تحرير

مشاركة عبر

ملخص بنيوي لمجموعة خاضعة للتنظيم من AKS (الجزء 9 من 9)

Azure Kubernetes Service (AKS)
Azure Firewall
Azure Application Gateway
Microsoft Defender for Cloud
Azure Monitor

إن Azure Well-Architected Framework عبارة عن مجموعة من المبادئ التوجيهية التي يمكن استخدامها لتقييم حل من الحلول من خلال ركائز الجودة للتميز في هيكل البنية:

بهذه المقالة تنتهي هذه السلسلة. اقرأ المقدمة.

تتضمن هذه الإرشادات المقدمة في هذه السلسلة مبادئ جيدة التصميم في جميع خيارات التصميم. تلخص هذه المقالة تلك الاختيارات. إن تنفيذ نظام المجموعة الأساسية GitHub: Azure Kubernetes Service (AKS) لأحمال العمل المنظمة يوضح هذه الكيانات، حسب الاقتضاء.

تتطلب أحمال العمل PCI DSS 3.2.1 الصرامة لكونها حلاً جيد التصميم. رغم أن محاذاة البنية الأساسية مع متطلبات PCI أمر بالغ الأهمية، إلا إن الامتثال لا يتوقف عند البنية الأساسية للاستضافة. إن عدم معالجة ركائز الجودة، ولا سيما الأمن، يمكن أن يعرض الامتثال للخطر. تجمع الحلول المصممة جيداً كلاً من منظورات البنية الأساسية وحِمل العمل للوصول إلى الدقة اللازمة لتحقيق نتائج متوافقة.

الأمان

اتبع الإرشادات الأساسية الواردة في كيانات تصميم الأمان. يتم تلخيص أفضل الممارسات لبيئة منظمة في هذه الأقسام.

الإدارة

يتم تنفيذ الإدارة من خلال متطلبات الامتثال في PCI-DSS 3.2.1. يؤثر هذا على الضوابط الفنية للحفاظ على التجزئة، والوصول إلى الموارد، واكتشاف الثغرات الأمنية، والأهم من ذلك حماية بيانات العملاء.

إستراتيجية تجزئة المؤسسة

للحفاظ على العزلة الكاملة، نوصي بتوزيع البنية الأساسية المنظمة في اشتراك مستقل. إذا كانت لديك اشتراكات متعددة ضرورية للامتثال، ففكر في تجميعها ضمن تسلسل هرمي لمجموعة إدارة يطبق نُهج Azure ذات الصلة بشكل موحد عبر اشتراكاتك داخل النطاق. ضمن الاشتراك، قم بتطبيق نُهج Azure ذات الصلة على مستوى الاشتراك لتسجيل النُهج العامة التي يجب أن تنطبق على جميع الكتل في بيئة بيانات حامل البطاقة (CDE). قم بتطبيق نُهج Azure ذات الصلة على مستوى مجموعة الموارد لتسجيل النُهج التي تنطبق على مثيل مجموعة معين. تبني هذه النُهج حواجز الحماية الأساسية لمنطقة الهبوط.

عزل حِمل عمل PCI (في النطاق) عن أحمال العمل الأخرى (خارج النطاق) من حيث العمليات والاتصال. يمكنك إنشاء عزل عن طريق توزيع مجموعات منفصلة. أو استخدم إستراتيجيات التجزئة للحفاظ على الفصل. على سبيل المثال، تستخدم المجموعات تجمعات عقد منفصلة بحيث لا تشترك أحمال العمل أبداً في جهاز ظاهري للعقدة (VM).

إنفاذ النُهج

فرض ضوابط الأمان عن طريق تمكين نُهج Azure. على سبيل المثال، في هذه البنية المنظمة، يمكنك منع التكوين الخاطئ لبيئة بيانات حامل البطاقة. يمكنك تطبيق نهج Azure الذي لا يسمح بتخصيصات IP العامة على عقد VM. يتم الكشف عن مثل هذه التخصيصات والإبلاغ عنها أو حظرها.

للحصول على معلومات حول النُهج التي يمكنك تمكينها لـ AKS، راجع التعريفات المضمنة في نهج Azure لخدمة Azure Kubernetes.

يوفر Azure العديد من النُهج المضمنة لمعظم الخدمات. راجع تعريفات النهج المضمنة في نهج Azure وطبِّقها بالشكل المناسب.

مراقبة الامتثال

تجب مراقبة الامتثال والمحافظة عليه بشكل منهجي. يتم تنفيذ إثباتات التوافق العادية. ستساعد معرفة ما إذا كانت موارد السحابة الخاصة بك متوافقة في التحضير للشهادات والتدقيق.

استفد من لوحة معلومات الامتثال التنظيمي في Microsoft Defender for Cloud. من خلال المراقبة المستمرة للوحة القيادة، يمكنك تتبع حالة امتثال حِمل العمل لديك.

مثال على مراقبة التوافق

أمن الشبكة

في طوبولوجيا محور المحور، يوفر وجود شبكات ظاهرية منفصلة لكل كيان تجزئة أساسية في بصمة الشبكات. يتم تقسيم كل شبكة إلى شبكات فرعية.

تشكل مجموعة AKS جوهر CDE. لا ينبغي الوصول إليها من عناوين IP العامة، ويجب تأمين الاتصال. يمكن تصنيف التدفقات النموذجية داخل وخارج CDE على النحو التالي:

  • نسبة استخدام الشبكة الواردة إلى نظام المجموعة.
  • نسبة استخدام الشبكة الصادرة من نظام المجموعة.
  • نسبة استخدام الشبكة داخل نظام المجموعة بين القرون.

لتلبية متطلبات البيئة المنظمة، يتم توزيع نظام المجموعة كمجموعة خاصة. في هذا الوضع، يتم تقييد نسبة استخدام الشبكة من وإلى الإنترنت العام. حتى الاتصال بخادم Kubernetes API الذي تديره AKS خاص. تم تحسين الأمان بشكل أكبر من خلال ضوابط الشبكة الصارمة وقواعد جدار حماية IP.

  • مجموعات أمان الشبكة (NSGs) للمساعدة في تأمين الاتصال بين الموارد داخل الشبكة.
  • جدار الحماية Azure لتصفية أي حركة مرور صادرة بين موارد السحابة والإنترنت والمحلية.
  • Azure Application بوابة مدمجة مع Azure Web Application Framework لتصفية جميع حركات المرور الواردة من الإنترنت التي تعترضها بوابةAzure Application.
  • Kubernetes NetworkPolicy للسماح فقط بمسارات معينة بين الكتل الموجودة في المجموعة.
  • Azure Private Link للاتصال بنظام أساسي Azure الأخرى كخدمات (PaaS)، مثل Azure Key Vault وAzure Container Registry للمهام التشغيلية.

يتم وضع عمليات المراقبة للتأكد من أن تدفق نسبة استخدام الشبكة كما هو متوقع ومن اكتشاف أي شذوذ والإبلاغ عنه.

للحصول على تفاصيل حول أمان الشبكة، راجع تقسيم الشبكة.

أمان البيانات

يتطلب PCI-DSS 3.2.1 ألا تكون جميع بيانات حامل البطاقة (CHD) واضحة أبداً، سواء كانت أثناء النقل أو في التخزين.

نظراً لأن هذه البنية والتنفيذ يركزان على البنية الأساسية وليس حِمل العمل، لا يتم توضيح إدارة البيانات. فيما يلي بعض التوصيات المصممة جيداً.

البيانات في الراحة

يجب تشفير البيانات من خلال خوارزميات التشفير المتوافقة مع معايير الصناعة.

  • لا تقم بتخزين البيانات في بيئة حامل البطاقة.
  • تشفير خارج طبقة التخزين.
  • اكتب البيانات المشفرة فقط في وسيط التخزين.
  • لا تقم بتخزين المفاتيح في طبقة التخزين.

يتم تشفير جميع البيانات الموجودة في Azure Storage وفك تشفيرها باستخدام تشفير قوي. يُفضل استخدام مفاتيح التشفير المُدارة ذاتياً.

إذا كنت بحاجة إلى تخزين البيانات مؤقتاً، فقم بتطبيق نفس الاعتبارات على تلك البيانات. نوصي بشدة بتمكين ميزة تشفير المضيف في AKS. يمكنك فرض تشفير البيانات المؤقتة باستخدام نُهج Azure المضمنة.

عندما تختار تقنية تخزين، استكشف ميزات الاحتفاظ. تأكد من إزالة جميع البيانات بأمان عند انتهاء الوقت المهيأ.

يتطلب المعيار أيضاً عدم تخزين بيانات المصادقة الحساسة (SAD). تأكد من عدم عرض البيانات في السجلات وأسماء الملفات وذاكرة التخزين المؤقت والبيانات الأخرى.

نقل البيانات

يجب أن تكون جميع الاتصالات مع الكيانات التي تتفاعل مع CDE عبر قنوات مشفرة.

  • يجب السماح فقط لحركة مرور HTTPS بالتدفق إلى CDE. في هذه البنية، ترفض Azure Application بوابة كل نسبة استخدام الشبكة عبر المنفذ 80.
  • يفضل عدم تشفير وفك تشفير البيانات خارج CDE. إذا قمت بذلك، فاعتبر هذا الكيان جزءاً من CDE.
  • ضمن CDE، قم بتوفير اتصال آمن بين البودات مع mTLS. يمكنك اختيار تنفيذ شبكة خدمة لهذا الغرض.
  • لا تسمح إلا بأصفار آمنة وTLS 1.2 أو أحدث.

الهوية

اتبع كيانات الأمان هذه عند تصميم نُهج الوصول:

  • ابدأ بنُهج الثقة المعدومة. قم بعمل استثناءات حسب الحاجة.
  • امنح أقل الامتيازات - كافية فقط لإكمال مهمة.
  • قلل من الوصول من وضع الوقوف.

يدير نظام التحكم في الوصول المستند إلى الدور (RBAC) لـ Kubernetes الأذونات إلى Kubernetes API. تدعم AKS أدوار Kubernetes هذه. AKS متكاملة تماما مع معرف Microsoft Entra. يمكنك تعيين هويات Microsoft Entra للأدوار والاستفادة أيضا من الإمكانات الأخرى.

وصول الثقة الصفرية

يتم تنفيذ خدمات Kubernetes RBAC وAzure RBAC وAzureرفض الكل افتراضياً. تجاوز هذا الإعداد بحذر، مع السماح بالوصول إلى الكيانات التي تحتاج إليه فقط. هناك مجال آخر لتطبيق Zero-Trust وهو تعطيل وصول SSH إلى عقد المجموعة.

امتيازات قليلة

يمكنك استخدام الهويات المُدارة لموارد Azure والقرون ونطاقها للمهام المتوقعة. على سبيل المثال، يجب أن تكون لدى Azure Application بوابة أذونات للحصول على البيانات السرية (شهادات TLS) من Azure Key Vault. يجب ألا يكون لديه أذونات لتعديل البيانات السرية.

تقليل الوصول الواقف

تقليل الوصول الدائم باستخدام عضوية مجموعة Microsoft Entra في الوقت المناسب. تقوية عنصر التحكم باستخدام نهج الوصول المشروط في معرف Microsoft Entra. يدعم هذا الخيار العديد من حالات الاستخدام، مثل المصادقة متعددة العوامل، أو تقييد المصادقة على الأجهزة التي يديرها مستأجر Microsoft Entra، أو حظر محاولات تسجيل الدخول غير النمطية.

إدارة البيانات السرية

تخزين البيانات السرية والشهادات والمفاتيح وكلمات المرور خارج CDE. يمكنك استخدام كائنات أسرار Kubernetes الأصلية أو مخزن مفاتيح مدار، مثل Azure Key Vault. استخدام مخزن مُدار يساعد في مهام إدارة البيانات السرية، مثل تدوير المفتاح وتجديد الشهادة.

تأكد من أن الوصول إلى مخزن المفاتيح يحتوي على مجموعة من عناصر التحكم في الشبكة والوصول. عند تمكين الهويات المُدارة، يتعين على المجموعة المصادقة نفسها مقابل Key Vault للوصول إليها. أيضاً، يجب ألا يكون الاتصال بمخزن المفاتيح عبر شبكة الإنترنت العامة. استخدم شبكة خاصة، مثل ارتباط خاص.

التميز التشغيلي

اتبع الإرشادات الأساسية الواردة في كيانات التميز التشغيلي. يتم تلخيص أفضل الممارسات لبيئة منظمة في هذه الأقسام.

فصل الأدوار

إن فرض فصل واضح للواجبات بالنسبة للبيئات المنظمة هو أمر أساسي. تحديد الأدوار والمسؤوليات بناءً على احتياجات حِمل العمل والتفاعل مع CDE. على سبيل المثال، قد تحتاج إلى دور مشغل البنية الأساسية أو مهندس موثوقية الموقع (SRE) للعمليات المتعلقة بالمجموعة والخدمات التابعة. الدور مسؤول عن الحفاظ على الأمن والعزلة والتوزيع والمراقبة. إضفاء الطابع الرسمي على تلك التعريفات وتحديد الأذونات التي تحتاجها تلك الأدوار. على سبيل المثال، تتمتع SREs بامتيازات عالية للوصول إلى المجموعة ولكنها تحتاج إلى وصول للقراءة إلى مساحات أسماء أحمال العمل.

عزل حمل العمل

يتطلب PCI-DSS 3.2.1 عزل حِمل عمل PCI عن أحمال العمل الأخرى من حيث العمليات. في هذا التطبيق، يتم تقسيم أحمال العمل داخل النطاق وخارج النطاق في مجموعتي عقدة مستخدمين منفصلين. قد يكون لمطوري التطبيقات داخل النطاق والمطورين لأحمال العمل خارج النطاق مجموعات مختلفة من الأذونات. أيضا، ستكون هناك بوابات نوعية منفصلة. على سبيل المثال، تخضع التعليمة البرمجية داخل النطاق لدعم الامتثال والتصديق، في حين أن التعليمة البرمجية خارج النطاق ليست كذلك. هناك أيضاً حاجة إلى وجود خطوط تدفق منفصلة لعمليات الإنشاء وإدارة التحرير.

بيانات التعريف التشغيلية

يتطلب منك المطلب 12 من معيار PCI DSS 3.2.1 الاحتفاظ بمعلومات حول مخزون حِمل العمل ووثائق وصول الأفراد. نوصي بشدة باستخدام علامات Azure لأنه يمكنك تجميع معلومات البيئة باستخدام موارد Azure ومجموعات الموارد والاشتراكات.

احتفظ بمعلومات حول الحلول المعتمدة التي تعد جزءاً من البنية الأساسية وحِمل العمل. يتضمن ذلك قائمة بصور VM وقواعد البيانات وحلول الجهات الخارجية التي تختارها والتي تحضرها إلى CDE. يمكنك حتى تنفيذ هذه العملية تلقائياً عن طريق إنشاء كتالوج خدمة. يوفر توزيع الخدمة الذاتية باستخدام تلك الحلول المعتمدة في تكوين محدد، والذي يلتزم بعمليات النظام الأساسي المستمرة.

الملاحظة

للوفاء بالمتطلب 10، تعد إمكانية المراقبة في CDE أمراً بالغ الأهمية للامتثال. توفر سجلات النشاط معلومات حول العمليات المتعلقة بإدارة الحسابات والسرية وإدارة إعدادات التشخيص وإدارة الخادم وعمليات الوصول إلى الموارد الأخرى. يتم تسجيل جميع السجلات مع التاريخ والوقت والهوية والمعلومات التفصيلية الأخرى. الاحتفاظ بالسجلات لمدة تصل إلى عام عن طريق تكوين نهج استبقاء البيانات والأرشفة في سجلات Azure Monitor.

تأكد من الوصول إلى السجلات من خلال الأدوار التي تحتاج إليها فقط. يدعم Log Analytics وMicrosoft Azure Sentinel العديد من ضوابط الوصول المستندة إلى الأدوار لإدارة الوصول إلى مسار التدقيق.

الاستجابة والعلاج

يمكن لخدمات مراقبة Azure، Azure Monitor وMicrosoft Defender for Cloud، إنشاء إعلامات أو تنبيهات عند اكتشاف نشاط غير طبيعي. تتضمن هذه التنبيهات معلومات السياق، مثل الخطورة والحالة ووقت النشاط. عندما يتم إنشاء التنبيهات، يكون لديك إستراتيجية علاج ومراجعة التقدم. نوصي بمركزية البيانات في حل إدارة المعلومات والأحداث الأمنية (SIEM) لأن دمج البيانات يمكن أن يوفر سياق تنبيه غنياً.

من عرض تنبيهات الأمان في Microsoft Defender for Cloud، يمكنك الوصول إلى جميع التنبيهات التي يكتشفها Microsoft Defender for Cloud على مواردك. لديك عملية فرز لمعالجة المشكلة. اعمل مع فريق الأمان لديك لفهم كيفية إتاحة التنبيهات ذات الصلة لأصحاب أحمال العمل.

كفاءة الأداء

اتبع الإرشادات الأساسية الواردة في كيانات كفاءة الأداء. يتم تلخيص أفضل الممارسات لبيئة منظمة في هذه الأقسام.

تغير الحجم

ستشير مراقبة كيفية تكيف البيئة مع المتطلبات المتغيرة إلى سلوك وقت التشغيل المتوقع للبيئة تحت الحِمل العالي. سيؤدي التحجيم التلقائي للموارد في حِمل العمل إلى تقليل التفاعل البشري في CDE. ميزة أمنية إضافية هي تقليل مساحة الهجوم في جميع الأوقات. يمكنك تعظيم الفائدة من خلال الاستفادة من الموارد التي تدعم نهج المقياس إلى الصفر. على سبيل المثال، يدعم AKS تصغير تجمعات عقد المستخدم إلى 0. لمزيد من المعلومات، راجع تحجيم تجمعات عقد المستخدم إلى 0.

التقسيم

التقسيم هو عامل رئيسي لكفاءة الأداء في أحمال العمل المنظمة. يسمح وجود مكونات منفصلة بتعريف واضح للمسؤولية ويساعد في الضوابط الدقيقة، مثل نُهج الشبكة. على غرار أي إستراتيجية تجزئة، يعزل التقسيم المكونات ويتحكم في تأثير مدى التأثير على حالات الفشل غير المتوقعة أو تسوية النظام.

هيكل بنية لا شيء مشترك فيه

تم تصميم بنية لا شيء مشترك لإزالة المنافسة على الاتصال بين أحمال العمل المشتركة. أيضاً، هذه إستراتيجية لإزالة نقاط فشل فردية. في بيئة منظمة، يجب عزل المكونات بواسطة حدود منطقية أو فيزيائية. يتماشى هذا مع بنية لا شيء مشترك، ما يؤدي إلى فوائد قابلية التوسع. كما أنه يسمح باستهداف ضوابط الأمان ذات الصلة وقدرات تدقيق أكثر إحكاماً للمكونات المختلفة.

أحمال عمل خفيفة الوزن

من الصعب توثيق ومراجعة تعقيد أحمال العمل. نسعى جاهدين للبساطة بسبب فوائد الأداء وسهولة التدقيق المتطلبات التنظيمية. أعد النظر في الخيارات التي لها اتساع أكبر مما هو مطلوب، لأن ذلك يزيد من مساحة سطح الهجوم واحتمال إساءة الاستخدام أو التكوين الخاطئ.

الموثوقيه

يجب أن تكون موثوقية البيئات المنظمة قابلة للتنبؤ بها بحيث يمكن شرحها باستمرار لأغراض المراجعة. اتبع الإرشادات الأساسية الواردة في كيانات الموثوقية. يتم تلخيص أفضل الممارسات لبيئة منظمة في هذه الأقسام.

أهداف الاسترداد الإصلاح بعد كارثة

نظراً للطبيعة الحساسة للبيانات التي يتم التعامل معها في أحمال العمل المنظمة، فإن أهداف الاسترداد وأهداف نقطة الاسترداد (RPOs) ضرورية لتحديدها. ما هو الفقد المقبول لأمراض الشرايين التاجية؟ جهود الاسترداد داخل CDE لا تزال خاضعة للمتطلبات القياسية. توقع حالات الفشل ولديك خطة استرداد واضحة لتلك الإخفاقات التي تتوافق مع الأدوار والمسؤوليات والوصول المبرر إلى البيانات. لا تعد مشكلات الموقع المباشر مبرراً للانحراف عن أي لوائح. هذا مهم بشكل خاص في حال الإصلاح بعد كارثة الكاملة. احصل على وثائق واضحة للتعافي من الإصلاح بعد كارثة تلتزم بالمتطلبات وتقلل من الوصول غير المتوقع إلى CDE أو CHD. بعد الاسترداد، راجع دائماً خطوات عملية الاسترداد للتأكد من عدم حدوث وصول غير متوقع. توثيق مبررات الأعمال لتلك الحالات.

الاسترداد

يمكن أن تؤدي إضافة إستراتيجيات المرونة والاسترداد إلى البنية الخاصة بك إلى منع الحاجة إلى الوصول المخصص إلى CDE. يجب أن يكون النظام قادراً على الاسترداد الذاتي في RPO المحدد دون الحاجة إلى تدخل بشري مباشر. بهذه الطريقة، يمكنك التخلص من التعرض غير الضروري لأمراض الشرايين التاجية، حتى لأولئك الأفراد المصرح لهم بالوصول في حالات الطوارئ. يجب أن تكون عملية الاسترداد قابلة للتدقيق.

راجع مخاطر الأمان لأنها يمكن أن تكون مصدراً لوقت تعطل حِمل العمل وفقدان البيانات. تؤثر الاستثمارات في الأمن أيضاً على موثوقية حِمل العمل.

العمليات التشغيلية

تمتد الموثوقية إلى جميع العمليات التشغيلية في CDE والمجاورة لها. عمليات محددة جيداً ومؤتمتة ومُختبرة لمخاوف مثل بناء الصورة وعامل إدارة صندوق الانتقال إلى حل مصمم جيداً.

تحسين التكلفة

اتبع الإرشادات الأساسية الواردة في كيانات تحسين التكلفة.

نظراً لمتطلبات الامتثال والضوابط الأمنية الصارمة، فإن المقايضة الواضحة هي التكلفة. نوصي بإنشاء تقديرات أولية باستخدام حاسبة التسعير.

فيما يلي تمثيل عالي المستوى لتأثير تكلفة الموارد الرئيسية التي تستخدمها هذه البنية.

رسم تخطيطي لإدارة التكلفة في البنية.

المحركات الرئيسية هي مجموعات مقياس الجهاز الظاهري التي تشكل تجمعات العقد وجدار حماية Azure Firewall. مساهم آخر هو Log Analytics. هناك أيضاً تكاليف إضافية مرتبطة بـ Microsoft Defender for Cloud، بناءً على اختيارك للخطط.

لديك فهم واضح لما يشكل سعر الخدمة. يتتبع Azure الاستخدام المحدود. إليك استكشاف لأسفل لجدار حماية Azure Firewall لهذه البنية.

رسم تخطيطي يوضح إدارة التكلفة في مثال جدار حماية Azure.

يمكن توزيع التكلفة المرتبطة ببعض الموارد، مثل Azure Firewall، عبر وحدات عمل أو تطبيقات متعددة. قد تكون هناك طريقة أخرى لتحسين التكلفة تتمثل في استضافة مجموعة متعددة المستأجرين داخل مؤسسة، ما يؤدي إلى زيادة الكثافة مع تنوع حِمل العمل. ومع ذلك، لا نوصي بهذا النهج لأحمال العمل المنظمة. إعطاء الأولوية دائماً للامتثال والتجزئة على مزايا التكلفة.

للالتزام بقيود الميزانية، تتمثل بعض طرق التحكم في التكلفة في تعديل البنية الأساسية لـ Azure Application بوابة، وتعيين عدد المثيلات للتوسيع التلقائي، وتقليل إخراج السجل ما دامت تفي بمسار التدقيق المطلوب بواسطة PCI-DSS 3.2.1. قم دائماً بتقييم هذه الاختيارات مقابل المفاضلات في جوانب أخرى من التصميم التي تسمح لك بتلبية اتفاقية مستوى الخدمة الخاصة بك. على سبيل المثال، هل لا تزال قادرا على التوسع بشكل مناسب لتلبية الارتفاعات في نسبة استخدام الشبكة؟

أثناء قيامك بإنشاء مجموعات من موارد Azure، قم بتطبيق العلامات بحيث يمكن تعقبها مقابل التكلفة. استخدم أدوات إدارة التكاليف مثل Azure Advisor وMicrosoft Cost Management لتعقب التكلفة وتحليلها.

ضع في اعتبارك تمكين تحليل تكلفة AKS لتخصيص تكلفة البنية الأساسية لنظام المجموعة متعدد المستويات بواسطة بنيات Kubernetes المحددة.