В этой статье описываются рекомендации по кластеру Служба Azure Kubernetes (AKS), настроенного в соответствии со стандартом безопасности данных индустрии оплаты карт (PCI-DSS 3.2.1).
Этот материал входит в цикл статей. Ознакомьтесь с введением.
Обслуживание политики информационной безопасности
Требование 12. Поддержка политики, которая обращается к информационной безопасности для всех сотрудников
Корпорация Майкрософт выполнила ежегодную оценку PCI DSS с помощью утвержденного квалифицированного оценчика безопасности (QSA). Учитывайте все аспекты инфраструктуры, разработки, операций, управления, поддержки и область служб. Дополнительные сведения см. в разделе "Стандарт безопасности данных PCI" (DSS).
Эта архитектура и реализация не предназначены для предоставления иллюстрирующих рекомендаций по документу официальной политики безопасности. Рекомендации см. в официальном стандарте PCI-DSS 3.2.1.
Ниже приведены некоторые общие предложения.
Поддержку тщательной и обновленной документации по процессу и политикам. Рассмотрите возможность использования Microsoft Purview Compliance Manager для оценки риска.
В ежегодном обзоре политики безопасности включайте новые рекомендации, предоставляемые корпорацией Майкрософт, Kubernetes и другими сторонними решениями, которые являются частью CDE. Некоторые ресурсы включают публикации поставщиков в сочетании с рекомендациями, производными от Microsoft Defender для облака, Помощника по Azure, Проверки хорошо архитекторов Azure, а также обновления в базовой конфигурации безопасности AZURE AKS и CIS Служба Azure Kubernetes Benchmark и других.
При установке процесса оценки рисков выравнивайте опубликованный стандарт, где практический, например NIST SP 800-53. Сопоставите публикации из опубликованного списка безопасности поставщика, например руководства Центра реагирования майкрософт по безопасности, с процессом оценки рисков.
Актуальные сведения о инвентаризации устройств и документации по доступу к персоналу. Рассмотрите возможность обнаружения устройств, включенную в Microsoft Defender для конечной точки. Для отслеживания доступа можно получить эти сведения из журналов Microsoft Entra. Ниже приведены некоторые статьи, которые показано, как приступить к работе:
В рамках управления инвентаризацией храните список утвержденных решений, развернутых в рамках инфраструктуры и рабочей нагрузки PCI. Сюда входит список образов виртуальных машин, баз данных, сторонних решений, которые вы можете перенести в CDE. Вы даже можете автоматизировать этот процесс, создав каталог служб. Он обеспечивает самостоятельное развертывание с помощью утвержденных решений в определенной конфигурации, которая соответствует текущим операциям платформы. Дополнительные сведения см. в разделе "Создание каталога служб".
Убедитесь, что контакт безопасности получает уведомления об инцидентах Azure от Майкрософт.
Эти уведомления указывают, скомпрометирован ли ресурс. Это позволит вашей оперативной команде по обеспечению безопасности быстро реагировать на потенциальные риски для безопасности и устранять их. Убедитесь, что контактные данные администратора на портале регистрации Azure содержат контактную информацию для уведомления об операциях системы безопасности (напрямую или быстро с помощью внутреннего процесса). Дополнительные сведения см. в разделе "Модель операций безопасности".
Ниже приведены другие статьи, которые помогут вам спланировать соответствие требованиям к эксплуатации.
- Управление облаком в Cloud Adoption Framework
- Управление в Microsoft Cloud Adoption Framework для Azure