Azure Stack HCI i PCI DSS
W tym artykule wyjaśniono, w jaki sposób funkcje zabezpieczeń rozwiązania Microsoft Azure Stack HCI mogą pomóc organizacjom w branży kart płatniczych osiągnąć wymagania dotyczące kontroli zabezpieczeń pci DSS, zarówno w chmurze, jak i w środowiskach lokalnych.
PCI DSS
Standard DSS (Payment Card Industry) Data Security Standard (DSS) to globalny standard zabezpieczeń informacji zaprojektowany w celu zapobiegania oszustwom dzięki zwiększonej kontroli nad danymi kart kredytowych. PCI DSS jest upoważniona przez marki kart płatniczych i administrowane przez Radę Standardów Bezpieczeństwa Branży Kart Płatniczych.
Zgodność ze standardem PCI DSS jest wymagana dla każdej organizacji, która przechowuje, przetwarza lub przesyła dane karty (CHD). Organizacje objęte zgodnością PCI DSS obejmują (ale nie ogranicza się do) handlowców, podmiotów przetwarzających płatności, wystawców, nabywców i dostawców usług.
Dowiedz się więcej o standardzie w bibliotece dokumentacji Rady Standardów Bezpieczeństwa PCI.
Wspólna odpowiedzialność
Ważne jest, aby zrozumieć, że PCI DSS nie jest tylko standardem technologii i produktu, ale obejmuje również wymagania dotyczące zabezpieczeń dla osób i procesów. Odpowiedzialność za zgodność jest współdzielona między Tobą jako jednostka objęta a firmą Microsoft jako dostawca usług.
Klienci firmy Microsoft
Jako jednostka objęta obowiązkiem jest osiągnięcie własnego certyfikatu PCI DSS i zarządzanie nim. Organizacje muszą ocenić swoje odrębne środowisko, zwłaszcza części hostujące płatności usług lub obciążenia związane z płatnościami, w których dane posiadaczy kart są przechowywane, przetwarzane i/lub przesyłane. Jest to nazywane środowiskiem danych symbolu karty (CDE). Następnie organizacje muszą zaplanować i wdrożyć odpowiednie mechanizmy kontroli zabezpieczeń, zasady i procedury, aby spełnić wszystkie określone wymagania przed przejściem oficjalnego procesu testowania. Organizacje ostatecznie umowy z kwalifikowanym doradcą oceny zabezpieczeń (QSA), który sprawdza, czy środowisko spełnia wszystkie wymagania.
Microsoft
Chociaż jest to twoja odpowiedzialność za utrzymanie zgodności ze standardem PCI DSS, nie jesteś sam w podróży. Firma Microsoft udostępnia dodatkowe materiały i funkcje zabezpieczeń w środowisku hybrydowym, aby ułatwić zmniejszenie związanych z tym wysiłków i kosztów ukończenia weryfikacji PCI DSS. Na przykład zamiast testować wszystko od podstaw, oceniający mogą używać Azure Attestation zgodności (AOC) dla części środowiska danych symboli kart wdrożonych na platformie Azure. Dowiedz się więcej w poniższej zawartości.
Zgodność rozwiązania Azure Stack HCI
Podczas projektowania i tworzenia rozwiązania Azure Stack HCI firma Microsoft uwzględnia wymagania dotyczące zabezpieczeń zarówno dla chmury firmy Microsoft, jak i środowisk lokalnych klientów.
Połączone usługi w chmurze
Usługa Azure Stack HCI oferuje głęboką integrację z różnymi usługami platformy Azure, takimi jak Azure Monitor, Azure Backup i Azure Site Recovery, w celu wprowadzenia nowych funkcji do ustawienia hybrydowego. Te usługi w chmurze są certyfikowane jako zgodne w ramach pci DSS w wersji 4.0 na poziomie dostawcy usług 1. Dowiedz się więcej o programie zgodności usług w chmurze platformy Azure na stronie PCI DSS — Azure Compliance.
Ważne
Należy pamiętać, że stan zgodności pci DSS platformy Azure nie jest automatycznie tłumaczona na walidację PCI DSS dla usług, które organizacje tworzą lub hostują na platformie Azure. Klienci są odpowiedzialni za zapewnienie, że ich organizacje osiągną zgodność z wymaganiami PCI DSS.
Rozwiązania lokalne
Jako rozwiązanie lokalne usługa Azure Stack HCI udostępnia szereg funkcji, które pomagają organizacjom spełnić zgodność ze standardami PCI DSS i innymi standardami zabezpieczeń usług finansowych.
Możliwości rozwiązania Azure Stack HCI istotne dla pci DSS
W tej sekcji krótko opisano, w jaki sposób organizacje mogą korzystać z funkcji azure Stack HCI, aby spełnić wymagania PCI DSS. Należy pamiętać, że wymagania PCI DSS mają zastosowanie do wszystkich składników systemowych zawartych w środowisku danych karty lub podłączonych do środowiska danych symboli kart (CDE). Poniższa zawartość koncentruje się na poziomie platformy Azure Stack HCI, który hostuje płatności usług lub obciążenia związane z płatnościami, które obejmują dane posiadaczy kart.
Wymaganie 1. Instalowanie i utrzymywanie kontroli zabezpieczeń sieci
Usługa Azure Stack HCI umożliwia stosowanie mechanizmów kontroli zabezpieczeń sieci w celu ochrony platformy i obciążeń uruchomionych na niej przed zagrożeniami sieciowymi poza i wewnątrz. Platforma gwarantuje również uczciwą alokację sieci na hoście i zwiększa wydajność i dostępność obciążeń dzięki możliwościom równoważenia obciążenia. Dowiedz się więcej na temat zabezpieczeń sieci w usłudze Azure Stack HCI w następujących artykułach.
- Omówienie zapory centrum danych
- Software Load Balancer (SLB) for Software Define Network (SDN)
- Brama usługi dostępu zdalnego (RAS) dla sieci SDN
- Zasady jakości usług dla obciążeń hostowanych w usłudze Azure Stack HCI
Wymaganie 2. Stosowanie bezpiecznych konfiguracji do wszystkich składników systemu
Zabezpieczanie domyślnie
Rozwiązanie Azure Stack HCI jest domyślnie konfigurowane przy użyciu narzędzi zabezpieczeń i technologii do obrony przed nowoczesnymi zagrożeniami i dopasowywania ich do punktów odniesienia zabezpieczeń obliczeniowych platformy Azure. Dowiedz się więcej w tematu Ustawienia punktu odniesienia zabezpieczeń dla usługi Azure Stack HCI.
Ochrona dryfu
Domyślna konfiguracja zabezpieczeń i ustawienia zabezpieczonego rdzenia platformy są chronione zarówno podczas wdrażania, jak i środowiska uruchomieniowego z ochroną przed dryfowaniem . Po włączeniu ochrony przed odchyleniem kontroli dryfu regularnie odświeża ustawienia zabezpieczeń co 90 minut, aby upewnić się, że wszelkie zmiany z określonego stanu zostaną skorygowane. Dzięki temu ciągłemu monitorowaniu i autoremediation można mieć spójną i niezawodną konfigurację zabezpieczeń w całym cyklu życia urządzenia. Podczas wdrażania można wyłączyć ochronę dryfu podczas konfigurowania ustawień zabezpieczeń.
Punkt odniesienia zabezpieczeń dla obciążenia
W przypadku obciążeń działających na platformie Azure Stack HCI można użyć zalecanego punktu odniesienia systemu operacyjnego Platformy Azure (zarówno dla systemu Windows , jak i Linux) jako testu porównawczego w celu zdefiniowania punktu odniesienia konfiguracji zasobów obliczeniowych.
Wymaganie 3. Ochrona przechowywanych danych konta
Szyfrowanie danych za pomocą funkcji BitLocker
W klastrach Usługi Azure Stack HCI wszystkie dane magazynowane można szyfrować za pośrednictwem szyfrowania XTS-AES 256-bitowego funkcji BitLocker. Domyślnie system zaleca włączenie funkcji BitLocker do szyfrowania wszystkich woluminów systemu operacyjnego (OS) i udostępnionych woluminów klastra (CSV) we wdrożeniu usługi Azure Stack HCI. W przypadku wszystkich nowych woluminów magazynu dodanych po wdrożeniu należy ręcznie włączyć funkcję BitLocker, aby zaszyfrować nowy wolumin magazynu. Korzystanie z funkcji BitLocker w celu ochrony danych może pomóc organizacjom zachować zgodność z normą ISO/IEC 27001. Dowiedz się więcej na temat używania funkcji BitLocker z udostępnionymi woluminami klastra (CSV).
Wymaganie 4. Ochrona danych symboli kart za pomocą silnej kryptografii podczas transmisji za pośrednictwem otwartych sieci publicznych
Ochrona ruchu sieciowego zewnętrznego przy użyciu protokołu TLS/DTLS
Domyślnie wszystkie komunikaty hosta do lokalnych i zdalnych punktów końcowych są szyfrowane przy użyciu protokołów TLS1.2, TLS1.3 i DTLS 1.2. Platforma wyłącza korzystanie ze starszych protokołów/skrótów, takich jak TLS/DTLS 1.1 SMB1. Usługa Azure Stack HCI obsługuje również silne zestawy szyfrowania, takie jak krzywe eliptyczne zgodne ze standardem SDL ograniczone do krzywych NIST P-256 i P-384.
Wymaganie 5. Ochrona wszystkich systemów i sieci przed złośliwym oprogramowaniem
Program antywirusowy Windows Defender
program antywirusowy Windows Defender to aplikacja narzędziowa, która umożliwia wymuszanie skanowania systemu w czasie rzeczywistym i okresowego skanowania w celu ochrony platformy i obciążeń przed wirusami, złośliwym oprogramowaniem, programami szpiegującymi i innymi zagrożeniami. Domyślnie program antywirusowy Microsoft Defender jest włączony w usłudze Azure Stack HCI. Firma Microsoft zaleca korzystanie z programu antywirusowego Microsoft Defender z rozwiązaniem Azure Stack HCI, a nie oprogramowaniem antywirusowym innych firm oraz oprogramowaniem i usługami wykrywania złośliwego oprogramowania, ponieważ mogą one wpływać na zdolność systemu operacyjnego do odbierania aktualizacji. Dowiedz się więcej na temat programu antywirusowego Microsoft Defender w systemie Windows Server.
Windows Defender Application Control (WDAC)
Windows Defender kontrola aplikacji (WDAC) jest domyślnie włączona w usłudze Azure Stack HCI w celu kontrolowania, które sterowniki i aplikacje mogą być uruchamiane bezpośrednio na każdym serwerze, co pomaga zapobiec uzyskiwaniu dostępu do systemów przez złośliwe oprogramowanie. Dowiedz się więcej o podstawowych zasadach zawartych w usłudze Azure Stack HCI i sposobie tworzenia zasad uzupełniających w usłudze Windows Defender Application Control for Azure Stack HCI.
Microsoft Defender for Cloud
Microsoft Defender dla chmury z programem Endpoint Protection (włączonym za pośrednictwem planów serwera) zapewnia rozwiązanie do zarządzania stanem zabezpieczeń z zaawansowanymi możliwościami ochrony przed zagrożeniami. Zapewnia ona narzędzia do oceny stanu zabezpieczeń infrastruktury, ochrony obciążeń, podnoszenia alertów zabezpieczeń i śledzenia określonych zaleceń w celu korygowania ataków i reagowania na przyszłe zagrożenia. Wykonuje ona wszystkie te usługi z dużą szybkością w chmurze bez obciążeń związanych z wdrażaniem dzięki automatycznej aprowizacji i ochronie usług platformy Azure. Dowiedz się więcej w Microsoft Defender for Cloud.
Wymaganie 6. Opracowywanie i utrzymywanie bezpiecznych systemów i oprogramowania
Aktualizacja platformy
Wszystkie składniki platformy Azure Stack HCI, w tym system operacyjny, podstawowe agenty i usługi oraz rozszerzenie rozwiązania, można łatwo utrzymywać za pomocą Menedżera cyklu życia. Ta funkcja umożliwia łączenie różnych składników w wydanie aktualizacji i weryfikowanie kombinacji wersji w celu zapewnienia współdziałania. Dowiedz się więcej w witrynie Lifecycle Manager for Azure Stack HCI solution updates (Menedżer cyklu życia dla aktualizacji rozwiązania Azure Stack HCI).
Aktualizacja obciążenia
W przypadku obciążeń działających na platformie Azure Stack HCI, w tym hybrydowych Azure Kubernetes Service (AKS), usługi Azure Arc i maszyn wirtualnych infrastruktury, które nie są zintegrowane z menedżerem cyklu życia, postępuj zgodnie z metodami opisanymi w temacie Use Lifecycle Manager (Używanie menedżera cyklu życia), aby aktualizować je i dostosowywać do wymagań PCI DSS.
Wymaganie 7. Ograniczanie dostępu do składników systemowych i danych symboli kart przez firmę musi wiedzieć
Twoim zadaniem jest zidentyfikowanie ról i ich potrzeb związanych z dostępem na podstawie wymagań biznesowych organizacji, a następnie upewnienie się, że tylko autoryzowani pracownicy mają dostęp do poufnych systemów i danych, przypisując uprawnienia na podstawie obowiązków służbowych. Użyj możliwości opisanych w temacie Wymaganie 8: Identyfikowanie użytkowników i uwierzytelnianie dostępu do składników systemowych w celu zaimplementowania zasad i procedur.
Wymaganie 8. Identyfikowanie użytkowników i uwierzytelnianie dostępu do składników systemu
Platforma Azure Stack HCI zapewnia pełny i bezpośredni dostęp do bazowego systemu uruchomionego w węzłach klastra za pośrednictwem wielu interfejsów, takich jak Azure Arc i Windows PowerShell. Do zarządzania tożsamościami i dostępem do platformy można użyć konwencjonalnych narzędzi systemu Windows w środowiskach lokalnych lub rozwiązań opartych na chmurze, takich jak Tożsamość Microsoft Entra (dawniej Azure Active Directory). W obu przypadkach można korzystać z wbudowanych funkcji zabezpieczeń, takich jak uwierzytelnianie wieloskładnikowe (MFA), dostęp warunkowy, kontrola dostępu oparta na rolach (RBAC) i uprzywilejowane zarządzanie tożsamościami (PIM), aby zapewnić bezpieczeństwo i zgodność środowiska.
Dowiedz się więcej na temat zarządzania tożsamościami lokalnymi i dostępem w usłudze Microsoft Identity Manager i Privileged Access Management for Active Directory Domain Services. Dowiedz się więcej na temat zarządzania tożsamościami i dostępem opartymi na chmurze w Tożsamość Microsoft Entra.
Wymaganie 9: Ograniczanie fizycznego dostępu do danych posiadaczy kart
W przypadku środowisk lokalnych upewnij się, że zabezpieczenia fizyczne są współmierne z wartością platformy Azure Stack HCI i danymi, które zawiera.
Wymaganie 10: Rejestrowanie i monitorowanie całego dostępu do składników systemowych i danych karty
Dzienniki systemu lokalnego
Domyślnie wszystkie operacje wykonywane w ramach platformy Azure Stack HCI są rejestrowane, aby śledzić, kto zrobił co, kiedy i gdzie na platformie. Dzienniki i alerty utworzone przez Windows Defender są również uwzględniane w celu zapobiegania, wykrywania i minimalizowania prawdopodobieństwa naruszenia zabezpieczeń danych oraz ich wpływu. Jednak ponieważ dziennik systemu często zawiera dużą ilość informacji, wiele z nich jest nadmiarowych do monitorowania zabezpieczeń informacji, należy określić, które zdarzenia mają być zbierane i wykorzystywane do monitorowania zabezpieczeń. Funkcje monitorowania platformy Azure ułatwiają zbieranie, przechowywanie, alerty i analizowanie tych dzienników. Zapoznaj się z punktem odniesienia zabezpieczeń dla usługi Azure Stack HCI , aby dowiedzieć się więcej.
Lokalne dzienniki aktywności
Menedżer cyklu życia rozwiązania Azure Stack HCI tworzy i przechowuje dzienniki aktywności dla dowolnego wykonanego planu działania. Te dzienniki obsługują dokładniejsze badanie i monitorowanie zgodności.
Dzienniki aktywności w chmurze
Rejestrując klastry na platformie Azure, możesz użyć dzienników aktywności usługi Azure Monitor , aby rejestrować operacje na poszczególnych zasobach w warstwie subskrypcji, aby określić, co, kto i kiedy dla jakichkolwiek operacji zapisu (umieścić, opublikować lub usunąć) pobranych zasobów w ramach subskrypcji.
Dzienniki tożsamości w chmurze
Jeśli używasz Tożsamość Microsoft Entra do zarządzania tożsamościami i dostępem do platformy, możesz wyświetlać dzienniki w Azure AD raportowania lub integrować je z usługami Azure Monitor, Microsoft Sentinel lub innymi narzędziami SIEM/monitorowania w celu uzyskania zaawansowanych przypadków użycia monitorowania i analizy. Jeśli używasz lokalna usługa Active Directory, użyj rozwiązania Microsoft Defender for Identity do korzystania z lokalna usługa Active Directory sygnalizuje identyfikowanie, wykrywanie i badanie zaawansowanych zagrożeń, tożsamości z naruszonymi zabezpieczeniami i złośliwych działań wewnętrznych skierowanych do organizacji.
Integracja rozwiązania SIEM
Microsoft Defender dla chmury i usługi Microsoft Sentinel jest natywnie zintegrowane z węzłami rozwiązania Azure Stack HCI z obsługą usługi Arc. Dzienniki można włączyć i dołączyć do usługi Microsoft Sentinel, która zapewnia funkcje automatycznego reagowania na zdarzenia informacji o zabezpieczeniach (SIEM) i orkiestracji zabezpieczeń. Usługa Microsoft Sentinel, podobnie jak inne usługi w chmurze platformy Azure, spełnia wiele dobrze ustalonych standardów zabezpieczeń, takich jak PCI DSS, HITRUST i FedRAMP Authorization, co może pomóc w procesie akredytacji. Ponadto usługa Azure Stack HCI udostępnia natywny moduł przekazywania zdarzeń dziennika systemowego do wysyłania zdarzeń systemowych do rozwiązań SIEM innych firm.
Szczegółowe informacje dotyczące rozwiązania Azure Stack HCI
Usługa Azure Stack HCI Insights umożliwia monitorowanie kondycji, wydajności i informacji o użyciu dla klastrów połączonych z platformą Azure i zarejestrowanych w monitorowaniu. Podczas konfigurowania usługi Insights tworzona jest reguła zbierania danych, która określa dane do zebrania. Te dane są przechowywane w obszarze roboczym usługi Log Analytics, który jest następnie agregowany, filtrowany i analizowany w celu zapewnienia wstępnie utworzonych pulpitów nawigacyjnych monitorowania przy użyciu skoroszytów platformy Azure. Dane monitorowania dla jednego klastra lub wielu klastrów można wyświetlić na stronie zasobów rozwiązania Azure Stack HCI lub w usłudze Azure Monitor. Dowiedz się więcej w artykule Monitorowanie rozwiązania Azure Stack HCI za pomocą szczegółowych informacji.
Metryki rozwiązania Azure Stack HCI
Metryki przechowują dane liczbowe z monitorowanych zasobów w bazie danych szeregów czasowych. Eksplorator metryk usługi Azure Monitor umożliwia interaktywne analizowanie danych w bazie danych metryk i tworzenie wykresów wartości wielu metryk w czasie. Za pomocą metryk można tworzyć wykresy na podstawie wartości metryk i wizualnie korelować trendy.
Alerty dotyczące dzienników
Aby wskazać problemy w czasie rzeczywistym, można skonfigurować alerty dla systemów Azure Stack HCI przy użyciu wstępnie istniejących przykładowych zapytań dziennika, takich jak średni procesor serwera, dostępna pamięć, dostępna pojemność woluminu i inne. Dowiedz się więcej na stronie Konfigurowanie alertów dla systemów Rozwiązania Azure Stack HCI.
Alerty dotyczące metryk
Reguła alertu metryki monitoruje zasób, oceniając warunki dotyczące metryk zasobów w regularnych odstępach czasu. Jeśli warunki zostaną spełnione, zostanie wyzwolony alert. Szereg czasowy metryki to seria wartości metryk przechwyconych w danym okresie. Te metryki umożliwiają tworzenie reguł alertów. Dowiedz się więcej o sposobie tworzenia alertów metryk w obszarze Alerty metryk.
Alerty dotyczące usług i urządzeń
Rozwiązanie Azure Stack HCI zapewnia oparte na usłudze alerty dotyczące łączności, aktualizacji systemu operacyjnego, konfiguracji platformy Azure i nie tylko. Dostępne są również alerty oparte na urządzeniach dotyczące błędów kondycji klastra. Możesz również monitorować klastry Azure Stack HCI i ich podstawowe składniki przy użyciu programu PowerShell lub usługi kondycji.
Wymaganie 11: Regularne testowanie zabezpieczeń systemów i sieci
Oprócz samodzielnego przeprowadzania częstych ocen zabezpieczeń i testów penetracyjnych można również użyć Microsoft Defender for Cloud do oceny stanu zabezpieczeń w przypadku obciążeń hybrydowych w chmurze i lokalnie, w tym maszyn wirtualnych, obrazów kontenerów i serwerów SQL z włączoną usługą Arc.
Wymaganie 12: Obsługa zabezpieczeń informacji za pomocą zasad i programów organizacyjnych
Użytkownik jest odpowiedzialny za utrzymanie zasad i działań dotyczących zabezpieczeń informacji, które ustanawiają organizacyjny program zabezpieczeń i chronią środowisko danych posiadaczy kart. Funkcje automatyzacji oferowane przez usługi platformy Azure, takie jak Tożsamość Microsoft Entra i informacje udostępniane w temacie Szczegóły wbudowanej inicjatywy ZGODNOŚCI z przepisami PCI DSS, mogą pomóc w zmniejszeniu problemów z zarządzaniem tymi zasadami i programami.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla