Den här artikeln beskriver överväganden för ett Azure Kubernetes Service-kluster (AKS) som har konfigurerats i enlighet med Payment Card Industry Data Security Standard (PCI-DSS 3.2.1).
Den här artikeln ingår i en serie. Läs introduktionen.
Upprätthålla en säkerhetsprincip för information
Krav 12 –Upprätthåll en princip som hanterar informationssäkerhet för all personal
Microsoft slutförde en årlig PCI DSS utvärdering med hjälp av en godkänd kvalificerad säkerhetsbedömare (QSA). Ta hänsyn till alla aspekter av infrastruktur, utveckling, drift, hantering, support och omfattande tjänster. Mer information finns i Payment Card Industry (PCI) Data Security Standard (DSS).
Den här arkitekturen och implementeringen är inte utformade för att ge illustrerande vägledning för dokumentering av den officiella säkerhetsprincipen från dag till slut. Information finns i vägledningen i den officiella PCI-DSS 3.2.1-standarden.
Här är några allmänna förslag:
Underhålla omfattande och uppdaterad dokumentation om processen och principerna. Överväg att använda Microsoft Compliance Manager för att utvärdera din risk.
I den årliga granskningen av säkerhetsprincipen införlivar vi ny vägledning från Microsoft, Kubernetes och andra tredjepartslösningar som ingår i din CDE. Några resurser är leverantörsdokument som kombineras med vägledning från Microsoft Defender for Cloud, Azure Advisor, Azure Well-Architected Reviewoch uppdateringar i AKS Azure Security Baseline och CIS Azure Kubernetes Service Benchmarkmed mera.
När du upprättar riskbedömningsprocessen bör du anpassa dig till en publicerad standard där det är praktiskt, till exempel NIST SP 800-53. Mappa publikationer från leverantörens publicerade säkerhetslista, till exempel Microsoft Security Response Center ,till din riskbedömningsprocess.
Håll uppdaterad information om enhetsinventering och dokumentation om personalåtkomst. Överväg att använda funktionen för enhetsidentifiering som ingår i Microsoft Defender för slutpunkt. För att spåra åtkomst kan du härleda den informationen från Azure Active Directory loggar. Här följer några artiklar som du kan använda för att komma igång:
Som en del av lagerhanteringen ska du ha en lista över godkända lösningar som distribuerats som en del av PCI-infrastrukturen och PCI-arbetsbelastningen. Detta inkluderar en lista över VM-avbildningar, databaser och lösningar från tredje part som du väljer att använda för CDE. Du kan till och med automatisera processen genom att skapa en tjänstkatalog. Den tillhandahåller självbetjäning med hjälp av dessa godkända lösningar i en specifik konfiguration, som följer pågående plattformsåtgärder. Mer information finns i Etablera en tjänstkatalog.
Se till att en säkerhetskontakt får meddelanden om Azure-incidenter från Microsoft.
Dessa meddelanden anger om din resurs har komprometterats. Detta gör att ditt säkerhetsteam snabbt kan reagera på potentiella säkerhetsrisker och åtgärda dem. Se till att administratörens kontaktinformation i Azure-registreringsportalen innehåller kontaktinformation som meddelar säkerhetsåtgärder direkt eller snabbt via en intern process. Mer information finns i Säkerhetsdriftsmodell.
Här följer andra artiklar som hjälper dig att planera driftsefterlevnaden.