PCI-DSS 3.2.1 için AKS düzenlenmiş kümedeki verileri güvenli hale getirme (Bölüm 4/9)

Kubernetes Hizmeti
Application Gateway
Azure Active Directory
Azure Güvenlik Merkezi
İzleyici

Bu makalede, ödeme kartı sektör veri güvenliği standardı (PCI-DSS 3.2.1) ile uyumlu bir iş yükü çalıştıran bir Azure Kubernetes hizmeti (AKS) kümesine ilişkin konular açıklanmaktadır.

Bu makale, bir serinin bir parçasıdır. Tanıtımıokuyun.

Bu mimari ve uygulama, iş yüküne göre değil, altyapıya odaklanmıştır. Bu makalede, tasarım kararları almanıza yardımcı olmak için genel hususlar ve en iyi uygulamalar sağlanmaktadır. Resmi PCI-DSS 3.2.1 Standard 'daki gereksinimleri izleyin ve bu makaleyi, varsa ek bilgiler olarak kullanın.

Önemli

Rehberlik ve ilgili uygulama, aks temel mimarisiüzerinde oluşturulur. Bu mimari, hub ve bağlı bileşen topolojisini temel alır. Hub sanal ağı, çıkış trafiğini denetlemek için güvenlik duvarını, şirket içi ağlardan gelen ağ geçidi trafiğini ve bakım için üçüncü bir ağı içerir. Bağlı bileşen sanal ağı, cardş veri ortamı (CDE) sağlayan AKS kümesini içerir ve PCI DSS iş yükünü barındırır.

GitHub logoGitHub: düzenlenen iş yükleri için Azure kubernetes hizmeti (aks) temel kümesi , düzenlenen altyapıyı gösterir. Bu uygulama, mikro Hizmetler uygulaması sağlar. Altyapı ile karşılaşmanızı ve ağ ve güvenlik denetimlerini açıklamanıza yardımcı olmak için eklenmiştir. Uygulama, gerçek bir PCI DSS iş yükünü temsil etmez veya uygulamıyor.

Cardş verilerini koruma

Gereksinim 3— depolanan kart sahibi verilerini koruma

Sizin Sorumluluklarınız

Gereksinim Ğuna
Gereksinim 3,1 Veri saklama ve çıkarma ilkeleri, yordamlar ve süreçler için en azından tüm kart sahibi verileri (CHD) depolama alanı için aşağıdakiler dahil olmak üzere, cardş veri depolama alanını en düşük düzeyde tutun:
Gereksinim 3,2 Yetkilendirmeden sonra hassas kimlik doğrulama verilerini depolamayin (şifreli olsa bile). Hassas kimlik doğrulama verileri alınmışsa, yetkilendirme işleminin tamamlanmasından sonra tüm verileri kurtarılamaz şekilde işleyin.
Gereksinim 3,3 Görüntülenen maske KAYDıRMA (ilk altı ve son dört basamak, görüntülenecek en fazla basamak sayısıdır), ancak yalnızca yasal bir iş ihtiyacı olan personel tam KAYDıRMA 'yı görebilirler.
Gereksinim 3,4 Aşağıdaki yaklaşımlardan herhangi birini kullanarak her yerde (taşınabilir dijital medya, yedek medya ve günlükler dahil) işleme KAYDıRMA işlemi.
Gereksinim 3,5 Saklı kart tutucusu verilerinin açığa çıkmasına ve kötüye kullanılmasına karşı güvenliğini sağlamak için kullanılan anahtarları korumanıza yönelik yordamları belgeleyin ve uygulayın:
Gereksinim 3,6 Aşağıdakiler de dahil olmak üzere, kart sahibi verilerin şifrelenmesi için kullanılan şifreleme anahtarlarına yönelik tüm anahtar yönetim işlemlerini ve yordamlarını tam olarak belgeleyin ve uygulayın:
Gereksinim 3,7 Depolanan kart sahibi verilerini korumaya yönelik güvenlik ilkelerinin ve işlem yordamlarının, kullanımda ve etkilenen tüm taraflar tarafından bilindiğinden emin olun.

Gereksinim 4— kart sahibi verilerinin aktarımını açık, ortak ağlarda şifreleyin.

Sizin Sorumluluklarınız

Gereksinim Ğuna
Gereksinim 4,1 Güçlü şifreleme ve güvenlik protokolleri kullanın (örneğin, TLS, ıPSEC, SSH, vb.) açık, ortak ağlar üzerinden iletim sırasında hassas kart sahibi verilerini korumak için aşağıdakiler de dahil olmak üzere:
Gereksinim 4,2 Son Kullanıcı mesajlaşma teknolojileri (örneğin, e-posta, anlık mesajlaşma, SMS, sohbet vb.) tarafından korumasız bölmeleri hiçbir şekilde göndermeyin.
Gereksinim 4,3 Cardş verilerinin iletimini şifrelemek için güvenlik ilkelerinin ve işletimsel yordamların, kullanımda ve etkilenen tüm taraflar tarafından bilindiğinden emin olun.

Gereksinim 3,1

Veri saklama ve çıkarma ilkeleri, yordamlar ve süreçler için en azından tüm kart sahibi verileri (CHD) depolama alanı için aşağıdakiler dahil olmak üzere, cardş veri depolama alanını en düşük düzeyde tutun:

  • Yasal, mevzuata ve iş gereksinimleri için gereken veri depolama miktarını ve bekletme süresini sınırlama
  • Artık gerekli olmadığında verilerin güvenli silinmesine yönelik süreçler
  • Cardş verileri için belirli saklama gereksinimleri
  • Tanımlanan saklama süresini aşan depolanan cardş verilerini belirlemek ve güvenli bir şekilde silmek için üç aylık bir işlemdir.

Sizin Sorumluluklarınız

Durumu AKS kümesinde depolamayın. CHD depolamayı seçerseniz, güvenli depolama seçeneklerini keşfedebilirsiniz. seçenekler dosya depolama için Azure Depolama veya Azure SQL Veritabanı veya Azure Cosmos DB gibi veritabanları içerir.

Ne tür CHD ile depolanabilecek hakkında kesinlikle standart kılavuza uyar. İş gereksinimlerinize ve kullanılan depolama türüne göre veri bekletme ilkeleri tanımlayın. Bazı önemli noktalar şunlardır:

  • Veriler nasıl ve nerede depolanır?
  • Depolanan veriler şifrelenmiş mi?
  • Bekletme dönemi nedir?
  • Bekletme döneminde hangi eylemlere izin verilir?
  • Saklama süresi dolduktan sonra depolanan verileri nasıl silecekiyorsunuz?

Bu seçimlerin bazıları etrafında idare ilkelerine sahip. Yerleşik Azure ilkeleri bu seçimleri uygular. Örneğin, küme yığınlarında birim türlerini kısıtlayabilir veya kök dosya sisteminde yazma işlemlerini reddedebilirsiniz.

İlke tanımlarının listesini gözden geçirin ve bunları, uygun olduğunda kümeye uygulayın.

Verileri geçici olarak önbelleğe almanız gerekebilir. Önbelleğe alınmış verileri bir depolama çözümüne taşınırken korumanızı öneririz. AKS üzerinde ana bilgisayar tabanlı şifreleme özelliğini etkinleştirmeyi düşünün. Bu, düğüm VM 'lerinde depolanan verileri şifreler. Daha fazla bilgi için bkz. Azure Kubernetes Service (AKS) üzerinde ana bilgisayar tabanlı şifreleme. Ayrıca, düğüm havuzları için geçici disklerin ve önbelleğin şifrelenmesini gerektiren yerleşik bir Azure ilkesini etkinleştirin.

Bir depolama teknolojisini seçerken, bekletme özelliklerini keşfedebilirsiniz. örneğin, Azure Blob Depolama zamana dayalı saklama ilkelerisağlar. Diğer bir seçenek de saklama ilkelerine göre verileri silen özel bir çözüm uygulamaktır. Veri ömrü yönetimi (DLD), veri yaşam döngüsü etkinliklerini yöneten bir örnektir. çözüm, Azure Data Factory, Azure Active Directory (Azure AD) ve Azure Key Vault gibi hizmetlerle tasarlanmıştır.

Daha fazla bilgi için bkz. Azure Data Factory kullanarak veri yaşam döngüsünü yönetme.

Gereksinim 3,2

Yetkilendirmeden sonra hassas kimlik doğrulama verilerini depolamayin (şifreli olsa bile). Hassas kimlik doğrulama verileri alınmışsa, yetkilendirme işleminin tamamlanmasından sonra tüm verileri kurtarılamaz şekilde işleyin.

Sizin Sorumluluklarınız

(Aşağıdakilere uygulanır: gereksinim 3.2.1, gereksinim 3.2.2, gereksinim 3.2.3)

Verilerin işlenmesi ve korunması bu mimarinin kapsamı dışındadır. Bazı genel konular aşağıda verilmiştir.

Standart, hassas kimlik doğrulama verileri, tam izleme verileri, kart doğrulama kodu veya değerden oluşur ve verileri SABITLEYEBILIR. CHD işlemenin bir parçası olarak, kimlik doğrulama verilerinin şu gibi kaynaklarda gösterilmediğinden emin olun:

  • Pods 'lerden yayılan Günlükler.
  • Özel durum işleme yordamları.
  • Dosya adları.
  • Önbellek.

Genel rehberlik olarak, tüccarların bu bilgileri depolamamamalıdır. Bir sorun olması halinde iş gerekçesini belgeleyin.

Gereksinim 3,3

Görüntülenen maske KAYDıRMA (ilk altı ve son dört basamak, görüntülenecek en fazla basamak sayısıdır), ancak yalnızca yasal bir iş ihtiyacı olan personel tam KAYDıRMA 'yı görebilirler.

Sizin Sorumluluklarınız

Birincil hesap numarası (PAN) hassas veriler olarak değerlendirilir ve bu verilerin açıklanmasının engellenilmesi gerekir. Bir yol, görünen basamakları maskeleme aracılığıyla azaltmaktır.

İş yükünde veri maskeleme gerçekleştirmeyin. Bunun yerine, veritabanı düzeyi yapıları kullanın. azure Synapse Analytics dahil olmak üzere azure SQL hizmet satırı, uygulama katmanında pozlandırmayı azaltan dinamik veri maskeleme 'yi destekler. Bu, maskelenmemiş verileri kimlerin görebileceğini ve maskelemeden ne kadar veri gösterileceğini tanımlayan ilke tabanlı bir güvenlik özelliğidir. Yerleşik kredi kartı maskeleme yöntemi, belirlenen alanların son dört basamağını gösterir ve bir kredi kartı biçiminde önek olarak bir sabit dize ekler.

Daha fazla bilgi için bkz. dinamik veri maskeleme.

Maskelenmeyen verileri kümenize getirmeniz gerekiyorsa, en kısa sürede maske yapın.

Gereksinim 3,4

Aşağıdaki yaklaşımlardan herhangi birini kullanarak her yerde (taşınabilir dijital medya, yedek medya ve günlükler dahil) işleme KAYDıRMA işlemi.

  • Güçlü şifrelemeyi temel alan tek yönlü karma (karma, tüm KAYDıRMA düzeyinde olmalıdır)
  • Kesme (Karıştırma işleminin kesilmiş segmentini değiştirmek için karma kullanılamaz)
  • Dizin belirteçleri ve bölmeleri (tablalar güvenli bir şekilde depolanmalıdır)
  • İlişkili anahtar yönetimi işlemleri ve yordamları ile güçlü şifreleme.

Sizin Sorumluluklarınız

Bu gereksinim için, iş yükünde doğrudan şifrelemeyi kullanmanız gerekebilir. PCI DSS rehberlik, sektörde test edilen algoritmaların gerçek zamanlı saldırılara maruz olmasını önerir. Özel şifreleme algoritmaları kullanmaktan kaçının.

Uygun veri maskeleme teknikleri de bu gereksinimi karşılar. Tüm birincil hesap numarası (PAN) verilerini maskelemeden sorumlu olursunuz. azure Synapse Analytics dahil olmak üzere azure SQL hizmet satırı, dinamik veri maskeleme 'yi destekler. Bkz. gereksinim 3,3.

KAYDıRMA işleminin, iş akışı işlemlerinizin bir parçası olarak gösterilmediğinden emin olun. Bazı konular aşağıda verilmiştir:

  • Günlüklerin, hem iş akışı günlüklerinin hem de (beklenen ya da beklenmeyen) özel durum işleme günlükleri üzerinde geçiş işlemlerini tutun. Ayrıca, HTTP üstbilgileri gibi tanılama veri akışları bu verileri göstermemelidir.

  • Önbellek arama anahtarı olarak veya bu işlem tarafından oluşturulan herhangi bir dosya adının parçası olarak PAN kullanmayın.

  • Müşterileriniz, istenmeden, ücretsiz form metin alanlarına KAYDıRMA sağlayabilir. Tüm serbest biçimli metin alanları için içerik doğrulama ve algılama işlemlerinin yapıldığından emin olun, bu da verileri KAYDıRMAK için gereken tüm içeriği boşaltır.

Gereksinim 3.4.1

Disk şifrelemesi kullanılıyorsa (dosya veya sütun düzeyi veritabanı şifrelemesi yerine), mantıksal erişimin ayrı ayrı ve yerel işletim sistemi kimlik doğrulaması ve erişim denetimi mekanizmalarından bağımsız olarak yönetilmesi gerekir (örneğin, yerel kullanıcı hesabı veritabanları veya genel ağ oturum açma kimlik bilgileri kullanılmamalıdır). Şifre çözme anahtarlarının Kullanıcı hesaplarıyla ilişkilendirilmemelidir.

Sizin Sorumluluklarınız

Genel bir kural olarak, durumu AKS kümesinde depolamamayın. Depolama motoru düzeyinde şifrelemeyi destekleyen bir dış veri depolama alanı kullanın.

Azure Depolama 'de depolanan tüm veriler, güçlü şifreleme kullanılarak şifrelenir ve şifresi çözülür. Microsoft, ilişkili anahtarları yönetir. Kendi kendine yönetilen şifreleme anahtarları tercih edilir. Depolama katmanının dışında her zaman şifreleyin ve yalnızca şifrelenmiş verileri depolama ortamına yazın ve anahtarların depolama katmanına hiçbir zaman bitişik olmamasını sağlar.

Azure Depolama ile otomatik olarak yönetilen anahtarlar da kullanabilirsiniz. ayrıntılar için bkz. Azure Depolama şifrelemesi için müşteri tarafından yönetilen anahtarlar.

Veritabanları için benzer yetenekler mevcuttur. azure SQL seçenekleri için bkz. azure SQL Saydam Veri Şifrelemesi müşteri tarafından yönetilen anahtar ile.

Anahtarlarınızı bir yönetilen anahtar deposunda (Azure Key Vault, Azure Key Vault yönetilen donanım güvenlik modülü (HSM) ve diğerleri) depoladığınızdan emin olun.

Verileri geçici olarak depolamanız gerekiyorsa, sanal makine düğümlerinde depolanan verilerin şifrelendiğinden emin olmak için AKS 'nin konak şifreleme özelliğini etkinleştirin.

Gereksinim 3,5

Saklı kart tutucusu verilerinin açığa çıkmasına ve kötüye kullanılmasına karşı güvenliğini sağlamak için kullanılan anahtarları korumanıza yönelik yordamları belgeleyin ve uygulayın:

Sizin Sorumluluklarınız

Bu noktaları alt bölümlerde açıklanmıştır:

  • Şifreleme anahtarları için en düşük ayrıcalıklı erişim uygulamasını koruyun.
  • Azure Key Vault ve Azure Active Directory, yetkilendirme ve denetim günlüğü gereksinimlerini destekleyecek şekilde tasarlanmıştır. Ayrıntılar için bkz. Azure Key Vault Için istek kimlik doğrulaması.
  • Şifreleme cihazında depolanan bir anahtar şifreleme anahtarıyla tüm veri şifreleme anahtarlarını koruyun.
  • Kendi kendine yönetilen anahtarlar (Microsoft tarafından yönetilen anahtarlar yerine) kullanıyorsanız, anahtar yönetimiyle ilgili görevleri sürdürmek için bir işlem ve belge kullanın.

Gereksinim 3.5.1

Yalnızca hizmet sağlayıcıları için ek gereksinim: aşağıdakiler dahil olmak üzere şifreleme mimarisine ilişkin belgelenmiş bir açıklama saklayın:

  • Anahtar gücü ve sona erme tarihi dahil, cardtutucusu verilerinin korunması için kullanılan tüm algoritmaların, protokollerin ve anahtarların ayrıntıları
  • Her anahtar için anahtar kullanımının açıklaması
  • Anahtar yönetimi için kullanılan tüm HSM 'Ler ve diğer SCN 'lerin envanterini çıkarın
Sizin Sorumluluklarınız

Hassas bilgileri depolamanın bir yolu (anahtarlar, bağlantı dizeleri ve diğerleri) yerel Kubernetes Secret kaynağını kullanmaktır. Bekleyen şifrelemeyi açıkça etkinleştirmeniz gerekir. Alternatif olarak, bunları Azure Key Vault gibi bir yönetilen depoda da saklayın. İki yaklaşımdan, yönetilen bir depolama hizmeti kullanmanızı öneririz. Önemli bir avantaj, anahtar döndürme gibi anahtar yönetimiyle ilgili görevlerde daha az yüke neden olur.

Varsayılan olarak Azure, tüm şifrelenmiş veriler için müşteri başına Microsoft tarafından yönetilen anahtarları kullanır. Ancak, bazı hizmetler şifreleme için otomatik olarak yönetilen anahtarları da destekler. Bekleyen şifreleme için kendi kendine yönetilen anahtarlar kullanıyorsanız, anahtar yönetim görevlerini işleyen bir işlem ve strateji için hesap oluşturduğunuzdan emin olun.

Belgeleriniz kapsamında, süre sonu, konum ve bakım planı ayrıntıları gibi anahtar yönetimiyle ilgili bilgileri ekleyin.

Gereksinim 3.5.2

Şifreleme anahtarlarına erişimi, gereken en az koruyucu sayısına göre kısıtlayın.

Sizin Sorumluluklarınız

Anahtarlara erişimi olan kişilerin sayısını en aza indirin. Herhangi bir grup tabanlı rol ataması kullanıyorsanız, erişimi olan rolleri gözden geçirmek için yinelenen bir denetim işlemi ayarlayın. Proje ekibi üyeleri değiştiğinde, artık ilgisi olmayan hesapların izinlerden kaldırılması gerekir. Yalnızca doğru kişilerin erişimi olmalıdır. Tam zamanında (JıT) rol atamalarına, zaman tabanlı rol etkinleştirmesine ve onay tabanlı rol etkinleştirmesine yönelik olarak oluşan izinleri kaldırmayı göz önünde bulundurun.

Gereksinim 3.5.3

Aşağıdaki formlardaki her zaman bir (veya daha fazla) kart sahibi verisini şifrelemek/şifrelerini çözmek için kullanılan gizli anahtar ve özel anahtarları depolayın:

  • Veri şifreleme anahtarı kadar en az güçlü olan ve veri şifreleme anahtarından ayrı olarak depolanan anahtar şifreleme anahtarıyla şifrelenir
  • Güvenli bir şifreleme aygıtı (örneğin, bir donanım (ana bilgisayar) güvenlik modülü (HSM) veya PTS-onaylanan etkileşim noktası cihazı) içinde
  • Endüstri kabul edilen bir yönteme uygun olarak en az iki tam uzunlukta anahtar bileşeni veya anahtar paylaşımı olarak
Sizin Sorumluluklarınız

Bir PCI DSS 3.2.1 iş yükünün, bekleyen veri koruma stratejisinin bir parçası olarak birden fazla şifreleme anahtarı kullanması gerekir. CHD 'yi şifrelemek ve şifresini çözmek için bir veri şifreleme anahtarı (DEK) kullanılır, ancak bu DEK ' yi korumak için ek bir anahtar şifreleme anahtarından (KEK) sorumlusunuz. Ayrıca, KEK 'in bir şifreleme cihazında depolanmasını sağlamaktan de sorumlusunuz.

KEK 'i depolamak için Azure Key Vault kullanabilir ve Azure adanmış HSM 'yi kullanabilirsiniz. HSM anahtar yönetimi hakkında daha fazla bilgi için bkz. Azure ayrılmış HSM nedir?.

Gereksinim 3,6

Aşağıdakiler de dahil olmak üzere, kart sahibi verilerin şifrelenmesi için kullanılan şifreleme anahtarlarına yönelik tüm anahtar yönetim işlemlerini ve yordamlarını tam olarak belgeleyin ve uygulayın:

Sizin Sorumluluklarınız

(Aşağıdakilere uygulanır: gereksinim 3.6.1, gereksinim 3.6.2, gereksinim 3.6.3, gereksinim 3.2.4)

Anahtarlar, sertifikalar ve bağlantı dizeleri gibi gizli dizileri depolamak için Azure Key Vault kullanıyorsanız, erişimi yetkisiz erişimden koruyun. Key Vault için Microsoft Defender, şüpheli erişim girişimlerini algılar ve uyarı oluşturur. Bu uyarıları, bulut için Microsoft Defender 'da görüntüleyebilirsiniz. Daha fazla bilgi için bkz. Microsoft Defender for Key Vault.

Anahtar yönetimi hakkında NIST kılavuzunu izleyin. Ayrıntılar için bkz.

Ayrıca bkz. Key Vault Için Microsoft Defender.

Gereksinim 3.6.7

Şifreleme anahtarlarının yetkisiz olarak değiştirme engellemesi.

Sizin Sorumluluklarınız
  • Tüm anahtar depolarında tanılamayı etkinleştirin . Key Vault için Azure Izleyicisini kullanın. Günlükleri ve ölçümleri toplar ve bunları Azure Izleyici 'ye gönderir. Daha fazla bilgi için bkz. Azure izleyici ile Key Vault için Anahtar Kasası hizmetinizi izleme.
  • Tüm tüketicilere salt okuma Izinleri verin .
  • Tüm yönetim hizmeti sorumluları için aynı izinlere sahip değilsiniz. Bunun yerine, tam zamanında (JıT) rol atamaları, zaman tabanlı rol etkinleştirme ve onay tabanlı rol etkinleştirme kullanın.
  • Günlükleri ve uyarıları, Microsoft Sentinel gibi güvenlik bilgileri ve olay yönetimi (SıEM) çözümleriyle tümleştirerek merkezi bir görünüm oluşturun .
  • Özellikle beklenmedik değişiklikler üzerinde uyarılar ve bildirimler üzerinde Işlem gerçekleştirin .

Gereksinim 3.6.8

Şifreleme anahtarı için gereksinim, anahtar koruyucu sorumluluklarını anlayan ve kabul ettikleri bir resmi olarak bildirim sağlar.

Sizin Sorumluluklarınız

Anahtar yönetimi işlemlerinden sorumlu olan tarafların muhasebeclarını açıklayan belgeleri sürdürün.

Gereksinim 3,7

Depolanan kart sahibi verilerini korumaya yönelik güvenlik ilkelerinin ve işlem yordamlarının, kullanımda ve etkilenen tüm taraflar tarafından bilindiğinden emin olun.

Sizin Sorumluluklarınız

Genel bir bildirim ve tüm kişiler için bir dizi güncel rol kılavuzlarıyla birlikte belge oluşturun. Yeni işe alım eğitimi ve devam eden eğitim gerçekleştirin.

Süreçler ve ilkeler hakkında kapsamlı belgeleri korumanız önemlidir. Çeşitli ekipler, verilerin REST ve iletim sırasında korunmasını sağlamak için katılın. Belgelerinize tüm kişiler için rol Kılavuzu sağlayın. Roller, SRE, müşteri desteği, satış, ağ işlemleri, güvenlik işlemleri, yazılım mühendisleri, veritabanı yöneticileri ve diğerleri içermelidir. Çalışanların, Beceri güncel tutulması için NıST kılavuzumuzu ve bekleyen veri stratejilerini eğitilmeli. Eğitim gereksinimleri 6,5 ve gereksinim 12,6' de karşılanır.

Gereksinim 4,1

Güçlü şifreleme ve güvenlik protokolleri (örneğin, TLS, ıPSEC, SSH vb.) kullanın. açık, ortak ağlar üzerinden iletim sırasında hassas kart sahibi verilerini korumak için aşağıdakiler de dahil olmak üzere:

Sizin Sorumluluklarınız

Genel internet üzerinden geçişli olan kart sahibi verileri (CHD) şifrelenmelidir. Veriler TLS 1,2 (veya üzeri) ile şifrelenmelidir ve tüm iletimler için daha az şifre desteği vardır. Tüm veri iletimi hizmetlerinde TLS olmayan-TLS yeniden yönlendirmelerini desteklemez.

Tasarımınızın bir TLS sonlandırma noktaları zinciri olması gerekir. Veriler ağ atlamalarını kullanarak ilerledikçe, paket incelemesi gerektiren atlamalar için TLS 'yi koruyun. En azından, kümenin giriş kaynağında son TLS sonlandırma noktasını vardır. Küme kaynakları dahilinde daha fazlasını yapmayı deneyin.

Veri şifrelemeyi gösteren diyagram.

Kaynak oluşturulmasını yönetmek için Azure Ilkesini kullanın:

  • HTTPS olmayan giriş kaynağı oluşturulmasını engelleyin.
  • Web trafiğinin ağ geçidiniz aracılığıyla tünel oluşturulmasını sağlamak için, kümenizde herhangi bir genel IP veya genel yük dengeleyicileri oluşturmayı reddedin.

Daha fazla bilgi için bkz. Azure şifrelemeye genel bakış.

Gereksinim 4.1.1

Kart sahibi verilerini ileten veya kart sahibi veri ortamına bağlı kablosuz ağların olduğundan emin olun, kimlik doğrulama ve iletim için güçlü şifreleme uygulamak üzere sektör en iyi uygulamalarını (örneğin, IEEE 802.11 ı) kullanın.

Sizin Sorumluluklarınız

Bu mimari ve uygulama, kablosuz bağlantılar üzerinden şirket içi veya kurumsal ağdan buluta işlemler yapmak için tasarlanmamıştır. Dikkat edilmesi için, resmi PCI-DSS 3.2.1 Standard 'daki kılavuza bakın.

Gereksinim 4,2

Son Kullanıcı mesajlaşma teknolojileri (örneğin, e-posta, anlık mesajlaşma, SMS, sohbet vb.) tarafından korumasız bölmeleri hiçbir şekilde göndermeyin.

Sizin Sorumluluklarınız

İş yükünüz e-posta gönderilmesini gerektiriyorsa, bir e-posta karantina kapısı oluşturmayı düşünün. Bu doğrulama, tüm giden iletileri uyumluluk açısından taraymanıza ve hassas verilerin dahil edilip edilmediğini denetlemeye olanak sağlayacak. İdeal olarak, müşteri destek iletileri için de bu yaklaşımı göz önünde bulundurmanız gerekir.

Doğrulama, iş yükü düzeyinde ve değişiklik denetimi işleminde yapılmalıdır. Onay kapıları gereksinimi anlamalıdır.

Dikkat edilmesi için, resmi PCI-DSS 3.2.1 Standard 'daki kılavuza bakın.

Gereksinim 4,3

Cardş verilerinin iletimini şifrelemek için güvenlik ilkelerinin ve işletimsel yordamların, kullanımda ve etkilenen tüm taraflar tarafından bilindiğinden emin olun.

Sizin Sorumluluklarınız

Süreçler ve ilkeler hakkında kapsamlı belgeleri korumanız önemlidir. Bu özellikle, Aktarım Katmanı Güvenliği (TLS) ile ilgili ilkeleri yönetirken doğrudur. Bazı bölgeler şunlardır:

  • Genel internet giriş noktaları. Azure Application Gateway TLS şifrelemeleri için bir örnektir.
  • Çevre ağı ve iş yükü pods arasındaki ağ atlamaları.
  • Pod-Pod şifrelemesi (uygulanmışsa). Bu, bir hizmet ağı yapılandırmasıyla ilgili ayrıntıları içerebilir.
  • Depolama için pod (mimarinin parçasıysa).
  • Dış hizmetlere Pod, TLS, bir ödeme ağ geçidi veya sahtekarlık algılama sistemi kullanan Azure PaaS hizmetleri.

Düzenlenen ortamları çalıştıran kişilerin güvenlik güvenlerini desteklemek için eğitimi, bilgilendirilmesi ve incentivized gerekir. Bu, özellikle bir ilke perspektifinden onay sürecinin parçası olan kişiler için önemlidir.

Sonraki

Tüm sistemleri kötü amaçlı yazılımlara karşı koruyun ve virüsten koruma yazılımlarını veya programlarını düzenli olarak güncelleştirin. Güvenli sistemler ve uygulamalar geliştirin ve saklayın.

Bir güvenlik açığı yönetim programını koruma