí jako agenti v clusteru, který prohledává všechny fondy uzlů uživatele a systému. I když AKS používá fondy systémových uzlů pro své binární soubory systému modulu runtime, podkladové výpočetní prostředky jsou stále vaší zodpovědností.

    Účelem spuštění agenta je detekce neobvyklých aktivit clusteru. Například se aplikace pokouší volat server rozhraní API? Některá řešení generují protokol volání rozhraní API mezi pody, generují sestavy a generují upozornění. Zkontrolujte tyto protokoly a proveďte potřebné akce.

    Nainstalujte agenty zabezpečení ihned po spuštění clusteru. Tím se minimalizují nemonitorované mezery mezi clusterem a nasazením prostředků AKS.

    Agenti zabezpečení běží s vysokými oprávněními. To znamená, že prohledá všechno, co běží v clusteru, a ne jenom úlohu. Nesmí se stát zdrojem pro exfiltraci dat. Útoky na dodavatelský řetězec jsou také běžné u kontejnerů. Použijte strategie hloubkové ochrany a ujistěte se, že software a všechny závislosti jsou důvěryhodné.

    Na externích majetekch, které se účastní operací clusteru, také spusťte antivirový software. Mezi příklady patří jump boxy, agenti sestavení a image kontejnerů, které komunikují s clusterem.

    Při kontrole by agent neměl blokovat nebo ovlivňovat důležité operace clusteru, například uzamčením souborů. To může způsobit problémy se stabilitou a vykreslit cluster z podpory.

    Důležité

    Referenční implementace poskytuje zástupné DaemonSet nasazení pro spuštění antimalwarových agentů. Agent se spustí na každém virtuálním počítači uzlu v clusteru. Do tohoto nasazení umístěte svůj výběr antimalwarového softwaru.

  • Zachování bezpečnosti kontejnerů. Spusťte v kanálu nástroje pro kontrolu kontejnerů, abyste detekovat hrozby, které můžou procházet imagemi kontejnerů. Mezi volby třetích stran patří Trivy a Clair. Při vytváření imagí se vždy snažte o bezduché obrázky. Tyto image obsahují jenom základní binární soubory v základní imagi Linuxu a omezují prostor pro útoky. Řešení kontroly v registru kontejnerů (a Azure Defender pro registry kontejnerů) můžete použít k průběžné kontrole úložišť i image.

Požadavek 5.1.2

Systémy považované za běžně neovlivňované škodlivým softwarem pravidelně vyhodnocují a identifikují a vyhodnocují vyvíjející se malwarové hrozby, aby bylo možné ověřit, jestli takové systémy nepožadují antivirový software.

Vaše odpovědnosti

Běžná ohrožení zabezpečení můžou mít vliv na komponenty mimo cluster. Sledujte ohrožení zabezpečení sledováním cvE a dalších výstrah zabezpečení z platformy Azure. Vyhledejte aktualizace Azure a vyhledejte nové funkce, které mohou detekovat ohrožení zabezpečení a spouštět antivirová řešení ve službách hostovaných v Azure.

Úložiště objektů blob by například mělo mít prověřování reputace malwaru, aby bylo možné detekovat podezřelé nahrávání. Nová funkce Ochrana před hrozbou pro Azure Storagezahrnuje prověřování reputace malwaru. Zvažte také, jestli se pro takovou službu vyžaduje antivirové řešení. Oblíbenou možností je Symantec Cloud Workload Protection pro Storage.

Požadavek 5.2

Zajistěte, aby se zachovaly všechny antivirové mechanismy:

  • Jsou udržovány v aktuálním stavu,
  • Provádění pravidelných kontrol
  • Vygenerování protokolů auditu, které se uchovávají PCI DSS požadavek 10.7.

Vaše odpovědnosti

  • Pomocí nejnovější verze antivirového softwaru se ujistěte, že je cluster chráněný před novými útoky. Je třeba zvážit dva typy aktualizací:
    • Antivirový software musí držet s nejnovějšími aktualizacemi funkcí. Jedním ze způsobů je naplánovat aktualizace v rámci aktualizací platformy.
    • Aktualizace inteligentních informací zabezpečení se musí nainstalovat, jakmile jsou k dispozici, aby bylo možné detekovat a identifikovat nejnovější hrozby. Výslovný souhlas s automatickými aktualizacemi.
  • Podle plánu ověřte, že jsou kontroly ohrožení zabezpečení spuštěné.
  • Uchovávat protokoly, které se generují v důsledku kontroly, která indikuje součásti, které jsou v pořádku a nejsou v pořádku. Doporučená doba uchovávání je dána požadavkem 10.7, což je rok.
  • Pracujte s procesem, který zjištěné problémy zpracuje a napraví.

Informace o tom, jak se používají antivirové aktualizace v programu Microsoft Defender, najdete v tématu Správa aktualizací antivirové ochrany v programu Microsoft Defender a použití standardních hodnot.

Požadavek 5.3

Ujistěte se, že jsou aktivně spuštěné antivirové mechanismy a uživatelé je nemohou zakázat ani změnit, pokud není výslovně autorizováno spravovanou společností po omezenou dobu případ od případu.

Vaše odpovědnosti

Zodpovídáte za nastavení monitorování a upozornění agenta zabezpečení. Vytvářete kritická upozornění nejen pro úlohy, ale i základní systémové procesy. Agent musí být spuštěný za všech okolností. Reakce na výstrahy vyvolané antimalwarovým softwarem

  • Zachovám protokol aktivit kontroly. Ujistěte se, že proces kontroly nezachycuje žádná data o držitelech karet scrapovaná z disku nebo paměti.
  • Nastavte upozornění na aktivity, které by mohly způsobit neočekávané ukončení dodržování předpisů. Výstrahy by se neměly nechtěně vypnout.
  • Omezte oprávnění k úpravě nasazení agenta (a dalších důležitých nástrojů zabezpečení). Tato oprávnění nechte oddělená od oprávnění pro nasazení úloh.
  • Nenasazování úloh v případě, že agenti zabezpečení nejsou spuštěni podle očekávání

Požadavek 5.4

Zajistěte, aby zásady zabezpečení a provozní postupy pro ochranu systémů před malwarem byly zdokumentovány, používat a známé všem ovlivněným stranám.

Vaše odpovědnosti

Je velmi důležité udržovat důkladnou dokumentaci o procesu a zásadách, zejména podrobnosti o antivirovém řešení používaném k ochraně systému. Zahrnout informace, jako je například to, kde se v cyklu produktů udržují aktualizace inteligentních funkcí zabezpečení, četnost kontrol a informace o možnostech kontroly v reálném čase.

Mít zásady uchovávání pro ukládání protokolů. Můžete chtít mít dlouhodobé úložiště pro účely dodržování předpisů.

Udržujte dokumentaci o standardních provozních postupech pro posuzování a odstraňování problémů. Lidé, kteří provozují regulovaná prostředí, musí být pouční, informovaní a podnícení, aby podpořili záruky zabezpečení. To je zvláště důležité pro lidi, kteří jsou součástí procesu schvalování z hlediska zásad.

Požadavek 6.1

Vytvořte proces pro identifikaci ohrožení zabezpečení, který pro informace o ohrožení zabezpečení používá renomované externí zdroje a přiřadí nově zjištěná ohrožení zabezpečení (například vysoké, střední nebo nízké).

Vaše odpovědnosti

Mít procesy, které zkontrolují zjištěná ohrožení zabezpečení a jsou seřazené odpovídajícím způsobem. Azure Security Center zobrazuje doporučení a výstrahy, typ prostředku a jeho závažnost a prostředí. Většina upozornění využívá taktiku MITRE ® ATT&CK, které vám můžou pomoct pochopit záměr kill chain .) Ujistěte se, že máte plán nápravy, který problém prověří a zmírní.

V AKS můžete k identifikaci ohrožených imagí a aplikací na různých úrovních Azure Container Registry v kombinaci s průběžným prohledáváním. Výsledky můžete zobrazit v Azure Security Center.

Další informace najdete v tématu Container Registry.

Požadavek 6.2

Nainstalujte příslušné opravy zabezpečení dodané dodavatelem a ujistěte se, že jsou všechny systémové komponenty a software chráněné před známými chybami zabezpečení. Nainstalujte důležité opravy zabezpečení do jednoho měsíce od vydání verze.

Vaše odpovědnosti

  • Pokud chcete zabránit útokům třetích stran na dodavatelský řetězec, ujistěte se, že všechny závislosti jsou důvěryhodné. Je důležité, abyste zvolili dodavatele, který je důvěryhodný a důvěryhodný.

  • Každý týden poskytuje AKS nové image pro fondy uzlů. Tyto image se automaticky nepou iídí. Použijte je, jakmile jsou k dispozici. Aktualizaci můžete provést ručně nebo automaticky prostřednictvím aktualizace image uzlu. Další informace najdete v tématu upgrade Azure Kubernetes Service (AKS) uzlu.

    Pro řídicí rovinu AKS AKS nainstaluje nebo upgraduje opravy zabezpečení.

  • Každých 24 hodin uzly AKS automaticky stahují a instalují opravy pro operační systém a zabezpečení, a to jednotlivě. Pokud chcete dostávat tyto aktualizace, brána firewall nesmí blokovat tento provoz.

    Zvažte možnost povolit možnosti vytváření sestav v agentovi zabezpečení a získat informace o použitých aktualizacích. Některé aktualizace zabezpečení vyžadují restart. Nezapomeňte zkontrolovat výstrahy a provést akci, abyste zajistili minimální nebo nulové výpadky aplikace s těmito restarty. Možnost Open Source, která se provede restartem v kontrolovaném režimu, je Kured (démon pro Kubernetes restart).

  • Rozšíříte proces opravy na prostředky mimo cluster, který jste zřídili, jako jsou pole odkazů a agenti sestavení.

  • Stávající verze AKS je stále dostupná. Pokud vaše návrh používá verzi, která se dosáhla konce životnosti, upgradujte na aktuální verzi. Další informace najdete v tématu podporované verze AKS.

Požadavek 6,3

K bezpečnému vývoji interních a externích softwarových aplikací (včetně webového přístupu pro správu do aplikací) postupujte takto:

  • V souladu se PCI DSS (například zabezpečené ověřování a protokolování)
  • Na základě oborových standardů a/nebo osvědčených postupů.
  • Zahrnutí zabezpečení informací v průběhu životního cyklu vývoje softwaru: to platí pro veškerý software vyvinutý interně i pro Bespoke nebo vlastní software vyvinutý třetí stranou.

Vaše odpovědnosti

Integrujte a určete prioritu voleb zabezpečení v rámci životního cyklu úloh a operací.

Několik oborových architektur je mapováno na životní cyklus, jako je například NIST Framework. NIST funkce – Identifikujte, zabezpečte, rozpoznají, reagují a obnovujte – poskytněte strategie pro preventivní kontroly v jednotlivých fázích.

Microsoft SDL (životní cyklus vývoje zabezpečení) poskytuje osvědčené postupy, nástroje a procesy pro zabezpečení v rámci fází vývojového procesu. Postupy Microsoft SDL jsou následovány pro všechny služby Azure, včetně AKS. Také dodržujeme rozhraní Operational Security Assurance (OSA) pro provozní cloudové služby. Ujistěte se, že máte podobný postup. Tyto postupy jsou publikované, aby vám pomohly zabezpečit vaše aplikace.

Požadavek 6.3.1

Můžete odebrat vývoj, testování a/nebo vlastní účty aplikací, ID uživatelů a hesla, než se aplikace stanou aktivní nebo budou vydané zákazníkům.

Vaše odpovědnosti

V rámci vytváření clusteru se ve výchozím nastavení vytvoří několik místních uživatelů Kubernetes. Tyto uživatele nelze auditovat, protože nepředstavují jedinečnou identitu. Některé z nich mají vysoké oprávnění. Zakažte tyto uživatele pomocí funkce zakázat místní účty AKS.

Další informace najdete v pokynech v oficiálním standardu PCI-DSS 3.2.1.

Požadavek 6.3.2

Před vydáním do produkčního prostředí nebo zákazníků si přečtěte vlastní kód, abyste mohli identifikovat případné chyby zabezpečení při kódování (ruční nebo automatizované procesy), aby se zahrnuly aspoň tyto možnosti:

  • Změny kódu jsou přezkoumány jinými osobami než autorem původního kódu a osobami, které jsou v praxi v souvislosti s postupy kontroly kódu a bezpečného kódování.
  • Revize kódu zajišťují, že je kód vyvinutý podle pokynů pro zabezpečené kódování
  • Příslušné opravy se implementují před vydáním.
  • Výsledky kontroly kódu jsou přezkoumány a schváleny správou před vydáním.
Vaše odpovědnosti

Veškerý software nainstalovaný v clusteru je ze svého registru kontejnerů zdrojový. Podobně jako u kódu aplikace mají procesy a osoby kontrolu nad Azure a imagemi třetích stran (souboru Dockerfile a OCI). Navíc:

  • Spustit skenování imagí kontejneru z počátečních fází při vytváření clusteru. Zajistěte, aby proces skenování byl součástí vašich kanálů průběžné integrace nebo průběžného nasazování.

    Zajistěte, aby byly kanály pro nasazení ověřované takovým způsobem, jakým clustery nasazuje image i vaše úlohy prostřednictvím brány pro kontrolu a/nebo karantény. Udržujte historii, jak a jaké procesy byly použity předtím, než byly načteny do clusteru.

  • Zmenšete velikost obrázku. Obrázky obvykle obsahují více binárních souborů, než kolik jich vyžaduje. Zmenšení velikosti obrázku má vliv jenom na výkon, ale omezuje také plochu pro útok. Například pomocí distroless se minimalizují základní image Linux.

  • Používejte statické analytické nástroje, které ověřují integritu souboru Dockerfile a manifestů. Mezi možnosti třetích stran patří Dockle a Trivy.

  • Používejte pouze podepsané obrázky.

  • Pochopení (a přijetí) základní image poskytované Azure a způsob, jakým je v souladu s srovnávacími testy pro CIS. Další informace najdete v tématu srovnávací testy služby Internet Security (CIS).

Azure Container Registry se průběžným vyhledáváním v Azure Security Center pomůže identifikovat ohrožené image a různá rizika, která může představovat zatížení. Další informace o kontrole obrazu a řízení rizik najdete v tématu zabezpečení kontejnerů.

Požadavek 6,4

Sledujte procesy a postupy řízení změn pro všechny změny systémových součástí. Procesy musí zahrnovat následující:

Vaše odpovědnosti

Ujistěte se, že máte v dokumentu procesy řízení změn a navrhněte kanály nasazení podle těchto procesů. Mít další procesy pro zjišťování situací, kdy procesy a skutečné kanály nejsou zarovnané.

Požadavek 6.4.1, 6.4.2

  • Samostatná vývojová/testovací prostředí z produkčních prostředí a vynutilo oddělení pomocí řízení přístupu.
  • Oddělení povinností mezi vývojovým a testovacím a produkčním prostředím.
Vaše odpovědnosti

Udržujte samostatná produkční a předprodukční prostředí a role, které provozují v těchto prostředích.

  • Nepoužívejte svůj provozní cluster pro účely vývoje a testování. Například v produkčních clusterech neinstalujte "most do Kubernetes". Používejte vyhrazené clustery pro úlohy, které nejsou v produkčním prostředí.

  • Ujistěte se, že vaše produkční prostředí nedovolují síťový přístup k předprodukčním prostředím a naopak.

  • Nepoužívejte systémové identity v předprodukčních a produkčních prostředích.

    Používejte skupiny Azure AD pro skupiny, jako jsou například Správci clusteru nebo objekty zabezpečení kanálu. Nepoužívejte zobecněné nebo běžné skupiny jako řízení přístupu. Nepoužívejte tyto skupiny mezi předprodukčním a provozním clusterem. Jedním ze způsobů, jak použít název clusteru (nebo jiný neprůhledný identifikátor) v názvu skupiny, aby byl pro členství explicitní.

    Mezi prostředími je vhodné použít role řízení přístupu na základě role (RBAC) v Azure. K dalším rolím a právům se obvykle přiřazují předprodukční prostředí.

    V produkčním prostředí by se neměl udělit přístup k identitám v předprodukčním prostředí (uděleným kanálům nebo týmům pro technický software). Současně by neměly být v předprodukčních clusterech uděleny přístup pouze k žádným provozním identitám (například kanálům).

    Nepoužívejte stejnou uživatelsky spravovanou identitu pro všechny prostředky v předprodukčním prostředí a v produkčním prostředí. Toto doporučení platí pro všechny prostředky, které podporují identitu spravovanou uživatelem, nikoli jenom prostředek nasazený v clusteru. Prostředky Azure, které vyžadují identity, by jako pravidlo měly mít svou vlastní odlišnou identitu, místo abyste je sdíleli s jinými prostředky.

  • Použijte přístup JIT (just-in-time) pro přístup s vysokou úrovní oprávnění, a to i v předprodukčních clusterech, pokud je to možné. Zásady podmíněného přístupu používejte na předprodukčních i produkčních clusterech.

6.4.3 požadavku

Produkční data (živé povýšení) se nepoužívají pro testování nebo vývoj.

Vaše odpovědnosti

Ujistěte se, že CHD data netoků do prostředí pro vývoj a testování. Měli byste vymazat dokumentaci, která poskytuje postup pro přesun dat z výroby do vývoje a testování. Odebrání reálných dat musí být zahrnuté v tomto postupu a bude je schvalovat smluvními stranami.

6.4.4 požadavku

Odebrání testovacích dat a účtů ze systémových součástí předtím, než systém přestane být aktivní nebo bude přejít do produkčního prostředí.

Vaše odpovědnosti

Před nasazením do produkčního prostředí odeberte výchozí konfigurační data, ukázková data a dobře známá testovací data v systému. Pro testovací účely nepoužívejte data držitele.

6.4.5 požadavku

Řídicí postupy změny pro implementaci oprav zabezpečení a úprav softwaru musí zahrnovat následující:

  • 6.4.5.1 dokumentaci o dopadu.
  • 6.4.5.2 zdokumentovaná Změna schválení autorizovanými stranami.
  • 6.4.5.3 testování funkčnosti, aby se ověřilo, že změna nemá negativní vliv na zabezpečení systému.
  • 6.4.5.4 postupy pro zálohování.
Vaše odpovědnosti

Tyto doprovodné body se mapují na předchozí požadavky:

  • Zdokumentujte změny infrastruktury, které se očekávají v důsledku oprav zabezpečení a úprav softwaru. Tento proces je snazší díky přístupu s infrastrukturou jako s kódem (IaC). Například pomocí šablony Azure Resource Manager (šablona ARM) pro nasazení můžete zobrazit náhled změn pomocí operace citlivostní zpracování. Další informace najdete v tématu o tom, jaká operace nasazení šablony ARM se mění.

  • Implementujte brány v kanálech nasazení, které ověřují schválení změn pro pravidelná nasazení. Zdokumentujte odůvodnění pro nouzová nasazení, kde mohly být brány vynechány.

    Definujte úrovně a hloubku změn. Ujistěte se, že tým souhlasí s definicí významných změn, a to na rozdíl od menších změn. Pokud je to praktické, Automatizujte zjišťování některých těchto změn. Kontroloři pro úlohy, infrastruktury a kanály musí jasně pochopit úrovně a ověřit je proti těmto kritériím.

  • Otestujte affordances zabezpečení. Ujistěte se, že syntetické transakce testují zabezpečení (povolení i zamítnutí). Také se ujistěte, že tyto syntetické testy běží v předprodukčních prostředích.

  • Mít záložní proces v případě, že oprava zabezpečení má neočekávané výsledky. Běžnou strategií je nasadit předchozí stav pomocí nasazení s modrou zelenou. Pro úlohy, včetně databází, máte strategii, která funguje pro konkrétní topologii a je vymezená na vaše jednotky nasazení.

Požadavek 6,5

Řešení běžných chyb při vývoji softwaru v procesech vývoje softwaru:

  • Školení vývojářů alespoň ročně v aktualizovaném aktuálním technikům kódování, včetně toho, jak se vyhnout běžným chybám při kódování kódu.
  • Vývoj aplikací na základě pravidel zabezpečeného kódování.

Vaše odpovědnosti

Doporučujeme použít infrastrukturu, která chrání data držitele karty a udržuje segmentaci ve víceklientské platformě. Mezi možnosti technologie patří soukromý cluster AKS, vyhrazený hostitel Azure. Důrazně doporučujeme použití důvěrných kontejnerů v rámci CDE, kdykoli v jasném zpracování dat držitele. Tím se zlepší ochrana osobních údajů a izolace.

Je důležité, aby týmy a provozní týmy pro aplikace byly v provozu, informovány a motivovaní, aby podporovaly kontrolu úloh a infrastruktury. Zde jsou některé prostředky:

Požadavek 6,6

Pro veřejné webové aplikace vyřešte nové hrozby a ohrožení zabezpečení a zajistěte, aby byly tyto aplikace chráněny před známými útoky pomocí jedné z následujících metod:

  • Kontrola veřejných webových aplikací prostřednictvím ručních nebo automatizovaných nástrojů pro vyhodnocování zabezpečení chyb zabezpečení aplikací, a to nejméně ročně a po jakýchkoli změnách Poznámka: Toto posouzení není stejné jako u kontroly ohrožení zabezpečení, které byly provedeny pro požadavek 11,2.
  • Instalace automatizovaného technického řešení, které detekuje a zabraňuje webovým útokům (například firewall webových aplikací) před veřejnými webovými aplikacemi za účelem průběžné kontroly všech přenosů.

Vaše odpovědnosti

Mají k dispozici kontroly pro detekci provozu přicházející z veřejného Internetu pomocí brány firewall webových aplikací (WAF). V této architektuře služba Azure Application Gateway kontroluje veškerý příchozí provoz pomocí integrovaného WAF. WAF je založen na základní sadě pravidel (počítačový systém) z Open Web Application Security Project (OWASP). Pokud technické ovládací prvky nejsou na místě, mají kompenzační ovládací prvky. Jedním ze způsobů je ruční kontrola kódu.

Ujistěte se, že používáte nejnovější verze sady pravidel, a použijte pravidla, která jsou relevantní pro vaše zatížení. Pravidla by se měla spouštět v režimu prevence . Tento požadavek můžete vyhovět přidáním instance Azure Policy, která kontroluje, jestli je povolený WAF a pracuje v tomto režimu.

Zachovejte protokoly generované Application Gateway WAF, abyste získali podrobnosti o zjištěných hrozbách. Doladit pravidla podle potřeby.

Testování průniku se zaměřuje na kód aplikace. tímto způsobem by lékaři, kteří nejsou součástí týmu aplikace, našli bezpečnostní mezery (například vkládání SQL a procházení adresářů) tím, že shromažďují informace, analyzují ohrožení zabezpečení a vytváření sestav. V tomto cvičení můžou lékaři potřebovat přístup k citlivým datům. Aby se zajistilo, že se záměr nepoužívá, postupujte podle pokynů uvedených v článku pravidla testování průniku.

Požadavek 6,7

Zajistěte, aby zásady zabezpečení a provozní postupy pro vývoj a údržbu zabezpečených systémů a aplikací byly dokumentovány, používány a byly známy všem postiženým stranám.

Vaše odpovědnosti

Je důležité, abyste zachovali důkladnou dokumentaci k procesům a zásadám. Vaše týmy by měly být vyškoleny, aby se v rámci životního cyklu a provozu úlohy určily přednosti při výběru zabezpečení.

Microsoft SDL poskytuje osvědčené postupy, nástroje a procesy pro zabezpečení v průběhu fáze vývoje. Postupy pro Microsoft SDL se používají výhradně interně ve způsobu, jakým sestavíme software v Microsoftu. Také dodržujeme rozhraní Operational Security Assurance (OSA) pro provozní cloudové služby. Tyto postupy jsou publikované, aby vám pomohly zabezpečit vaše aplikace.

Zajistěte důkladnou dokumentaci pro testování průniku, který popisuje rozsah testů, procesů třídění a strategie nápravy zjištěných problémů. Pokud dojde k incidentu, zahrňte vyhodnocení požadavku 6 jako součást analýzy hlavní příčiny. Pokud jsou zjištěny mezery (například bylo zjištěno porušení pravidla OWASP), uzavřete tyto mezery.

V dokumentaci k dispozici jasné pokyny pro očekávaný stav WAF Protection.

Lidé, kteří jsou na regulovaných prostředích, musí být informováni, informováni a motivovaní, aby podporovaly bezpečnostní záruky. To je důležité hlavně pro uživatele, kteří jsou součástí procesu schvalování z perspektivy zásad.

Další

Omezte přístup k datům na držiteli dat podle potřeby firmy. Identifikujte a ověřte přístup k součástem systému. Omezte fyzický přístup k datům držitele.

Implementace silných měr řízení přístupu