In dit artikel worden de overwegingen beschreven voor een Azure Kubernetes Service-cluster (AKS) dat is geconfigureerd in overeenstemming met de Payment Card Industry Data Security Standard (PCI-DSS 3.2.1).
Dit artikel maakt deel uit van een serie. Lees de inleiding.
Een informatiebeveiligingsbeleid onderhouden
Vereiste 12 — Een beleid onderhouden dat gericht is op informatiebeveiliging voor alle medewerkers
Microsoft heeft een jaarlijkse PCI DSS uitgevoerd met behulp van een goedgekeurde Qualified Security Assessor (QSA). Neem alle aspecten van de infrastructuur, ontwikkeling, bewerkingen, beheer, ondersteuning en services binnen het bereik in overweging. Zie Payment Card Industry (PCI) Data Security Standard (DSS) voor meer informatie.
Deze architectuur en de implementatie zijn niet ontworpen om illustratieve richtlijnen te bieden voor het end-to-end documenteren van het officiële beveiligingsbeleid. Raadpleeg voor overwegingen de richtlijnen in de officiële PCI-DSS 3.2.1-standaard.
Hier zijn enkele algemene suggesties:
Onderhouden van uitgebreide en bijgewerkte documentatie over het proces en beleid. Overweeg het gebruik van Microsoft Compliance Manager om uw risico te beoordelen.
Neem in de jaarlijkse beoordeling van het beveiligingsbeleid nieuwe richtlijnen op die worden geleverd door Microsoft, Kubernetes en andere oplossingen van derden die deel uitmaken van uw CDE. Sommige resources omvatten publicaties van leveranciers in combinatie met richtlijnen die zijn afgeleid van Azure Security Center, Azure Advisor, Azure Well-Architected Reviewen updates in de AKS Azure Security Baseline en CIS Azure Kubernetes Service Benchmarken andere.
Wanneer u uw risicoanalyseproces tot stand brengt, moet u deze afstemmen op een gepubliceerde standaard, waar dit praktisch is, bijvoorbeeld NIST SP 800-53. Wijs publicaties uit de gepubliceerde beveiligingslijst van uw leverancier, zoals de handleiding Microsoft Security Response Centertoe aan uw risicoanalyseproces.
Houd up-to-date informatie over apparaatinventarisatie en documentatie over toegang tot personeel. Overweeg het gebruik van de apparaatdetectiefunctie die is opgenomen in Microsoft Defender for Endpoint. Voor het bijhouden van toegang kunt u die informatie afleiden uit Azure Active Directory logboeken. Hier vindt u enkele artikelen om u op weg te helpen:
Als onderdeel van uw voorraadbeheer kunt u een lijst onderhouden met goedgekeurde oplossingen die zijn geïmplementeerd als onderdeel van de PCI-infrastructuur en -workload. Dit omvat een lijst met VM-afbeeldingen, databases en oplossingen van derden die u naar de CDE brengt. U kunt dat proces zelfs automatiseren door een servicecatalogus te bouwen. Het biedt selfservice-implementatie met behulp van deze goedgekeurde oplossingen in een specifieke configuratie, die voldoet aan de lopende platformbewerkingen. Zie Een servicecatalogus maken voor meer informatie.
Zorg ervoor dat een contactpersoon voor beveiliging Meldingen over Azure-incidenten ontvangt van Microsoft.
Deze meldingen geven aan of uw resource is aangetast. Hierdoor kan uw beveiligingsteam snel reageren op mogelijke beveiligingsrisico's en deze verhelpen. Zorg ervoor dat de contactgegevens van de beheerder in de Azure-inschrijvingsportal contactgegevens bevatten die beveiligingsbewerkingen rechtstreeks of snel via een intern proces melden. Zie Beveiligingsbewerkingenmodel voor meer informatie.
Hier vindt u andere artikelen die u helpen bij het plannen van de operationele naleving.
- Cloudbeheer in Cloud Adoption Framework
- Governance in het Microsoft Cloud Adoption Framework voor Azure