نهج الأمان لنظام مجموعة منظم AKS ل PCI DSS 4.0.1

توضح هذه المقالة اعتبارات نهج الأمان لمجموعة Azure Kubernetes Service (AKS) التي تم تكوينها وفقا لمعيار أمان بيانات صناعة بطاقات الدفع (PCI DSS 4.0.1).

هذه المقالة جزء من سلسلة. اقرأ المقدمة.

الحفاظ على سياسة أمن المعلومات

الشرط 12: الحفاظ على سياسة أمن المعلومات لجميع الموظفين

تكمل Microsoft تقييما سنويا ل PCI DSS باستخدام مقيم أمان مؤهل معتمد (QSA). يغطي هذا التقييم جميع جوانب البنية التحتية والتطوير والعمليات والإدارة والدعم والخدمات داخل النطاق. لمزيد من المعلومات، راجع معيار أمان البيانات (DSS) لصناعة بطاقات الدفع (PCI).

يتطلب PCI DSS 4.0.1 من المؤسسات إنشاء سياسة شاملة لأمن المعلومات وصيانتها ومراجعتها بانتظام. يجب أن تتناول هذه السياسة الأدوار والمسؤوليات والاستخدام المقبول وأهداف الأمان لجميع الموظفين، بما في ذلك الجهات الخارجية وموفري الخدمات السحابية الذين يتعاملون مع بيانات حامل البطاقة. يجب مراجعة السياسة سنويا على الأقل وتحديثها مع تطور المخاطر.

اعتبارات السحابة والحاوية:

• حدد المسؤولية المشتركة للأمان بين مؤسستك وموفر السحابة/الحاوية في نهجك.
• تأكد من أن السياسات تفرض تعقب مخزون الأصول والخدمات، بما في ذلك الموارد سريعة الزوال مثل الحاويات والخدمات السحابية.
• توصيل السياسة إلى جميع الموظفين وأصحاب المصلحة المعنيين، بما في ذلك أولئك الذين يديرون بيئات السحابة والحاويات.

فيما يلي بعض الاقتراحات العامة:

• الاحتفاظ بوثائق شاملة ومحدثة حول العمليات والسياسات. ضع في اعتبارك استخدام Microsoft Purview Compliance Manager لتقييم المخاطر.
• في المراجعة السنوية لنهج الأمان، قم بتضمين الإرشادات الجديدة التي تقدمها Microsoft وKubernetes وحلول الجهات الخارجية الأخرى التي تعد جزءا من CDE الخاص بك. استخدم موارد مثل Microsoft Defender for Cloud وAzure Advisor وAzure Well-Architected ReviewوAKS Azure Security BaselineوCIS Azure Kubernetes Service Benchmark.
• عند إنشاء عملية تقييم المخاطر الخاصة بك ، قم بالتوافق مع معيار منشور حيثما كان ذلك ممكنا ، على سبيل المثال NIST SP 800-53. قم بتعيين المنشورات من قائمة الأمان المنشورة للمورد، مثل دليل مركز استجابة الأمان من Microsoft، إلى عملية تقييم المخاطر.
• احتفظ بمعلومات up-toالتاريخ حول مخزون الجهاز ووثائق وصول الموظفين. استخدم إمكانات اكتشاف الجهاز، مثل Microsoft Defender لنقطة النهاية، وأدوات المخزون الأصلية على السحابة. لتعقب الوصول، استخدم سجلات Microsoft Entra وسجلات IAM السحابية.
  • اكتشاف الجهاز
  • إدارة الاستحقاقات في إدارة معرف Microsoft Entra
• كجزء من إدارة المخزون الخاص بك، احتفظ بقائمة بالحلول المعتمدة المنشورة كجزء من البنية الأساسية ل PCI وحمل العمل، بما في ذلك صور الجهاز الظاهري وقواعد البيانات وحلول الجهات الخارجية. قم بأتمتة هذه العملية باستخدام كتالوج خدمة لنشر الخدمة الذاتية باستخدام الحلول المعتمدة في تكوين معين. لمزيد من المعلومات، راجع إنشاء كتالوج خدمة.
• تأكد من أن جهة اتصال الأمان تتلقى إشعارات حوادث Azure من Microsoft. تشير هذه الإشعارات إلى ما إذا كان المورد الخاص بك قد تم اختراقه وتمكن فريق عمليات الأمان من الاستجابة بسرعة لمخاطر الأمان المحتملة. تأكد من أن معلومات اتصال المسؤول في مدخل تسجيل Azure تتضمن معلومات جهة الاتصال التي ستقوم بإخطار عمليات الأمان مباشرة أو بسرعة من خلال عملية داخلية. للحصول على التفاصيل، راجع نموذج عمليات الأمان.

لمزيد من المعلومات حول التخطيط للتوافق التشغيلي، راجع الموارد التالية:

• إدارة السحابة في إطار عمل اعتماد السحابة
• الحوكمة في إطار عمل اعتماد سحابة Microsoft ل Azure

الخطوات التالية

تنفيذ إجراءات تحليل المخاطر المستهدفة للأساليب المخصصة والتقييمات الأمنية.

تنفيذ تحليل المخاطر المستهدف