PCI DSS 3.2.1 için bir AKS düzenlenmiş kümenin güvenlik açıklarını algılama (Bölüm 5/9)

Kubernetes Hizmeti
Application Gateway
Azure Güvenlik Merkezi

Bu makalede, bir Azure Kubernetes hizmeti (AKS) kümesine yönelik olarak, ödeme kartı sektör verileri güvenlik standardı (PCI-DSS 3.2.1) doğrultusunda yapılandırılan noktalar açıklanmaktadır.

Bu makale, bir serinin bir parçasıdır. Tanıtımıokuyun.

Tüm bulut çözümleri gibi, bir PCI iş yükü ağ, kimlik ve veri tehditleri açısından tabidir. İş yüklerinden ve sistem güvenlik açıklarından faydalanan kaynakların yaygın örnekleri, istenmeyen sonuçlar üreten virüsler veya yazılım güncelleştirmeleridir. Tehditleri erken bir şekilde tespit edin ve risk azaltma ile zamanında yanıtlayın. İş yükü etkinlikleri için kritik uyarılar oluşturun ve bu uyarıları temel sistem işlemlerine genişletin. Virüsten koruma veya dosya bütünlüğü izleme (FIM) araçları her zaman çalışıyor olmalıdır . Bir muhasebeci tablo yanıt planına sahip ve araştırır ve eyleme geçen bir ekibiniz vardır.

Önemli

Rehberlik ve ilgili uygulama, aks temel mimarisiüzerinde oluşturulur. Bu mimari, hub ve bağlı bileşen topolojisini temel alır. Hub sanal ağı, çıkış trafiğini denetlemek için güvenlik duvarını, şirket içi ağlardan gelen ağ geçidi trafiğini ve bakım için üçüncü bir ağı içerir. Bağlı bileşen sanal ağı, cardş veri ortamı (CDE) sağlayan AKS kümesini içerir ve PCI DSS iş yükünü barındırır.

GitHub logoGitHub: düzenlenen iş yükleri için Azure kubernetes hizmeti (aks) temel kümesi , düzenlenen bir altyapıyı gösterir. Uygulama, mimarinin mimari ve geliştirme yaşam döngüsünün çeşitli aşamalarında güvenlik araçları kurulumunu gösterir. Bu, kendi küme içi güvenlik aracılarını ve Azure tarafından sunulan güvenlik araçları 'nı bulut için Microsoft Defender gibi örnekler içerir.

Bir güvenlik açığı yönetim programını koruma

Gereksinim 5— tüm sistemleri kötü amaçlı yazılımlara karşı koruyun ve virüsten koruma yazılımlarını veya programlarını düzenli olarak güncelleştirin

AKS özelliği desteği

AKS geleneksel bir uygulama konağı gibi davranmaz. Bir AKS kümesindeki düğüm VM 'lerinin sınırlı pozlaması vardır ve doğrudan erişilecek şekilde tasarlanmamıştır. Düğüm VM 'Leri geleneksel VM 'lere karşılık olmadığından, ortak VM araçlarını kullanamazsınız. Bu nedenle, bu bölümdeki öneriler yerel Kubernetes yapıları aracılığıyla uygulanır. Bu gereksinimlerin doğrudan VM düzeyinde uygulanması, kümenizin destek dışı olmasına neden olabilir.

DaemonSets ' de tercih ettiğiniz kötü amaçlı yazılımdan koruma yazılımını, her düğümde bir pod içinde çalışacak şekilde dağıtmanız gerekir.

Sizin Sorumluluklarınız

Yazılımın Kubernetes ve kapsayıcılar içinde özelleştirilmiş olduğundan emin olun. Birkaç üçüncü taraf yazılım seçeneği vardır. Popüler seçimler, Prma bulutu ve Aquasn içerir. Ayrıca, Falco gibi açık kaynak seçenekleri de vardır. Üçüncü taraf yazılımın güncel olduğundan emin olmak için işlemlerin yerinde olduğundan emin olmak sizin sorumluluğunuzdadır. Ayrıca, çözümlerden çözüm izlemek ve uyarı vermek sizin sorumluluğunuzdadır.

Gereksinim Ğuna
Gereksinim 5,1 Kötü amaçlı yazılımdan etkilenen tüm sistemlere (özellikle kişisel bilgisayarlar ve sunucular) virüsten koruma yazılımı dağıtın.
Gereksinim 5,2 Tüm virüsten koruma mekanizmalarının şu şekilde korunduğundan emin olun:
Gereksinim 5,3 Virüsten koruma mekanizmalarının etkin bir şekilde çalışır durumda olduğundan ve sınırlı bir süre için büyük/küçük harfe göre özel olarak yetkilendirilmediği takdirde kullanıcılar tarafından devre dışı bırakılamaz veya değiştirilemez.
Gereksinim 5,4 Sistemleri kötü amaçlı yazılımlara karşı korumaya yönelik güvenlik ilkelerinin ve işlem yordamlarının, kullanımda ve etkilenen tüm taraflar tarafından bilindiğinden emin olun.

Gereksinim 6— güvenli sistemler ve uygulamalar geliştirin ve bakımını yapın

AKS özelliği desteği

Diğer Azure hizmetleri gibi, AKS, geliştirme sürecinin aşamaları boyunca güvenlik için Microsoft SDL (güvenlik geliştirme yaşam döngüsü) işlemlerini izler. Çeşitli bileşenler, geliştirme aşamalarını erken aşamalarından itibaren taranır ve güvenlik boşlukları mümkün olduğunca erken ele alınmıştır.

AKS görüntüleri, görüntülerde 30 gün içinde düzeltme eki uygulanmasını gerektiren bir Fedrampa SLA yaklaşımını izler. Bunu zorlamak için, tüm görüntüler bir DevSecOps ardışık düzeninde yok edilir.

Haftalık, AKS düğüm havuzları için yeni görüntüler sağlar. Sanal Makine Ölçek Kümeleri çalışan düğümlerinin düzeltme ekini ve güncelleştirilmesini sağlamak için bunları uygulamak sizin sorumluluğunuzdadır. Daha fazla bilgi için bkz. Azure Kubernetes Service (AKS) node Image Upgrade.

Aks denetim düzlemi için, AKS güvenlik düzeltme eklerini yükler veya yükseltir. Her 24 saatte bir güncelleştirilir.

AKS denetim düzlemi ve çalışan düğümleri Internet güvenliği (CIS) için merkezi 'Ne karşı sağlamlaştırılmış. özellikle aks cıs, ubuntu cıs ve Windows cıs

AKS 'ler Azure Container Registry (ACR) ile tümleşiktir. Çeşitli risk düzeylerinde güvenlik açığı bulunan görüntüleri ve uygulamaları belirlemek için bulut için Microsoft Defender 'daki sürekli tarama özellikleriyle ACR 'yi kullanın. Görüntü taraması ve risk denetimi hakkında bilgi için bkz. Cloud Için Defender 'Da kapsayıcı güvenliği.

Sizin Sorumluluklarınız

Gereksinim Ğuna
Gereksinim 6,1 Güvenlik güvenlik açığı bilgileri için kaynakların yoğun olduğunu kullanarak güvenlik açıklarını belirlemek için bir işlem oluşturun ve yeni keşfedilen güvenlik açıklarına bir risk derecelendirmesi (örneğin, "yüksek," "Orta" veya "düşük" olarak) atayın.
Gereksinim 6,2 Satıcının sağladığı ilgili güvenlik düzeltme eklerini yükleyerek tüm sistem bileşenlerinin ve yazılımlarının bilinen güvenlik açıklarına karşı korunduğundan emin olun. Sürüm için kritik güvenlik düzeltme eklerini bir ay içinde yükler.
Gereksinim 6,3 İç ve dış yazılım uygulamaları (uygulamalara Web tabanlı yönetim erişimi dahil) güvenli bir şekilde geliştirin.
Gereksinim 6,4 Sistem bileşenlerinde yapılan tüm değişikliklere yönelik değişiklik denetim işlemlerini ve yordamlarını izleyin.
Gereksinim 6,5 Yazılım geliştirme işlemlerinde yaygın kodlama açıklarına yönelik güvenlik açıklarını çözün.
Gereksinim 6,6 Herkese açık Web uygulamaları için, yeni tehditler ve güvenlik açıklarını sürekli olarak ele alır ve bu uygulamaların bilinen saldırılara karşı korunduğundan emin olun.
Gereksinim 6,7 Güvenli sistemleri ve uygulamaları geliştirmeye ve korumaya yönelik güvenlik ilkelerinin ve işletimsel yordamların, kullanımda ve tüm etkilenen taraflar tarafından bilindiğinden emin olun.

Gereksinim 5,1

Kötü amaçlı yazılımdan etkilenen tüm sistemlere (özellikle kişisel bilgisayarlar ve sunucular) virüsten koruma yazılımı dağıtın.

Sizin Sorumluluklarınız

Uygun bir kötü amaçlı yazılımdan koruma yazılımı seçerek iş yükünü, altyapıyı ve dağıtım işlem hatlarını korumak sizin sorumluluğunuzdadır.

AKS düğüm VM 'lerine erişim kısıtlı olduğundan, sistemi, düğüm VM 'lerine kötü amaçlı yazılım ekleyebilecek katmanlarda koruyun. Bu, Kubernetes API sunucusuyla küme düğümlerinde, kapsayıcı görüntülerinde ve çalışma zamanı etkileşimlerinde algılama ve önleme işlemlerini içerir. Kümeye ek olarak, kümeyle etkileşime geçen bu bileşenleri koruyun ve bir virüsten koruma yazılımının geleneksel bir şekilde yüklenmesini sağlayabilirsiniz:

  • Atma kutuları
  • Yapı aracıları

Tarama etkinliklerinizi güvenlik geliştirme yaşam döngüsü (SDL) ile hizalayın. Bu, mimarinin çeşitli bileşenlerinin taranması, geliştirme aşamalarını erken aşamalarında başlar ve güvenlik boşlukları mümkün olduğunca erken ele alınmıştır.

Gereksinim 5.1.1

Virüsten koruma programlarının tüm bilinen kötü amaçlı yazılım türlerine göre tespit, kaldırma ve koruma yeteneğine sahip olduğundan emin olun.

Sizin Sorumluluklarınız

Her yazılım sunumunun özellik kümesi ve yapasunmakta olduğu tarama derinliği hakkında bilgi edinin. Yazılımın ortak tehditleri engellemesi ve yeni tehditleri izlemesi gerekir. Yazılımın düzenli olarak güncelleştirildiğinden, test edilmiş ve uygun olmayan bir şekilde bulunduğundan emin olun. Saygın satıcılar tarafından geliştirilen yazılımları göz önünde bulundurun.

  • Küme güvenlik açıklarını algılayan izleme araçları.

    AKS 'de, geleneksel aracı tabanlı VM çözümlerini doğrudan düğüm VM 'lerinde çalıştıramazsınız. DaemonSets ' de, her düğümde Pod 'ta çalışacak kötü amaçlı yazılımdan koruma yazılımı dağıtmanız gerekir.

    Kubernetes ve kapsayıcılarda özelleştirilmiş yazılımları seçin. Birkaç üçüncü taraf yazılım seçeneği vardır. Popüler seçenekler Arasında Prisma Cloud ve Aquasec yer almaktadır. Ayrıca, Falco gibi açık kaynak seçenekleri de vardır.

    Dağıtıldığında, kümede tüm kullanıcı ve sistem düğümü havuzlarını tarayın aracılar olarak çalıştırıldılar. AKS, çalışma zamanı sistem ikilileri için sistem düğümü havuzlarını kullanıyor olsa da, temel alınan işlem yine de sizin sorumluluğundadır.

    Aracıyı çalıştırmanın amacı, olağan dışı küme etkinliklerini algılamaktır. Örneğin, bir uygulama API sunucusunu çağırmaya mı çalışıyor? Bazı çözümler podlar arasında API çağrılarının günlüğünü oluşturur, raporlar oluşturur ve uyarılar oluşturur. Bu günlükleri gözden geçirmeyi ve gerekli eylemleri gerçekleştirin.

    Küme önyüklemesi sonrasında güvenlik aracılarını hemen yükleyin. Bu, küme ile AKS kaynak dağıtımı arasındaki takip edilemez boşlukları en aza indirecek.

    Güvenlik aracıları yüksek ayrıcalıklarla çalışır. Bu, yalnızca iş yükünü değil, kümede çalışan her şeyi tararlar. Veri sızma kaynağı haline dönüşmamalıdır. Ayrıca, tedarik zinciri saldırıları kapsayıcılar için yaygındır. Derinlemesine savunma stratejilerini kullanın ve yazılımın ve tüm bağımlılıkların güvenilir olduğundan emin olun.

    Ayrıca küme işlemlerine katılan dış varlıklarda virüsten koruma yazılımı çalıştırın. Bazı örnekler arasında atlama kutuları, derleme aracıları ve kümeyle etkileşime geçen kapsayıcı görüntüleri yer almaktadır.

    Taramada aracı, dosyaları kilitleme gibi kümenin kritik işlemlerini engellememeli veya engellememeli. Bu durum kararlılık sorunlarına neden olabilir ve kümenizi destek dışında kılabilir.

    Önemli

    Başvuru uygulaması, kötü amaçlı yazılımdan DaemonSet koruma aracısı çalıştırmak için bir yer tutucu dağıtımı sağlar. Aracı, kümedeki her düğüm vm'sinde çalışır. Bu dağıtımda kötü amaçlı yazılımdan koruma yazılımı seçiminizi yapın.

  • Kapsayıcı güvenliğini koruma. Kapsayıcı görüntülerden gelen tehditleri algılamak için işlem hattında kapsayıcı tarama araçlarını çalıştırın. Üçüncü taraf seçenekleri Trivy ve Gli'leri içerir. Görüntü hazırlarken her zaman distroless görüntüler için çabalayın. Bu görüntüler yalnızca temel Linux görüntüsünde temel ikili dosyaları içerir ve saldırılar için yüzey alanı azaltır. Görüntü depolarını sürekli taramak için kapsayıcı kayıt defterindeki (ve kapsayıcı kayıt defterleri için Microsoft Defender) tarama çözümlerini kullanın.

Gereksinim 5.1.2

Kötü amaçlı yazılımdan yaygın olarak etkilenmediği düşünülen sistemler için, bu tür sistemlerin virüsten koruma yazılımı gerektirmeye devam edip e-postaya gerek olmadığını onaylamak üzere gelişen kötü amaçlı yazılım tehditlerini belirlemek ve değerlendirmek için düzenli değerlendirmeler gerçekleştirin.

Sizin Sorumluluklarınız

Yaygın güvenlik açıkları küme dışındaki bileşenleri etkileyebilir. Azure platformundan CVE'leri ve diğer güvenlik uyarılarını izleyerek güvenlik açıklarını takip edin. Azure'da barındırılan hizmetlerde güvenlik açıklarını algılayan ve virüsten koruma çözümleri çalıştıran yeni özellikler için Azure güncelleştirmelerini kontrol edin.

Örneğin, blob depolamanın şüpheli karşıya yüklemeleri algılamak için kötü amaçlı yazılım saygınlığı taramasına sahip olması gerekir. Azure Depolama için Tehdit Koruması yeni bir özellik, kötüamaçlı yazılım itibarını filtrelemeyi içerir. Ayrıca, bu tür bir hizmet için virüsten koruma çözümünün gerekli olup olmadığını da göz önünde bulundurabilirsiniz. Popüler seçeneklerden biri, Depolama için Symantec Cloud Workload Protection'dır.

Gereksinim 5.2

Tüm virüsten koruma mekanizmalarının aşağıdaki gibi koruna olduğundan emin olmak:

  • Güncel tutulur,
  • Düzenli aralıklarla taramalar gerçekleştirme
  • Gereksinim 10.7'ye PCI DSS denetim günlükleri oluşturma.

Sizin Sorumluluklarınız

  • Virüsten koruma yazılımının en son sürümünü kullanarak kümenin yeni saldırılara karşı korun olduğundan emin olun. Dikkate alınarak iki tür güncelleştirme vardır:
    • Virüsten koruma yazılımının en son özellik güncelleştirmelerini koruması gerekir. Bunun bir yolu, platform güncelleştirmelerinin bir parçası olarak güncelleştirmeleri zamanlamasıdır.
    • En son tehditleri algılamak ve belirlemek için güvenlik bilgileri güncelleştirmelerinin kullanılabilir olduğu anda uygulanması gerekir. Otomatik güncelleştirmeleri kabul edin.
  • Güvenlik açığı taramalarının zamanlandığı gibi çalıştırılı olduğunu doğrulama.
  • Sağlıklı ve iyi olmayan bileşenleri gösteren tarama sonucunda oluşturulan günlükleri korur. Önerilen saklama süresi, bir yıl olan Gereksinim 10.7'de verilir.
  • Algılanan sorunları öncelene ve düzelten bir işlem var.

Microsoft Defender virüsten koruma güncelleştirmelerinin nasıl uygulandığı hakkında bilgi için bkz. Microsoft Defender virüsten koruma güncelleştirmelerini yönetme ve temelleri uygulama.

Gereksinim 5.3

Sınırlı bir süre için yönetim tarafından olay temelinde özel olarak yetkilendirildiği sürece, virüsten koruma mekanizmalarının etkin bir şekilde çalıştırıldıklarının ve kullanıcılar tarafından devre dışı bırakılamaya ya da değiştirilenemlerini sağlayamın.

Sizin Sorumluluklarınız

Güvenlik aracılarının izleme ve uyarılarını ayarlama sizin sorumluluğundadır. Yalnızca iş yükü için değil aynı zamanda temel sistem işlemleri için de kritik uyarılar oluşturma. Aracı her zaman çalışıyor olması gerekir. Kötü amaçlı yazılımdan koruma yazılımı tarafından tetik edilen uyarılara yanıt verin.

  • Tarama etkinliklerinin günlük günlüğünü tutma. Tarama işleminin diskten veya bellekten kazınan kart sahibi verilerini günlüğe kaydedin.
  • Uyumlulukta beklenmedik bir zaman atlamalarına neden olacak etkinlikler için uyarılar ayarlayın. Uyarılar yanlışlıkla kapatılamamalı.
  • Aracının (ve diğer kritik güvenlik araçlarının) dağıtımını değiştirmek için izinleri kısıtla. Bu izinleri iş yükü dağıtım izinlerinden ayrı tutma.
  • Güvenlik aracıları beklendiği gibi çalışmıyorsa iş yüklerini dağıtın.

Gereksinim 5.4

Sistemleri kötü amaçlı yazılımlara karşı korumaya yönelik güvenlik ilkelerinin ve operasyonel yordamların belgelenmiş, kullanımda ve etkilenen tüm taraflar tarafından bilindiği

Sizin Sorumluluklarınız

Süreç ve ilkeler hakkında ayrıntılı belgeler, özellikle de sistemi korumak için kullanılan virüsten koruma çözümüyle ilgili ayrıntıları korumanız kritik öneme sahiptir. Ürün döngüsünde güvenlik bilgileri güncelleştirmelerinin nerede tutul olduğu, taramaların sıklığı ve gerçek zamanlı tarama özellikleri hakkında bilgiler gibi bilgileri dahil edin.

Günlükleri depolamak için saklama ilkelerine sahip olun. Uyumluluk amacıyla uzun vadeli depolamaya sahip olmak istiyor olabilirsiniz.

Sorunları önceldirme ve düzeltmeye ilişkin standart işletim yordamları ile ilgili belgeleri sürdürün. Denetime tabi ortamların çalıştırılan kişilerin güvenlik güvencelerini desteklemek için eğitilmiş, bilgilendirilmiş ve eğitilmiş olması gerekir. Bu, ilke açısından onay sürecinin parçası olan kişiler için özellikle önemlidir.

Gereksinim 6.1

Güvenlik açığı bilgileri için güvenilir dış kaynakları kullanarak güvenlik açıklarını belirlemeye yönelik bir süreç belirleme ve yeni bulunan güvenlik açıklarına bir risk derecelendirmesi ("yüksek," "orta" veya "düşük" gibi) atama.

Sizin Sorumluluklarınız

Algılanan güvenlik açıklarını kontrol edin ve uygun şekilde dereceye giren işlemlere sahip olun. Bulut için Microsoft Defender, kaynak türüne ve önem derecesine ve ortamına göre öneriler ve uyarılar gösterir. Çoğu uyarıda, son zinciri amacını anlamanıza yardımcı ® MITRE ATT CK ve taktikleri vardır. Sorunu araştırmak ve azaltmak için bir düzeltme planınız olduğundan emin olun.

AKS'de, çeşitli risk Azure Container Registry savunmasız görüntüleri ve uygulamaları tanımlamak için sürekli tarama ile birlikte güvenlik açıklarını kullanabilirsiniz. Sonuçları Bulut için Microsoft Defender'da görüntüabilirsiniz.

Daha fazla bilgi için bkz. Container Registry.

Gereksinim 6.2

Satıcı tarafından sağlanan geçerli güvenlik düzeltme eklerini yükleyerek tüm sistem bileşenlerinin ve yazılımların bilinen güvenlik açıklarına karşı korun olduğundan emin olun. Kritik güvenlik düzeltme eklerini yayından bir ay içinde yükleyin.

Sizin Sorumluluklarınız

  • Üçüncü taraf satıcıların tedarik zinciri saldırılarını önlemek için tüm bağımlılıkların güvenilir olduğundan emin olun. Güvenilir ve güvenilir bir satıcı seçmeniz önemlidir.

  • Haftalık olarak AKS, düğüm havuzları için yeni görüntüler sağlar. Bu görüntüler otomatik olarak uygulanmaz. Bunları, kullanılabilir oldukları anda uygulayın. Node Image Update aracılığıyla el ile veya otomatik olarak güncelleştirebilirsiniz. Daha fazla bilgi için bkz. Azure Kubernetes Service (AKS) düğümü görüntü yükseltme

    Aks denetim düzlemi için, AKS güvenlik düzeltme eklerini yükler veya yükseltir.

  • AKS düğümleri her 24 saatte bir işletim sistemi ve güvenlik düzeltme eklerini tek tek otomatik olarak indirip yükler. Bu güncelleştirmeleri almak istiyorsanız güvenlik duvarınız bu trafiği engellememelidir.

    Uygulanan güncelleştirmeler hakkında bilgi almak için güvenlik aracısında raporlama yeteneklerini etkinleştirmeyi düşünün. Bazı güvenlik güncelleştirmeleri için yeniden başlatma gerekir. Uyarıları gözden geçirdiğinizden emin olun ve bu yeniden başlatmalarla minimum veya sıfır uygulama kapalı kalma süresini sağlamak için işlem yapın. Denetimli bir şekilde yeniden başlatmalar gerçekleştirmeye yönelik açık kaynaklı bir seçenek Kured 'dir (Kubernetes yeniden başlatma cini).

  • Düzeltme kutuları ve derleme aracıları gibi sağladığınız küme dışındaki kaynaklara düzeltme eki uygulama işlemini genişletin.

  • Desteklenen AKS sürümleriyle güncel kalın. Tasarımınız yaşam sonuna ulaşan bir sürüm kullanıyorsa, güncel sürüme yükseltin. Daha fazla bilgi için bkz. desteklenen AKS sürümleri.

Gereksinim 6,3

Aşağıdaki şekilde, iç ve dış yazılım uygulamalarını (uygulamalara Web tabanlı yönetim erişimi dahil) güvenli bir şekilde geliştirin:

  • PCI DSS uygun olarak (örneğin, güvenli kimlik doğrulama ve günlüğe kaydetme)
  • Endüstri standartlarına ve/veya en iyi yöntemlere göre.
  • Yazılım geliştirme yaşam döngüsü boyunca bilgi güvenliği ekleme: Bu, dahili olarak geliştirilen ve üçüncü bir şahıs tarafından geliştirilen Bessel veya özel yazılım için geçerli olan tüm yazılımlar için geçerlidir.

Sizin Sorumluluklarınız

İş yükü yaşam döngüsünün ve işlemlerinin bir parçası olarak güvenlik seçimlerini tümleştirin ve önceliklendirin.

Çeşitli sektör çerçeveleri, NIST çerçevesi gibi yaşam döngüsüyle eşlenir. NıST işlevleri — tanımla, koru, Algıla, Yanıtla ve kurtar — her aşamada önleyici denetimler için stratejiler sağlar.

Microsoft SDL (güvenlik geliştirme yaşam döngüsü), geliştirme sürecinin aşamaları boyunca en iyi uygulamalar, Araçlar ve güvenlik süreçleri sağlar. Microsoft SDL uygulamaları, AKS dahil olmak üzere tüm Azure hizmetleri için izlenir. Ayrıca, işletim bulut hizmetleri için Işlemsel güvenlik güvencesi (OSA) çerçevesini de izliyoruz. Benzer bir işleme sahip olduğunuzdan emin olun. Uygulamalarınızı güvenli hale getirmenize yardımcı olmak için bu uygulamalar yayımlanır.

Gereksinim 6.3.1

Uygulamalar etkin hale gelmeden veya müşterilere yayınlanmadan önce geliştirme, test ve/veya özel uygulama hesaplarını, Kullanıcı kimliklerini ve parolaları kaldırın.

Sizin Sorumluluklarınız

Küme oluşturmanın bir parçası olarak, varsayılan olarak birden çok yerel Kubernetes kullanıcısı oluşturulur. Bu kullanıcılar benzersiz bir kimliği temsil etmediği için denetlenemez. Bunlardan bazılarının yüksek ayrıcalıkları vardır. AKS 'in yerel hesapları devre dışı bırak özelliğini kullanarak bu kullanıcıları devre dışı bırakın.

Diğer konular için, resmi PCI-DSS 3.2.1 Standard 'daki kılavuza bakın.

Gereksinim 6.3.2

Olası kodlama güvenlik açıklarını (el ile veya Otomatik süreçler kullanarak) en azından aşağıdakileri içerecek şekilde belirlemek için üretime veya müşterilere yayından önce özel kodu gözden geçirin:

  • Kod değişiklikleri, kaynak kodu yazarı dışındaki kişiler tarafından ve kod inceleme teknikleri ve güvenli kodlama uygulamaları hakkında bilgi sahibi olan kişiler tarafından incelenir.
  • Kod İncelemeleri kodun güvenli kodlama yönergelerine göre geliştirildiğini sağlar
  • Sürümden önce uygun düzeltmeler uygulanır.
  • Kod inceleme sonuçları, yayından önce yönetim tarafından incelenir ve onaylanır.
Sizin Sorumluluklarınız

Kümede yüklü olan tüm yazılımlar, kapsayıcı Kayıt defterinizden kaynaklıdır. Uygulama koduna benzer şekilde, Azure ve üçüncü taraf görüntülerini Scrutinize (DockerFile ve OCı) gibi süreçler ve kişiler de vardır. Ayrıca:

  • Küme oluşturulduğunda ilk aşamaların kapsayıcı görüntülerini taramaya başlayın. Tarama sürecini sürekli tümleştirme/sürekli dağıtım işlem hatlarınızın bir parçası haline getirin.

    Dağıtım işlem hatlarınızın hem küme önyükleme görüntülerinin hem de iş yükünüzün bir inceleme ve/veya karantina kapısı aracılığıyla geçtiğinden emin olun. Kümeye çekilmadan önce nasıl ve hangi işlemlerin kullanıldıklarından oluşan geçmişi saklayın.

  • Resim boyutunu küçültün. Genellikle, resimler gerekenden daha fazla ikili dosya içerir. Görüntü boyutunun azaltılması yalnızca performans avantajlarına sahip olmakla kalmaz saldırı yüzeyini de sınırlar. Örneğin, distroless kullanılması temel Linux görüntülerini en aza indirir.

  • Dockerfile ve bildirimlerinin bütünlüğünü doğrulayan statik analiz araçları kullanın. Üçüncü taraf seçenekleri Dockalıbı ve Trivy içerir.

  • Yalnızca imzalı görüntüleri kullanın.

  • Azure tarafından sunulan temel görüntüyü ve CIS kıyaslamalarıyla uyumlu olduğunu anlayın (ve kabul edin). Daha fazla bilgi için bkz. Internet güvenliği (CIS) Için Merkez kıyaslamalar.

Bulut için Microsoft Defender 'daki sürekli taramayla Azure Container Registry, güvenlik açığı bulunan görüntüleri ve iş yükünde ortaya çıkaran çeşitli riskleri belirlemenize yardımcı olur. Görüntü taraması ve risk denetimi hakkında daha fazla bilgi için bkz. kapsayıcı güvenliği.

Gereksinim 6,4

Sistem bileşenlerinde yapılan tüm değişikliklere yönelik değişiklik denetim işlemlerini ve yordamlarını izleyin. Süreçler şunları içermelidir:

Sizin Sorumluluklarınız

Değişiklik denetim süreçlerini belgelediğinizden ve dağıtım işlem hatlarını bu işlemlere göre tasarlayadığınızdan emin olun. İşlemlerin ve gerçek işlem hatlarının hizalanmadığı durumları tespit etmek için ek süreçler vardır.

Gereksinim 6.4.1, 6.4.2

  • Geliştirme ve test ortamlarını üretim ortamlarından ayırın ve erişim denetimleriyle ayırmayı zorunlu tutun.
  • Geliştirme/test ve üretim ortamları arasında görev ayrımı.
Sizin Sorumluluklarınız

Ayrı üretim ve üretim öncesi ortamları ve bu ortamlarda çalışan rolleri koruyun.

  • Üretim kümenizi geliştirme/test amacıyla kullanmayın. Örneğin, üretim kümelerinizde "Kubernetes 'e köprü oluşturma" seçeneğini yüklemeyin. Üretim dışı iş yükleri için adanmış kümeler kullanın.

  • Üretim ortamlarınızın üretim öncesi ortamlara ağ erişimine izin vermediğinden ve tam tersi olduğundan emin olun.

  • Ön üretim ve üretim ortamlarında sistem kimliklerini yeniden kullanmayın.

    Küme yöneticileri veya işlem hattı sorumluları gibi gruplar için Azure AD gruplarını kullanın. Genelleştirilmiş veya ortak grupları erişim denetimleri olarak kullanmayın. Ön üretim ve üretim kümeleri arasında bu grupları yeniden kullanmayın. Bunlardan biri, üyelik üzerinde açık olması için Grup adında küme adını (veya diğer donuk tanımlayıcıyı) kullanmaktır.

    Ortamlar arasında uygun olan Azure rol tabanlı erişim denetimi (RBAC) rollerini kullanın. Genellikle, daha fazla rol ve haklara üretim öncesi ortamlar atanır.

    Yalnızca üretim öncesi (işlem hatlarına veya yazılım mühendisliği ekiplerine verilen) kimlikler üretime erişim verilmemelidir. Buna karşılık, yalnızca üretime yönelik kimliklere (işlem hatları gibi) ön üretim kümelerinde erişim verilmemelidir.

    Ön üretim ve üretimde herhangi bir kaynak için Kullanıcı tarafından yönetilen aynı kimliği kullanmayın. Bu öneri, yalnızca kümenizde dağıtılan kaynağı değil, Kullanıcı tarafından yönetilen kimliği destekleyen tüm kaynaklar için geçerlidir. Bir kural olarak, kimlik gerektiren Azure kaynakları, diğer kaynaklarla paylaşmak yerine kendi farklı kimliklerine sahip olmalıdır.

  • Mümkünse ön üretim kümeleri de dahil olmak üzere yüksek ayrıcalıklı erişim için tam zamanında (JıT) erişimi kullanın. Ön üretim ve üretim kümelerinde koşullu erişim ilkelerini kullanın.

Gereksinim 6.4.3

Üretim verileri (canlı Panler) test veya geliştirme için kullanılmaz.

Sizin Sorumluluklarınız

CHD verilerinin geliştirme/test ortamına Flow olduğundan emin olun. Verileri üretimden geliştirme/test 'e taşımaya yönelik prosedürü sağlayan açık belgeleri vardır. Gerçek verilerin kaldırılması bu yordama eklenmelidir ve muhasebeci taraflarca onaylanmış olmalıdır.

Gereksinim 6.4.4

Sistem etkin hale geldikten/üretime geçmeden önce sistem bileşenlerinden test verilerinin ve hesaplarının kaldırılması.

Sizin Sorumluluklarınız

Üretime dağıtım yapmadan önce sistemdeki varsayılan yapılandırma verilerini, örnek verileri ve iyi bilinen test verilerini kaldırın. Test amaçları için cardtutucusu verilerini kullanmayın.

Gereksinim 6.4.5

Güvenlik düzeltme eklerinin ve yazılım değişikliklerinin uygulanması için denetim yordamlarını değiştirmek aşağıdakileri içermelidir:

  • etki 6.4.5.1.
  • 6.4.5.2 yetkili taraflar tarafından belgelenen değişiklik onayı.
  • değişikliğin sistemin güvenliğini olumsuz yönde etkilemediğinden emin olmak için 6.4.5.3 işlevselliği testi.
  • 6.4.5.4 geri alma yordamları.
Sizin Sorumluluklarınız

Bu kılavuz noktaları, önceki gereksinimlere eşlenir:

  • Güvenlik düzeltme eklerinin ve yazılım değişikliklerinin sonucu olarak beklenen altyapı değişikliklerini belgeleyin. Bu işlem, kod altyapısı (IAC) yaklaşımıyla daha kolay. Örneğin, dağıtım için bir Azure Resource Manager şablonu (ARM şablonu) ile, değişikliklerin bir işlem işlemi ile önizlemesini yapabilirsiniz. Daha fazla bilgi için bkz. ARM şablon dağıtımı , altyapınız için ne yapılır işlemi değişirse.

  • Düzenli dağıtımlar için değişiklik onayını doğrulayan dağıtım işlem hatlarınızdaki kapıları uygulayın. Geçitlerin atlanacağı acil durum dağıtımları için gerekçe belgeleyin.

    Değişikliklerin düzeylerini ve derinliğini tanımlayın. Takımın küçük değişikliklere karşılık olarak önemli değişiklikler tanımını kabul ettiğinden emin olun. Pratik ise, bazı değişiklikleri bulmayı otomatikleştirin. İş yükü, altyapı ve işlem hattının gözden geçirenler, düzeylerin net bir şekilde anlaşılmasına ve bu ölçütlere göre doğrulanmalıdır.

  • Güvenlik için uygun olan engelleri test edin. Yapay işlemlerin güvenlik (hem izin verme hem de reddetme) ile ilgili olduğundan emin olun. Ayrıca, bu yapay testlerin üretim öncesi ortamlarda çalıştığından emin olun.

  • Bir güvenlik düzeltmesinin beklenmedik sonuçlara neden olması durumunda bir geri alma işlemi yapın. Yaygın bir strateji, mavi yeşil dağıtımlar kullanarak önceki bir durumu dağıtmaktır. Veritabanları dahil iş yükleri için, belirli topolojiniz için uygun bir stratejiye sahiptir ve dağıtım birimleriniz kapsamlandırılır.

Gereksinim 6,5

Yazılım geliştirme işlemlerinde yaygın kodlama güvenlik açıklarını aşağıdaki şekilde ele edin:

  • Yaygın kodlama güvenlik açıklarının nasıl önleneceğini de içeren geliştiricilere en az yıllık güvenli kodlama teknikleri ile en az bir yıllık eğitme.
  • Güvenli kodlama yönergelerine göre uygulamalar geliştirin.

Sizin Sorumluluklarınız

Kart sahibi verilerini koruyan ve çok kiracılı bir platformda segmentleme gerçekleştiren altyapıyı kullanmanızı öneririz. Teknoloji seçenekleri arasında özel AKS kümesi, Azure adanmış ana bilgisayar bulunur. Her durumda, kart sahibi verilerini açık bir şekilde gerçekleştirirken, burada, CDE içindeki gizli kapsayıcıların kullanımını önemle öneririz. Bu, gizliliği ve yalıtımı geliştirir.

Uygulama ekipleri ve operasyon ekiplerinin, iş yükünün ve altyapının tarama etkinliklerini desteklemek için eğitime, bilgilendirilmesi ve incentivized açısından önemli öneme sahip olması önemlidir. Bazı kaynaklar aşağıda verilmiştir:

Gereksinim 6,6

Herkese açık Web uygulamaları için, yeni tehditleri ve güvenlik açıklarını sürekli olarak ele alır ve bu uygulamaların aşağıdaki yöntemlerden biri tarafından bilinen saldırılara karşı korunduğundan emin olun:

  • El ile veya otomatik uygulama güvenlik açığı güvenlik değerlendirmesi araçları veya yöntemleri aracılığıyla genel kullanıma yönelik Web uygulamalarını gözden geçirme, en az yıllık ve herhangi bir değişiklik sonrasında Not: Bu değerlendirme, 11,2 gereksinimi için gerçekleştirilen güvenlik açığı taramasıyla aynı değildir.
  • Genel kullanıma yönelik Web uygulamalarının önünde Web tabanlı saldırıları (örneğin, bir Web uygulaması güvenlik duvarı) algılayan ve engelleyen otomatik teknik çözüm yükleme, tüm trafiği sürekli olarak denetlemek için.

Sizin Sorumluluklarınız

Bir Web uygulaması güvenlik duvarı (WAF) kullanarak genel İnternet 'ten gelen trafiği algılamaya yönelik denetimleri yapın. Azure Application Gateway, Bu mimaride, tümleşik WAF kullanarak tüm gelen trafiği denetler. waf, açık Web uygulaması güvenlik Project (owasp) temel kural kümesini (sp_configure) temel alır. Teknik denetimler yerinde değilse, telafi denetimlerine sahip olup olmadığını kontrol edin. Bir yol el ile kod incelemesi kullanmaktır.

Kural kümesinin en son sürümlerini kullandığınızdan emin olun ve iş yükünüzle ilgili kuralları uygulayın. Kurallar önleme modunda çalıştırılmalıdır. Bu gereksinimi, WAF 'nin etkinleştirilip etkinleştirilmediğini denetleyen ve bu modda çalışan bir Azure Ilke örneği ekleyerek uygulayabilirsiniz.

Algılanan tehditler hakkında ayrıntılı bilgi almak için Application Gateway WAF tarafından oluşturulan günlükleri saklayın. Gerektiğinde kurallar üzerinde ince ayar yapın.

Uygulama koduna odaklanmış sızma testi gerçekleştirin. bu şekilde, uygulama ekibinin parçası olmayan uygulamalar, bilgi toplayıp, güvenlik açıklarını çözümleyerek ve raporlamayı inceleyerek güvenlik boşlukları (SQL ekleme ve dizin çapraz geçiş gibi) bulur. Bu alıştırmada, alıştırmalar hassas verilere erişmek için gerekli olacaktır. Amacın kötü amaçlı olmadığından emin olmak için, katılım testi kuralları' nda sunulan yönergeleri izleyin.

Gereksinim 6,7

Güvenli sistemleri ve uygulamaları geliştirmeye ve korumaya yönelik güvenlik ilkelerinin ve işletimsel yordamların, kullanımda ve tüm etkilenen taraflar tarafından bilindiğinden emin olun.

Sizin Sorumluluklarınız

Süreçler ve ilkeler hakkında kapsamlı belgeleri korumanız önemlidir. Ekipleriniz, iş yükü yaşam döngüsünün ve işlemlerinin bir parçası olarak güvenlik seçimlerini önceliklendirmek için eğitilmiş olmalıdır.

Microsoft SDL, geliştirme sürecinin aşamaları boyunca en iyi uygulamalar, Araçlar ve güvenlik işlemleri sağlar. Microsoft 'ta yazılım oluşturma konusunda Microsoft SDL uygulamaları, tamamen dahili olarak dahili olarak izlenir. Ayrıca, işletim bulut hizmetleri için Işlemsel güvenlik güvencesi (OSA) çerçevesini de izliyoruz. Uygulamalarınızı güvenli hale getirmenize yardımcı olmak için bu uygulamalar yayımlanır.

Algılanan sorunlar için test, önceliklendirme işlemleri ve düzeltme stratejisinin kapsamını açıklayan, sızma testi için kapsamlı belgeleri saklayın. Bir olay oluşursa, gereksinim 6 ' nın değerlendirmesini kök neden analizinin bir parçası olarak ekleyin. Boşluklar algılanırsa (örneğin, bir OWASP kural ihlali algılanırsa), bu boşlukları kapatın.

Belgelerde, beklenen WAF koruma durumu hakkında açık yönergeler vardır.

Düzenlenen ortamları çalıştıran kişilerin güvenlik güvenlerini desteklemek için eğitimi, bilgilendirilmesi ve incentivized gerekir. Bu, özellikle bir ilke perspektifinden onay sürecinin parçası olan kişiler için önemlidir.

Sonraki

İşe ihtiyaç duyarak kart sahibi verilerine erişimi kısıtlayın. Sistem bileşenlerine erişimi belirleyip kimlik doğrulaması yapın. Kart sahibi verilerine fiziksel erişimi kısıtlayın.

Güçlü erişim denetimi ölçüleri uygulama