Azure Security and Compliance Blueprint: PaaS Web Application for PCI DSS

Áttekintés

Ez az Azure Security and Compliance Blueprint Automation útmutatást nyújt a fizetésikártya-iparág adatbiztonsági szabványainak (PCI DSS 3.2) megfelelő szolgáltatásként nyújtott platform (PaaS) környezet üzembe helyezéséhez, amely alkalmas a kártyaőrző adatok gyűjtésére, tárolására és lekérésére. Ez a megoldás automatizálja az Azure-erőforrások üzembe helyezését és konfigurálását egy közös referenciaarchitektúrához, amely bemutatja, hogy az ügyfelek milyen módokon tudnak megfelelni bizonyos biztonsági és megfelelőségi követelményeknek, és az ügyfelek számára az alapot nyújtják saját megoldások létrehozásához és konfigurálásához az Azure-ban. A megoldás a PCI DSS 3.2 követelményeinek egy részét valósítja meg. A PCI DSS 3.2 követelményeiről és a megoldásról a megfelelőségi dokumentáció szakaszában talál további információt.

Ez az Azure Security and Compliance Blueprint Automation automatikusan üzembe helyez egy PaaS webalkalmazás-referenciaarchitektúrát előre konfigurált biztonsági vezérlőkkel, hogy az ügyfelek megfeleljenek a PCI DSS 3.2 követelményeinek. A megoldás azure-Resource Manager-sablonokból és PowerShell-szkriptekből áll, amelyek az erőforrások üzembe helyezését és konfigurálását vezérelik.

Ez az architektúra az ügyfelek alapvető célja, hogy igazodjanak a saját igényeikhez, és ne használják éles környezetben. Az alkalmazások módosítás nélküli telepítése nem elegendő a PCI DSS 3.2 követelményeinek teljes körű kielégítéséhez. Vegye figyelembe a következőket:

• Ez az architektúra alapvető segítséget nyújt az ügyfeleknek az Azure PCI DSS 3.2-kompatibilis módon való használatához.
• Az ügyfelek felelősek az ezen architektúrával létrehozott megoldások megfelelő biztonsági és megfelelőségi értékeléséért, mivel a követelmények az egyes ügyfelek implementációinak jellemzőitől függően változhatnak.

A PCI DSS-megfelelőség eléréséhez egy akkreditált minősített biztonsági értékelőnek (QSA) kell hitelesítenie egy éles ügyfélmegoldást. Az ügyfelek feladata, hogy megfelelő biztonsági és megfelelőségi felméréseket végezzenek az architektúra használatával létrehozott megoldásokról, mivel a követelmények az egyes ügyfelek implementációinak jellemzőitől függően változhatnak.

Kattintson ide az üzembe helyezési utasításokért.

Architektúradiagram és összetevők

Ez az Azure Security and Compliance Blueprint Automation egy referenciaarchitektúrát helyez üzembe egy PaaS-webalkalmazáshoz egy Azure SQL Database-háttérrendszerrel. A webalkalmazás egy elkülönített Azure App Service-környezetben üzemel, amely egy privát, dedikált környezet egy Azure-adatközpontban. A környezet terhelése elosztja a webalkalmazás forgalmát az Azure által felügyelt virtuális gépeken. Ez az architektúra hálózati biztonsági csoportokat, Application Gateway, Azure DNS-t és Load Balancer is tartalmaz.

Továbbfejlesztett elemzésekhez és jelentésekhez Azure SQL adatbázisok oszlopcentrikus indexekkel konfigurálhatók. Azure SQL adatbázisok fel- vagy leskálázhatók, vagy teljesen kikapcsolhatók az ügyfélhasználatra reagálva. Minden SQL-forgalom SSL-lel van titkosítva az önaláírt tanúsítványok belefoglalásával. Ajánlott eljárásként az Azure egy megbízható hitelesítésszolgáltató használatát javasolja a fokozott biztonság érdekében.

A megoldás Azure Storage-fiókokat használ, amelyeket az ügyfelek konfigurálhatnak a Storage Service Encryption használatára az inaktív adatok bizalmasságának fenntartásához. Az Azure három adatpéldányt tárol az ügyfél kiválasztott adatközpontjában a rugalmasság érdekében. A földrajzilag redundáns tárolás biztosítja, hogy az adatok egy több száz mérföldnyire lévő másodlagos adatközpontba replikálódjanak, és újra három példányként legyenek tárolva az adatközpontban, megakadályozva, hogy az ügyfél elsődleges adatközpontjában bekövetkező kedvezőtlen esemény adatvesztést okoz.

A fokozott biztonság érdekében a megoldás összes erőforrása erőforráscsoportként van kezelve az Azure Resource Manager keresztül. Az Azure Active Directory szerepköralapú hozzáférés-vezérlése az üzembe helyezett erőforrásokhoz való hozzáférés szabályozására szolgál, beleértve a kulcsaikat is az Azure Key Vault. A rendszerállapot monitorozása az Azure Monitoron keresztül történik. Az ügyfelek úgy konfigurálják a figyelési szolgáltatásokat, hogy naplókat rögzítsenek, és egyetlen, könnyen navigálható irányítópulton jelenítsék meg a rendszer állapotát.

Azure SQL database-t általában SQL Server Management Studio kezelik, amely egy helyi gépről fut, amely a Azure SQL Database biztonságos VPN- vagy ExpressRoute-kapcsolaton keresztüli elérésére van konfigurálva.

Az Application Insights emellett valós idejű alkalmazásteljesítmény-kezelést és -elemzést is biztosít az Azure Monitor-naplókon keresztül. A Microsoft azt javasolja, hogy konfiguráljon VPN- vagy ExpressRoute-kapcsolatot a referenciaarchitektúra alhálózatába történő felügyelethez és adatimportáláshoz.

Ez a megoldás az alábbi Azure-szolgáltatásokat használja. Az üzembehelyezési architektúra részletei az Üzembe helyezési architektúra szakaszban találhatók.

• App Service Environment v2
• Application Gateway
  • (1) webalkalmazási tűzfal
    • Tűzfal mód: megelőzés
    • Szabálykészlet: OWASP 3.0
    • Figyelőport: 443
• Application Insights
• Azure Active Directory
• Azure Automation
• Azure DNS
• Azure Key Vault
• Azure Load Balancer
• Azure Monitor
• Azure Resource Manager
• Azure Security Center
• Azure SQL Database
• Azure Storage
• Azure Virtual Network
  • (1) /16 Hálózat
  • (4) /24 Hálózatok
  • (4) Hálózati biztonsági csoportok
• Azure-webalkalmazás

Üzembehelyezési architektúra

Az alábbi szakasz részletesen ismerteti az üzembe helyezés és az implementáció elemeit.

Azure Resource Manager: Az Azure Resource Manager lehetővé teszi az ügyfelek számára, hogy csoportként dolgoznak a megoldás erőforrásaival. Az ügyfelek egyetlen, összehangolt művelettel helyezhetik üzembe, frissíthetik vagy törölhetik a megoldás összes erőforrását. Az ügyfelek sablont használnak az üzembe helyezéshez, és ez a sablon különböző környezetekhez, például teszteléshez, előkészítéshez és éles környezetekhez használható. Resource Manager biztonsági, naplózási és címkézési funkciókat biztosít, amelyekkel az ügyfelek az üzembe helyezés után kezelhetik erőforrásaikat.

Megerősített gazdagép: A megerősített gazdagép az a belépési pont, amely lehetővé teszi a felhasználók számára, hogy hozzáférjenek az ebben a környezetben üzembe helyezett erőforrásokhoz. A megerősített gazdagép biztonságos kapcsolatot biztosít az üzembe helyezett erőforrásokhoz azáltal, hogy csak a nyilvános IP-címekről érkező távoli forgalmat engedélyezi biztonságos listán. A távoli asztali (RDP-) forgalom engedélyezéséhez a forgalom forrását a hálózati biztonsági csoportban kell meghatározni.

Ez a megoldás egy virtuális gépet hoz létre tartományhoz csatlakoztatott megerősített gazdagépként a következő konfigurációkkal:

• Kártevőirtó bővítmény
• Azure Diagnostics bővítmény
• Azure Disk Encryption az Azure Key Vault használatával
• Automatikus leállítási szabályzat a virtuálisgép-erőforrások használaton kívüli használatának csökkentésére
• Windows Defender Credential Guard engedélyezve van, hogy a hitelesítő adatok és egyéb titkos kódok védett környezetben fussanak, amely elkülönül a futó operációs rendszertől

App Service Environment v2: A Azure App Service környezet egy App Service funkció, amely teljes mértékben elkülönített és dedikált környezetet biztosít App Service alkalmazások nagy léptékű biztonságos futtatásához. Ez az elkülönítési funkció a PCI-megfelelőségi követelmények teljesítéséhez szükséges.

App Service környezetek el vannak különítve, hogy csak egyetlen ügyfélalkalmazást futtasson, és mindig egy virtuális hálózaton legyenek üzembe helyezve. Ez az elkülönítési funkció lehetővé teszi, hogy a referenciaarchitektúra teljes bérlőelkülönítéssel rendelkezzen, és eltávolítsa azt az Azure több-bérlős környezetéből, és megtiltja ezeknek a több-bérlőseknek az üzembe helyezett App Service Environment erőforrások számbavételét. Az ügyfelek részletesen szabályozhatják mind a bejövő, mind a kimenő alkalmazás hálózati forgalmát, és az alkalmazások nagy sebességű biztonságos kapcsolatokat létesíthetnek virtuális hálózatokon a helyszíni vállalati erőforrásokhoz. Az ügyfelek "automatikus skálázást" végezhetnek App Service Environment a terhelési metrikák, a rendelkezésre álló költségvetés vagy egy meghatározott ütemezés alapján.

Használja a App Service-környezeteket a következő vezérlőkhöz/konfigurációkhoz:

• Gazdagép biztonságos Azure-Virtual Network és hálózati biztonsági szabályokon belül
• Önaláírt ILB-tanúsítvány HTTPS-kommunikációhoz
• Belső terheléselosztási mód
• A TLS 1.0 letiltása
• TLS-titkosítás módosítása
• Bejövő forgalom N/W portjainak szabályozása
• Webalkalmazási tűzfal – adatok korlátozása
• Adatbázis-forgalom Azure SQL engedélyezése

Azure Web App: Azure App Service lehetővé teszi az ügyfelek számára, hogy az infrastruktúra kezelése nélkül, a választott programozási nyelven készítsenek és üzemeltethessenek webalkalmazásokat. Automatikus méretezést és magas rendelkezésre állást kínál, támogatja a Windows és a Linux rendszert is, valamint lehetővé teszi az automatikus üzembe helyezéseket a GitHub, az Azure DevOps vagy bármely egyéb Git-adattár használatával.

Virtual Network

Az architektúra egy 10.200.0.0/16 címtérrel rendelkező privát Virtual Network definiál.

Hálózati biztonsági csoportok: A hálózati biztonsági csoportok Access Control listákat (ACL-eket) tartalmaznak, amelyek engedélyezik vagy letiltják az Virtual Network belüli forgalmat. A hálózati biztonsági csoportok alhálózati vagy egyéni virtuálisgép-szinten is biztonságossá tehetik a forgalmat. A következő hálózati biztonsági csoportok léteznek:

• 1 Hálózati biztonsági csoport Application Gateway
• 1 Hálózati biztonsági csoport App Service Environment
• 1 Hálózati biztonsági csoport az Azure SQL Database-hez
• 1 hálózati biztonsági csoport a megerősített gazdagéphez

A hálózati biztonsági csoportok mindegyike meghatározott portokkal és protokollokkal rendelkezik, így a megoldás biztonságosan és megfelelően működhet. Emellett az alábbi konfigurációk is engedélyezve vannak az egyes hálózati biztonsági csoportokhoz:

• A diagnosztikai naplók és események egy tárfiókban vannak engedélyezve és tárolva
• Az Azure Monitor-naplók a hálózati biztonsági csoport diagnosztikához kapcsolódnak

Alhálózatok: Minden alhálózat a megfelelő hálózati biztonsági csoporthoz van társítva.

Azure DNS: A tartománynévrendszer vagy DNS felelős egy webhely vagy szolgáltatás nevének AZ IP-címére történő fordításáért (vagy feloldásáért). Az Azure DNS a DNS-tartományok üzemeltetési szolgáltatása, amely az Azure-infrastruktúrával biztosít névfeloldást. Ha tartományokat üzemeltet az Azure-ban, a felhasználók ugyanazokkal a hitelesítő adatokkal, API-kkal, eszközökkel és számlázással kezelhetik a DNS-rekordokat, mint más Azure-szolgáltatások. Az Azure DNS a privát DNS-tartományokat is támogatja.

Azure Load Balancer: Azure Load Balancer lehetővé teszi az ügyfelek számára, hogy skálázzák az alkalmazásaikat, és magas rendelkezésre állást biztosítsanak a szolgáltatások számára. Load Balancer támogatja a bejövő és a kimenő forgatókönyveket, és alacsony késést, nagy átviteli sebességet biztosít, és akár több millió folyamatot is skáláz az összes TCP- és UDP-alkalmazáshoz.

Átvitt adatok

Az Azure alapértelmezés szerint titkosítja az Azure-adatközpontok felé és az onnan érkező összes kommunikációt. Az Azure Storage-ba a Azure Portal keresztüli összes tranzakció HTTPS-en keresztül történik.

Inaktív adatok

Az architektúra titkosítással, adatbázis-naplózással és más mértékekkel védi az inaktív adatokat.

Azure Storage: A titkosított adatok inaktív állapotban való kielégítéséhez minden Azure Storagea Storage Service Encryptiont használja. Ez segít a kártyaőrzők adatainak védelmében és védelmében a PCI DSS 3.2 által meghatározott szervezeti biztonsági kötelezettségvállalások és megfelelőségi követelmények támogatására.

Azure Disk Encryption: Az Azure Disk Encryption a Windows BitLocker funkcióját használja az adatlemezek kötettitkosításához. A megoldás integrálható az Azure Key Vault segítségével a lemeztitkosítási kulcsok vezérléséhez és kezeléséhez.

Azure SQL Database: A Azure SQL Database-példány az alábbi adatbázisbiztonsági intézkedéseket használja:

• Az Active Directory-hitelesítés és -engedélyezés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások identitáskezelését egy központi helyen.
• Az SQL Database naplózása nyomon követi az adatbázis-eseményeket, és egy Azure-tárfiók naplójába írja őket.
• Azure SQL Database transzparens adattitkosítás használatára van konfigurálva, amely valós idejű titkosítást és visszafejtést végez az adatbázison, a kapcsolódó biztonsági másolatokon és tranzakciós naplófájlokon az inaktív adatok védelme érdekében. A transzparens adattitkosítás biztosítja, hogy a tárolt adatokhoz nem tartoznak jogosulatlan hozzáférések.
• A tűzfalszabályok a megfelelő engedélyek megadásáig megakadályozzák az adatbázis-kiszolgálókhoz való hozzáférést. A tűzfal biztosítja az adatbázisokhoz való hozzáférést az egyes kérések kiindulási IP-címe alapján.
• Az SQL-fenyegetésészlelés a gyanús adatbázis-tevékenységekre, a lehetséges biztonsági résekre, az SQL-injektálási támadásokra és a rendellenes adatbázis-hozzáférési mintákra vonatkozó biztonsági riasztások biztosításával teszi lehetővé a lehetséges fenyegetések észlelését és elhárítását.
• A titkosított oszlopok biztosítják, hogy a bizalmas adatok soha ne jelenjenek meg egyszerű szövegként az adatbázisrendszeren belül. Az adattitkosítás engedélyezése után csak a kulcsokhoz hozzáféréssel rendelkező ügyfélalkalmazások vagy alkalmazáskiszolgálók férhetnek hozzá az egyszerű szöveges adatokhoz.
• SQL Database dinamikus adatmaszkolás korlátozza a bizalmas adatok kitettségét azáltal, hogy maszkolja az adatokat a nem kiemelt jogosultságú felhasználók vagy alkalmazások számára. A dinamikus adatmaszkolás automatikusan felderítheti a potenciálisan bizalmas adatokat, és javaslatot tehet a megfelelő maszkok alkalmazására. Ez segít azonosítani és csökkenteni az adatokhoz való hozzáférést, hogy jogosulatlan hozzáféréssel ne lépjen ki az adatbázisból. Az ügyfelek feladata a dinamikus adatmaszkolás beállításainak módosítása az adatbázissémához való igazodáshoz.

Identitáskezelés

Az alábbi technológiák lehetővé teszik a kártyaőrzők adataihoz való hozzáférés kezelését az Azure-környezetben:

• Az Azure Active Directory a Microsoft több-bérlős felhőalapú címtár- és identitáskezelési szolgáltatása. A megoldáshoz tartozó összes felhasználó az Azure Active Directoryban jön létre, beleértve a Azure SQL Database-hez hozzáférő felhasználókat is.
• Az alkalmazás hitelesítése az Azure Active Directory használatával történik. További információt az Integrating applications with Azure Active Directory (Alkalmazások integrációja az Azure Active Directory-val) című témakörben találhat. Emellett az adatbázis oszloptitkosítása az Azure Active Directory használatával hitelesíti az alkalmazást Azure SQL Database-ben. További információ: bizalmas adatok védelme Azure SQL Database-ben.
• Az Azure-beli szerepköralapú hozzáférés-vezérlés lehetővé teszi a rendszergazdák számára, hogy részletes hozzáférési engedélyeket határozzanak meg, hogy csak annyi hozzáférést biztosítsanak, amennyi a felhasználóknak a feladataik elvégzéséhez szükséges. Ahelyett, hogy minden felhasználónak korlátlan engedélyt adnál az Azure-erőforrásokhoz, a rendszergazdák csak bizonyos műveleteket engedélyezhetnek a kártyaőrzők adatainak eléréséhez. Az előfizetéshez való hozzáférés az előfizetés rendszergazdája számára van korlátozva.
• Azure Active Directory Privileged Identity Management lehetővé teszi az ügyfelek számára, hogy minimálisra csökkentsék azon felhasználók számát, akik hozzáférnek bizonyos információkhoz, például a kártyaőrzők adataihoz. A rendszergazdák a Azure Active Directory Privileged Identity Management segítségével deríthetik fel, korlátozhatják és figyelhetik a kiemelt identitásokat és az erőforrásokhoz való hozzáférésüket. Ez a funkció igény szerinti, igény szerinti rendszergazdai hozzáférés kényszerítésére is használható, ha szükséges.
• Az Azure Active Directory Identity Protection észleli a szervezet identitásait érintő lehetséges biztonsági réseket, automatikus válaszokat konfigurál a szervezet identitásaival kapcsolatos gyanús műveletek észlelésére, és kivizsgálja a gyanús incidenseket, hogy megfelelő lépéseket tegyen a megoldásukhoz.

Biztonság

Titkos kódok kezelése: A megoldás az Azure Key Vault-t használja a kulcsok és titkos kódok kezeléséhez. Az Azure Key Vault segít a felhőalapú alkalmazások és szolgáltatások által használt titkosítási kulcsok és titkos kulcsok védelmében. Az alábbi Azure Key Vault képességek segítenek az ügyfeleknek az ilyen adatok védelmében és elérésében:

• A speciális hozzáférési szabályzatok konfigurálása igény szerint történik.
• Key Vault hozzáférési szabályzatok a kulcsokhoz és titkos kulcsokhoz minimálisan szükséges engedélyekkel vannak meghatározva.
• A Key Vault összes kulcsa és titkos kódja lejárati dátumokkal rendelkezik.
• A Key Vault összes kulcsát speciális hardveres biztonsági modulok védik. A kulcs típusa HSM által védett 2048 bites RSA-kulcs.
• A szerepköralapú hozzáférés-vezérléssel minden felhasználó és identitás megkapja a minimálisan szükséges engedélyeket.
• A Key Vault diagnosztikai naplói legalább 365 napos megőrzési időtartammal engedélyezve vannak.
• A kulcsok engedélyezett titkosítási műveletei a szükséges műveletekre korlátozódnak.

Azure Security Center: A Azure Security Center segítségével az ügyfelek központilag alkalmazhatják és kezelhetik a számítási feladatok biztonsági szabályzatait, korlátozhatják a fenyegetéseknek való kitettséget, valamint észlelhetik és reagálhatnak a támadásokra. Emellett Azure Security Center hozzáfér az Azure-szolgáltatások meglévő konfigurációihoz, hogy konfigurációs és szolgáltatási javaslatokat nyújtson a biztonsági helyzet javításához és az adatok védelméhez.

Azure Security Center különböző észlelési képességeket használ az ügyfelek riasztására a környezetüket célzó lehetséges támadásokról. Ezek a riasztások értékes információkat tartalmaznak arról, hogy mi váltotta ki a riasztást, valamint a támadás forrásáról és az általa célba vett erőforrásokról. Azure Security Center előre meghatározott biztonsági riasztásokkal rendelkezik, amelyek fenyegetés vagy gyanús tevékenység esetén aktiválódnak. A Azure Security Center egyéni riasztási szabályai lehetővé teszik az ügyfelek számára, hogy új biztonsági riasztásokat határozzanak meg a környezetükből már összegyűjtött adatok alapján.

Azure Security Center rangsorolja a biztonsági riasztásokat és incidenseket, így egyszerűbbé teszi az ügyfelek számára a potenciális biztonsági problémák felderítését és megoldását. Minden észlelt fenyegetéshez létrejön egy fenyegetésfelderítési jelentés , amely segít az incidensmegoldási csapatoknak a fenyegetések kivizsgálásában és elhárításában.

Azure Application Gateway: Az architektúra csökkenti a biztonsági rések kockázatát egy konfigurált webalkalmazási tűzfallal rendelkező Azure Application Gateway és az OWASP-szabálykészlet engedélyezésével. További képességek:

• Végpontok közötti SSL
• SSL-kiszervezés engedélyezése
• A TLS 1.0-s és 1.1-s verzió letiltása
• Webalkalmazási tűzfal (megelőzési mód)
• Megelőzési mód az OWASP 3.0 szabálykészlettel
• Diagnosztikai naplózás engedélyezése
• Egyéni állapotminták
• Azure Security Center és az Azure Advisor további védelmet és értesítéseket biztosít. Azure Security Center egy hírnévrendszert is biztosít.

Naplózás

Az Azure-szolgáltatások részletesen naplózják a rendszer- és felhasználói tevékenységeket, valamint a rendszer állapotát:

• Tevékenységnaplók: A tevékenységnaplók betekintést nyújtanak az előfizetés erőforrásain végrehajtott műveletekbe. A tevékenységnaplók segíthetnek meghatározni a művelet kezdeményezőjét, az előfordulás időpontját és állapotát.
• Diagnosztikai naplók: A diagnosztikai naplók tartalmazzák az összes erőforrás által kiadott összes naplót. Ezek közé tartoznak a Windows eseményrendszernaplói, az Azure Storage-naplók, Key Vault az auditnaplók, valamint a Application Gateway hozzáférési és tűzfalnaplók. Minden diagnosztikai napló egy központosított és titkosított Azure Storage-fiókba ír archiválásra. A megőrzés felhasználó által konfigurálható, akár 730 napig is, hogy megfeleljen a szervezetspecifikus adatmegőrzési követelményeknek.

Azure Monitor-naplók: Ezek a naplók az Azure Monitor-naplókban vannak összesítve feldolgozásra, tárolásra és irányítópult-jelentéskészítésre. Az adatgyűjtést követően az adatok külön táblákba lesznek rendezve a Log Analytics-munkaterületek minden adattípusához, így az összes adat együtt elemezhető az eredeti forrástól függetlenül. Emellett Azure Security Center integrálható az Azure Monitor-naplókkal, így az ügyfelek Kusto-lekérdezésekkel férhetnek hozzá a biztonsági eseményadatokhoz, és kombinálhatják azokat más szolgáltatások adataival.

Az architektúra a következő Azure monitorozási megoldásokat tartalmazza:

• Active Directory-értékelés: Az Active Directory állapot-ellenőrzési megoldása rendszeres időközönként értékeli a kiszolgálói környezetek kockázatát és állapotát, és rangsorolja az üzembe helyezett kiszolgálói infrastruktúrára vonatkozó javaslatokat.
• SQL-értékelés: Az SQL Health Check megoldás rendszeres időközönként értékeli a kiszolgálói környezetek kockázatát és állapotát, és az üzembe helyezett kiszolgálói infrastruktúrára vonatkozó javaslatok rangsorolását biztosítja az ügyfelek számára.
• Ügynök állapota: Az Ügynökállapot megoldás jelenti, hogy hány ügynök van üzembe helyezve és földrajzi eloszlása, valamint hány nem válaszoló ügynök, és hány ügynök küld működési adatokat.
• Tevékenységnapló-elemzés: A Tevékenységnapló-elemzési megoldás segít az Azure-tevékenységnaplók elemzésében az ügyfél összes Azure-előfizetésében.

Azure Automation: Azure Automation runbookokat tárol, futtat és kezel. Ebben a megoldásban a runbookok segítenek naplókat gyűjteni Azure SQL Database-ből. Az Automation Change Tracking megoldás lehetővé teszi az ügyfelek számára a környezet változásainak egyszerű azonosítását.

Azure Monitor: Az Azure Monitor segítségével a felhasználók nyomon követhetik a teljesítményt, fenntarthatják a biztonságot és azonosíthatják a trendeket azáltal, hogy lehetővé teszik a szervezetek számára az adatok naplózását, riasztások létrehozását és archiválását, beleértve az Azure-erőforrásaikban található API-hívások nyomon követését.

Application Insights: Az Application Insights egy bővíthető alkalmazásteljesítmény-kezelési szolgáltatás webfejlesztők számára több platformon. Az Application Insights észleli a teljesítményanomáliákat, és az ügyfelek használhatják az élő webalkalmazás figyelésére. Hatékony elemzési eszközöket tartalmaz, amelyekkel az ügyfelek diagnosztizálhatják a problémákat, és megérthetik, hogy a felhasználók valójában mit csinálnak az alkalmazásukkal. Célja, hogy segítse az ügyfeleket a teljesítmény és a használhatóság folyamatos javításában.

Fenyegetésmodell

A referenciaarchitektúra adatfolyam-diagramja letölthető , vagy az alábbiakban található. Ez a modell segíthet az ügyfeleknek megérteni a rendszerinfrastruktúra lehetséges kockázati pontjait a módosítások végrehajtásakor.

Megfelelőségi dokumentáció

Az Azure Biztonsági és megfelelőségi terv – PCI DSS ügyfélfelelősségi mátrix felsorolja az összes PCI DSS 3.2-követelmény vezérlői és processzorfelelősségi feladatait.

Az Azure Security and Compliance Blueprint – PCI DSS PaaS webalkalmazás-implementációs mátrixa tájékoztatást nyújt arról, hogy a PaaS-webalkalmazás architektúrája mely PCI DSS 3.2-követelményekkel foglalkozik, beleértve az implementációnak az egyes cikkek követelményeinek való megfelelésének részletes leírását.

A megoldás üzembe helyezése

Ez az Azure Security and Compliance Blueprint Automation JSON-konfigurációs fájlokból és PowerShell-szkriptekből áll, amelyeket az Azure Resource Manager API-szolgáltatása kezel az erőforrások Azure-ban való üzembe helyezéséhez. Részletes üzembe helyezési utasítások itt érhetők el.

Gyorsútmutató

1. Klónozza vagy töltse le ezt a GitHub-adattárat a helyi munkaállomásra.

2. Tekintse át 0-Setup-AdministrativeAccountAndPermission.md, és futtassa a megadott parancsokat.

3. Helyezzen üzembe egy tesztmegoldást a Contoso mintaadataival, vagy tesztelje a kezdeti éles környezetet.

   • 1A-ContosoWebStoreDemoAzureResources.ps1
     • Ez a szkript Üzembe helyezi az Azure-erőforrásokat egy webáruház Contoso-mintaadatokkal történő bemutatásához.
   • 1-DeployAndConfigureAzureResources.ps1
     • Ez a szkript üzembe helyezi azokat az Azure-erőforrásokat, amelyek egy ügyfél tulajdonában lévő webalkalmazás éles környezetének támogatásához szükségesek. Ezt a környezetet az ügyfélnek tovább kell szabnia a szervezeti követelmények alapján.

Útmutatás és javaslatok

VPN és ExpressRoute

Egy biztonságos VPN-alagutat vagy ExpressRoute-t kell konfigurálni a PaaS webalkalmazás-referenciaarchitektúra részeként üzembe helyezett erőforrásokhoz való biztonságos kapcsolat létrehozásához. Vpn vagy ExpressRoute megfelelő beállításával az ügyfelek védelmi réteget adhatnak az átvitt adatokhoz.

Egy biztonságos VPN-alagút Azure-ral való implementálásával virtuális privát kapcsolat hozható létre egy helyszíni hálózat és egy Azure-Virtual Network között. Ez a kapcsolat az interneten keresztül történik, és lehetővé teszi az ügyfelek számára, hogy biztonságosan "bújtatják" az információkat az ügyfél hálózata és az Azure közötti titkosított kapcsolaton belül. A helyek közötti VPN egy biztonságos, kiforrott technológia, amelyet évtizedek óta minden méretű vállalat üzembe helyez. Ebben a beállításban az IPsec-alagút módot használjuk titkosítási mechanizmusként.

Mivel a VPN-alagúton belüli forgalom egy helyek közötti VPN-kapcsolattal irányítja át az internetet, a Microsoft egy másik, még biztonságosabb kapcsolati lehetőséget is kínál. Az Azure ExpressRoute egy dedikált WAN-kapcsolat az Azure és egy helyszíni hely vagy egy Exchange-szolgáltató között. Mivel az ExpressRoute-kapcsolatok nem haladnak át az interneten, ezek a kapcsolatok nagyobb megbízhatóságot, gyorsabb sebességet, alacsonyabb késést és nagyobb biztonságot kínálnak, mint az interneten keresztüli tipikus kapcsolatok. Továbbá, mivel ez az ügyfél távközlési szolgáltatójának közvetlen kapcsolata, az adatok nem haladnak át az interneten, ezért nem lesznek elérhetők.

A helyszíni hálózatot az Azure-ra kiterjesztő biztonságos hibrid hálózat implementálásának ajánlott eljárásai elérhetők.

Disclaimer

• This document is for informational purposes only. A MICROSOFT NEM VÁLLAL KIFEJEZETT, VÉLELMEZETT VAGY TÖRVÉNYI GARANCIÁT A JELEN DOKUMENTUMBAN SZEREPLŐ INFORMÁCIÓKRA VONATKOZÓAN. Ez a dokumentum "állapotban" van megadva. Az ebben a dokumentumban kifejezett információk és nézetek, beleértve az URL-címet és más internetes webhelyhivatkozásokat, értesítés nélkül változhatnak. A dokumentumot olvasó ügyfelek viselik a használat kockázatát.
• Ez a dokumentum nem biztosít semmilyen jogokat az ügyfeleknek semmilyen Microsoft-termékben vagy -megoldásban lévő szellemi tulajdonhoz.
• Az ügyfelek belső referencia célokra másolhatják és használhatják ezt a dokumentumot.
• A dokumentumban szereplő egyes javaslatok nagyobb adat-, hálózat- vagy számítási erőforrás-használatot eredményezhetnek az Azure-ban, és növelhetik az ügyfél Azure-licenc- vagy előfizetési költségeit.
• Ez az architektúra az ügyfelek alapvető célja, hogy igazodjanak a saját igényeikhez, és ne használják éles környezetben.
• Ez a dokumentum referenciaként van kialakítva, és nem használható minden olyan eszköz meghatározására, amellyel az ügyfél megfelelhet bizonyos megfelelőségi követelményeknek és előírásoknak. Az ügyfeleknek jogi támogatást kell kérniük a szervezetüktől a jóváhagyott ügyfél-implementációkhoz.