تحرير

مشاركة عبر

الكشف عن الثغرات الأمنية لمجموعة AKS المنظمة لـ PCI-DSS 3.2.1 (الجزء 5 من 9)

Azure Kubernetes Service (AKS)
Azure Application Gateway
Microsoft Defender for Cloud

تبين هذه المقالة اعتبارات نظام مجموعة Azure Kubernetes Service (AKS) التي تم تكوينها وفقاً لمعيار أمان بيانات صناعة بطاقات الدفع (PCI-DSS 3.2.1).

هذا المقال جزء من سلسلة. اقرأ المقدمة.

مثل أي حل سحابي، يخضع حمل عمل PCI لتهديدات الشبكة والهوية والبيانات. الأمثلة الشائعة للمصادر التي تستفيد من أحمال العمل والثغرات الأمنية في النظام هي الفيروسات أو تحديثات البرامج التي تنتج نتائج غير مرغوب فيها. الكشف عن التهديدات في وقت مبكر والاستجابة مع التخفيف في الوقت المناسب. إنشاء تنبيهات مهمة لأنشطة حمل العمل وتوسيع هذه التنبيهات لتشمل عمليات النظام الأساسية. يجب أن تكون أدوات مكافحة الفيروسات أو مراقبة سلامة الملفات (FIM) قيد التشغيل دائماً. لديك خطة استجابة مسؤولة وفريق يتحقق من التنبيهات ويتخذ إجراء.

هام

يعتمد التوجيه والتنفيذ المصاحب على البنية الأساسية لـ AKS. تلك البنية تعتمد على طوبولوجيا النظام المحوري. تشتمل الشبكة الظاهرية للمحور على جدار الحماية للتحكم في حركة الخروج وحركة مرور البوابة من الشبكات المحلية وشبكة ثالثة للصيانة. تحتوي الشبكة الظاهرية المتكلمة على مجموعة AKS التي توفر بيئة بيانات حامل البطاقة (CDE) وتستضيف حمل عمل PCI DSS.

شعار GitHubGitHub: يوضح نظام المجموعة الأساسي لخدمة Azure Kubernetes (AKS) لأحمال العمل المنظمة بنية أساسية منظمة. يوضح التنفيذ إعداد أدوات الأمان في مراحل مختلفة من البنية ودورة حياة التطوير. يتضمن ذلك أمثلة لجلب عوامل الأمان الخاصة بك في نظام المجموعة والأدوات الأمنية المقدمة من Azure، على سبيل المثال Microsoft Defender for Cloud.

الاحتفاظ ببرنامج إدارة الثغرات الأمنية

المطلب 5—حماية جميع الأنظمة من البرامج الضارة وتحديث برامج أو برامج مكافحة الفيروسات بانتظام

دعم ميزة AKS

لا تتصرف AKS كمضيف تطبيق تقليدي. تحتوي الأجهزة الظاهرية للعقدة في نظام مجموعة AKS على تعرض محدود وهي مصممة بحيث لا يمكن الوصول إليها مباشرة. نظراً لأن الأجهزة الظاهرية للعقدة لا تساوي الأجهزة الظاهرية التقليدية، فلا يمكنك استخدام أدوات الأجهزة الظاهرية الشائعة. لذلك، يتم تطبيق التوصيات في هذا القسم من خلال بنيات Kubernetes الأصلية. قد يؤدي تطبيق هذه المتطلبات مباشرة على مستوى الجهاز الظاهري إلى عدم دعم نظام المجموعة الخاص بك.

سيتعين عليك نشر برامج مكافحة البرامج الضارة التي تختارها في DaemonSets التي سيتم تشغيلها في جراب على كل عقدة.

مسؤولياتك

تأكد من أن البرنامج متخصص في Kubernetes والحاويات. هناك العديد من خيارات برامج الجهات الخارجية. تشمل الخيارات الشائعة Prisma Cloud و Aquasec. هناك أيضاً خيارات مفتوحة المصدر مثل Falco. تتحمل مسؤولية التأكد من وجود عمليات للتأكد من أن برامج الجهات الخارجية محدثة. أيضاً، مراقبة وتنبيه الحلول هي مسؤوليتك.

المتطلبات المسؤولية
المتطلب 5.1 نشر برامج مكافحة الفيروسات على جميع الأنظمة التي تتأثر عادةً بالبرامج الضارة (وخاصةً أجهزة الكمبيوتر الشخصية والخوادم).
المتطلب 5.2 تأكد من الحفاظ على جميع آليات مكافحة الفيروسات على النحو التالي:
المتطلب 5.3 التأكد من أن آليات مكافحة الفيروسات تعمل بنشاط، ولا يمكن للمستخدمين تعطيلها أو تغييرها، ما لم تصرح الإدارة بذلك على وجه التحديد على أساس كل حالة على حدة لفترة زمنية محدودة.
المتطلب 5.4 تأكد من توثيق سياسات الأمان والإجراءات التشغيلية لحماية الأنظمة من البرامج الضارة واستخدامها ومعروفة لجميع الأطراف المتأثرة.

المتطلب 6—تطوير أنظمة وتطبيقات آمنة وصيانتها

دعم ميزة AKS

مثل خدمات Azure الأخرى، تتبع AKS عمليات Microsoft SDL (دورة حياة تطوير الأمان) للأمان طوال مراحل عملية التطوير. يتم فحص المكونات المختلفة بدءاً من المراحل المبكرة من التطوير ويتم تغطية الثغرات الأمنية في أقرب وقت ممكن.

تتبع صور AKS نهج FedRAMP SLA، والذي يتطلب تصحيح نقاط الضعف في الصور في غضون 30 يوما. لفرض هذا المطلب، يتم تعقيم جميع الصور من خلال مسار DevSecOps.

أسبوعياً، يوفر AKS صوراً جديدة لتجمعات العقد. تقع على عاتقك مسؤولية تطبيقها لضمان تصحيح وتحديث العقد العاملة لمجموعات مقياس الجهاز الظاهري. لمزيد من المعلومات، راجع ترقية صورة عقدة خدمة Azure Kubernetes (AKS).

بالنسبة لمستوى التحكم AKS، تقوم AKS بتثبيت تصحيحات الأمان أو ترقيتها. يتم تحديثها كل 24 ساعة.

يتم تقوية وحدة التحكم AKS والعقد العاملة باستخدام معايير مركز أمان الإنترنت (CIS)، وتحديدا AKS CIS وUbuntu CIS وWindows CIS.

تتكامل AKS مع Azure Container Registry. استخدم Azure Container Registry مع ميزات المسح المستمر في Microsoft Defender for Cloud لتحديد الصور والتطبيقات الضعيفة على مستويات المخاطر المختلفة. للحصول على معلومات حول فحص الصور والتحكم في المخاطر، راجع Microsoft Defender for Containers.

مسؤولياتك

المتطلبات المسؤولية
المتطلب 6.1 قم بإنشاء عملية لتحديد الثغرات الأمنية، باستخدام مصادر خارجية حسنة السمعة لمعلومات الثغرات الأمنية، وتعيين تصنيف المخاطر (على سبيل المثال، "مرتفع" أو "متوسط" أو "منخفض") للثغرات الأمنية المكتشفة حديثا.
المتطلب 6.2 تأكد من حماية جميع مكونات النظام والبرامج من الثغرات الأمنية المعروفة عن طريق تثبيت تصحيحات الأمان القابلة للتطبيق التي يوفرها المورد. تثبيت تصحيحات الأمان الهامة في غضون شهر واحد من الإصدار.
المتطلب 6.3 تطوير تطبيقات البرامج الداخلية والخارجية (بما في ذلك الوصول الإداري المستند إلى الويب إلى التطبيقات) بشكل آمن.
المتطلب 6.4 اتبع عمليات وإجراءات التحكم في التغيير لجميع التغييرات على مكونات النظام.
المتطلب 6.5 معالجة الثغرات الشائعة في الترميز في عمليات تطوير البرامج.
المتطلب 6.6 بالنسبة لتطبيقات الويب التي تواجه الجمهور، قم بمعالجة التهديدات والثغرات الأمنية الجديدة بشكل مستمر وتأكد من حماية هذه التطبيقات من الهجمات المعروفة.
المتطلب 6.7 تأكد من توثيق السياسات الأمنية والإجراءات التشغيلية لتطوير وصيانة الأنظمة والتطبيقات الآمنة، قيد الاستخدام، ومعروفة لجميع الأطراف المتأثرة.

المتطلب 5.1

نشر برامج مكافحة الفيروسات على جميع الأنظمة التي تتأثر عادة بالبرامج الضارة، ولا سيما أجهزة الكمبيوتر الشخصية والخوادم.

مسؤولياتك

تتحمل مسؤولية حماية حمل العمل والبنية الأساسية وتدفقات التوزيع عن طريق اختيار برنامج مناسب لمكافحة البرامج الضارة.

نظرا إلى تقييد الوصول إلى الأجهزة الظاهرية لعقدة AKS، قم بحماية النظام في كل طبقة حيث يمكن إدخال البرامج الضارة إلى الأجهزة الظاهرية للعقدة. تضمين الكشف والوقاية في عقد نظام المجموعة وصور الحاوية وتفاعلات وقت التشغيل مع خادم Kubernetes API. بالإضافة إلى نظام المجموعة، قم بحماية هذه المكونات التي تتفاعل مع نظام المجموعة ويمكن تثبيت برنامج مكافحة الفيروسات بطريقة تقليدية:

  • مربعات الانتقال السريع
  • بناء عوامل

قم بمحاذاة أنشطة الفحص مع دورة حياة تطوير الأمان (SDL). يضمن اتباع SDL تغطية فحص المكونات المختلفة للبنية في المراحل المبكرة من التطوير والفجوات الأمنية في أقرب وقت ممكن.

المتطلب 5.1.1

تأكد من أن برامج مكافحة الفيروسات قادرة على الكشف عن جميع أنواع البرامج الضارة المعروفة وإزالتها وحمايتها.

مسؤولياتك

تعرف على مجموعة الميزات لكل عرض برنامج وعمق المسح الضوئي الذي يمكنه القيام به. يجب أن يمنع البرنامج التهديدات الشائعة ويراقب التهديدات الجديدة. تأكد من تحديث البرنامج واختباره واستبداله بانتظام إذا وجد غير مناسب. ضع في اعتبارك البرامج التي تم تطويرها من قبل موردين ذوي سمعة طيبة.

  • أدوات المراقبة التي تكشف عن الثغرات الأمنية في نظام المجموعة.

    في AKS، لا يمكنك تشغيل حلول الأجهزة الظاهرية التقليدية المستندة إلى العامل مباشرة على الأجهزة الظاهرية للعقدة. سيتعين عليك نشر برامج مكافحة البرامج الضارة في DaemonSets التي سيتم تشغيلها في جراب على كل عقدة.

    اختر البرامج المتخصصة ل Kubernetes وأحمال العمل المعبأة في حاويات. هناك العديد من خيارات برامج الجهات الخارجية. تشمل الخيارات الشائعة Prisma Cloud و Aquasec. هناك أيضاً خيارات مفتوحة المصدر مثل Falco.

    عند نشرها، يتم تشغيلها كعوامل في نظام المجموعة الذي يفحص جميع تجمعات عقدة النظام والمستخدم. على الرغم من أن AKS يستخدم تجمعات عقدة النظام لثنائيات نظام وقت التشغيل الخاصة به، فإن الحوسبة الأساسية لا تزال مسؤوليتك.

    الغرض من تشغيل العامل هو الكشف عن أنشطة نظام المجموعة غير العادية. على سبيل المثال، هل يحاول تطبيق استدعاء خادم API? تقوم بعض الحلول بإنشاء سجل لمكالمات واجهة برمجة التطبيقات بين القرون وإنشاء التقارير وإنشاء التنبيهات. تأكد من مراجعة هذه السجلات واتخاذ الإجراءات اللازمة.

    قم بتثبيت عوامل الأمان مباشرة بعد تمهيد نظام المجموعة لتقليل الفجوات غير الخاضعة للمراقبة بين نظام المجموعة وتوزيع موارد AKS.

    يعمل وكلاء الأمان بامتيازات عالية، ويفحصون كل شيء يتم تشغيله على نظام المجموعة وليس فقط حمل العمل. يجب ألا تصبح مصدراً لاستخراج البيانات. أيضا، هجمات سلسلة التوريد شائعة للحاويات. استخدم استراتيجيات دفاعية متعمقة وتأكد من الوثوق بالبرنامج وجميع التبعيات.

    قم أيضا بتشغيل برنامج مكافحة الفيروسات على الأصول الخارجية التي تشارك في عمليات نظام المجموعة. تتضمن بعض الأمثلة مربعات الانتقال وعوامل الإنشاء وصور الحاوية التي تتفاعل مع نظام المجموعة.

    عندما يقوم العامل بالمسح الضوئي، يجب ألا يمنع العمليات الهامة للمجموعة أو يتداخل معها، مثل تأمين الملفات. قد يتسبب التكوين الخاطئ في حدوث مشكلات في الاستقرار ويمكن أن يجعل نظام المجموعة الخاص بك خارج الدعم.

    هام

    يوفر التنفيذ المرجعي نشر عنصر نائب DaemonSet لتشغيل عامل مكافحة البرامج الضارة. سيتم تشغيل العامل على كل عقدة VM في نظام المجموعة. ضع اختيارك لبرامج مكافحة البرامج الضارة في هذا النشر.

  • الحفاظ على أمان الحاوية. قم بتشغيل أدوات فحص الحاويات في المسار للكشف عن التهديدات التي قد تأتي من خلال صور الحاويات، مثل فحص الثغرات الأمنية CI/CD في Microsoft Defender for Containers. تتضمن خيارات الجهات الخارجية Trivy و Clair. عندما تقوم ببناء الصور، احرص دائماً على البحث عن صور نافرة. تحتوي هذه الصور فقط على الثنائيات الأساسية في صورة Linux الأساسية وتقليل مساحة السطح للهجمات. استخدم حل فحص مستمر مثل تقييم الثغرات الأمنية في Microsoft Defender for Containers للمسح المستمر للصور الثابتة بالفعل في مستودعاتك.

المتطلب 5.1.2

بالنسبة للأنظمة غير المستهدفة عادة أو المتأثرة بالبرامج الضارة، قم بإجراء تقييمات دورية لتحديد وتقييم تهديدات البرامج الضارة المتطورة لتأكيد ما إذا كانت لا تتطلب برامج مكافحة الفيروسات أم لا.

مسؤولياتك

قد تؤثر الثغرات الأمنية الشائعة على المكونات خارج نظام المجموعة. تتبع الثغرات الأمنية من خلال مشاهدة CVEs وتنبيهات الأمان الأخرى من النظام الأساسي لـ Azure. تحقق من وجود تحديثات Azure للميزات الجديدة التي يمكنها الكشف عن الثغرات الأمنية وتشغيل حلول مكافحة الفيروسات على الخدمات المستضافة في Azure.

على سبيل المثال، يجب أن يكون لتخزين الكائن الثنائي كبير الحجم فحص سمعة البرامج الضارة للكشف عن التحميلات المشبوهة. يتضمن Microsoft Defender for Storage فحص سمعة البرامج الضارة. ضع في اعتبارك أيضا ما إذا كان حل مكافحة الفيروسات مطلوباً لمثل هذه الخدمة.

المتطلب 5.2

تأكد من الحفاظ على جميع آليات مكافحة الفيروسات كما يلي:

  • يتم الاحتفاظ الحالي,
  • إجراء عمليات فحص دورية
  • إنشاء سجلات التدقيق، التي يتم الاحتفاظ بها لكل PCI DSS المتطلبات 10.7.

مسؤولياتك

  • تأكد من حماية نظام المجموعة من الهجمات الجديدة باستخدام أحدث إصدار من برنامج الحماية من الفيروسات. هناك نوعان من التحديثات التي يجب مراعاتها:
    • يجب أن يواكب برنامج مكافحة الفيروسات آخر تحديثات الميزات. تتمثل إحدى الطرق في جدولة التحديثات كجزء من تحديثات النظام الأساسي.
    • يجب تطبيق تحديثات التحليل الذكي للأمان بمجرد توفرها للكشف عن أحدث التهديدات وتحديدها. اختيار التحديثات التلقائية.
  • تحقق من أن عمليات فحص الثغرات الأمنية قيد التشغيل، كما هو مجدول.
  • الاحتفاظ بأي سجلات يتم إنشاؤها نتيجة للمسح الضوئي، والتي تشير إلى مكونات صحية وغير صحية. يتم إعطاء فترة الاستبقاء الموصى بها في المتطلب 10.7، وهو سنة.
  • لديك عملية في مكانها تقوم بفرز ومعالجة المشكلات المكتشفة.

للحصول على معلومات حول كيفية تطبيق تحديثات مكافحة الفيروسات Microsoft Defender لنقطة النهاية، راجع برنامج الحماية من الفيروسات من Microsoft Defender معلومات الأمان وتحديثات المنتجات.

المتطلب 5.3

يجب تشغيل ميزات مكافحة الفيروسات بنشاط ولا يمكن تعطيلها أو تغييرها من قبل المستخدمين. ما لم تأذن الإدارة بذلك على أساس كل حالة على حدة لفترة زمنية محدودة.

مسؤولياتك

أنت مسؤول عن إعداد مراقبة وتنبيه عامل الأمان. بناء تنبيهات هامة ليس فقط لحمل العمل ولكن أيضاً عمليات النظام الأساسية. يجب أن يكون العامل قيد التشغيل دائما. الاستجابة للتنبيهات التي رفعها برنامج مكافحة البرامج الضارة.

  • احتفظ بسجل لأنشطة المسح الضوئي. تأكد من أن عملية الفحص لا تسجل أي بيانات لحامل البطاقة تم استخراجها من القرص أو الذاكرة.
  • تعيين تنبيهات للأنشطة التي قد تتسبب في حدوث خطأ غير متوقع في التوافق. لا ينبغي إيقاف تشغيل التنبيهات عن غير قصد.
  • تقييد الأذونات لتعديل نشر العامل، وجميع أدوات الأمان الهامة الأخرى. احتفظ بهذه الأذونات منفصلة عن أذونات نشر حمل العمل.
  • لا تنشر أحمال العمل إذا لم يتم تشغيل عوامل الأمان كما هو متوقع.

المتطلب 5.4

تحقق من توثيق سياسات الأمان والإجراءات التشغيلية لحماية الأنظمة من البرامج الضارة واستخدامها وإبلاغها لجميع الأطراف المتأثرة.

مسؤولياتك

من المهم أن تحتفظ بوثائق شاملة حول العملية والسياسات، خاصة التفاصيل حول حل مكافحة الفيروسات المستخدم لحماية النظام. قم بتضمين معلومات مثل المكان الذي يتم فيه الاحتفاظ بتحديثات التحليل الذكي للأمان في دورة المنتج، وتكرار عمليات الفحص، ومعلومات حول قدرات الفحص في الوقت الحقيقي.

لديك نهج استبقاء لتخزين السجلات. قد تحتاج إلى تخزين طويل الأجل لأغراض التوافق.

الاحتفاظ بوثائق حول إجراءات التشغيل القياسية لتقييم المشكلات ومعالجتها. يجب تثقيف الأشخاص الذين يديرون بيئات منظمة، وإبلاغهم، وتحفيزهم لدعم ضمانات الأمان. هذا مهم للأشخاص الذين هم جزء من عملية الموافقة من منظور النهج.

المتطلب 6.1

قم بإنشاء عملية لتحديد الثغرات الأمنية، باستخدام مصادر خارجية حسنة السمعة لمعلومات الثغرات الأمنية، وتعيين تصنيف المخاطر (على سبيل المثال، مرتفع أو متوسط أو منخفض) إلى الثغرات الأمنية المكتشفة حديثا.

مسؤولياتك

لديك عمليات تتحقق من الثغرات الأمنية المكتشفة ويتم تصنيفها بشكل مناسب. يعرض Microsoft Defender for Cloud التوصيات والتنبيهات، استنادا إلى نوع المورد وشدته وبيئته. تحتوي معظم التنبيهات على تكتيكات MITRE ATT&CK® التي يمكن أن تساعدك على فهم هدف سلسلة القتل. تأكد من أن لديك خطة معالجة للتحقيق في المشكلة والتخفيف من حدتها.

في AKS، يمكنك استخدام Azure Container Registry مع المسح المستمر لتحديد الصور والتطبيقات المعرضة للخطر على مستويات مختلفة من المخاطر. يمكنك عرض النتائج في Microsoft Defender for Cloud.

لمزيد من المعلومات، راجع حماية الحاوية في Defender for Cloud.

المتطلب 6.2

تأكد من حماية جميع مكونات النظام والبرامج من الثغرات الأمنية المعروفة عن طريق تثبيت تصحيحات الأمان القابلة للتطبيق التي يوفرها المورد. تثبيت تصحيحات الأمان الهامة في غضون شهر واحد من الإصدار.

مسؤولياتك

  • لمنع هجمات سلسلة التوريد من موردي الجهات الخارجية، تأكد من الوثوق بجميع التبعيات. من المهم أن تختار موردين موثوق بهم وسمعة جيدة.

  • أسبوعياً، يوفر AKS صوراً جديدة لتجمعات العقد. لا يتم تطبيق هذه الصور تلقائياً. قم بتطبيقها بمجرد توفرها. يمكنك التحديث يدوياً أو تلقائياً من خلال Node Image Update. لمزيد من المعلومات، راجع ترقية صورة عقدة خدمة Azure Kubernetes (AKS)

    بالنسبة لمستوى التحكم AKS، تقوم AKS بتثبيت تصحيحات الأمان أو ترقيتها.

  • كل 24 ساعة، تقوم عقد AKS تلقائياً بتنزيل وتثبيت نظام التشغيل وتصحيحات الأمان، بشكل فردي. يجب ألا يمنع جدار الحماية نسبة استخدام الشبكة هذه إذا كنت تريد تلقي هذه التحديثات.

    ضع في اعتبارك تمكين قدرات إعداد التقارير على عامل الأمان للحصول على معلومات حول التحديثات المطبقة. تتطلب بعض تحديثات الأمان إعادة تشغيل. تأكد من مراجعة التنبيهات واتخاذ إجراء لضمان الحد الأدنى أو الصفر من وقت تعطل التطبيق مع عمليات إعادة التشغيل هذه. خيار مفتوح المصدر لإجراء عمليات إعادة التشغيل بطريقة خاضعة للرقابة هو Kured (البرنامج الخفي لإعادة تشغيل Kubernetes).

  • قم بتوسيع عملية التصحيح إلى موارد خارج نظام المجموعة التي تقوم بتوفيرها، مثل مربعات الانتقال وعوامل الإنشاء.

  • ابق على اطلاع بإصدارات AKS المدعومة. إذا كان تصميمك يستخدم إصدارا وصل إلى نهاية عمره، فبادر بالترقية إلى إصدار حالي. لمزيد من المعلومات، راجع العمليات المدعومة.

المتطلب 6.3

تطوير تطبيقات البرامج الداخلية والخارجية (بما في ذلك الوصول الإداري المستند إلى الويب إلى التطبيقات) بشكل آمن، على النحو التالي:

  • وفقا ل PCI DSS (على سبيل المثال، المصادقة الآمنة والتسجيل)
  • استنادا إلى معايير الصناعة و/أو أفضل الممارسات.
  • دمج أمن المعلومات طوال دورة حياة تطوير البرمجيات التي تنطبق على جميع البرامج المطورة داخليا، بما في ذلك البرامج المخصصة أو المخصصة التي طورتها جهة خارجية.

مسؤولياتك

دمج خيارات الأمان وتحديد أولوياتها كجزء من دورة حياة حمل العمل والعمليات.

يتم تعيين العديد من أطر العمل الصناعية لدورة الحياة، مثل إطار عمل NIST. توفر وظائف NIST — تحديد وحماية واكتشاف والاستجابة والاسترداد — استراتيجيات لعناصر التحكم الوقائية في كل مرحلة.

يوفر Microsoft SDL (دورة حياة تطوير الأمان) أفضل الممارسات والأدوات والعمليات للأمان طوال مراحل عملية التطوير. تتبع ممارسات Microsoft SDL لجميع خدمات Azure، بما في ذلك AKS. كما نتبع إطار عمل ضمان الأمان التشغيلي (OSA) لتشغيل الخدمات السحابية. تأكد من أن لديك عملية مماثلة. يتم نشر هذه الممارسات لمساعدتك على تأمين تطبيقاتك.

المتطلب 6.3.1

قم بإزالة حسابات التطوير والاختبار و/أو التطبيقات المخصصة ومعرفات المستخدم وكلمات المرور قبل أن تصبح التطبيقات نشطة أو يتم إصدارها للعملاء.

مسؤولياتك

كجزء من إنشاء نظام المجموعة، يتم إنشاء العديد من مستخدمي Kubernetes المحليين بشكل افتراضي. لا يمكن تدقيق هؤلاء المستخدمين لأنهم لا يمثلون هوية فريدة. وبعضهم يتمتع بامتيازات عالية. قم بتعطيل هؤلاء المستخدمين باستخدام ميزة تعطيل الحسابات المحلية في AKS.

لاعتبارات أخرى، راجع الإرشادات الواردة في معيار PCI-DSS 3.2.1 الرسمي.

المتطلب 6.3.2

راجع التعليمات البرمجية المخصصة قبل الإصدار إلى الإنتاج أو العملاء من أجل تحديد أي ثغرة أمنية محتملة في الترميز (باستخدام عمليات يدوية أو تلقائية) لتضمين ما يلي:

  • تتم مراجعة تغييرات التعليمات البرمجية من قبل أفراد غير مؤلف التعليمات البرمجية الأصلية، ومن قبل أفراد على دراية بتقنيات مراجعة التعليمات البرمجية وممارسات الترميز الآمنة.
  • تضمن مراجعات التعليمات البرمجية تطوير التعليمات البرمجية وفقاً لإرشادات الترميز الآمنة
  • يتم تنفيذ التصحيحات المناسبة قبل الإصدار.
  • تتم مراجعة نتائج مراجعة التعليمات البرمجية والموافقة عليها من قبل الإدارة قبل الإصدار.
مسؤولياتك

يتم الحصول على جميع البرامج المثبتة في نظام المجموعة من سجل الحاوية الخاص بك. على غرار التعليمات البرمجية للتطبيق، لديك عمليات ويفحص الأشخاص صور Azure والجهات الخارجية (Dockerfile وOCI). كذلك:

  • ابدأ مسح صور الحاوية ضوئيا من المراحل الأولية عند إنشاء نظام المجموعة. اجعل عملية المسح جزءاً من البنية الأساسية لبرنامج ربط العمليات التجارية للتكامل المستمر/التوزيع المستمر.

    تأكد من أن مسارات التوزيع الخاصة بك مسورة بطريقة تمر بها صور تمهيد نظام المجموعة و حِمل العمل الخاص بك من خلال مراجعة و/أو بوابة عزل. احتفظ بالمحفوظات حول كيفية وما هي العمليات التي تم استخدامها قبل سحبها إلى نظام المجموعة.

  • تقليل حجم الصورة. عادة ما تحتوي الصور على ثنائيات أكثر مما تتطلبه. لا يؤدي تقليل حجم الصورة إلى فوائد الأداء فحسب، بل يحد أيضاً من سطح الهجوم. على سبيل المثال، سيؤدي استخدام الصور بدون توزيع إلى تقليل سطح الهجوم لصور Linux الأساسية.

  • استخدم أدوات التحليل الثابتة التي تتحقق من تكامل Dockerfile والبيانات. تتضمن خيارات الجهات الخارجية Dockle و Trivy.

  • استخدم الصور الموقعة فقط.

  • فهم (وقبول) الصورة الأساسية التي يوفرها Azure وكيفية توافقها مع معايير CIS. لمزيد من المعلومات، راجع مركز معايير أمان الإنترنت (CIS).

سيساعد Azure Container Registry مع الفحص المستمر في Microsoft Defender for Cloud في تحديد الصور المعرضة للخطر والمخاطر المختلفة التي يمكن أن تشكلها على حمل العمل. لمزيد من المعلومات حول فحص الصور والتحكم في المخاطر، راجع أمان الحاوية.

المتطلب 6.4

اتبع عمليات وإجراءات التحكم في التغيير لجميع التغييرات على مكونات النظام.

مسؤولياتك

تأكد من توثيق عمليات التحكم في التغيير وتصميم مسارات التوزيع وفقاً لتلك العمليات. قم بتضمين عمليات أخرى للكشف عن الحالات التي لا تتم فيها محاذاة العمليات والتدفقات الفعلية.

المتطلب 6.4.1, 6.4.2

  • فصل بيئات التطوير/الاختبار عن بيئات الإنتاج، وفرض الفصل مع عناصر التحكم في الوصول.
  • فصل الواجبات بين بيئات التطوير/الاختبار والإنتاج.
مسؤولياتك

الحفاظ على بيئات وأدوار منفصلة للإنتاج وما قبل الإنتاج تعمل في تلك البيئات.

  • لا تستخدم مجموعة الإنتاج لأغراض التطوير/الاختبار. على سبيل المثال، لا تقم بتثبيت Bridge إلى Kubernetes في مجموعات الإنتاج الخاصة بك. استخدم مجموعات مخصصة لأحمال العمل غير الإنتاجية.

  • تأكد من أن بيئات الإنتاج الخاصة بك لا تسمح بالوصول إلى الشبكة إلى بيئات ما قبل الإنتاج، والعكس صحيح.

  • لا تعيد استخدام هويات النظام في بيئات ما قبل الإنتاج والإنتاج.

    استخدم مجموعات Microsoft Entra لمجموعات مثل مسؤولي نظام المجموعة أو أساسيات البنية الأساسية لبرنامج ربط العمليات التجارية. لا تستخدم المجموعات المعممة أو الشائعة كعناصر تحكم في الوصول. لا تعيد استخدام هذه المجموعات بين مجموعات ما قبل الإنتاج والإنتاج. إحدى الطرق هي استخدام اسم نظام المجموعة (أو معرف مبهم آخر) في اسم المجموعة، لتكون صريحا في العضويات.

    استخدم أدوار التحكم في الوصول المستندة إلى دور Azure (RBAC) بشكل مناسب بين البيئات. عادة ما يتم تعيين المزيد من الأدوار والحقوق في بيئات ما قبل الإنتاج.

    لا ينبغي منح الهويات في مرحلة ما قبل الإنتاج فقط (الممنوحة للخطوط الأساسية أو فرق هندسة البرمجيات) حق الوصول في الإنتاج. وعلى العكس من ذلك، لا ينبغي منح أي هويات للإنتاج فقط (مثل المسارات) حق الوصول في مجموعات ما قبل الإنتاج.

    لا تستخدم نفس الهوية المدارة المعينة من قبل المستخدم لأي مورد في مرحلة ما قبل الإنتاج وفي الإنتاج. تنطبق هذه التوصية على جميع الموارد التي تدعم الهويات المدارة المعينة من قبل المستخدم، وليس فقط المورد المنشور في نظام المجموعة الخاص بك. كقاعدة عامة، يجب أن يكون لموارد Azure التي تتطلب هويات هويتها المميزة بدلا من مشاركتها مع الموارد الأخرى.

  • استخدم الوصول في الوقت المناسب (JIT) للوصول عالي الامتيازات، بما في ذلك على مجموعات ما قبل الإنتاج إذا كان ذلك ممكناً. استخدم نهج الوصول المشروط على كل من مجموعات ما قبل الإنتاج والإنتاج.

المتطلب 6.4.3

لا يتم استخدام بيانات الإنتاج (PANs المباشرة) للاختبار أو التطوير.

مسؤولياتك

تأكد من أن بيانات CHD لا تتدفق إلى بيئة التطوير/الاختبار. الحصول على وثائق واضحة توفر إجراء نقل البيانات من الإنتاج إلى التطوير/الاختبار. ويجب إدراج إزالة البيانات الحقيقية في هذا الإجراء والموافقة عليها من قبل الأطراف المحاسبة.

المتطلب 6.4.4

إزالة بيانات الاختبار والحسابات من مكونات النظام قبل أن يصبح النظام نشطاً / يدخل في الإنتاج.

مسؤولياتك

قم بإزالة بيانات التكوين الافتراضية وبيانات العينة وبيانات الاختبار المعروفة في النظام قبل التوزيع إلى الإنتاج. لا تستخدم بيانات حامل البطاقة لأغراض الاختبار.

المتطلب 6.4.5

يجب أن تتضمن إجراءات التحكم في التغيير لتنفيذ تصحيحات الأمان وتعديلات البرامج ما يلي:

  • 6.4.5.1 وثائق التأثير.
  • 6.4.5.2 تم توثيق موافقة الأطراف المخولة على التغيير.
  • 6.4.5.3 اختبار الوظائف للتحقق من أن التغيير لا يؤثر سلبا على أمان النظام.
  • 6.4.5.4 إجراءات التراجع.
مسؤولياتك

تشير هذه الإرشادات إلى خريطة المتطلبات السابقة:

  • توثيق تغييرات البنية الأساسية المتوقعة نتيجة لتصحيحات الأمان وتعديلات البرامج. هذه العملية أسهل مع نهج البنية الأساسية كتعليمية (IaC). على سبيل المثال، باستخدام ملف Bicep أو قالب Azure Resource Manager (قالب ARM)، يمكنك معاينة تغييرات التوزيع باستخدام عملية ماذا لو. لمزيد من المعلومات، راجع عملية what-if لتوزيع Bicep لتغييرات البنية الأساسية الخاصة بك.

  • تنفيذ البوابات في مسارات التوزيع التي تتحقق من صحة الموافقة على التغييرات الخاصة بالنشر العادي. توثيق مبررات عمليات النشر في حالات الطوارئ حيث ربما تم تجاوز البوابات.

    تحديد مستويات وعمق التغييرات. تأكد من موافقة الفريق على تعريف التغييرات الهامة، بدلاً من التغييرات الطفيفة. إذا كان ذلك عملياً، فقم بأتمتة اكتشاف بعض هذه التغييرات. يجب أن يكون لدى المراجعين لحجم العمل والبنية التحتية وخط الأنابيب فهم واضح للمستويات والتحقق من صحة مقابل تلك المعايير.

  • اختبر تكاليف الأمان. تأكد من أن المعاملات الاصطناعية تختبر مخاوف الأمان (السماح والرفض على حد سواء). تأكد أيضا من أن هذه الاختبارات الاصطناعية تعمل في بيئات ما قبل الإنتاج.

  • لديك عملية سحب في حالة وجود نتائج غير متوقعة لإصلاح الأمان. الاستراتيجية الشائعة هي النشر مع الحفاظ على الحالة السابقة باستخدام عمليات النشر الزرقاء والأخضر. بالنسبة لأحمال العمل، بما في ذلك قواعد البيانات، يكون لها استراتيجية تعمل مع مخططك المحدد ويتم تحديد نطاقها لوحدات النشر الخاصة بك.

المتطلب 6.5

معالجة الثغرات الأمنية الشائعة في التعليمات البرمجية في عمليات تطوير البرامج كما يلي:

  • تدريب المطورين سنوياً على الأقل على تقنيات ترميز آمنة محدثة، بما في ذلك كيفية تجنب الثغرات الأمنية الشائعة في الترميز.
  • تطوير التطبيقات استناداً إلى إرشادات الترميز الآمنة.

مسؤولياتك

من المهم أن يتم تثقيف فرق التطبيقات وفرق العمليات، وإبلاغها، وتحفيزها لدعم أنشطة المسح الضوئي لحمل العمل والبنية الأساسية. فيما يلي بعض الموارد:

المتطلب 6.6

بالنسبة لتطبيقات الويب التي تواجه الجمهور، قم بمعالجة التهديدات والثغرات الأمنية الجديدة بشكل مستمر. تأكد من حماية هذه التطبيقات من الهجمات المعروفة بأي من الطرق التالية:

  • راجع تطبيقات الويب التي تواجه الجمهور باستخدام أدوات أو أساليب تقييم أمان الثغرات الأمنية يدويا أو تلقائيا للتطبيق. إجراء تقييم للثغرات الأمنية سنويا على الأقل وبعد أي تغييرات.

    إشعار

    هذا التقييم ليس هو نفسه عمليات فحص الثغرات الأمنية التي تم إجراؤها كجزء من المتطلب 11.2.

  • تثبيت حل تلقائي يكتشف ويمنع الهجمات المستندة إلى الويب. على سبيل المثال، جدار حماية تطبيق ويب. النشر أمام تطبيقات الويب العامة وتقييم جميع حركة المرور بنشاط.

مسؤولياتك

قم بإجراء عمليات فحص للكشف عن نسبة استخدام الشبكة القادمة من الإنترنت العام باستخدام جدار حماية تطبيق الويب (WAF). في هذه البنية، تتحقق Azure Application Gateway من جميع نسبة استخدام الشبكة الواردة باستخدام WAF المتكامل. يستند WAF إلى مجموعة القواعد الأساسية (CRS) من مشروع أمان تطبيق الويب المفتوح (OWASP). إذا لم تكن عناصر التحكم التقنية في مكانها، فلديها عناصر تحكم تعويضية. إحدى الطرق هي من خلال فحص التعليمات البرمجية اليدوي.

تأكد من أنك تستخدم أحدث إصدارات مجموعة القواعد، وقم بتطبيق القواعد ذات الصلة بحِمل العمل الخاص بك. يجب تشغيل القواعد في وضع الوقاية. يمكنك فرض هذا المطلب عن طريق إضافة مثيل نهج Azure الذي يتحقق من تمكين WAF وتشغيله في هذا الوضع.

احتفظ بالسجلات التي تم إنشاؤها بواسطة Application Gateway WAF للحصول على تفاصيل حول التهديدات المكتشفة. ضبط القواعد حسب الحاجة.

إجراء اختبار الاختراق الذي يركز على التعليمات البرمجية للتطبيق. وبهذه الطريقة، سيجد الممارسون الذين ليسوا جزءاً من فريق التطبيق فجوات أمنية (مثل SQL الحقن واجتياز الدليل) من خلال جمع المعلومات وتحليل نقاط الضعف وإعداد التقارير. في هذا التمرين، قد يحتاج الممارسون إلى الوصول إلى البيانات الحساسة. للتأكد من عدم إساءة استخدام الهدف، اتبع الإرشادات الواردة في قواعد اختبار الاختراق الخاصة بالمشاركة.

المتطلب 6.7

تأكد من توثيق السياسات الأمنية والإجراءات التشغيلية لتطوير وصيانة الأنظمة والتطبيقات الآمنة، قيد الاستخدام، ومعروفة لجميع الأطراف المتأثرة.

مسؤولياتك

من المهم الاحتفاظ بوثائق شاملة حول العمليات والسياسات. يجب تدريب فرقك لتحديد أولويات خيارات الأمان كجزء من دورة حياة حمل العمل وعملياته.

يوفر Microsoft SDL أفضل الممارسات والأدوات والعمليات للأمان طوال مراحل عملية التطوير. تتبع ممارسات Microsoft SDL بدقة عند إنشاء برامج في Microsoft. كما نتبع إطار عمل ضمان الأمان التشغيلي (OSA) لتشغيل الخدمات السحابية. يتم نشر هذه الممارسات لمساعدتك على تأمين تطبيقاتك.

احتفظ بوثائق شاملة لاختبار الاختراق الذي يصف نطاق الاختبار وعمليات الفرز واستراتيجية المعالجة للمشكلات المكتشفة. في حالة وقوع حادث، قم بدمج تقييم المتطلب 6 كجزء من تحليل السبب الأساسي. إذا تم اكتشاف ثغرات (على سبيل المثال، تم اكتشاف انتهاك لقاعدة OWASP)، فقم بإغلاق هذه الثغرات.

في الوثائق، لديك إرشادات واضحة حول حالة حماية WAF المتوقعة.

يجب أن يكون الأشخاص الذين يعملون في بيئات منظمة متعلمين ومطلعين وتحفيزهم لدعم ضمانات الأمن. من المهم للأشخاص الذين يشكلون جزءا من عملية الموافقة من منظور السياسة.

الخطوات التالية

تقييد الوصول إلى بيانات حامل البطاقة حسب الأعمال التي تحتاج إلى معرفتها. تحديد الوصول إلى مكونات النظام ومصادقته. تقييد الوصول الفعلي إلى بيانات حامل البطاقة.

تنفيذ مقاييس قوية للتحكم في الوصول