Bir PCI-DSS 3.2.1 için AKS temel kümesinin işlemlerini izleme (Bölüm 7/9)

Kubernetes Hizmeti
Azure Güvenlik Merkezi
İzleyici

Bu makalede, ödeme kartı sektör veri güvenliği standardı (PCI-DSS 3.2.1) ile uyumlu bir iş yükü çalıştıran bir Azure Kubernetes hizmeti (AKS) kümesine ilişkin konular açıklanmaktadır.

Bu makale, bir serinin bir parçasıdır. Tanıtımıokuyun.

Önemli

Rehberlik ve ilgili uygulama, aks temel mimarisiüzerinde oluşturulur. Bu mimari, hub ve bağlı bileşen topolojisini temel alır. Hub sanal ağı, çıkış trafiğini denetlemek için güvenlik duvarını, şirket içi ağlardan gelen ağ geçidi trafiğini ve bakım için üçüncü bir ağı içerir. Bağlı bileşen sanal ağı, cardş veri ortamı (CDE) sağlayan AKS kümesini içerir ve PCI DSS iş yükünü barındırır.

GitHub logoGitHub: düzenlenen iş yükleri için Azure kubernetes hizmeti (aks) temel kümesi , düzenlenen bir ortamı gösterir. Uygulama, çeşitli Azure Izleyici özellikleriyle denetim izleri kullanımını gösterir. Küme içindeki ağ test noktalarına ve küme alt ağıyla etkileşime geçen kaynaklara örnek içerir.

Ağları düzenli olarak Izleme ve test etme

Gereksinim 10— ağ kaynaklarına ve kart sahibi verilere erişimi izleme ve izleme

AKS özelliği desteği

Azure, aks kümeleri dahil olmak üzere kapsayıcıları izleyen kapsayıcı Analizler özelliğini sağlar. Daha fazla bilgi için bkz. Container Insights 'a genel bakış.

AKS, sistem ve verileri daha verimli bir şekilde korumak için çeşitli düzeylerde denetim günlükleri sağlar. Etkinlik günlükleri, hesap ve gizli yönetim ile ilgili işlemler hakkında bilgi sağlar; Tanılama ayarı yönetimi; Sunucu Yönetimi; ve diğer kaynak erişimi işlemleri. Tüm Günlükler Tarih, saat, kimlik ve diğer ayrıntılı bilgilerle kaydedilir. AKS kümesine yapılan tüm API çağrılarının kronolojik kayıtlarına da erişebilirsiniz. Bu, çağıran, Çağrının yapıldığı zaman, çağrının başlatıldığı kaynak ve benzeri bilgiler içerir. Daha fazla bilgi için bkz. Azure Kubernetes Service 'te (AKS) Kubernetes denetim düzlemi günlüklerini etkinleştirme ve gözden geçirme.

RBAC (rol tabanlı erişim denetimi), Azure 'da standart bir uygulama olarak kaynak erişim ilkesini yönetmek için kullanılabilir.

Tüm Günlükler müşterinin sahip olduğu bir depolama hesabında veya Log Analytics depolanmalıdır. Böylece, büyük bir veri hacminin hızlı bir şekilde Öngörüler oluşturabilirsiniz. Tüm Günlükler, bir bölgedeki en az üç kopya ile tutulur. Bölgeler arası yedeklemeyi veya çoğaltmayı etkinleştirerek daha fazla kopyaya sahip olabilirsiniz. Tüm günlük girdileri yalnızca güvenli HTTP (ler) kanalları aracılığıyla kullanılabilir.

Azure 'un uyarı çerçevesi, şüpheli erişimi algılamak için uyarıları yapılandırmanıza olanak tanır. Hangi uyarıların tetiklenme gerektiğini ve olayları belirleyebilirsiniz. Ayrıca kullanıcılar, etkinlik türüne, etkinliğin içeriğine veya etkinliğin çağıranına göre filtreleme özelliği ile Log Analytics kullanarak tam günlüğü el ile denetleyebilir.

Sizin Sorumluluklarınız

Gereksinim Ğuna
Gereksinim 10,1 Tüm sistem bileşenlerine erişimi tek tek kullanıcılara bağlamak için denetim izlerini uygulayın.
Gereksinim 10,2 Aşağıdaki olayları yeniden oluşturmak için tüm sistem bileşenleri için otomatik denetim izlerini uygulayın:
Gereksinim 10,3 Her olay için tüm sistem bileşenleri için en azından aşağıdaki denetim izi girdilerini kaydedin:
Gereksinim 10,4 Zaman eşitleme teknolojisini kullanarak tüm kritik sistem saatlerini ve saatlerini eşitler ve zaman alma, dağıtma ve depolama için aşağıdakilerin uygulandığından emin olun.
Gereksinim 10,5 Değişiklik yapılmaması için güvenli denetim izleri.
Gereksinim 10,6 Tüm sistem bileşenleri için günlükleri ve güvenlik olaylarını inceleyerek, bozukluklar veya şüpheli etkinlikleri belirler.
Gereksinim 10,7 En az bir yıl boyunca denetim izi geçmişini (örneğin, çevrimiçi, arşivlenmiş veya yedekten geri yüklenebilir) en az üç ay içinde saklayın.
Gereksinim 10,8 Yalnızca hizmet sağlayıcıları için ek gereksinim: herhangi bir kritik güvenlik denetiminin hatalara zamanında yanıt vermesi. Güvenlik denetimlerinde hatalara yanıt verme işlemlerine şunlar eklenmelidir
Gereksinim 10,9 Ağ kaynaklarına ve kart sahibi verilerine yapılan tüm erişimleri izlemeye yönelik güvenlik ilkelerinin ve işlem yordamlarının, kullanımda ve etkilenen tüm taraflar tarafından bilindiğinden emin olun.

Gereksinim 11— düzenli olarak güvenlik sistemlerini ve süreçlerini test edin

AKS özelliği desteği

AKS, Azure izleme hizmetleriyle tümleşiktir:

  • Bulut için Microsoft Defender birçok güvenlik taraması özelliği sağlar. Örneğin, bulut taraması için, kapsayıcı kayıt defterlerine çekilen ve gönderilen görüntüleri tarar ve öneriler sağlar. Ayrıntılar için bkz. güvenlik açığı yönetimi-kapsayıcı görüntülerini tarama. Ayrıca, sistem dosyalarını denetlemek için Dosya bütünlüğü izleme (FIM) kullanabilirsiniz.

  • Azure Izleyici, sistem bütünlüğünü ve güvenliğini korumak üzere olay türüne dayalı uyarılar ayarlamak için kullanılabilir. AKS düğümlerinde beklenen sistem hatalarının oluşması durumunda, AKS, sistem işlemeye kesinti olmadan kaynağı zamanında doğru bir şekilde alır.

AKS kümeleri, Azure Application Gateway tarafından Web uygulaması güvenlik duvarı (WAF) ile korunmaktadır. Bu, uyarıları ve tehditleri günlüğe kaydetmek için algıla modunda yapılandırılabilir. Daha güçlü bir mod, yetkisiz erişimlere ve saldırılara karşı etkin bir şekilde engelleyen önleyici moddur. Ayrıntılar için bkz. Azure Kubernetes Service (AKS) üzerinde ağ bağlantısı ve güvenlik Için en iyi uygulamalar.

Sizin Sorumluluklarınız

Gereksinim Ğuna
Gereksinim 11,1 Kablosuz erişim noktaları (802,11) olup olmadığını test etmek için süreçler uygulayın ve tüm yetkili ve yetkisiz kablosuz erişim noktalarını üç ayda bir şekilde algılayın ve tanılayın.
Gereksinim 11,2 İç ve dış ağ güvenlik açığı, ağ üzerindeki önemli değişikliklerden (örneğin, yeni sistem bileşeni yüklemeleri, ağ topolojisinde yapılan değişiklikler, güvenlik duvarı kuralı değişiklikleri, ürün yükseltmeleri) ve sonrasında tüm önemli değişikliklerden sonra taramıştır.
Gereksinim 11,3 Aşağıdaki gibi, sızma testi için bir metodolojiyi uygulayın:
Gereksinim 11,4 Ağa yetkisiz erişimi algılamak ve/veya önlemek için yetkisiz giriş algılama ve/veya yetkisiz erişim önleme tekniklerini kullanın.
Gereksinim 11,5 Kritik sistem dosyalarının, yapılandırma dosyalarının veya içerik dosyalarının yetkisiz değişikliklere (değişiklikler, eklemeler ve silinmeleri dahil) karşı personeli bilgilendirmek için bir değişiklik algılama mekanizması (örneğin, dosya bütünlüğü izleme araçları) dağıtın; ve yazılımı en az haftalık dosya karşılaştırmaları gerçekleştirecek şekilde yapılandırın.
Gereksinim 11,6 Güvenlik izleme ve test için güvenlik ilkelerinin ve işletimsel yordamların, kullanımda ve etkilenen tüm taraflar tarafından bilindiğinden emin olun.

Gereksinim 10,1

Tüm sistem bileşenlerine erişimi tek tek kullanıcılara bağlamak için denetim izlerini uygulayın.

Sizin Sorumluluklarınız

Her bir bileşende gerçekleştirilen işlemleri izlemek için bu yolları kullanmanızı öneririz:

  • Etkinlik günlüğü. Bu günlük, Azure Kaynak işlemlerinin türü ve saati hakkında bilgi sağlar. Ayrıca, işlemi başlatan kimliği günlüğe kaydeder. Varsayılan olarak etkindir ve bilgiler, kaynak işlemi tamamlandıktan hemen sonra toplanır. Bu denetim izi salt yazılır ve silinemez.

    Veriler 90 gün boyunca tutulur. daha uzun bekletme seçenekleri için, etkinlik günlüğü girdilerini Azure Depolama göndermeyigöz önünde bulundurun.

    Azure etkinlik günlüğünü gösteren ekran görüntüsü.

  • Tanılama ayarı. Azure kaynakları ve ayarın uygulandığı platformun tanılama ve denetim bilgilerini sağlar. bunu, sistemdeki Azure Blob Depolama ve Key Vault gibi aks ve diğer bileşenler için etkinleştirmenizi öneririz. Kaynak türüne bağlı olarak, Günlükler ve ölçüm verileri kategorilerini seçebilir ve bunları bir hedefe gönderebilirsiniz. Tanılama havuzlarınızın gerekli saklama sürelerini karşılaması gerekir.

    • AKS için tanılama ayarı. Belirtilen AKS kategorilerinden Kubernetes denetim günlüklerini etkinleştirin. Bu kube-auditkube-audit-admin , ve içerir guard .

      kube-audit-adminKümenizin durumunu değiştirebilen log-Data API sunucu çağrılarını görmek için etkinleştirin. Tüm API sunucusu etkileşimlerinin bir denetim izinin olması gerekiyorsa (okuma istekleri gibi değişiklik olmayan olaylar dahil), kube-audit bunun yerine etkinleştirin. Bu olaylar, proliflik, gürültü oluşturabilir ve maliyete eklenebilir. Bu günlüklerde, isteği yapmak için kullanılan erişim ve kimlik adı hakkında bilgiler vardır.

      guardYönetilen Azure AD ve Azure rol tabanlı erişim denetimi (RBAC) denetimlerini izlemek için günlükleri etkinleştirin.

    Kullanıcı tabanlı günlüklere ek olarak, ve dahil olmak üzere Kubernetes denetim düzleminin günlüklerini göz önünde bulundurun kube-apiserverkube-controller-manager . Bunlar genellikle kullanıcı tarafından ilişkili değildir ancak kullanıcıların yaptığı sistem değişikliklerinin ilişkilendirilmesine yardımcı olabilir.

    Daha fazla bilgi için bkz. Denetim düzlemi bileşen günlüklerini görüntüleme.

    Bu başvuru uygulama cluster-autoscaler ,, kube-controller-manager , kube-audit-admin ve guard günlüklerini sunar. Bu bilgiler, analiz için bir Log Analytics çalışma alanına gönderilir. Saklama süresi 90 gün olarak ayarlanır.

    Bir K. tanılama ayarını gösteren ekran görüntüsü.

  • Azure Kubernetes hizmet tanılaması. Düğüm hataları gibi küme sorunlarını tespit etmek ve gidermek için bu özelliği kullanın. Ayrıca, ağa özgü Tanılama verileri de mevcuttur. Bu özellik ek bir ücret ödemeden kullanılabilir. Bu veriler genellikle kullanıcı tarafından ilişkili değildir, ancak kullanıcıların yaptığı sistem değişikliklerinin ilişkilendirilmesine yardımcı olabilir. Bu özellik hakkında daha fazla bilgi için bkz. Azure Kubernetes Service Diagnostics.

Yukarıdaki denetim izi mekanizmaları, kaynak dağıtımı sırasında uygulanmalıdır. Azure Ilkesi Ayrıca, bu yapılandırmaların, CDE ' de yanlışlıkla veya kötü amaçlı olarak devre dışı olmamasını sağlamak için de etkin olmalıdır.

Gereksinim 10,2

Aşağıdaki olayları yeniden oluşturmak için tüm sistem bileşenleri için otomatik denetim izlerini uygulayın:

  • tüm bireysel kullanıcı 10.2.1 cardş verilerine erişir
  • kök veya yönetim ayrıcalıklarına sahip herhangi bir kişi tarafından gerçekleştirilen tüm eylemleri 10.2.2
  • tüm denetim izlerini 10.2.3 erişim
  • 10.2.4 geçersiz mantıksal erişim denemeleri
  • 10,2 5, kimlik ve kimlik doğrulama mekanizmalarının yanı sıra, yeni hesapların oluşturulması ve Ayrıcalıkların yükseltilmesi ile sınırlı olmamak üzere, kök veya yönetim ayrıcalıklarına sahip hesaplara yapılan tüm değişiklikler, ekler veya silmeler.
  • Denetim günlüklerini 10.2.6 başlatma, durdurma veya duraklatma
  • 10.2.7 sistem düzeyi nesneleri oluşturma ve silme

Sizin Sorumluluklarınız

AKS, gereksinim 10,1' de açıklandığı gibi birden çok düzeyde denetim günlükleri sağlar. Aşağıda bazı önemli noktaları verilmiştir:

  • Varsayılan olarak, etkinlik günlükleri kritik Azure Kaynak işlemleri hakkında bilgi sağlar. Tüm günlüklerde durum, saat ve işlemi başlatan kimlik bulunur.
  • AKS kümesinde yapılan tüm API çağrılarının tüm kayıtlarına erişmek için tanılama ayarlarını etkinleştirin. Günlükler, istek sahibi, zaman damgası, istek kaynağı ve isteğin içeriği hakkındaki ayrıntıları sağlar. Günlükleri uygun bir bekletme dönemi ile bir Log Analytics çalışma alanında depolayın. Bu denetim izinin bile günlüğe erişiminin olduğundan emin olmak için Log Analytics çalışma alanı günlüğünü etkinleştirin.
  • Derleme aracıları ve atma kutuları gibi diğer işlemler için denetim günlüğü ekleyin. Sistemlere doğrudan kök olarak erişimi devre dışı bırakın. Bu, tüm eylemlerin belirli bir kimlik altında gerçekleştirildiğinden emin olur.
  • Başarısız erişim girişimlerini günlüğe kaydedin. buna Azure Depolama, Azure Key Vault, aks apı sunucusu ve ek işlem için RDP/SSH erişimi gibi bileşenlere erişim istekleri dahildir.
  • AKS kümenizin içindeki Kullanıcı düzenlerini çözümlemeye yardımcı olabilecek üçüncü taraf güvenlik aracıları tarafından sunulan özelliklerden yararlanın. Bu, Kullanıcı erişimi denetim verileri için yararlı olabilir.

Gereksinim 10,3

Her olay için tüm sistem bileşenleri için en azından aşağıdaki denetim izi girdilerini kaydedin:

  • 10.3.1 Kullanıcı kimliği
  • 10.3.2 olay türü
  • 10.3.3 Tarih ve saat
  • 10.3.4 başarı veya başarısızlık göstergesi
  • 10.3.5 olayı
  • 10.3.6 kimliği veya etkilenen verilerin, sistem bileşeninin veya kaynağın adı.

Sizin Sorumluluklarınız

Gereksinim 10,2' de açıklandığı gıbı, aks için tanılama ayarını etkinleştirerek kümeden denetim günlüklerini alabilirsiniz. Günlükler Get, listeleme, oluşturma, güncelleştirme, silme, düzeltme eki ve post olayları hakkında ayrıntılı bilgiler içerir. Günlükler, gereksinimler altındaki listede bilgiler içerir. Bilgileri sorgulayabilmeniz için günlükleri bir depolama hesabında depolayın.

Örneğin, bu sorguyu çalıştırarak kuin-Audit-admin olayları için önceki bilgi kümesini görüntülemek istiyorsunuz:

AzureDiagnostics
| where Category == 'kube-audit-admin'
| project TimeGenerated, ResourceId, log_s,  pod_s
| top 200 by TimeGenerated desc

Bir tanılama örneği gösteren ekran görüntüsü.

Sonuç kümesi, log_s alanının bir parçası olarak bilgileri gösterir.

Gerekli bilgiler Şema
Kullanıcı kimliği SourceIP 'Ler
Olay türü ü
Tarih ve saat Istek alınma zaman damgası
Başarı veya başarısızlık göstergesi responseStatus
Olay alma kullanıcı
Etkilenen verilerin, sistem bileşeninin veya kaynağın kimliği veya adı objectRef

Ana günlük hakkında daha fazla bilgi için bkz. Denetim düzlemi bileşen günlüklerini görüntüleme.

Gereksinim 10,4

Zaman eşitleme teknolojisini kullanarak tüm kritik sistem saatlerini ve saatlerini eşitler ve zaman alma, dağıtma ve depolama için aşağıdakilerin uygulandığından emin olun.

  • 10.4.1 kritik sistemler doğru ve tutarlı bir zamana sahiptir.
  • 10.4.2 saat verileri korunuyor.
  • 10.4.3 zaman ayarları, sektörde kabul edilen zaman kaynaklarından alınır.

Note: bir kerelik eşitleme teknolojisine bir örnek ağ zaman Protokolü (NTP) örneğidir.

Sizin Sorumluluklarınız

AKS, temel alınan Azure konaklarından NTP kullanır ve bunu desteklemek için giden ağ trafiği kesintileri gerektirmez. CDE uygulamanıza eklediğiniz diğer VM 'Ler, zaman eşitleme kaynağı olarak ntp.ubuntu.org (ve havuzu) gibi dış NTP sunucularını kullanabilir. CDE uygulamanıza getirdiğiniz her türlü ek işlem, seçtiğiniz NTP kaynağını açık bir şekilde kullanmalı ve belgelenmelidir.

Gereksinim 10,5

İşle ilgili bir gereksinimle denetim izlerini görüntülemeyi sınırlayın.

  • 10.5.1 denetim izlerini işle ilgili gereksinimlerle sınırla.
  • 10.5.2 yetkisiz değişikliklerden denetim izi dosyalarını koruyun.
  • 10.5.3 denetim izi dosyalarını en kısa sürede bir merkezi günlük sunucusuna veya daha sonra değiştirmek zor olan medyaya yedekler.
  • 10.5.4, yerleşik teknolojiler için güvenli, merkezi bir iç günlük sunucusuna veya medya cihazına yönelik yazma günlüklerini kaydeder.
  • 10.5.5 mevcut günlük verilerinin uyarı oluşturmadan değiştirilmesini sağlamak için günlüklere dosya bütünlüğü izleme veya değişiklik algılama yazılımı kullanın (eklenen yeni veriler bir uyarıya neden olmamalıdır).

Sizin Sorumluluklarınız

Birden çok günlük eşitleme, denetim izi verilerini güvenli hale getirmek, gözden geçirmek, çözümlemek ve sorgulamak için ek yük ekler. Tüm denetim izi yalıtımı ve yönetim sorunları arasındaki avantajları dengelemek için denetim izi topolojilerinizi planlayın.

Mümkün olduğunda, günlükleri tümleştirin. Bunun avantajı, verileri verimli bir şekilde gözden geçirebilme, analiz etme ve sorgulama olanağıdır. Azure çeşitli teknoloji seçenekleri sağlar. Log Analytics çalışma Azure İzleyici yazmak için Kapsayıcılar için Azure İzleyici'i kullanabilirsiniz. Bir diğer seçenek de verileri Microsoft Sentinel gibi güvenlik bilgileri ve olay yönetimi (SIEM) çözümleriyle tümleştirebilirsiniz. Diğer popüler üçüncü taraf seçenekleri Splunk, QRadar ve ArcSight'tır. Bulut ve Bulut için Microsoft Defender Azure İzleyici tüm bu çözümleri destekler. Bu çözümler yalnızca ekleme veri havuzlarını içerir ve izlerin değiştirilenemay olduğundan emin olur.

Bulut için Defender, yapılandırılan aralıklarla sonuçları dışarı aktarabilirsiniz. Daha fazla bilgi için bkz. Sürekli dışarı aktarma.

Tüm günlükler bir bölgede en az üç kopyayla tutulur. Yedekleme stratejisi olarak, bölgeler arası yedeklemeyi veya çoğaltmayı etkinleştirerek daha fazla kopyaya sahip olabilirsiniz. Tüm günlük girişleri yalnızca güvenli HTTP/S kanalları aracılığıyla kullanılabilir.

Log Analytics ve Microsoft Sentinel, denetim kaydı erişimini yönetmek için çeşitli rol tabanlı erişim denetimlerini destekler. Rollerin kuruluşun rollerine ve sorumluluklarına eşlenmiş olduğundan emin olun.

Log Analytics çalışma alanınız hem işlemleri hem de uyumluluk ihtiyaçlarını destekler. Kapsam içinde kümeleriniz için SIEM çözümünüze iletir ayrılmış bir çalışma alanı düşünün.

AKS'de günlüğe kaydetmelerin çoğu stdout/stderr'dan gelir ve kapsayıcı içgörüleri Azure İzleyici toplanır. El ile oluşturulan ek günlükler varsa, verileri güvenilir bir iletme akışına gönderilecek ve üzerinde oynanacak bir şekilde yaymayı göz önünde bulundurabilirsiniz.

Gereksinim 10.6

Anomalileri veya şüpheli etkinlikleri tanımlamak için tüm sistem bileşenlerine yönelik günlükleri ve güvenlik olaylarını gözden geçirme.

  • 10.6.1 En az günlük olarak aşağıdakini gözden geçirin:
    • Tüm güvenlik olayları
    • CHD ve/veya SAD depolana, işleye veya iletir tüm sistem bileşenlerinin günlükleri
    • Tüm kritik sistem bileşenlerinin günlükleri
    • Güvenlik işlevlerini (örneğin güvenlik duvarları, izinsiz giriş algılama sistemleri/izinsiz erişimi önleme sistemleri (IDS/IPS), kimlik doğrulama sunucuları, e-ticaret yeniden yönlendirme sunucuları vb.) gerçekleştiren tüm sunucuların ve sistem bileşenlerinin günlükleri."
  • 10.6.2 Kuruluşun yıllık risk değerlendirmesi tarafından belirlenen ilkelerine ve risk yönetimi stratejisine göre diğer tüm sistem bileşenlerinin günlüklerini düzenli aralıklarla gözden geçirme.
  • 10.6.3 İnceleme işlemi sırasında tanımlanan özel durumları ve anomalileri izleyin.

Sizin Sorumluluklarınız

Azure İzleyici ve Bulut için Microsoft Defender olan Azure izleme hizmetleri, anormal etkinlik algılayan bildirimler veya uyarılar oluşturabilirsiniz. Bu uyarılar önem derecesi, durum ve etkinlik zamanı gibi bağlam bilgilerini içerir.

Uyarılar oluşturulurken bir düzeltme stratejisine sahip olun ve ilerlemeyi gözden geçirin. Bunun bir yolu, Bulut için Microsoft Defender'da güvenlik puanını izlemek ve bunu geçmiş sonuçlarla karşılaştırmaktır.

Microsoft Sentinel gibi SIEM çözümlerini kullanarak verileri tek bir görünümde merkezileştirin. Verileri tümleştirme, zengin uyarı bağlamı sağlar.

Alternatif olarak, depolama alanınıza günlüklerin tamamını el ile de kontrol edin. Örneğin Log Analytics'te etkinliğin türüne, etkinliğin içeriğine veya etkinliği çağırana göre bir filtreleme özelliği kullanabilirsiniz.

Uyarıları ve olayları düzenli bir tempoda gözden geçirmek ve belirli geliştirme hedeflerine sahip girişimleri planlamak için kuruluş ilkelerine sahip olun. Amaçlanan günlük sorgularını belgelendirerek ve sorguyu kolaylaştırmak için Log Analytics'te özel olarak kaydedilmiş sorguları kullanın. Bu, ekibin 10.6 ile ilgili gözden geçirmenin önemli olduğunu ve bu sürece dahil olan tüm el ile yapılan çalışmaların tutarlı bir iş akışını izlemesini sağlar.

Gereksinim 10.7

Analiz için en az üç ay kullanılabilir olacak şekilde (örneğin, çevrimiçi, arşivlenmiş veya yedekten geri yüklenebilir) denetim kayıt geçmişini en az bir yıl boyunca koruyabilirsiniz.

Sizin Sorumluluklarınız

Günlükler süresiz olarak kullanılamaz. Azure etkinlik günlüklerinin ve tanılama ayarlarının korun olduğundan ve sorgulanamay olduğundan emin olun. Kaynaklarınız için tanılama ayarlarını etkinleştirerek üç aylık saklama süresi belirtin. Uzun süreli arşivleme için Azure depolama hesaplarını kullanarak denetimler veya çevrimdışı analiz için kullanılabilirler. Uzun süreli arşivleme çözümlerinizi bir kez yazma, çok okuma ilkesiyle uyumlu olacak şekilde uygulama.

Gereksinim 10.8

  • 10.8.1 Yalnızca hizmet sağlayıcıları için ek gereksinim: Kritik güvenlik denetimlerinin hatalarına zamanında yanıt verin. Güvenlik denetimlerinin hatalarına yanıt verme işlemleri şunları içermeli:

  • Güvenlik işlevlerini geri yükleme

  • Güvenlik hatasının süresini (başlangıç tarihi ve saati) tanımlama ve belgele

  • Kök neden de dahil olmak üzere hatanın nedenlerini tanımlama ve belgeleme ve kök nedene yönelik düzeltmeyi belgeleme

  • Hata sırasında ortaya çıkan güvenlik sorunlarını tanımlama ve ele

  • Güvenlik hatasının sonucunda başka eylemlerin gerekli olup olmadığını belirlemek için bir risk değerlendirmesi gerçekleştirme

  • Hataya neden olan güvenlik denetimlerini yeniden izleme -Devam ediyor hatasını önlemek için denetimler uygulama"

Sizin Sorumluluklarınız

Pratik olduğunda, kritik güvenlik denetimlerinin varlığını gösteren uyarılar kullanın. Aksi takdirde, denetim sürecinizin beklenen bir güvenlik denetiminin eksik olduğunu zamanında algılayana kadar emin olur. AKS kümesinde çalışan güvenlik aracıları ve Azure kaynaklarında erişim denetimleri (IAM ve ağ) gibi denetimleri göz önünde bulundurabilirsiniz. AKS kümesi özel bir küme olup olduğunu denetleme, Ağ Güvenlik Grubu (NSG) kuralları aracılığıyla ağ güvenlik noktalarını denetleme veya beklenmeyen genel IP'leri denetleme gibi ayarları dahil edin. AYRıCA DNS, ağ yönlendirme, güvenlik duvarı ve Azure AD'de beklenmeyen değişiklikler de içerir.

Gereksinim 10.9

Ağ kaynaklarına ve kart sahibi verilerine tüm erişimi izlemek için güvenlik ilkelerinin ve işletimsel yordamların belgelenmiş, kullanımda ve etkilenen tüm taraflar tarafından bilindiğiden emin olun.

Sizin Sorumluluklarınız

Süreçler ve ilkeler hakkında kapsamlı belgelere sahip olmak kritik öneme sahip. Zorlanan ilkeler hakkında belgeleri koruma. İzleme çalışmalarınızı bir parçası olarak, kişilerin denetim günlüklerini etkinleştirme ve görüntüleme, ortak riskleri tanımlama ve düzeltme konusunda eğitilleri gerekir. Bu, ilke açısından onay sürecinin parçası olan kişiler için özellikle önemlidir.

Gereksinim 11.1

Kablosuz erişim noktalarının (802.11) varlığını test etmek ve tüm yetkili ve yetkisiz kablosuz erişim noktalarını üç aylık olarak algılamak ve tanımlamak için işlemler gerçekleştirin.

Dış ağlar bu belgelerin kapsamı dışındadır ve ayrı olarak değerlendirilmelidir.

Sizin Sorumluluklarınız

Bu mimari ve uygulama, kablosuz bağlantılar üzerinden şirket içi veya kurumsal ağdan buluta işlemler yapmak için tasarlanmamaktadır. Dikkat edilmesi gerekenler için resmi PCI-DSS 3.2.1 standardı kılavuzuna bakın.

Gereksinim 11.2

İç ve dış ağ güvenlik açığı taramalarını en az üç aylık ve ağ üzerinde yapılan önemli değişikliklerden sonra çalıştırın (yeni sistem bileşeni yüklemeleri, ağ topolojisinde yapılan değişiklikler, güvenlik duvarı kuralı değişiklikleri, ürün yükseltmeleri gibi).

Daha fazla bilgi için bkz. Ödeme Kartı Sektörü (PCI) Veri Güvenliği Standardı Onaylı Tarama Satıcıları.

Sizin Sorumluluklarınız

AKS kümesinde, ağ yapılandırmasında, kapsayıcı kayıt defterleri ve mimarinin diğer bileşenlerinde yapılan değişiklikleri kontrol edin.

Ağ üzerinde değişiklikler varsa, tarama gerekli olup değildir, işlem değerlendirmeli. Örneğin, küme artık genel İnternet'e açık mı? Yeni güvenlik duvarı kuralları aşırı izinli mi? Küme içinde, podlar arasındaki akışta herhangi bir güvenlik açığı var mı?

Altyapınıza göre önemli değişikliklerin net ve üzerinde anlaşmaya varan bir tanımını yapın. Bazı örnekler NSG kurallarının yapılandırması, Azure Güvenlik Duvarı kuralları, sanal ağ eşlemeleri, DNS ayarları, Azure Özel Bağlantı yapılandırmaları ve diğer ağ bileşenleri olabilir.

11.2.1 IÇIN GEÇERLIDIR

Üç aylık güvenlik açıkları taraması, Azure ağı ve Kubernetes ağ kavramları hakkında derin anlayışa sahip nitelikli personel tarafından çalıştırıldı. Sonuçları önem dereceleriyle Gereksinim 6.1'e eşler ve yüksek öncelikli öğeleri çözümler. Önemli değişiklikler varsa, zamanlanmış üç aylık taramadan önce taramaları çalıştırın. Bu, sorunları proaktif olarak çözebilirsiniz, böylece yeni güvenlik açıklarını algılamanıza yardımcı olur.

Bu tarama, küme (poddan poda) ağları da içermesi gerekir.

11.2.2 IÇIN GEÇERLIDIR Azure ağı ve Kubernetes ile ilgili kapsamlı deneyime sahip bir Onaylı Tarama Satıcısı (ASV) seçin. Bu, önerilen düzeltmede derinlik ve özgüllük sağlar.

Gereksinim 11.3

Sızma testi için şunları içeren bir metodoloji uygulama:

  • Sektör tarafından kabul edilen sızma testi yaklaşımlarını (örneğin, NIST SP800-115) temel almaktadır
  • CDE çevre ve kritik sistemlerin tamamı için kapsamı içerir
  • Hem ağ içinden hem de dışından test içerir
  • Tüm segmentasyon ve kapsam azaltma denetimlerini doğrulamak için test içerir
  • Gereksinim 6,5 ' de listelenen güvenlik açıklarını en azından dahil etmek için uygulama katmanı penme testlerini tanımlar
  • Ağ işlevlerini ve işletim sistemlerini destekleyen bileşenleri dahil etmek için ağ katmanı Sızma testlerini tanımlar
  • Son 12 ay içinde karşılaşılan tehditler ve güvenlik açıklarının incelenmesi ve dikkate alınması dahildir
  • Sızma testi sonuçlarının ve Düzeltme etkinliklerinin sonuçlarının bekletilmesini belirtir.

Sizin Sorumluluklarınız

Bilgi toplayıp, güvenlik açıklarını çözümleyerek ve raporlamayı inceleyerek güvenlik boşluklarını bulmak için sızma testi gerçekleştirin. Ortak senaryolara ve bir taban çizgisi oluşturmak için gereken etkinliklere yönelik olarak, sızma testi yürütme standardı 'nda (PTES) sunulan sektör kılavuzlarını izlemenizi öneririz.

Sızma testi Uygulayıcı, yıllık segmentleme testlerinin yoğun bir şekilde kapsandığından emin olmak için şirket içi ve Azure ağı hakkında ayrıntılı bir şekilde anlaşılmalıdır. Test metodolojisini küme içi ağlara genişletin. Bu, Kubernetes ağ kavramlarıyla güçlü bir deneyim gerektirir.

Testler, CDE içinde çalışan uygulama ve veri katmanlarını kapsamalıdır.

Sızma testi alıştırmada, uygulamalar tüm kuruluşun hassas verilerine erişmesi gerekebilir. Erişimin ve amacın yanlış bir şekilde kötüye bulunmadığından emin olmak için katılım kurallarını izleyin. Sanal saldırıları planlama ve yürütme hakkında rehberlik için bkz. katılım Için sızma testi kuralları.

Gereksinim 11,4

Ağa yetkisiz erişimi algılamak ve/veya önlemek için yetkisiz giriş algılama ve/veya yetkisiz erişim önleme tekniklerini kullanın. Kart sahibi veri ortamının çevre ağındaki tüm trafiği, kart sahibi veri ortamındaki kritik noktaları ve şüpheli comizlere yönelik uyarı personelini izleyin.

Sizin Sorumluluklarınız

Gelen trafiği inceleyerek AKS kümesini koruyun. Bir yol, bir Web uygulaması güvenlik duvarı (WAF) kullanmaktır. Bu mimaride, tümleşik WAF ile Azure Application Gateway, yetkisiz erişimi engeller. Algılanan yetkisiz erişimlere ve saldırıları etkin bir şekilde engellemek için engelleme modunu kullanın. Yalnızca algılama modunu kullanmayın. Daha fazla bilgi için bkz. Azure Kubernetes Service (AKS) üzerinde ağ bağlantısı ve güvenlik Için en iyi uygulamalar.

Alternatif bir seçenek, Azure Güvenlik Duvarı Premium yetkisiz giriş algılama ve/veya yetkisiz erişim önleme özellikleri kullanmaktır. Daha fazla bilgi için bkz. IDPs.

başka bir seçenek de Azure izleyici ağı Analizleretkinleştiriliyor.

Microsoft Defender planlarını, CDE 'in çeşitli bileşenlerine uygun olarak etkinleştirin. örneğin, Azure SQL, chd depolamak için kullanılıyorsa, SQL için Microsoft Defender , veri katmanı yetkisiz kullanım algısının algılanarak emin olur.

Ayrıca, NSG akış günlüklerini Microsoft Sentinel gibi bir merkezi SıEM çözümüne bağlayarak trafik desenlerindeki bozuklukları algılayın. Bu başvuru uygulamasında Günlükler, denetim günlüklerinde değişiklik izlemeyi en aza indiren yalnızca Append modundadır. Ancak, uzun vadeli depolama için dış havuza gönderilen tüm günlüklerin değiştirilmemesi gerekir. Bir kez yazma/okuma-çok yaklaşımını izlemelidir. Dosya bütünlüğü izleme (FIM) çözümünün değişiklikleri algılamak için bu dış varlıkları kapsadığından emin olun.

Gereksinim 11,5

Kritik sistem dosyalarının, yapılandırma dosyalarının veya içerik dosyalarının yetkisiz değişikliklere (değişiklikler, eklemeler ve silinmeleri dahil) karşı personeli bilgilendirmek için bir değişiklik algılama mekanizması (örneğin, dosya bütünlüğü izleme araçları) dağıtın; ve yazılımı en az haftalık dosya karşılaştırmaları gerçekleştirecek şekilde yapılandırın.

Sizin Sorumluluklarınız

Kümenizde, düğüm düzeyinde değişikliklere yol açacak dosya ve sistem düzeyinde erişimi algılamak için bir Kubernetes-Aware güvenlik aracısıyla birlikte bir dosya bütünlüğü izleme (FIM) çözümü çalıştırın. Bir FIM çözümü seçerken, özelliklerinin ve algılama derinliğinin net bir şekilde anlaşılmasını sağlayabilirsiniz. Saygın satıcılar tarafından geliştirilen yazılımları göz önünde bulundurun.

Önemli

Başvuru uygulama, bir DaemonSet FIM çözümü kötü amaçlı yazılımdan koruma Aracısı çalıştırmak için bir yer tutucu dağıtımı sağlar. Aracı kümedeki her düğüm VM 'sinde çalışır. Bu dağıtıma kötü amaçlı yazılımdan koruma yazılımı koyun.

Değerlerin, kapsamak istediğiniz parametreleri algılamasını sağlamak için FIM aracının tüm varsayılan ayarlarını denetleyin ve bu ayarları uygun şekilde ayarlayın.

Uyarıları, uyarı üretebilmeleri için izleme veya SıEM çözümünüze göndermek için çözümü etkinleştirin. Günlük şeması değişikliklerinin farkında olun veya kritik uyarıları kaçırmış olabilirsiniz.

CDE içindeki diğer ek işlemler için değişiklik izlemenin etkinleştirilmiş olması gerekir.

Gereksinim 11,6

Güvenlik izleme ve test için güvenlik ilkelerinin ve işletimsel yordamların, kullanımda ve etkilenen tüm taraflar tarafından bilindiğinden emin olun.

Sizin Sorumluluklarınız

Süreçler ve ilkeler hakkında kapsamlı belgeleri korumanız önemlidir. Zorlanan ilkelerle ilgili belgelerde saklayın. Test çabalarınızın bir parçası olarak, temposunda of İncelemeleri ve gözden geçirme ölçütlerini dahil edin. Takımın, sızma testi yönlerini anlamasına emin olun. Bulunan riskleri azaltmak için belgelenmiş bir düzeltme planına sahip olmanız gerekir.

Bu, özellikle bir ilke perspektifinden onay sürecinin parçası olan kişiler için önemlidir.

Sonraki

Tüm personel için bilgi güvenliğini karşılayan bir ilke saklayın.

Bilgi güvenliği Ilkesini koruma