In dit artikel worden de overwegingen beschreven voor een Azure Kubernetes Service-cluster (AKS) met een workload die voldoet aan de Payment Card Industry Data Security Standard (PCI-DSS 3.2.1).
Dit artikel maakt deel uit van een serie. Lees de inleiding.
Belangrijk
De richtlijnen en de bijbehorende implementatie zijn gebaseerd op de AKS-basislijnarchitectuur. Deze architectuur is gebaseerd op een hub-and-spoke-topologie. Het virtuele hubnetwerk bevat de firewall voor het beheren van het verkeer dat uit de gateway komt, gatewayverkeer van on-premises netwerken en een derde netwerk voor onderhoud. Het virtuele spoke-netwerk bevat het AKS-cluster dat de gegevensomgeving van de kaarthouder (CDE) levert en de PCI DSS host.
GitHub: Azure Kubernetes Service (AKS) Baseline Cluster for Regulated Workloads demonstreert een gereguleerde omgeving. De implementatie illustreert het gebruik van audittrails via verschillende Azure Monitor functies. Het heeft voorbeelden van netwerktestpunten in het cluster en resources die communiceren met het clustersubnet.
Netwerken regelmatig bewaken en testen
Vereiste 10 — Alle toegang tot netwerkbronnen en kaartgegevens bijhouden en bewaken
Ondersteuning voor AKS-functies
Azure biedt de Container Insights functie voor het bewaken van containers, waaronder AKS-clusters. Zie Overzicht van Container Insights voor meer informatie.
AKS biedt auditlogboeken op meerdere niveaus die nuttig kunnen zijn om het systeem en de gegevens proactief te beveiligen. Activiteitenlogboeken bevatten informatie over bewerkingen met betrekking tot account- en geheimbeheer; beheer van diagnostische instellingen; serverbeheer; en andere bewerkingen voor resourcetoegang. Alle logboeken worden vastgelegd met datum, tijd, identiteit en andere gedetailleerde informatie. U hebt ook toegang tot alle chronologische records van alle API-aanroepen in het AKS-cluster. Dit omvat informatie over de aanroeper, het tijdstip waarop de aanroep is gedaan, de bron waar de aanroep is gestart, en meer. Zie Logboeken van het Kubernetes-besturingsvlak inschakelen en controleren in Azure Kubernetes Service (AKS) voor meer informatie.
RBAC (op rollen gebaseerd toegangsbeheer) kan worden gebruikt voor het beheren van het toegangsbeleid voor resources als een standaardgebruik in Azure.
Alle logboeken moeten worden opgeslagen in een opslagaccount van de klant of in Log Analytics. Op die manier kunt u snel inzichten genereren van een grote hoeveelheid gegevens. Alle logboeken worden bewaard met ten minste drie kopieën in een regio. U kunt meer kopieën maken door back-ups of replicatie tussen regio's in te stellen. Alle logboekgegevens zijn alleen beschikbaar via beveiligde HTTP(s)-kanalen.
Met het waarschuwingsraamwerk van Azure kunt u waarschuwingen configureren om verdachte toegang te detecteren. U kunt instellen welke waarschuwingen moeten worden afgemeld en welke gebeurtenissen er moeten worden afgemeld. Gebruikers kunnen het volledige logboek ook handmatig controleren met Log Analytics met filtermogelijkheden op basis van het type activiteit, de inhoud van de activiteit of de aanroeper van de activiteit.
Uw verantwoordelijkheden
| Vereiste | Verantwoordelijkheid |
|---|---|
| Vereiste 10.1 | Implementeert audittrails om alle toegang tot systeemonderdelen aan elke afzonderlijke gebruiker te koppelen. |
| Vereiste 10.2 | Implementeer geautomatiseerde audittrails voor alle systeemonderdelen om de volgende gebeurtenissen te reconstrueren: |
| Vereiste 10.3 | Neem ten minste de volgende audittrailgegevens op voor alle systeemonderdelen voor elke gebeurtenis: |
| Vereiste 10.4 | Gebruik tijdsynchronisatietechnologie om alle kritieke systeemklok en -tijden te synchroniseren en zorg ervoor dat het volgende wordt geïmplementeerd voor het verkrijgen, distribueren en opslaan van tijd. |
| Vereiste 10.5 | Beveiligde audittrails zodat ze niet kunnen worden gewijzigd. |
| Vereiste 10.6 | Bekijk logboeken en beveiligingsgebeurtenissen voor alle systeemonderdelen om afwijkingen of verdachte activiteiten te identificeren. |
| Vereiste 10.7 | Behoud de geschiedenis van audittrails ten minste één jaar, met minimaal drie maanden onmiddellijk beschikbaar voor analyse (bijvoorbeeld online, gearchiveerd of terugzetten vanuit back-up). |
| Vereiste 10.8 | Aanvullende vereiste voor alleen serviceproviders: Reageer tijdig op fouten van kritieke beveiligingscontroles. Processen voor het reageren op fouten in beveiligingscontroles moeten onder andere |
| Vereiste 10.9 | Zorg ervoor dat beveiligingsbeleid en operationele procedures voor het bewaken van alle toegang tot netwerkbronnen en gegevens van kaartaanduidingen worden gedocumenteerd, in gebruik zijn en bekend zijn bij alle betrokken partijen. |
Vereiste 11 — Beveiligingssystemen en -processen regelmatig testen
Ondersteuning voor AKS-functies
AKS is geïntegreerd met Bewakingsservices van Azure:
Azure Security Center biedt veel functies voor het scannen van beveiliging. Security Center scant bijvoorbeeld afbeeldingen die zijn binnengehaald en naar containerregisters worden pushen en doet aanbevelingen. Zie Beheer van beveiligingsleed - containerafbeeldingen scannen voor meer informatie. U kunt ook bestandsintegriteitsbewaking (FIM) gebruiken om systeembestanden te controleren.
Azure Monitor kunnen worden gebruikt om waarschuwingen in te stellen op basis van gebeurtenistype om systeemintegriteit en -beveiliging te beschermen. Wanneer er verwachte systeemfouten optreden op AKS-knooppunten, wordt de resource door AKS tijdig automatisch uitgevoerd zonder dat de systeemverwerking wordt onderbroken.
AKS-clusters worden beveiligd door Azure Application Gateway met Web Application Firewall (WAF). Dit kan worden geconfigureerd in de detectiemodus om waarschuwingen en bedreigingen te loggen. Een sterkere modus is de preventieve modus, die gedetecteerde indringers en aanvallen actief blokkeert. Zie Best practices for network connectivity and security in Azure Kubernetes Service (AKS) (Best practices voornetwerkconnectiviteit en -beveiliging in AKS) voor meer informatie.
Uw verantwoordelijkheden
| Vereiste | Verantwoordelijkheid |
|---|---|
| Vereiste 11.1 | Implementeert processen om te testen op de aanwezigheid van draadloze toegangspunten (802.11), en detecteren en identificeren van alle geautoriseerde en niet-geautoriseerde draadloze toegangspunten op kwartaalbasis. |
| Vereiste 11.2 | Voer minimaal driemaandelijkse scans voor interne en externe netwerkleeds uit en voer na een belangrijke wijziging in het netwerk (zoals nieuwe installaties van systeemcomponenten, wijzigingen in de netwerktopologie, wijzigingen in de firewallregel, productupgrades) uit. |
| Vereiste 11.3 | Implementeert een methodologie voor penetratietests die het volgende omvat: |
| Vereiste 11.4 | Gebruik inbraakdetectie en/of inbraakpreventietechnieken om indringers in het netwerk te detecteren en/of te voorkomen. |
| Vereiste 11.5 | Implementeer een mechanisme voor wijzigingsdetectie (bijvoorbeeld hulpprogramma's voor bewaking van bestandsintegriteit) om medewerkers te waarschuwen voor niet-geautoriseerde wijzigingen (inclusief wijzigingen, toevoegingen en verwijderingen) van kritieke systeembestanden, configuratiebestanden of inhoudsbestanden; en configureer de software om ten minste wekelijks kritieke bestandsvergelijkingen uit te voeren. |
| Vereiste 11.6 | Zorg ervoor dat beveiligingsbeleid en operationele procedures voor beveiligingsbewaking en -tests worden gedocumenteerd, in gebruik zijn en bekend zijn bij alle betrokken partijen. |
Vereiste 10.1
Implementeert audittrails om alle toegang tot systeemonderdelen aan elke afzonderlijke gebruiker te koppelen.
Uw verantwoordelijkheden
U wordt aangeraden deze manieren te gebruiken om bewerkingen bij te houden die op elk onderdeel worden uitgevoerd:
Activiteitenlogboek. Dit logboek bevat informatie over het type en de tijd van Azure-resourcebewerkingen. Het registreert ook de identiteit die de bewerking heeft gestart. Deze is standaard ingeschakeld en de informatie wordt verzameld zodra de resourcebewerking is uitgevoerd. Deze audittrail is alleen-schrijven en kan niet worden verwijderd.
Gegevens worden 90 dagen bewaard. Voor langere bewaaropties kunt u overwegen om vermeldingen in het activiteitenlogboek naar Azure Storage.
Diagnostische instelling. Biedt diagnostische en controle-informatie over Azure-resources en het platform waarop de instelling van toepassing is. U wordt aangeraden dit in te stellen voor AKS en andere onderdelen in het systeem, zoals Azure Blob Storage en Key Vault. Op basis van het resourcetype kunt u categorieën logboeken en metrische gegevens kiezen en deze naar een bestemming verzenden. Uw diagnostische sink moet voldoen aan de vereiste bewaarperioden.
Diagnostische instelling voor AKS. Schakel in de opgegeven AKS-categorieën Kubernetes-auditlogboeken in. Dit omvat
kube-auditofkube-audit-adminenguard.Schakel
kube-audit-adminin om api-aanroepen van logboekgegevens te zien die de status van uw cluster kunnen wijzigen. Als u een audittrail nodig hebt van alle API-serverinteracties (inclusief niet-wijzigingsgebeurtenissen zoals leesaanvragen), moet u in plaats daarvankube-auditinschakelen. Deze gebeurtenissen kunnen productief zijn, ruis maken en de kosten aan de kosten toevoegen. Deze logboeken bevatten informatie over de toegangs- en identiteitsnaam die wordt gebruikt om de aanvraag te doen.Schakel
guardlogboeken in om beheerde Azure AD- en RBAC-controles (op rollen gebaseerd toegangsbeheer) van Azure bij te houden.
Naast de op gebruikers gebaseerde logboeken kunt u ook logboeken van het Kubernetes-besturingsvlak bekijken, waaronder
kube-apiserverenkube-controller-manager. Deze zijn doorgaans niet aan de gebruiker gekoppeld, maar kunnen helpen bij het correleren van systeemwijzigingen die gebruikers hebben aangebracht.Zie Logboeken van besturingsvlakcomponenten weergeven voor meer informatie.
Deze referentie-implementatie maakt
cluster-autoscalerkube-controller-managerlogboeken, , enkube-audit-adminguardmogelijk. Al deze informatie wordt verzonden naar een Log Analytics-werkruimte voor analyse. De retentieperiode is ingesteld op 90 dagen.
Azure Kubernetes Service Diagnostics. Gebruik deze functie om problemen met het cluster te detecteren en op te lossen, zoals knooppuntfouten. Netwerkspecifieke diagnostische gegevens zijn ook opgenomen. Deze functie is gratis beschikbaar. Deze gegevens zijn doorgaans niet aan de gebruiker gekoppeld, maar kunnen helpen bij het correleren van systeemwijzigingen die gebruikers hebben aangebracht. Zie Diagnostische gegevens voor Azure Kubernetes Service over deze functie.
De voorgaande audittrailmechanismen moeten worden geïmplementeerd op het moment dat de resource wordt geïmplementeerd. Azure Policy moet ook actief zijn om ervoor te zorgen dat deze configuraties niet per ongeluk of opzettelijk worden uitgeschakeld in uw CDE.
Vereiste 10.2
Implementeer geautomatiseerde audittrails voor alle systeemonderdelen om de volgende gebeurtenissen te reconstrueren:
- 10.2.1 Alle afzonderlijke gebruikers hebben toegang tot gegevens van kaartaanduidingen
- 10.2.2 Alle acties die worden ondernomen door een persoon met hoofd- of beheerdersbevoegdheden
- 10.2.3 Toegang tot alle audittrails
- 10.2.4 Ongeldige logische toegangspogingen
- 10.2 5 Gebruik van en wijzigingen in de identificatie- en verificatiemechanismen, inclusief maar niet beperkt tot het maken van nieuwe accounts en verhoging van bevoegdheden, en alle wijzigingen, toevoegingen of verwijderingen aan accounts met bevoegdheden voor root- of beheerdersrechten
- 10.2.6 De auditlogboeken initialiseren, stoppen of onderbreken
- 10.2.7 Objecten op systeemniveau maken en verwijderen
Uw verantwoordelijkheden
AKS biedt auditlogboeken op meerdere niveaus, zoals beschreven in Vereiste 10.1. Hier zijn enkele belangrijke punten:
- Activiteitenlogboeken bevatten standaard informatie over kritieke Azure-resourcebewerkingen. Alle logboeken bevatten status, tijd en de identiteit die de bewerking heeft gestart.
- Schakel diagnostische instellingen in voor toegang tot alle records van alle API-aanroepen in het AKS-cluster. De logboeken bieden details over de requestor, het tijdstempel, de bron van de aanvraag en de inhoud van de aanvraag. Sla de logboeken op in een Log Analytics-werkruimte met een geschikte bewaarperiode. Schakel Logboekregistratie van Log Analytics-werkruimte in om ervoor te zorgen dat zelfs de toegang tot dit audittrail wordt geregistreerd.
- Neem auditlogregistratie op voor andere berekeningen, zoals buildagents en jumpboxs. Schakel de toegang tot de systemen rechtstreeks als root uit. Dit zorgt ervoor dat alle acties worden uitgevoerd onder een specifieke identiteit.
- Mislukte toegangspogingen in een logboek. Dit omvat toegangsaanvragen voor onderdelen zoals Azure Storage, Azure Key Vault, de AKS API-server en RDP-/SSH-toegang op extra rekenkracht.
- Profiteer van functies van externe beveiligingsagents die kunnen helpen bij het analyseren van gebruikerspatronen in uw AKS-cluster. Dit kan handig zijn voor controlegegevens voor gebruikerstoegang.
Vereiste 10.3
Neem ten minste de volgende audittrailgegevens op voor alle systeemonderdelen voor elke gebeurtenis:
- 10.3.1 Gebruikersidentificatie
- 10.3.2 Type gebeurtenis
- 10.3.3 Datum en tijd
- 10.3.4 Indicatie van slagen of mislukken
- 10.3.5 Oorsprong van gebeurtenis
- 10.3.6 Identiteit of naam van betrokken gegevens, systeemonderdeel of resource.
Uw verantwoordelijkheden
Zoals beschreven in Vereiste 10.2,kunt u auditlogboeken van het cluster krijgen door diagnostische instelling voor AKS in te stellen. De logboeken bevatten gedetailleerde informatie over get-, list-, create-, update-, delete-, patch- en post-gebeurtenissen. De logboeken bevatten informatie in de lijst onder Vereisten. Sla de logboeken op in een opslagaccount, zodat u de gegevens kunt opvragen.
U wilt bijvoorbeeld de voorgaande set informatie voor kube-audit-admin-gebeurtenissen weergeven door deze query uit te voeren:
AzureDiagnostics
| where Category == 'kube-audit-admin'
| project TimeGenerated, ResourceId, log_s, pod_s
| top 200 by TimeGenerated desc
In de resultatenset wordt de informatie als onderdeel van het log_s veld.
| Vereiste informatie | Schema |
|---|---|
| Gebruikersidentificatie | SourceIPs |
| Type gebeurtenis | Werkwoord |
| Datum en tijd | requestReceivedTimestamp |
| Indicatie van slagen of mislukken | responseStatus |
| Oorsprong van gebeurtenis | gebruiker |
| Identiteit of naam van betrokken gegevens, systeemonderdeel of resource | objectRef |
Zie Logboeken van besturingsvlakcomponenten weergeven voor meer informatie over het hoofdlogboek.
Vereiste 10.4
Synchroniseer met behulp van tijdsynchronisatietechnologie alle kritieke systeemklok en -tijden en zorg ervoor dat het volgende wordt geïmplementeerd voor het verkrijgen, distribueren en opslaan van tijd.
- 10.4.1 Kritieke systemen hebben de juiste en consistente tijd.
- 10.4.2 Tijdgegevens worden beveiligd.
- 10.4.3 Tijdinstellingen worden ontvangen van door de branche geaccepteerde tijdbronnen.
Opmerking: Een voorbeeld van tijdsynchronisatietechnologie is Network Time Protocol (NTP).
Uw verantwoordelijkheden
AKS maakt gebruik van NTP van de onderliggende Azure-hosts en vereist geen uitgaand netwerkverkeer dat dit ondersteunt. Andere VM's die u aan uw CDE toevoegt, gebruiken mogelijk externe NTP-servers, zoals ntp.ubuntu.org (en de pool ervan) als de tijdsynchronisatiebron. Eventuele extra rekenkracht die u in uw CDE gebruikt, moet expliciet gebruikmaken van de NTP-bron van uw keuze en moet worden gedocumenteerd.
Vereiste 10.5
Beperk de weergave van audittrails tot audittrails met een taakgerelateerde behoefte.
- 10.5.1 De weergave van audittrails beperken tot audittrails met een functiegerelateerde behoefte.
- 10.5.2 Bebeveiligen audittrailbestanden tegen niet-geautoriseerde wijzigingen.
- 10.5.3 Prompt back-up audittrailbestanden naar een gecentraliseerde logboekserver of media die moeilijk te wijzigen is.
- 10.5.4 Schrijf logboeken voor externe technologieën naar een beveiligd, gecentraliseerd, intern logboekserver of mediaapparaat.
- 10.5.5 Gebruik bewaking van bestandsintegriteit of software voor wijzigingsdetectie in logboeken om ervoor te zorgen dat bestaande logboekgegevens niet kunnen worden gewijzigd zonder waarschuwingen te genereren (hoewel nieuwe gegevens die worden toegevoegd geen waarschuwing mogen veroorzaken).
Uw verantwoordelijkheden
Meerdere logboeksynchronisaties zorgen voor extra overhead voor het beveiligen, controleren, analyseren en opvragen van audittrailgegevens. Plan uw audittrail-topologies om een balans te vinden tussen volledige audittrailisolatie en beheerproblemen.
Integreer logboeken indien mogelijk. Het voordeel is de mogelijkheid om gegevens efficiënt te controleren, te analyseren en op te vragen. Azure biedt verschillende technologieopties. U kunt Azure Monitor containers gebruiken om logboeken naar een Log Analytics-werkruimte te schrijven. Een andere optie is om gegevens te integreren in SIEM-oplossingen (Security Information and Event Management), zoals Azure Sentinel. Andere populaire keuzes van derden zijn Splunk, QRadar en ArcSight. Azure Security Center en Azure Monitor al deze oplossingen ondersteunen. Deze oplossingen zijn alleen-app-gegevenss sinks om ervoor te zorgen dat het pad niet kan worden gewijzigd.
Security Center kunt resultaten exporteren met geconfigureerde intervallen. Zie Continue export voor meer informatie.
Alle logboeken worden bewaard met ten minste drie kopieën in één regio. Als back-upstrategie kunt u meer kopieën maken door back-ups of replicatie in meerdere regio's in te stellen. Alle logboekgegevens zijn alleen beschikbaar via beveiligde HTTP/S-kanalen.
Log Analytics en Azure Sentinel ondersteuning voor verschillende op rollen gebaseerd toegangsbesturingselementen voor het beheren van audittrailtoegang. Zorg ervoor dat de rollen zijn toewijzen aan de rollen en verantwoordelijkheden van de organisatie.
Zorg ervoor dat uw Log Analytics-werkruimte ondersteuning biedt voor bewerkingen en nalevingsbehoeften. Overweeg een toegewezen werkruimte voor uw binnen bereik-clusters, die wordt doorgestuurd naar uw SIEM-oplossing.
De meeste logboekregistratie in AKS is afkomstig van stdout/stderr en wordt verzameld door Azure Monitor Container Insights. Als u aanvullende handmatig gemaakte logboeken hebt, kunt u overwegen om gegevens op een manier te sturen die wordt verzonden naar een vertrouwde doorsturende stroom en die niet onderhevig is aan manipulatie.
Vereiste 10.6
Bekijk logboeken en beveiligingsgebeurtenissen voor alle systeemonderdelen om afwijkingen of verdachte activiteiten te identificeren.
- 10.6.1 Controleer ten minste dagelijks het volgende:
- Alle beveiligingsgebeurtenissen
- Logboeken van alle systeemonderdelen die CHD en/of ZODAT opslaan, verwerken of verzenden
- Logboeken van alle essentiële systeemonderdelen
- Logboeken van alle servers en systeemonderdelen die beveiligingsfuncties uitvoeren (bijvoorbeeld firewalls, inbraakdetectiesystemen/inbraakpreventiesystemen (IDS/IPS), verificatieservers, e-commerce-omleidingsservers, enzovoort).
- 10.6.2 Bekijk regelmatig de logboeken van alle andere systeemonderdelen op basis van het beleid en de risicobeheerstrategie van de organisatie, zoals wordt bepaald door de jaarlijkse risicoanalyse van de organisatie.
- 10.6.3 Uitzonderingen en afwijkingen die tijdens het beoordelingsproces zijn geïdentificeerd, volgen.
Uw verantwoordelijkheden
De Bewakingsservices van Azure, Azure Monitor en Azure Security Center, kunnen meldingen of waarschuwingen genereren wanneer afwijkende activiteiten worden gedetecteerd. Deze waarschuwingen bevatten contextinformatie zoals ernst, status en activiteitstijd.
Wanneer waarschuwingen worden gegenereerd, moet u een herstelstrategie hebben en de voortgang controleren. Eén manier is om de beveiligingsscore in de Azure Security Center te vergelijken met historische resultaten.
Centraliseer gegevens in één weergave met behulp van SIEM-oplossingen, zoals Azure Sentinel. Het integreren van gegevens kan uitgebreide waarschuwingscontext bieden.
U kunt ook handmatig het volledige logboek in uw opslag controleren. In Log Analytics kunt u bijvoorbeeld een filterfunctie gebruiken op basis van het type activiteit, de inhoud van de activiteit of de aanroeper van de activiteit.
Organisatiebeleid om regelmatig waarschuwingen en gebeurtenissen te controleren en initiatieven met specifieke verbeteringsdoelen te plannen. Gebruik aangepaste opgeslagen query's in Log Analytics om de beoogde logboekquery's te documenteren en query's eenvoudiger te maken. Dit zorgt ervoor dat het team weet wat belangrijk is om te beoordelen, aangezien het betrekking heeft op 10,6 en dat alle handmatige inspanningen die bij dit proces zijn betrokken, een consistente werkstroom volgen.
Vereiste 10.7
Behoud de geschiedenis van audittrails ten minste één jaar, met minimaal drie maanden onmiddellijk beschikbaar voor analyse (bijvoorbeeld online, gearchiveerd of terugzetten vanuit back-up).
Uw verantwoordelijkheden
Logboeken zijn niet voor onbepaalde tijd beschikbaar. Zorg ervoor dat Azure-activiteitenlogboeken en diagnostische instellingen worden bewaard en kunnen worden opgevraagd. Geef een bewaarperiode van drie maanden op wanneer u diagnostische instellingen voor uw resources inschakelen. Gebruik Azure-opslagaccounts voor langetermijnarchivering, zodat ze kunnen worden gebruikt voor controles of offlineanalyse. Implementeert uw langetermijnarchiveringsoplossing die is afgestemd op het principe van eenmaal schrijven, veel lezen.
Vereiste 10.8
10.8.1 Aanvullende vereiste voor alleen serviceproviders: Tijdig reageren op fouten in kritieke beveiligingscontroles. Processen voor het reageren op fouten in beveiligingscontroles moeten het volgende omvatten:
Beveiligingsfuncties herstellen
De duur (datum en tijd begin tot eind) van de beveiligingsfout identificeren en documenteren
Identificeren en documenteren van de oorzaak(en) van de fout, inclusief de hoofdoorzaak, en het documenteren van herstel dat vereist is om de hoofdoorzaak te verhelpen
Identificeren en oplossen van eventuele beveiligingsproblemen die zijn ontstaan tijdens de fout
Een risicoanalyse uitvoeren om te bepalen of er verdere acties vereist zijn als gevolg van de beveiligingsfout
Implementing controls to prevent cause of failure from reoccuring -Resuming monitoring of security controls"
Uw verantwoordelijkheden
Als het praktisch is, moet u waarschuwingen hebben die het bestaan van kritieke beveiligingscontroles aangeven. Zorg er anders voor dat uw controleproces het ontbreken van een verwacht beveiligingsbeheer tijdig kan detecteren. Overweeg besturingselementen zoals beveiligingsagents die worden uitgevoerd in het AKS-cluster en toegangsbesturingselementen (IAM en netwerk) op Azure-resources. Neem instellingen op, zoals controleren of het AKS-cluster een privécluster is, het controleren op netwerkblootstellingspunten via NSG-regels (Netwerkbeveiligingsgroep) of het controleren op onverwachte openbare IP's. Neem ook onverwachte wijzigingen op in DNS, netwerkroutering, firewall en Azure AD.
Vereiste 10.9
Zorg ervoor dat beveiligingsbeleid en operationele procedures voor het bewaken van alle toegang tot netwerkbronnen en gegevens van kaartaanduidingen worden gedocumenteerd, in gebruik zijn en bekend zijn bij alle betrokken partijen.
Uw verantwoordelijkheden
Het is essentieel dat u uitgebreide documentatie bijhoudt over de processen en het beleid. Documentatie over het afgedwongen beleid onderhouden. Als onderdeel van uw bewakingsinspanningen moeten mensen worden getraind in het inschakelen en weergeven van auditlogboeken en het identificeren en verhelpen van de algemene risico's. Dit is vooral belangrijk voor mensen die vanuit beleidsperspectief deel uitmaken van het goedkeuringsproces.
Vereiste 11.1
Implementeert processen om te testen op de aanwezigheid van draadloze toegangspunten (802.11), en detecteren en identificeren van alle geautoriseerde en niet-geautoriseerde draadloze toegangspunten op kwartaalbasis.
Externe netwerken vallen buiten het bereik van deze documentatie en moeten afzonderlijk worden geëvalueerd.
Uw verantwoordelijkheden
Deze architectuur en implementatie zijn niet ontworpen voor on-premises of zakelijke netwerk-naar-cloud-transacties via draadloze verbindingen. Raadpleeg voor overwegingen de richtlijnen in de officiële PCI-DSS 3.2.1-standaard.
Vereiste 11.2
Voer minimaal driemaandelijkse scans voor interne en externe netwerkleeds uit en voer na een belangrijke wijziging in het netwerk (zoals nieuwe installaties van systeemcomponenten, wijzigingen in de netwerktopologie, wijzigingen in de firewallregel, productupgrades) uit.
Zie Payment Card Industry (PCI) Data Security Standard Approved Scanning Vendors voor meer informatie.
Uw verantwoordelijkheden
Een proces hebben dat controleert op wijzigingen in het AKS-cluster, de netwerkconfiguratie, containerregisters en andere onderdelen van de architectuur.
Als er wijzigingen in het netwerk zijn, moet het proces evalueren of er een scan nodig is. Is het cluster nu bijvoorbeeld blootgesteld aan het openbare internet? Zijn de nieuwe firewallregels te veel van het goede? Zijn er in het cluster beveiligingshiaten in de stroom tussen de pods?
Een duidelijke en overeengekomen definitie hebben van belangrijke wijzigingen met betrekking tot uw infrastructuur. Enkele voorbeelden zijn configuratie van NSG-regels, Azure Firewall-regels, peerings voor virtuele netwerken, DNS-instellingen, Azure Private Link-configuraties en andere netwerkonderdelen.
VAN TOEPASSING OP 11.2.1
De driemaandelijkse scan op beveiligingsproblemen moet worden uitgevoerd door ervaren medewerkers met een diepgaande kennis van Azure-netwerken en Kubernetes-netwerkconcepten. Wijs de resultaten toe aan Vereiste 6.1 met ernstniveaus en los items met hoge prioriteit op. Als er belangrijke wijzigingen zijn, moet u de scans uitvoeren vóór de geplande driemaandelijkse scan. Dit helpt u bij het detecteren van nieuwe beveiligingsproblemen, zodat u proactief problemen kunt oplossen.
Deze scan moet ook in-clusternetwerken (pod-to-pod) bevatten.
VAN TOEPASSING OP 11.2.2 Selecteer een goedgekeurde scanleverancier (ASV) die uitgebreide ervaring heeft met Azure-netwerken en Kubernetes. Dit biedt uitgebreide en specifieke informatie over voorgesteld herstel.
Vereiste 11.3
Implementeert een methodologie voor penetratietests die het volgende omvat:
- Is gebaseerd op door de branche geaccepteerde penetratietests (bijvoorbeeld NIST SP800-115)
- Omvat dekking voor de hele CDE-perimeter en kritieke systemen
- Bevat tests van zowel binnen als buiten het netwerk
- Bevat tests voor het valideren van eventuele segmentatie- en bereikreductiebesturingselementen
- Definieert penetratietests op toepassingslagen om ten minste de beveiligingsproblemen op te nemen die worden vermeld in Vereiste 6.5
- Definieert netwerklaagpenetratietests om onderdelen op te nemen die ondersteuning bieden voor netwerkfuncties en besturingssystemen
- Bevat een overzicht en overweging van bedreigingen en beveiligingsproblemen in de afgelopen 12 maanden
- Hiermee geeft u retentie van penetratietestresultaten en resultaten van herstelactiviteiten op.
Uw verantwoordelijkheden
Voer penetratietesten uit om beveiligingshiaten te vinden door informatie te verzamelen, beveiligingsproblemen te analyseren en te rapporteren. U wordt aangeraden de richtlijnen van de branche in Penetratietestuitvoeringsstandaard (PTES) te volgen om veelvoorkomende scenario's en de activiteiten die nodig zijn om een basislijn te maken, te behandelen.
De penetratietestarts moeten een grondig begrip hebben van on-premises netwerken en Azure-netwerken om ervoor te zorgen dat de jaarlijkse segmentatietests uitgebreid worden behandeld. Breid de testmethodologie uit naar in-clusternetwerken. Dit vereist een sterke ervaring met Kubernetes-netwerkconcepten.
De tests moeten betrekking hebben op de toepassings- en gegevenslagen die worden uitgevoerd in de CDE.
In een penetratietestoefening hebben de artsen mogelijk toegang nodig tot gevoelige gegevens voor de hele organisatie. Volg de regels voor betrokkenheid om ervoor te zorgen dat toegang en de intentie niet worden misbruikt. Zie Penetratietestregels voor betrokkenheid voor hulp bij het plannen en uitvoeren van gesimuleerde aanvallen.
Vereiste 11.4
Gebruik inbraakdetectie en/of inbraakpreventietechnieken om indringers in het netwerk te detecteren en/of te voorkomen. Beveilig al het verkeer aan de perimeter van de gegevensomgeving van de kaarthouder, evenals op kritieke punten in de gegevensomgeving van de kaarthouder, en waarschuwingspersoneel bij verdachte verdachte gevallen.
Uw verantwoordelijkheden
Bebeveiligen van het AKS-cluster door het inkomende verkeer te inspecteren. Eén manier is het gebruik van een Web Application Firewall (WAF). In deze architectuur voorkomt Azure Application Gateway geïntegreerde WAF inbraak. Gebruik de modus Voorkomen om de gedetecteerde indringers en aanvallen actief te blokkeren. Gebruik niet alleen de detectiemodus. Zie Best practices for network connectivity and security in Azure Kubernetes Service (AKS) (Best practicesvoor netwerkconnectiviteit en -beveiliging in AKS) voor meer informatie.
Een andere optie is het gebruik van inbraakdetectie en/of inbraakpreventie in Azure Firewall Premium. Zie IDPS voor meer informatie.
Een andere optie is het inschakelen Azure Monitor Network Insights.
Schakel Azure Defender in zoals ze van toepassing zijn op verschillende onderdelen van de CDE. Als Azure SQL bijvoorbeeld wordt gebruikt voor het opslaan van CHD, zorgt Azure Defender SQL ervoor dat er gegevenslaagindringingen worden gedetecteerd.
Detecteer ook afwijkingen in verkeerspatronen door NSG-stroomlogboeken te verbinden met een gecentraliseerde SIEM-oplossing, zoals Azure Sentinel. In deze referentie-implementatie staan logboeken in de modus alleen-append, waardoor het bijhouden van veranderingen in auditlogboeken wordt geminimaliseerd. Alle logboeken die worden verzonden naar externe sinks voor langetermijnopslag, moeten echter niet worden gewijzigd. Ze moeten de methode write-once/read-many volgen. Zorg ervoor dat de FIM-oplossing (Bewaking van bestandsintegriteit) betrekking heeft op die externe entiteiten om wijzigingen te detecteren.
Vereiste 11.5
Implementeer een mechanisme voor wijzigingsdetectie (bijvoorbeeld hulpprogramma's voor bewaking van bestandsintegriteit) om medewerkers te waarschuwen voor niet-geautoriseerde wijzigingen (inclusief wijzigingen, toevoegingen en verwijderingen) van kritieke systeembestanden, configuratiebestanden of inhoudsbestanden; en configureer de software om ten minste wekelijks kritieke bestandsvergelijkingen uit te voeren.
Uw verantwoordelijkheden
Voer in uw cluster een FIM-oplossing (File Integrity Monitoring) uit in combinatie met een Kubernetes-beveiligingsagent om toegang op bestands- en systeemniveau te detecteren die kan leiden tot wijzigingen op knooppuntniveau. Wanneer u een FIM-oplossing kiest, moet u een duidelijk inzicht hebben in de functies en de detectiediepte. Overweeg software die is ontwikkeld door betrouwbare leveranciers.
Belangrijk
De referentie-implementatie biedt een tijdelijke implementatie DaemonSet voor het uitvoeren van een antimalwareagent voor de FIM-oplossing. De agent wordt uitgevoerd op elke knooppunt-VM in het cluster. Plaats uw keuze van antimalwaresoftware in deze implementatie.
Controleer alle standaardinstellingen van het FIM-hulpprogramma om ervoor te zorgen dat de waarden de parameters detecteren die u wilt behandelen en pas deze instellingen op de juiste wijze aan.
Schakel de oplossing in voor het verzenden van logboeken naar uw bewakings- of SIEM-oplossing, zodat deze waarschuwingen kan genereren. Let op wijzigingen in het logboekschema of u mist kritieke waarschuwingen.
Voor andere extra berekeningen in de CDE moet het bijhouden van de wijziging zijn ingeschakeld.
Vereiste 11.6
Zorg ervoor dat beveiligingsbeleid en operationele procedures voor beveiligingsbewaking en -tests worden gedocumenteerd, in gebruik zijn en bekend zijn bij alle betrokken partijen.
Uw verantwoordelijkheden
Het is essentieel dat u uitgebreide documentatie bijhoudt over de processen en het beleid. Documentatie over het afgedwongen beleid onderhouden. Als onderdeel van uw testinspanningen moet u de snelheid van beoordelingen en de beoordelingscriteria opnemen. Zorg ervoor dat het team de aspecten van penetratietests begrijpt. Hebt u een gedocumenteerd herstelplan om de gevonden risico's te beperken.
Dit is vooral belangrijk voor mensen die vanuit beleidsperspectief deel uitmaken van het goedkeuringsproces.
Volgende
Een beleid onderhouden dat gericht is op informatiebeveiliging voor alle medewerkers.