Tento článek popisuje požadavky pro cluster Azure Kubernetes Service (AKS), který je nakonfigurovaný v souladu se standardem PCI-DSS v oboru zabezpečení dat v odvětví platebních karet (PCI-DSS 3.2.1).
Tento článek je součástí série článků. Přečtěte si Úvod.
Údržba zásad zabezpečení informací
Požadavek 12 — Udržovat zásadu, která řeší zabezpečení informací pro všechny zaměstnance
Společnost Microsoft dokončila roční PCI DSS posouzení pomocí schváleného bezpečnostního hodnotitele (QUALIFIED Security ASSESSOR). Vezměte v úvahu všechny aspekty infrastruktury, vývoje, provozu, správy, podpory a služeb v oboru. Další informace najdete v tématu standard DSS (Payment Card Industry) data Security Standard (DSS).
Tato architektura a implementace není navržená tak, aby poskytovala ilustrativní postupy pro dokumentaci oficiálních zásad zabezpečení. Informace najdete v pokynech v oficiálním standardu PCI-DSS 3.2.1.
Tady jsou některé obecné návrhy:
Udržujte důkladnou a aktualizovanou dokumentaci o procesu a zásadách. Zvažte použití Správce dodržování předpisů Microsoftu k vyhodnocení rizika.
V rámci každoročního přezkoumání zásad zabezpečení zahrňte nové pokyny dodávané společností Microsoft, Kubernetes a další řešení třetích stran, která jsou součástí vašeho CDE. Některé prostředky zahrnují publikace dodavatele v kombinaci s pokyny odvozenými od Azure Security Center, Azure Advisor, Azure Well-Architected recenzea aktualizace v AKS Azure Security Baseline a CI Azure Kubernetes Service Testinga dalších.
Při nastavování procesu hodnocení rizik zarovnejte s publikovaným standardem, pokud je to praktické, například NIST SP 800-53. Namapujte publikace ze seznamu publikovaných zabezpečení vašeho dodavatele, jako je například Průvodce Microsoft Security Response Center, na váš proces hodnocení rizik.
Udržujte si aktuální informace o inventáři zařízení a dokumentaci k přístupu zaměstnanců. Zvažte použití funkce zjišťování zařízení zahrnutých v programu Microsoft Defender pro koncový bod. v případě přístupu pro sledování můžete tyto informace odvodit z protokolů Azure Active Directory. Tady jsou některé články, které vám pomohou začít:
V rámci správy inventáře udržujte seznam schválených řešení, která se nasazují jako součást infrastruktury a zatížení PCI. To zahrnuje seznam imagí virtuálních počítačů, databází, řešení jiných výrobců podle vašeho výběru, které přinesete k CDE. Tento proces můžete dokonce automatizovat vytvořením katalogu služeb. Poskytuje samoobslužné nasazení s využitím těchto schválených řešení v určité konfiguraci, které dodržuje průběžné operace platforem. Další informace najdete v tématu vytvoření katalogu služeb.
Ujistěte se, že kontakt zabezpečení přijímá oznámení o incidentech Azure od Microsoftu.
Tato oznámení označují, jestli dojde k ohrožení zabezpečení prostředku. To umožňuje vašemu týmu zabezpečení provozu rychle reagovat na potenciální rizika zabezpečení a opravit je. Informace o kontaktech správce na portálu pro zápis na Azure zahrnují kontaktní informace, které přímo nebo rychle upozorňují na operace zabezpečení, a to prostřednictvím interního procesu. Podrobnosti najdete v tématu model operací zabezpečení.
V této části najdete další články, které vám pomohou naplánovat provozní dodržování předpisů.
- Správa cloudu v architektuře přechodu na cloud
- Zásady správného řízení v architektuře přechodu na cloud pro Azure od Microsoftu