Bu makalede, Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI-DSS 3.2.1) uyarınca yapılandırılmış bir Azure Kubernetes Service (AKS) kümesi için dikkat edilmesi gerekenler açıklanmıştır.
Bu makale, bir serinin bir parçasıdır. Giriş makalelerini okuyun.
PCI-DSS 3.2.1 standardını temel alan tema güvenliktir. Merkez-bağlı topoloji, düzenlenmiş bir ortam ayarlamanın doğal bir seçimidir. Güvenli iletişimlere olanak sağlayan bir altyapı oluşturmak daha kolaydır. Ağ denetimleri her iki merkez-bağlı ağa yerleştirilir ve Microsoft sıfır güven modelini takip eder. Denetimler, trafiğin güvenliğini sağlamak için en az ayrıcalıkla ayarlanarak, bilgi ihtiyacı temelinde erişim sağlar. Ayrıca, her ağ atlamasında denetim ekleyerek çeşitli derinlemesine savunma yaklaşımları uygulayabilirsiniz.
Kubernetes'te bir iş yükü barındırıyorsanız, güvenlik duvarı kuralları gibi geleneksel ağ yapılarını kullanmak yeterli değildir. Ayrıca kaynak gibi kümede trafik akışını kontrol altına alan Kubernetes'e özel yapılar NetworkPolicy da vardır. Yalıtılmış podlar, giriş ve çıkış ilkeleriyle ilgili temel kavramları anlamak için Kubernetes belgelerine bakabilirsiniz.
Önemli
Kılavuz ve eşlik eden uygulama, AKS temel mimarisini temel almaktadır. Bu mimari, merkez-bağlı-bağlı topolojiyi temel almaktadır. Merkez sanal ağı çıkış trafiğini, şirket içi ağlardan gelen ağ geçidi trafiğini ve bakım için üçüncü ağı denetlemeye uygun güvenlik duvarını içerir. Bağlı sanal ağ, kart tutucu ortamı (CDE) sağlayan AKS kümesine sahiptir ve bu kümeyi PCI DSS barındırmaktadır.
GitHub: Azure Kubernetes Service (AKS) Düzenlenen İş Yükleri için Temel Küme düzenlemeye tabi bir altyapıyı gösterir. Uygulama, CDE'niz içinde çeşitli ağ ve güvenlik denetimlerinin kullanımını gösterir. Bu hem Azure'a özel ağ denetimlerini hem de Kubernetes'e özel denetimleri içerir. Ayrıca yalnızca ortam ile örnek iş yükü arasındaki etkileşimleri göstermek için bir uygulama içerir. Bu makalenin odak noktası altyapıdır. Örnek, gerçek bir PCI-DSS 3.2.1 iş yükünün göstergesi değildir.
Güvenli bir ağ ve sistem oluşturma ve koruma
Gereksinim 1—Kart sahibi verilerini korumak için bir güvenlik duvarı yapılandırması yükleyin ve koruyun.
AKS özellik desteği
AKS, özel bir sanal ağa özel küme olarak küme dağıtmayı destekler. Küme ile AKS tarafından yönetilen Kubernetes API sunucusu arasındaki iletişim güvenilir bir ağ üzerinden uzıyor. Özel bir küme ile tüm kart sahibi veri ortamının (CDE) güvenliğini sağlamak için Azure Sanal Ağ, Ağ Güvenlik Grubu (NSG) ve diğer yerleşik ağ denetimlerini kullanabilirsiniz. Bu, İnternet ile ortam arasında yetkisiz genel erişimi yasaklar. Böyle bir kümeyi sağlama hakkında ayrıntılı bilgi için bkz. Özel küme Azure Kubernetes Service oluşturma.
Azure Güvenlik Duvarı AKS ile tümleştirilemenin ve CDE'nin önemli bir bileşeni olan kümeden giden trafiği sınırlandırma. AKS FQDN Etiketi ile yapılandırma kolaylaştırıldı. Önerilen işlem, Azure Güvenlik Duvarı (AKS) dağıtımlarını korumak için Azure Kubernetes Service kullanma içinde sağlanmıştır.
AKS kümeleri, yönetilen kontrol düzleme ulaşmak için bazı genel İnternet erişimi gerektirir. Küme alt a ağı üzerinde Azure Güvenlik Duvarı ve NSG'leri kullanarak giden trafiği İnternet'e sınırla. Bilgi için bkz. Azure Kubernetes Service (AKS)içinde küme düğümleri için çıkış trafiğini denetleme.
Sizin Sorumluluklarınız
| Gereksinim | Sorumluluk |
|---|---|
| Gereksinim 1.1 | Güvenlik duvarı ve yönlendirici yapılandırma standartlarını yapılandırın ve uygulama. |
| Gereksinim 1.2 | Güvenilmeyen ağlarla kart sahibi veri ortamındaki herhangi bir sistem bileşeni arasındaki bağlantıları kısıtlayan güvenlik duvarı ve yönlendirici yapılandırmaları oluşturma. |
| Gereksinim 1.3 | İnternet ile kart sahibi veri ortamındaki herhangi bir sistem bileşeni arasında doğrudan genel erişimi yasaklar. |
| Gereksinim 1.4 | Ağ dışındayken İnternet'e (örneğin, çalışanlar tarafından kullanılan dizüstü bilgisayarlar) ve CDE'ye erişmek için kullanılan taşınabilir bilgi işlem cihazlarına (şirkete ve/veya çalışana ait dahil) kişisel güvenlik duvarı yazılımı veya eşdeğer işlevselliği yükleyin. |
| Gereksinim 1.5 | Güvenlik duvarlarını yönetmeye yönelik güvenlik ilkelerinin ve operasyonel yordamların belgelenmiş, kullanımda ve etkilenen tüm taraflar tarafından bilindiğiden emin olun. |
Gereksinim 2—Sistem parolaları ve diğer güvenlik parametreleri için satıcı tarafından sağlanan varsayılanları kullanma.
Sizin Sorumluluklarınız
| Gereksinim | Sorumluluk |
|---|---|
| Gereksinim 2.1 | Ağa sistem yüklemeden önce her zaman satıcı tarafından sağlanan varsayılanları değiştirme ve gereksiz varsayılan hesapları kaldırma veya devre dışı bırakma. |
| Gereksinim 2.2 | Tüm sistem bileşenleri için yapılandırma standartları geliştirin. Bu standartların bilinen tüm güvenlik açıklarına yönelik olduğunu ve sektörde kabul edilen sistem sağlamlaştırma standartlarıyla tutarlı olduğunu güvence altında bulundurabilirsiniz. |
| Gereksinim 2.3 | Güçlü şifreleme kullanarak konsol dışı tüm yönetim erişimini şifreler. |
| Gereksinim 2.4 | Kapsamda yer alan sistem bileşenlerinin envanterini PCI DSS. |
| Gereksinim 2.5 | Satıcı varsayılanlarını ve diğer güvenlik parametrelerini yönetmeye yönelik güvenlik ilkelerinin ve operasyonel yordamların belgelenmiş, kullanımda ve etkilenen tüm taraflar tarafından bilindiğiden emin olun. |
| Gereksinim 2.6 | Paylaşılan barındırma sağlayıcıları her varlığın barındırılan ortamını ve kart sahibi verilerini korumalı. |
Gereksinim 1.1
Aşağıdakileri içeren güvenlik duvarı ve yönlendirici yapılandırma standartlarını kullanın:
Gereksinim 1.1.1
Güvenlik duvarı ve yönlendirici yapılandırmalarında yapılan tüm ağ bağlantılarını ve değişikliklerini onaylamaya ve test etmek için resmi bir işlem.
Sizin Sorumluluklarınız
Yapılandırmaları el ile uygulama, örneğin doğrudan Azure portal Azure CLI'sini kullanma. Kod Olarak Altyapı (IaC) kullanılması önerilir. IaC ile altyapı, sürüm sistemi kullanan açıklayıcı bir model aracılığıyla yönetilir. IaC modeli her uygulandığında aynı ortamı üretir. IaC'nin yaygın örnekleri Azure Resource Manager Terraform'tur. IaC bir seçenek yoksa, güvenlik duvarı kuralı değişikliklerini izlemek, uygulamak ve güvenli bir şekilde dağıtmak için iyi belgelenmiş bir işleme sahip olun. Gereksinim 11.2'nin bir parçası olarak daha fazla ayrıntı sağlanır.
Azure Güvenlik Duvarı, ağ güvenlik grupları (NSG) ve Kubernetes kaynağı gibi çeşitli ağ denetimlerinin bir birleşimini NetworkPolicy kullansanız iyi olur.
Ağ denetimlerine erişen ve bu denetimleri değiştiren kişilerin sayısını en aza indirme. Rolleri tanımlama ve ekiplere karşı sorumlulukları temizleme. Örneğin, bir kuruluşun ağ ekibi, DEĞIŞIKLIKLERI, IT ekipleri tarafından ayarlanmış idare ilkelerine göre doğrular. Herhangi bir ağ yapılandırmasında yapılan değişiklikleri onaylamak için kişilerin ve işlemlerin yer alan geçitli bir onay sürecine sahip olun. İşlem, tüm ağ denetimlerini test etmek için bir adım içerir. Süreci açıklayan ayrıntılı belgelere sahipsiniz.
Gereksinim 1.1.2
Kart sahibi veri ortamı ile diğer ağlar arasındaki tüm bağlantıları (kablosuz ağlar da dahil) tanımlayan geçerli ağ diyagramı
Sizin Sorumluluklarınız
Belgelerinizin bir parçası olarak, güvenlik denetimleriyle birlikte gelen ve giden trafiği gösteren bir ağ akışı diyagramı oluşturun. Buna herhangi bir kablosuz ağ da dahil olmak üzere diğer ağlardan CDE'ye trafik akışı dahildir. Diyagramda küme içindeki akışlar da göster gerekir. Diyagramlar için bazı özel gereksinimler vardır; izinsiz giriş algılayıcılarını göstermeleri gerekir. için denetimler
Bu görüntü, başvuru uygulamasının ağ diyagramını gösterir.
Şekil 1.1.2 - Ağ akışı
Bu akışın açıklaması aşağıdaki bölümlerde velanmıştır.
Azure ağ Izleyicisi varsa, bir Azure sanal ağının topolojisini görüntüleyebilirsiniz . Bir sanal ağdaki tüm kaynakları, bir sanal ağdaki kaynaklarla ilişkili kaynakları ve kaynaklar arasındaki ilişkileri görüntüleyebilirsiniz.
Gereksinim 1.1.3
Tüm kart sahibi veri akışlarını sistemler ve ağlarda gösteren geçerli Diyagram.
Sizin Sorumluluklarınız
Belgeleriniz kapsamında, verilerin REST ve iletim sırasında nasıl korunduğunu gösteren bir veri akışı diyagramı ekleyin.
Diyagramda, verilerin iş yüküne ne kadar akışa alınacağını ve bir kaynaktan diğerine hangi bilgilerin geçtiğini göstermesi gerekir. Diyagramın güncel tutulduğundan emin olun. Veri akışı diyagramını güncelleştirmek için değişiklik yönetimi sürecinin bir parçası olarak bir adım ekleyin.
Bu mimari, iş yüküne değil altyapıya odaklandığından, burada çizimler atlandık.
Gereksinim 1.1.4
Her Internet bağlantısında bir güvenlik duvarı ve herhangi bir sivil bölge (DMZ) ile iç ağ bölgesi arasındaki gereksinimler.
Sizin Sorumluluklarınız
, Bir DMZ sınırını tanımlayan açık bir tanımdır. Örneğin, cardş veri ortamı (CDE) güvenlik duvarı, ağ ilkesi ve diğer denetimler tarafından güvenli hale getirilmiş bir DMZ içindedir. Daha fazla bilgi için bkz. Cloud DMZ.
Bir PCI DSS altyapısı için, CDE ile ağ üzerinden izinsiz erişimi engellemek üzere ağ denetimlerini kullanarak CDE 'in güvenliğini sağlamaktan siz sorumlusunuz. Ağ denetimleri güçlü bir güvenlik sonrası için doğru şekilde yapılandırılmalıdır ve bunlara uygulanmaları gerekir:
- Küme içindeki birlikte bulunan bileşenler arasındaki iletişim.
- Güvenilen ağlardaki iş yükü ve diğer bileşenler arasındaki iletişim.
- İş yükü ve genel İnternet arasındaki iletişim.
Bu mimari, her iki yönde trafik akışını incelemek için farklı güvenlik duvarı teknolojileri kullanır:
Azure Application Gateway tümleşik Web uygulaması güvenlik duvarı (WAF), trafik yönlendiricisi olarak ve gelen (giriş) trafiği kümeye güvenli hale getirmek için kullanılır.
Azure Güvenlik Duvarı, tüm ağ ve alt ağlarının giden (çıkış) trafiğinin güvenliğini sağlamak için kullanılır.
İşlem veya yönetim işlemlerini işlemenin bir parçası olarak, kümenin dış varlıklarla iletişim kurması gerekir. örneğin, küme aks denetim düzlemi ile iletişim gerektirebilir, Windows ve paket güncelleştirmelerini alabilir ve dışarıdan iş yükünün dış apı 'lerle etkileşimini gerektirebilir. Bu etkileşimlerin bazıları HTTP üzerinden olabilir ve saldırı vektörü olarak düşünülmelidir. Bu vektörler, verilerin ayıklanma yol açacak bir ortadaki adam saldırısı için hedeflerdir. Çıkış trafiğine güvenlik duvarı eklemek söz konusu tehdidi azaltır.
Hatta Pod-Pod arasındaki iletişimin TLS şifreli olması önerilir. Bu uygulama, bir mTLS ağı kullanımıyla başvuru uygulamasında gösterilir.
NSG 'ler, küme ve altyapı içindeki diğer bileşenler arasındaki güvenli trafiğe eklenir. Örneğin, başvuru uygulamasında, alt ağda, herhangi bir SSH erişimi denemesini engelleyen düğüm havuzları içeren NSG 'ler vardır. Yalnızca sanal ağdan gelen trafiğe izin verilir.
Mimariye bileşen eklerken, alt ağ sınırları üzerinde trafik türlerine izin veren veya reddeden daha fazla NSG eklemeyi göz önünde bulundurun. Her düğüm havuzu ayrılmış bir alt ağda olduğundan, iş yükünüzün beklenen trafik desenlerine göre daha özel kurallar uygulayın.
Kubernetes
NetworkPolicyVarsayılan olarak, Pod-Pod iletişiminde bir kısıtlama yoktur.
NetworkPolicySıfır güvenle bir ağ ile başlayıp gerektiğinde yollar açarak küme içi iletişimlere uygulamanız gerekir. Başvuru uygulama,a0005-ive ad alanlarında sıfır-Trust ağları gösterira0005-o. Tüm ad alanları (kube-system,gatekeeper-systemve diğer aks tarafından belirtilen ad alanları hariç) kısıtlayıcıNetworkPolicyuygulanmış. İlke tanımı, bu ad alanlarında çalışan yığınlara bağlıdır. Hazır olma, belirsizlik ve başlangıç araştırmaları için yolları açın. Ayrıca,oms-agentdüğüm düzeyi ölçümlerin gönderilebilmesi için yolunu açın.NetworkPolicyİzin verilen kapsayıcı bağlantı noktaları için tutarlı ve Azure ilkesi sağlayabilmeniz için, bağlantı noktalarını iş yükleri genelinde standartlaştırın.
Gereksinim 1.1.5
Ağ bileşenlerinin yönetimine yönelik grupların, rollerin ve sorumlulukların açıklaması.
Sizin Sorumluluklarınız
Ağ akışlarına ve ilgili bileşenlere denetimler sağlamanız gerekir. Elde edilen altyapıda, her biri çok denetim ve her denetim bir amaçla olmak üzere birkaç ağ kesimine sahip olacaktır. Belgelerinize yalnızca ağ planlamasının tüm yapılandırmalara kadar kapsama sahip olmadığından ve ayrıca sahiplik hakkındaki ayrıntılara sahip olduğundan emin olun. Açık bir sorumluluk satırı ve bunlardan sorumlu olan roller vardır.
Örneğin, Azure ile internet arasında ağ güvenliğinin sağlanmasından kimin sorumlu olduğunu öğrenin. Bir kuruluşta BT ekibi, Azure Güvenlik duvarı kuralları, Web uygulaması güvenlik duvarı (WAF), NSG 'ler ve diğer çapraz ağ trafiği yapılandırma ve bakımının sorumluluğundadır. Bunlar ayrıca kurumsal çapta sanal ağ ve alt ağ ayırmadan ve IP adresi planlamadan sorumlu olabilir.
İş yükü düzeyinde, ağ ilkeleri üzerinden Zero-Trust korumanın bir küme operatörü sorumludur. Ayrıca, sorumluluklar Azure denetim düzlemi, Kubernetes API 'Leri ve izleme teknolojileriyle iletişim içerebilir.
Her zaman reddet-tümü stratejisi ile başlayın. Yalnızca bir iş ihtiyacı veya bir rol gerekçe olduğunda izin verin.
Gereksinim 1.1.6
Güvenli olmayan kabul edilen protokoller için uygulanan güvenlik özelliklerinin belgeleri de dahil olmak üzere tüm hizmetler, protokoller ve bağlantı noktalarının kullanımı için iş doğrulaması ve onay belgeleri.
Sizin Sorumluluklarınız
Ağ denetimlerinde kullanılan Hizmetleri, protokolleri ve bağlantı noktalarını açıklayan ayrıntılı belgeler vardır. Açıkça izin verilen bağlantı noktaları hariç tümünü reddet. Güvenli olmayan protokollerin kullanılması önlenebilir, iş gerekçesini ve belgelenen güvenlik özelliklerini belgeleyin. Azure Güvenlik Duvarı için başvuru uygulamasından birkaç örnek aşağıda verilmiştir. Güvenlik duvarı kuralları, yalnızca ilgili kaynaklarıyla kapsamlandırılmalıdır. Diğer bir deyişle, belirli FQDN hedeflerine yalnızca belirli kaynaklardan gelen trafiğin erişmesine izin verilir. Trafiğe izin vermek için bazı durumlar aşağıda verilmiştir.
| Kural | Protokol:Bağlantı Noktası | Kaynak | Hedef | Gerekçe |
|---|---|---|---|---|
| Düğümler ve denetim düzlemi arasında güvenli iletişime izin verin. | HTTPS: 443 | Küme düğüm havuzlarına atanan yetkilendirilmiş IP adresi aralıkları | AKS denetim düzleminde FQDN hedefleri listesi. Bu, AzureKubernetesService FQDN etiketiyle belirtilir. |
Düğümlerin, yönetim araçları, durum ve yapılandırma bilgileri ve hangi düğümlerin ölçeklendirilebileceği hakkında bilgi için denetim düzlemine erişmesi gerekir. |
| Flox ve GitHub arasında güvenli iletişime izin verin. | HTTPS: 443 | AKS düğüm havuzları | GitHub. com, api. GitHub. com | Flox, düğümlerde çalışan üçüncü taraf bir tümleştirmedir. küme yapılandırmasını özel bir GitHub deposuyla eşitler. |
Gerekli bağlantı noktaları hakkında daha fazla bilgi için bkz. Azure hizmeti için resmi belgeler.
Gereksinim 1.1.7
Güvenlik Duvarı ve yönlendirici kuralı kümelerini en az altı ayda bir gözden geçirme gereksinimi.
Sizin Sorumluluklarınız
Ağ yapılandırmalarının ve kapsamlı kuralların incelenmesi için en az altı ayda bir işlem yapın. Bu, güvenlik ilişkinin geçerli ve geçerli olmasını sağlayacaktır. Bu konfigürasyonları gözden geçirdiğinizden emin olun:
- Azure Güvenlik duvarı kuralları.
- NSG kuralları.
- Azure Application Gateway ve WAF kuralları.
- Yerel Kubernetes ağ ilkeleri.
- İlgili Azure kaynaklarında güvenlik duvarı denetimleri. Örneğin, Bu mimaride yalnızca özel bir uç noktadan gelen trafiğe izin veren Azure Container Registry bir kural kullanılır.
- Mimariye eklediğiniz diğer tüm ağ denetimleri.
Gereksinim 1,2
Güvenilmeyen ağlar ve cardtutucusu veri ortamındaki tüm sistem bileşenleri arasındaki bağlantıları kısıtlayan güvenlik duvarı ve yönlendirici yapılandırması oluşturun.
Sizin Sorumluluklarınız
Bu mimaride, AKS kümesi, cardtutucusu veri ortamının (CDE) temel bir bileşenidir. Gelişmiş güvenlik için kümenin özel bir küme olarak dağıtılmasını önemle öneririz. Özel kümede, AKS tarafından yönetilen Kubernetes API sunucusu ve düğüm havuzlarınız arasındaki ağ trafiği özeldir. API sunucusu, kümenin ağındaki özel bir uç nokta aracılığıyla sunulur.
Ayrıca, bir ortak küme seçebilirsiniz, ancak bu seçenekle ilgili olası güçlüklerden haberdar olabilirsiniz. API sunucusu internet 'e sunulacaktır. DNS kaydı her zaman bulunabilir olacaktır. Bu nedenle, küme API 'sini ortak erişime karşı korumak için denetimlere sahip olmanız gerekir. Bir yaklaşım, Kubernetes rol tabanlı erişim denetimleri (RBAC) aracılığıyla, AKS 'nin yetkilendirilmiş IP aralıkları özelliğiyle eşleştirilmiş olan sıkı denetimleridir. Ancak, bu çözüm düzenlenmiş iş yüklerini içeren kümeler için önerilmez.
Kart sahibi verileri (CHD) işlenirken, kümenin güvenilir ve güvenilmeyen olarak kabul edilen ağlarla etkileşim kurması gerekir. Bu mimaride, PCI DSS 3.2.1 iş yükünün çevresi içindeki hub-ışınsal ağları güvenilen ağlar olarak kabul edilir.
Güvenilmeyen ağlar, bu çevre dışındaki ağlardır. Bu kategori, aynı altyapıda olabilecek, ancak Azure 'da veya başka bir bulut platformunda iş yükü çevre, genel İnternet, şirket ağı veya sanal ağlar dışında kalan diğer hub 'ları ve bağlı ağları içerir. Bu mimaride, görüntü oluşturucuyu barındıran sanal ağ, CHD işlemede oynamasına hiç bir bölüm içermediğinden güvenilir değil. CDE 'in bu gibi ağlarla etkileşimi, gereksinimlere göre güvenli hale gelmelidir. Bu özel kümeyle, tüm ortamın güvenliğini sağlamak için Azure sanal ağını, NSG 'yi ve diğer yerleşik özellikleri kullanabilirsiniz.
Özel kümeler hakkında daha fazla bilgi için bkz. özel Azure Kubernetes hizmet kümesi oluşturma.
Gereksinim 1.2.1
Gelen ve giden trafiği, cardş veri ortamı için gerekli olan ile sınırlayın ve özel olarak diğer tüm trafiği reddedin.
Sizin Sorumluluklarınız
Tasarıma göre, Azure sanal ağına genel İnternet tarafından doğrudan ulaşılamıyor. Tüm gelen (veya giriş) trafiği bir ara trafik yönlendiricisinden gelmelidir. Ancak, ağdaki tüm bileşenler ortak uç noktalara erişebilir. Giden (veya Çıkış) trafiği, yalnızca güvenli ŞIFRELEME ve TLS 1,2 veya üzeri olarak güvenli bir şekilde güvence altına alınmalıdır.
Azure Application Gateway tümleşik WAF, tüm HTTP (S) giriş trafiğini karşılar ve bu trafiği kümeye göre incelelir.
Bu trafik güvenilen veya güvenilmeyen ağlardan kaynaklanabilirler. Application Gateway, bağlı olan ağın bir alt ağında sağlanır ve bir NSG tarafından güvenliği sağlanmış olur. Trafik akışı olarak WAF kuralları izin verir veya reddeder ve trafiği yapılandırılan arka uca yönlendirir. Örneğin, Application Gateway bu tür trafiği reddeterek CDE 'ı korur:
- TLS şifreli olmayan tüm trafik.
- Azure altyapısından denetim düzlemi iletişimi için bağlantı noktası aralığının dışındaki trafik.
- Kümedeki iç yük dengeleyici dışında varlıklar tarafından gönderilen durum araştırmaları istekleri.
Azure Güvenlik Duvarı, güvenilen ve güvenilmeyen ağlardan gelen tüm giden (çıkış) trafiği güvenli hale getirmek için kullanılır.
Azure Güvenlik Duvarı, hub ağının bir alt ağında sağlanır. Azure Güvenlik duvarını tek çıkış noktası olarak zorlamak için, Kullanıcı tanımlı yollar (UDRs), çıkış trafiği üretebilen alt ağlarda kullanılır. Bu, görüntü Oluşturucu sanal ağı gibi güvenilmeyen ağlarda alt ağlar içerir. Trafik Azure Güvenlik duvarına ulaştıktan sonra, belirli kaynaklardan gelen trafiğin belirli hedeflere gitmesini sağlayan çeşitli kapsamlı kurallar uygulanır.
Daha fazla bilgi için bkz. Azure Kubernetes hizmeti (AKS) dağıtımlarını korumak Için Azure Güvenlik duvarını kullanma.
Kümenin, genel İnternet üzerinden diğer hizmetlere erişmesi gerekir. Üçüncü taraf kötü amaçlı yazılımdan koruma yazılımı kullanıyorsanız, ortak internet üzerinden bir sunucudan virüs tanımlarını alması gerekecektir.
Diğer Azure hizmetlerinin uç noktaları ile etkileşimler Internet üzerinden yapılır. Bu etkileşimlerin güvenli olduğundan emin olun. Örneğin, normal işlemlerin bir parçası olarak, kümenin yönetilen anahtar deposundan sertifikaları alması, bir kapsayıcı kayıt defterinden görüntü çekmek ve bu şekilde devam edebilmesi gerekir. Önceki görevleri yapmak için Azure Key Vault ve Azure Container Registry gibi diğer hizmetler için özel bağlantıları kullanabilirsiniz.
Güvenlik duvarı kuralları ve özel ağlara ek olarak, NSG akışları da kurallar aracılığıyla güvenlik altına alınır. Burada, bu mimarideki, CDE 'in trafiği reddeterek korunduğu bazı örnekler:
- Düğüm havuzlarının bulunduğu alt ağlarda bulunan NSG 'ler, düğümlerine tüm SSH erişimini reddeder. Tam zamanında acil durum erişimi için bir işleme sahip olmaya devam ederken, Reddet-tümü ilkesini sürdürmektedir.
- Yönetim araçlarını çalıştırmaya yönelik geçiş kutusu olan alt ağdaki NSG, hub ağındaki Azure 'dan gelen tüm trafiği engeller.
- Azure Key Vault ve Azure Container Registry için özel uç noktalara sahip alt ağlarda bulunan NSG 'ler, iç yük dengeleyici ve Azure özel bağlantısı üzerinden trafiği hariç tüm trafiği reddeder.
Gereksinim 1.2.2
Yönlendirici yapılandırma dosyalarını güvenli hale getirin ve eşitler.
Sizin Sorumluluklarınız
Gerçek dağıtılan durum ve istenen durum arasındaki Delta tespit eden bir mekanizmaya sahiptir. Kod olarak altyapı (IAC), bu amaçla harika bir seçimdir. Örneğin, Azure Resource Manager şablonlarının istenen durumda bir kaydı vardır.
ARM şablonları gibi dağıtım varlıklarının, tüm değişikliklerin geçmişine sahip olması için kaynak denetimli olması gerekir. Azure etkinlik günlüklerinden, dağıtım işlem hattı günlüklerinden ve Azure dağıtım günlüklerinden bilgi toplayın. Bu kaynaklar, dağıtılan varlıkların bir izini tutmanıza yardımcı olur.
Kümede, Kubernetes ağ ilkeleri gibi ağ denetimleri de kaynak denetimli akışı izlemelidir. Bu uygulamada, Flox Gilar işleci olarak kullanılır. Ağ ilkeleri gibi bir küme yapılandırmasını eşitlerken, Flox ve API günlükleriyle birleştirilmiş git geçmişiniz bir yapılandırma geçmişi kaynağı olabilir.
Gereksinim 1.2.3
Tüm kablosuz ağlar ve kart sahibi veri ortamı arasında çevre güvenlik duvarları yükleyip bu güvenlik duvarlarını reddetmek için yapılandırın veya iş amaçlarına yönelik trafik gerekliyse, kablosuz ortam ile kart sahibi veri ortamı arasında yalnızca yetkili trafiğe izin ver.
Sizin Sorumluluklarınız
AKS düğümlerine ve düğüm havuzlarına kablosuz ağlardan ulaşılamamalıdır. Ayrıca, Kubernetes API sunucusuna yapılan isteklerin reddedilmesi gerekir. Bu bileşenlere erişim, yetkili ve güvenli alt ağlarla kısıtlıdır.
Genel olarak, şirket içi trafikten bağlı olan ağa erişimi sınırlayın.
Gereksinim 1,3
Internet ve kart sahibi veri ortamındaki herhangi bir sistem bileşeni arasında doğrudan genel erişimi yasakla.
Sizin Sorumluluklarınız
AKS küme düğümü havuzları sanal ağ içinde çalışır ve internet gibi ortak ağlardan yalıtılmıştır. Genel IP 'lerin küme düğümlerine ilişkilendirmesini önleyin ve internet trafiğinin engellenmiş olduğundan emin olmak için küme alt ağlarına NSG kuralları uygulayarak yalıtımı koruyun. Denetimli erişim hakkında bilgi için bkz. DMZ bölümü.
AKS kümesinde kritik sistem yığınlarını barındıran sistem düğüm havuzları vardır. Kullanıcı düğümü havuzlarında bile, küme işlemlerine katılan diğer hizmetleri çalıştıran Pod 'ler vardır. örneğin, pod, trafiği bir GitHub deposuna ya da trafiği iş yükü ayırımlara yönlendirmek üzere giriş denetleyicisi olarak eşitlemeye yönelik flox çalıştırabilir. Düğüm havuzunun türünden bağımsız olarak tüm düğümlerin korunması gerekir.
Başka bir kritik sistem bileşeni, küme ve yapılandırma durumunu korumak gibi yerel Kubernetes görevlerini yapmak için kullanılan API sunucusudur. Özel küme kullanmanın bir avantajı, API sunucusu uç noktasının varsayılan olarak sunulmasıdır. Özel kümeler hakkında daha fazla bilgi için bkz. özel Azure Kubernetes hizmet kümesi oluşturma.
Diğer uç noktalara sahip etkileşimler de güvenli olmalıdır. Tek bir yöntem, özel bir ağ üzerinden iletişimleri kısıtlamadır. Örneğin, küme çekme görüntülerini özel bir bağlantı üzerinden Azure Container Registry.
Gereksinim 1.3.1
Gelen trafiği yalnızca yetkili genel olarak erişilebilen Hizmetleri, protokolleri ve bağlantı noktalarını sağlayan sistem bileşenleriyle sınırlamak için bir DMZ uygulayın.
Sizin Sorumluluklarınız
Aşağıda bazı en iyi uygulamalar verilmiştir:
- Düğüm havuzu düğümlerinde genel IP adreslerini yapılandırmayın.
- Düğümlerin önünde genel yük dengeleyiciye sahip değilsiniz. Küme içindeki trafik, iç yük dengeleyiciler aracılığıyla yönlendirilmelidir.
- Yalnızca WAF ile tümleştirilmiş Azure Application Gateway iç yük dengeleyicileri kullanıma sunun.
- Tüm ağ denetimleri, varsa kaynak, hedef, bağlantı noktası ve protokol kısıtlamalarını belirtmelidir.
- API sunucusunu Internet 'te kullanıma sunma. Kümeyi özel modda çalıştırdığınızda, uç nokta gösterilmez ve düğüm havuzları ile API sunucusu arasındaki iletişim özel bir ağ üzerinden yapılır.
Kullanıcılar, AKS kümelerini korumak için bir çevre ağı uygulayabilir. Bilgi için bkz. Cloud DMZ.
Gereksinim 1.3.2
Gelen Internet trafiğini DMZ içindeki IP adresleriyle sınırlayın.
Sizin Sorumluluklarınız
Küme ağında, iç yük dengeleyiciye sahip alt ağda bir NSG 'si vardır. Yalnızca Azure Application Gateway WAF ile tümleştirilmiş alt ağdan gelen trafiği kabul etmek için kuralları yapılandırın. AKS kümesi içinde, Kubernetes ' i kullanarak giriş NetworkPolicies trafiğini pods ile sınırlayın.
Gereksinim 1.3.3
Sahte kaynak IP adreslerinin ağı girmesini algılamak ve engellemek için sahtekarlığı önleme önlemleri uygulayın.
Azure sorumlulukları
Azure, sahte trafiği engellemek ve gelen ve giden trafiği Güvenilen Platform bileşenleriyle kısıtlamak için ağ filtrelemeyi uygular.
Gereksinim 1.3.4
Kart sahibi veri ortamından Internet 'e yetkisiz giden trafiğe izin vermeyin.
Sizin Sorumluluklarınız
Bu, yetkisiz giden trafiği engelleyebilmeniz için kullanabileceğiniz yollardır:
- AKS kümesindeki tüm giden (çıkış) trafiğin Azure Güvenlik Duvarı üzerinden gitmesini zorunlu tutun. Küme alt ağlarında Kullanıcı tanımlı yollara (UDRs) sahip olmanız gerekir. Bu, sistem ve Kullanıcı düğümü havuzlarının alt ağlarını içerir.
- Düğüm havuzları olan alt ağlara NSG 'ler ekleyerek giden trafiği sınırlayın.
- Kubernetes kullanarak
NetworkPoliciesçıkış trafiğini pods 'den kısıtlamak için kullanın. - Ek ilkeleri işlemek için bir hizmet ağı kullanın. Örneğin, yalnızca pods 'ler arasında TLS şifreli trafiğe izin verirseniz, hizmet ağı ara sunucusu TLS doğrulamasını işleyebilir. Bu örnek, bu uygulamada gösterilmiştir. Envoy, proxy olarak dağıtılır.
- Güvenlik Duvarı alt ağları gibi, alt ağlar tarafından açıkça yetkilendirilmediği sürece genel IP adreslerinin CDE içindeki ağlara eklenmesini engelleyin.
Not
Kubernetes 'i kullanarak giriş NetworkPolicies ve çıkış trafiğini yığınlardan ve bu bilgisayarlardan sınırlandırabilirsiniz.
AKS 'ler, Azure tarafından yönetilen denetim düzlemine erişmek için bazı genel internet erişimi gerektirir. Örneğin, küme Azure Izleyici 'ye ölçümler ve Günlükler göndermek istiyor. Kaynak ve hedef FQDN 'leri ya da FQDN etiketlerini belirterek kapsama sahip kuralları ayarlayabilirsiniz. Etiketlerin kullanılması kuralları daha kolay hale getirir, ancak bazı Etiketler ihtiyaç duymadan daha fazla hedef içerebilir ve bu da kuralın aşırı izin vermez. Yalnızca ihtiyacınız olan doğru hedeflere sahip olduğundan emin olmak için etiketleri gözden geçirin. Eklenen denetim için açık kurallar kullanmayı düşünün. Artık gerekli olmayan kuralları kaldırma dahil, yönetim ve karmaşıklık zorunluluğunu getirir ile ilgili olduğunu anlayın.
Ayrıntılar için bkz. Azure Kubernetes Service (AKS) içindeki küme düğümleri Için denetim çıkış trafiği.
Gereksinim 1.3.5
Ağ ile yalnızca "kurulan" bağlantılara izin ver.
Azure sorumlulukları
Azure, sahte trafiği engellemek ve gelen ve giden trafiği Güvenilen Platform bileşenleriyle kısıtlamak için ağ filtrelemeyi uygular. Azure ağı, yönetim trafiğinden müşteri trafiğini ayırmak için ayrılmıştır.
Gereksinim 1.3.6
Kart sahibi verilerini (örneğin, bir veritabanı) bir iç ağ bölgesine depolayan sistem bileşenlerini, DMZ ve diğer güvenilmeyen ağlardan ayırarak yerleştirin.
Sizin Sorumluluklarınız
Depolama sistemlerinizi yalnızca özel bir ağ üzerinden (örneğin, özel bağlantı kullanarak) kullanıma sunun. Ayrıca, erişimi gerektiren düğüm havuzu alt ağından erişimi kısıtlayın. Durumu kümeden ve kendi adanmış güvenlik bölgesinde tutun.
Gereksinim 1.3.7
Özel IP adreslerini ve yönlendirme bilgilerini yetkisiz taraflara açıklamayın.
Sizin Sorumluluklarınız
Bu gereksinimi karşılamak için genel bir AKS kümesi bir seçenek değildir. Özel bir küme, DNS kayıtlarını özel bir DNS bölgesi kullanarak genel İnternet üzerinden tutar. Bununla birlikte, Genel BIR DNS adresi ile özel bır AKS kümesi oluşturmakyine de mümkündür. Bu nedenle, false DENETIM düzleminin özel IP adresinin açıklanmasını engellemek üzere olarak ayarlanarak bu özelliği açıkça devre dışı bırakmanız önerilir. Genel DNS kayıtları olmadan özel kümelerin kullanımını zorlamak için Azure Ilkesi eklemeyi göz önünde bulundurun.
Ayrıca, WAF ile tümleştirilmiş Azure Application Gateway, iç yük dengeleyiciye sahip alt ağ arasında yönlendirme için özel bir DNS bölgesi kullanın. Üst bilgilerde veya gövdede herhangi bir özel IP bilgisinin bulunmadığından emin olun. IP ve DNS kayıtları içerebilen günlüklerin işlem gereksinimlerinin dışında sunulmadığından emin olun.
Özel bağlantıyla bağlantılı bir Azure hizmeti, IP 'nizi açığa çıkaran ortak bir DNS kaydına sahip değildir. Altyapınız, özel bağlantının en iyi şekilde kullanılmasını sağlamalıdır.
Gereksinim 1,4
Ağ dışından Internet 'e bağlanan ve CDE 'e erişmek için de kullanılan taşınabilir bilgi işlem cihazlarına kişisel güvenlik duvarı yazılımı veya eşdeğer işlevselliği yüklemeyin.
Sizin Sorumluluklarınız
Özel küme AKS denetim düzlemi tarafından yönetilir. Doğrudan düğümlere erişiminiz yok. Yönetim görevlerini gerçekleştirmek için, ayrı bir işlem kaynağından kubectl gibi yönetim araçlarını kullanmanız gerekir. Bir seçenek, komutları çalıştırabileceğiniz bir AIR-gapped geç geçiş kutusu kullanmaktır. Ayrıca, sıçrama kutusundan gelen ve giden trafik kısıtlı ve güvenli olmalıdır. Erişim için VPN kullanılıyorsa, istemci makinenin Şirket ilkesi tarafından yönetildiğinden ve tüm koşullu erişim ilkelerinin yerinde olduğundan emin olun.
Bu mimaride, bu geçiş kutusu, bağlı olan ağda ayrı bir alt ağ içinde yer alan. Geçiş kutusuna gelen erişim, yalnızca SSH üzerinden Azure üzerinden erişime izin veren bir NSG kullanılarak kısıtlıdır.
Atma kutusunda belirli komutları çalıştırmak için, genel uç noktalara erişmeniz gerekir. Örneğin, Azure Yönetim düzlemi tarafından yönetilen uç noktalar. Giden trafiğin güvende olması gerekir. Bağlı ağdaki diğer bileşenlere benzer şekilde, sıçrama kutusundan giden trafik, HTTPs trafiğinin Azure Güvenlik Duvarı üzerinden gitmesini zorlayan bir UDR kullanılarak kısıtlanır.
Gereksinim 1,5
Güvenlik ilkelerinin ve güvenlik duvarlarının yönetilmesine yönelik işlem yordamlarının tüm etkilenen taraflar tarafından belgelendiğinden ve bilindiğinden emin olun.
Sizin Sorumluluklarınız
İşlem ve ilkeler hakkında kapsamlı bir belge korumanız önemlidir. Bu durum, AKS kümesini segmentlere ayırmak için Azure Güvenlik duvarı kurallarını yönetirken özellikle doğrudur. Çalışan kullanıcıların, güvenlik güvenlerini desteklemek için eğitime, bilgilendirme ve incentivized olması gerekir. Bu, özellikle geniş yönetim ayrıcalıkları verilen hesaplara sahip kişiler için önemlidir.
Gereksinim 2
Sistem parolaları ve diğer güvenlik parametreleri için satıcı tarafından sağlanan Varsayılanları kullanmayın
Gereksinim 2,1
Bir sistemi ağa yüklemeden önce, satıcı tarafından sağlanan Varsayılanları her zaman değiştirin ve gereksiz varsayılan hesapları kaldırın veya devre dışı bırakın.
Sizin Sorumluluklarınız
Satıcılar tarafından sunulan varsayılan ayarlar değiştirilmelidir. Varsayılan ayarlar yaygın saldırı vektörleridir ve sistemin saldırılara açıktır. Bazı konular aşağıda verilmiştir:
- Kapsayıcı kayıt defterinde yönetici erişimini devre dışı bırakın.
- Geçiş kutularının ve yapı aracılarının, gerekli sistem kullanıcılarını kaldırarak Kullanıcı Yönetimi yordamlarını izlediğinden emin olun.
- Yönetici kullanıcısına düğümlere SSH anahtarı erişimi üretme veya sağlama. Acil erişim gerekliyse, tam zamanında erişim sağlamak için Azure kurtarma işlemini kullanın.
Azure sorumlulukları
Azure Active Directory, kullanıcılar tarafından sağlanan yeni parolalara uygulanan parola ilkelerine sahiptir. Bir parolayı değiştirirseniz, eski parola doğrulaması gerekir. Yönetici sıfırlama parolalarının sonraki oturum açma sonrasında değiştirilmesi gerekir.
Gereksinim 2.1.1
Cardş veri ortamına bağlı olan veya kart sahibi verilerini ileten kablosuz ortamlarda, varsayılan kablosuz şifreleme anahtarları, parolalar ve SNMP topluluk dizeleri dahil, ancak bunlarla sınırlı olmamak üzere yükleme sırasında tüm kablosuz satıcı varsayılanlarını değiştirin.
Sizin Sorumluluklarınız
Bu mimari ve uygulama, kablosuz bağlantılar üzerinden bulut işlemlerine şirket içi veya şirket ağı yapmak için tasarlanmamıştır. Dikkat edilmesi için, resmi PCI-DSS 3.2.1 Standard 'daki kılavuza bakın.
Gereksinim 2,2
Tüm sistem bileşenleri için yapılandırma standartları geliştirin.
Sizin Sorumluluklarınız
Azure Güvenlik kıyaslaması içindeki önerileri uygulayın. CIS, NıST, PCI-DSS 3.2.1 ve diğerleri gibi sektör çerçevelerini kapsayan Azure Güvenlik önerilerinin tek ve birleştirilmiş bir görünümünü sağlar. Standartlara karşı izlemeye yardımcı olması için bulut özellikleri ve Azure Ilkesi için Microsoft Defender 'ı kullanın. Azure Güvenlik kıyaslaması, bulut için Microsoft Defender varsayılan girişimidir. Azure Ilkesi ve Azure kiracı güvenlik çözümü (AzTS) içinde ek otomatik denetimler oluşturmayı düşünün.
Özellikle AKS düğümlerinde, atbox, derleme aracılarında ve kümeyle etkileşime geçen diğer bileşenlerde, CDE içindeki tüm bileşenlerin istenen yapılandırma durumunu belgeleyin.
Daha fazla bilgi için bkz. Azure Güvenlik kıyaslaması.
Azure sorumluluğu
Azure, sektör kabul eden sağlamlaştırma standartları ile tutarlı olan güvenlik yapılandırma standartları sağlar. Standartlar en az yılda bir gözden geçirilir.
Gereksinim 2.2.1
Aynı sunucuda aynı sunucu üzerinde farklı güvenlik düzeyleri gerektiren işlevleri engellemek için sunucu başına yalnızca bir birincil işlev uygulayın. (Örneğin, Web sunucuları, veritabanı sunucuları ve DNS ayrı sunuculara uygulanmalıdır.)
Sizin Sorumluluklarınız
Anahtar stratejisi, gereken segmentasyon düzeyini sağlamaktır. Tek yollardan biri, ayrı kümelerde kapsam içi ve kapsam dışı bileşenleri dağıtmaktır. Bunun, eklenen altyapı ve bakım ek yükü için artan maliyetlere sahip olduğunu anlayın. Başka bir yaklaşım de paylaşılan bir kümedeki tüm bileşenleri birlikte konumlandırmalıdır. Ayrımı sürdürmek için segmentasyon stratejileri kullanın. Örneğin, bir küme içinde ayrı düğüm havuzları vardır.
Başvuru uygulamasında ikinci yaklaşım, tek bir kümeye dağıtılan bir mikro Hizmetler uygulaması ile gösterilmiştir. Uygulamanın iki hizmet kümesi vardır: bir kümenin kapsam içi kapsamları vardır ve diğeri kapsam dışı olur. Her iki küme de iki Kullanıcı düğümü havuzu arasında yayılır. Kubernetes izlerinin kullanımıyla, kapsam içi ve kapsam dışı Pod 'ler ayrı düğüm havuzlarına dağıtılır ve hiçbir şekilde düğüm VM 'si paylaşırlar.
Kapsayıcı teknolojileri için, bir kapsayıcının yalnızca bir örneği sistemdeki bir işlevden sorumlu olduğundan, bu segmentasyon varsayılan olarak sağlanır.
İş yükü Pod tarafından yönetilen kimliği kullanmalıdır. Herhangi bir küme düzeyi veya düğüm düzeyi kimliğini almamalıdır.
Mümkün olduğunda düğüm içi (küme içi) depolama yerine harici depolama alanı kullanın. Kart tutucusu veri işleme işleminin bir parçası olarak gerçekleştirilmesi gereken küme ayırımlarını özel olarak tut. Kapsam dışı işlemleri küme dışında taşıyın. Bu kılavuz, derleme aracıları, ilgisiz iş yükleri veya küme içinde bir sıçrama kutusu olması gibi etkinlikler için geçerlidir.
Gereksinim 2.2.2
Yalnızca gerekli hizmetleri, protokolleri, Daemon 'ları vb. sistem işlevi için gereken şekilde etkinleştirin.
Sizin Sorumluluklarınız
Özellikleri ve etkileri etkinleştirmeden önce etkilerini gözden geçirin. Varsayılan ayarlar, ihtiyacınız olmayan özellikleri içerebilir ve bu özellikler iş yüküne ilişkin görünürlüğe sahip olabilirler. Azure Application Gateway için varsayılan SSL ilkesinde bulunan şifrelemeler buna bir örnektir. İlkenin aşırı izin olup olmadığını denetleyin. Yalnızca ihtiyacınız olan şifrelemeleri seçerek özel bir ilke oluşturmaktır.
Denetimi tamamen kontrol ettiğiniz bileşenler için, tüm gereksiz sistem hizmetlerini görüntüden kaldırın (örneğin, geçiş kutuları ve yapı aracıları).
AKS düğümleri gibi yalnızca görünürlüğünüz olduğu bileşenler için, Azure 'un düğümlere hangi şekilde yüklendiklerine sahip olursunuz. DaemonSetsBu bulut denetimli bileşenler için gereken ek denetimleri sağlamak üzere kullanmayı düşünün.
Gereksinim 2.2.3
Güvenli olmayan olarak kabul edilen tüm gerekli hizmetler, protokoller veya Daemon 'ları için ek güvenlik özellikleri uygulayın.
Sizin Sorumluluklarınız
Application Gateway tümleşik bir WAF içerir ve yalnızca güvenli şifrelemeleri sağlamak için, genel uç noktasına gönderilen istek için TLS el sıkışmasını sağlar. Başvuru uygulama yalnızca TLS 1,2 ve onaylanmış şifrelemeleri destekler.
Azure Application Gateway ile CDE ile etkileşimde bulunmak için gereken eski bir cihazınız olduğunu varsayalım. Bunun için, Application Gateway güvenli olmayan bir protokolü etkinleştirmeleri gerekir. Söz konusu protokol bu eski cihazın ötesinde kullanılıyorsa özel durumu ve izleyiciyi belgeleyin. Eski etkileşim kullanımdan kaldırıldıktan hemen sonra bu protokolü devre dışı bırakın.
Ayrıca, Application Gateway bağlantı noktası 80 ' deki isteklere yanıt vermemelidir. Uygulama düzeyinde yeniden yönlendirmeler gerçekleştirmeyin. Bu başvuru uygulamasının bağlantı noktası 80 trafiğini engelleyen bir NSG kuralı vardır. Kural, Application Gateway alt ağda bulunur.
Kümenizdeki bir iş yükü Güvenlik uyumluluk profilleri veya diğer denetimler (örneğin, sınırlar ve kotalar) üzerinde kuruluş ilkesine bağlı değilse, özel durumun belgelendiğinden emin olun. Yalnızca beklenen işlevlerin gerçekleştirildiğinden emin olmak için ' i izlemeniz gerekir.
Gereksinim 2.2.4
Kötüye kullanımı engellemek için sistem güvenlik parametrelerini yapılandırın.
Sizin Sorumluluklarınız
Mimaride kullanılan tüm Azure Hizmetleri, Azure Güvenlik kıyaslamasıtarafından sunulan önerilere uymalıdır. Bu öneriler, belirli güvenlik yapılandırma ayarlarını seçmek için bir başlangıç noktası sağlar. Ayrıca, yapılandırmanızı bu hizmetin ana hat uygulamasıyla karşılaştırın. Güvenlik temelleri hakkında daha fazla bilgi için bkz. Azure Için güvenlik temelleri.
Açık Ilke Aracısı giriş denetleyicisi, kümedeki yanlış yapılandırmaları algılamak ve engellemek için Azure Ilkesiyle birlikte çalışmaktadır. Düğümlerde genel IP ayırmaya izin veren bir kuruluş ilkesi olduğunu varsayalım. Böyle bir ayırma algılandığında, ilke tanımında belirtilen eyleme göre denetim veya reddedildi olarak işaretlenir.
Altyapı düzeyinde, Azure kaynaklarının türü ve yapılandırmasına yönelik kısıtlamalar uygulayabilirsiniz. Bu servis taleplerini engellemek için Azure Ilkesini kullanın. Bu başvuru uygulamasında, özel olmayan AKS kümelerinin oluşturulmasını engelleyen bir ilke vardır.
Tüm özel durumların belgelendiğinden emin olun.
Azure sorumlulukları
Azure, Multi-Factor Access denetimlerini ve belgelenmiş bir iş gereksinimini kullanarak yalnızca yetkili personelin Azure platform güvenlik denetimlerini yapılandırabilmesini sağlar.
Gereksinim 2.2.5
Betikler, sürücüler, özellikler, alt sistemler, dosya sistemleri ve gereksiz Web sunucuları gibi tüm gereksiz işlevleri kaldırın.
Sizin Sorumluluklarınız
Bir işlemin işlenmesine katılmayan veya güvenlik aracıları gibi uyumluluk gereksinimleri için Observability sağlayan geçiş kutularına yazılım yüklemeyin veya yapı aracılarında yazılım yüklemeyin. Bu öneri, ve gibi küme varlıkları için de geçerlidir DaemonSet . Tüm yüklemelerin algılandığından ve günlüğe bulunduğundan emin olun.
Gereksinim 2,3
Güçlü şifreleme kullanarak tüm konsol dışı yönetim erişimini şifreleyin.
Sizin Sorumluluklarınız
Kümeye tüm yönetim erişimi konsolu kullanılarak yapılmalıdır. Kümenin denetim düzlemini kullanıma sunmayın.
Azure sorumlulukları
Azure, hiper yönetici altyapısına erişirken güçlü şifrelemenin kullanılmasını sağlar. Microsoft Azure Yönetim Portalı kullanan müşterilerin hizmet/ıaas konsollarına güçlü şifreleme ile erişebilmeleri sağlanır.
Gereksinim 2,4
PCI DSS kapsamında olan sistem bileşenlerinin envanterini saklayın.
Sizin Sorumluluklarınız
Mimaride kullanılan tüm Azure kaynakları doğru şekilde etiketlenmelidir. Etiketler veri sınıflandırmasına yardımcı olur ve hizmetin kapsam içinde mi yoksa kapsam dışı mı olduğunu belirtir. Meticulou etiketleme, kaynakları sorgulamanızı, bir envanter tutmanızı, maliyetleri izlemenize ve uyarı ayarlamanıza olanak tanır. Ayrıca, bu belgenin bir anlık görüntüsünü düzenli aralıklarla saklayın.
Kapsam içinde veya kapsam dışında kaynakları ayrıntılı bir düzeyde etiketlemekten kaçının. Çözüm geliştikçe, dolaylı olarak etkileşimde bulunsalar veya kart tutucu verilerle bitişik olsalar bile kapsam dışında kaynaklar kapsam içinde olabilir. Bu kaynaklar denetime tabidir ve denetim sırasında temsili bir örneğin parçası olabilir. Abonelik ve küme düzeyinde daha yüksek bir düzeyde etiketlemeyi göz önünde bulundurabilirsiniz.
Etiketleme konusunda dikkat edilmesi gerekenler hakkında bilgi için bkz. Kaynak adlandırma ve etiketleme kararı kılavuzu.
Kubernetes etiketlerini uygulayarak küme içinde nesneleri etiketleme. Bu şekilde nesneleri düzenleyebilir, bir nesne koleksiyonu ve rapor envanteri seçebilirsiniz.
Gereksinim 2.5
Satıcı varsayılanlarını ve diğer güvenlik parametrelerini yönetmeye yönelik güvenlik ilkelerinin ve operasyonel yordamların belgelenmiş, kullanımda ve etkilenen tüm taraflar tarafından bilindiğiden emin olun.
Sizin Sorumluluklarınız
Süreçler ve ilkeler hakkında kapsamlı belgelere sahip olmak kritik öneme sahip. Personelin her Azure kaynağının güvenlik özellikleri ve yapılandırma ayarlarında eğitilmiş olması gerekir. Denetime tabi ortamlarda çalışan kişilerin güvenlik güvencelerini desteklemek için eğitilmiş, bilgilendirilmiş ve eğitilmiş olması gerekir. Bu, özellikle geniş yönetim ayrıcalıkları verilen yönetici hesapları için önemlidir.
Gereksinim 2.6
Paylaşılan barındırma sağlayıcıları her varlığın barındırılan ortamını ve kart sahibi verilerini korumalı.
Sizin Sorumluluklarınız
Azure, paylaşılan barındırılan ortam için güvenlik güvenceleri sağlar. AKS düğümleri için ayrılmış konaklar kullanılması kesinlikle önerilir. Başka bir ifadeyle, işlem tek bir kiracı modelinde yer alalır.
Sonraki adımlar
Depolanan kart sahibi verilerini koruma. Açık, ortak ağlarda kart sahibi verileri iletimini şifreler.