Upravit

Share via

Zjištění ohrožení zabezpečení regulovaného clusteru AKS pro PCI-DSS 3.2.1 (část 5 z 9)

Azure Kubernetes Service (AKS)
Azure Application Gateway
Microsoft Defender for Cloud

Tento článek popisuje aspekty clusteru Azure Kubernetes Service (AKS), který je nakonfigurovaný v souladu se standardem PCI-DSS 3.2.1 ( Payment Card Industry Data Security Standard).

Tento článek je součástí série článků. Přečtěte si úvod.

Stejně jako jakékoli cloudové řešení podléhá úloha PCI síťové hrozby, identitě a datovým hrozbám. Mezi běžné příklady zdrojů, které využívají ohrožení zabezpečení úloh a systémů, patří viry nebo aktualizace softwaru, které vytvářejí nežádoucí výsledky. Včas detekovat hrozby a reagovat na jejich zmírnění. Vytvořte kritická upozornění pro aktivity úloh a tyto výstrahy můžete rozšířit na základní systémové procesy. Antivirová ochrana nebo nástroje pro monitorování integrity souborů (FIM) musí být vždy spuštěné. Mít zodpovědný plán reakce a tým, který prošetřuje výstrahy a podniká akce.

Důležité

Pokyny a doprovodná implementace vycházejí z architektury standardních hodnot AKS. Tato architektura založená na hvězdicové topologii. Virtuální síť centra obsahuje bránu firewall pro řízení odchozího provozu, provozu brány z místních sítí a třetí sítě pro údržbu. Paprsková virtuální síť obsahuje cluster AKS, který poskytuje datové prostředí držitelů karet (CDE) a hostuje úlohu PCI DSS.

Logo GitHubuGitHub: Standardní cluster Azure Kubernetes Service (AKS) pro regulované úlohy ukazuje regulovanou infrastrukturu. Implementace znázorňuje nastavení nástrojů zabezpečení v různých fázích životního cyklu architektury a vývoje. Patří sem příklady vlastních agentů zabezpečení v clusteru a nástrojů zabezpečení poskytovaných v Azure, například Microsoft Defenderu pro cloud.

Údržba programu pro správu ohrožení zabezpečení

Požadavek 5 – Ochrana všech systémů před malwarem a pravidelná aktualizace antivirového softwaru nebo programů

Podpora funkcí AKS

AKS se nechová jako tradiční hostitel aplikací. Virtuální počítače uzlů v clusteru AKS mají omezenou expozici a jsou navržené tak, aby k němu neměly přímý přístup. Vzhledem k tomu, že virtuální počítače uzlů se neshodují s tradičními virtuálními počítači, nemůžete použít běžné nástroje virtuálních počítačů. Doporučení v této části se proto použijí prostřednictvím nativních konstruktorů Kubernetes. Použití těchto požadavků přímo na úrovni virtuálního počítače může způsobit, že váš cluster nebude podporovat.

V daemonSets, které se budou spouštět v podu na každém uzlu, budete muset nasadit antimalwarový software podle vašeho výběru.

Vaše odpovědnosti

Ujistěte se, že je software specializovaný na Kubernetes a kontejnery. Existuje několik možností softwaru třetích stran. Mezi oblíbené volby patří Prisma Cloud a Aquasec. K dispozici jsou také opensourcové možnosti, jako je Falco. Je vaší zodpovědností zajistit, aby byly zavedeny procesy, aby se zajistilo, že software třetích stran je aktuální. Za monitorování a upozorňování řešení také zodpovídáte.

Požadavek Odpovědnost
Požadavek 5.1 Nasaďte antivirový software na všechny systémy, které jsou běžně ovlivněné škodlivým softwarem (zejména osobní počítače a servery).
Požadavek 5.2 Ujistěte se, že jsou zachovány všechny mechanismy antivirového programu:
Požadavek 5.3 Ujistěte se, že jsou aktivně spuštěné antivirové mechanismy a uživatelé je nemohou zakázat ani měnit, pokud je výslovně neautorizováno správou na základě případu po omezenou dobu.
Požadavek 5.4 Zajistěte, aby zásady zabezpečení a provozní postupy pro ochranu systémů před malwarem byly zdokumentované, používané a známé všem postiženým stranám.

Požadavek 6 – Vývoj a údržba zabezpečených systémů a aplikací

Podpora funkcí AKS

Podobně jako ostatní služby Azure se AKS řídí procesy Microsoft SDL (Security Development Lifecycle) pro zabezpečení v průběhu fází procesu vývoje. V počátečních fázích vývoje a mezer zabezpečení se co nejdříve probírají různé komponenty.

Image AKS se řídí přístupem SLA fedRAMP, který vyžaduje opravu imagí do 30 dnů. K vynucování tohoto požadavku jsou všechny image sanitovány prostřednictvím kanálu DevSecOps.

AKS každý týden poskytuje nové image pro fondy uzlů. Je vaší zodpovědností je použít, aby se zajistilo opravy a aktualizace pracovních uzlů služby Virtual Machine Scale Sets. Další informace najdete v upgradu image uzlu Azure Kubernetes Service (AKS).

Pro řídicí rovinu AKS služba AKS nainstaluje nebo upgraduje opravy zabezpečení. Aktualizují se každých 24 hodin.

Řídicí rovina AKS a pracovní uzly jsou posíleny proti centru pro zabezpečení internetu (CIS). Konkrétně AKS CIS, Ubuntu CIS a Windows CIS.

Služba AKS je integrovaná se službou Azure Container Registry (ACR). Použití ACR s funkcemi nepřetržitého skenování v Programu Microsoft Defender pro cloud k identifikaci ohrožených obrázků a aplikací na různých úrovních rizika Informace o kontrole obrázků a řízení rizik najdete v programu Microsoft Defender for Containers.

Vaše odpovědnosti

Požadavek Odpovědnost
Požadavek 6.1 Vytvořte proces pro identifikaci ohrožení zabezpečení, použití důvěryhodných externích zdrojů pro informace o ohrožení zabezpečení a přiřaďte hodnocení rizik (například "vysoká", "střední" nebo "nízká") nově zjištěným ohrožením zabezpečení.
Požadavek 6.2 Zajistěte, aby všechny systémové komponenty a software byly chráněny před známými ohroženími zabezpečení instalací příslušných oprav zabezpečení dodaného dodavatelem. Nainstalujte důležité opravy zabezpečení do jednoho měsíce od vydání.
Požadavek 6.3 Bezpečně vyvíjejte interní a externí softwarové aplikace (včetně webového přístupu pro správu k aplikacím).
Požadavek 6.4 Pro všechny změny systémových komponent postupujte podle procesů a postupů řízení změn.
Požadavek 6.5 Řešení běžných ohrožení zabezpečení kódování v procesech vývoje softwaru
Požadavek 6.6 U veřejně přístupných webových aplikací vyřešte nové hrozby a ohrožení zabezpečení průběžně a zajistěte ochranu těchto aplikací před známými útoky.
Požadavek 6.7 Zajistěte, aby zásady zabezpečení a provozní postupy pro vývoj a údržbu zabezpečených systémů a aplikací byly zdokumentované, používané a známé všem postiženým stranám.

Požadavek 5.1

Nasaďte antivirový software na všechny systémy, které běžně ovlivňuje škodlivý software, zejména osobní počítače a servery.

Vaše odpovědnosti

Je vaší zodpovědností chránit úlohy, infrastrukturu a kanály nasazení výběrem vhodného antimalwarového softwaru.

Vzhledem k tomu, že přístup k virtuálním počítačům uzlů AKS je omezený, chraňte systém ve vrstvách, které můžou do virtuálních počítačů uzlů vkládat malware. Zahrnuje detekci a prevenci v uzlech clusteru, imagích kontejnerů a interakcích modulu runtime se serverem rozhraní API Kubernetes. Kromě clusteru chraňte tyto komponenty, které komunikují s clusterem, a můžou mít antivirový software nainstalovaný tradičním způsobem:

  • Jump boxy
  • Sestavení agentů

Srovnejte své aktivity kontroly s životním cyklem SDL (Security Development Lifecycle). Podle SDL zajistíte, aby se co nejdříve probíraly různé komponenty architektury v počátečních fázích vývojových a bezpečnostních mezer.

Požadavek 5.1.1

Nastavte, aby antivirové programy jsou schopné detekovat, odstranit a chránit před všemi známými typy škodlivého softwaru.

Vaše odpovědnosti

Seznamte se se sadou funkcí jednotlivých nabídek softwaru a hloubkou kontroly, kterou může provádět. Software by měl blokovat běžné hrozby a monitorovat nové hrozby. Ujistěte se, že se software pravidelně aktualizuje, testuje a nahrazuje, pokud je nalezen nevhodný. Zvažte software vyvinutý důvěryhodnými dodavateli.

  • Monitorovací nástroje, které detekují ohrožení zabezpečení clusteru.

    V AKS nemůžete spouštět tradiční řešení virtuálních počítačů založených na agentech přímo na virtuálních počítačích uzlů. V daemonSets budete muset nasadit antimalwarový software, který se bude spouštět v podu na každém uzlu.

    Zvolte software, který se specializuje na Kubernetes a kontejnery. Existuje několik možností softwaru třetích stran. Mezi oblíbené volby patří Prisma Cloud a Aquasec. K dispozici jsou také opensourcové možnosti, jako je Falco.

    Při nasazení se spustí jako agenti v clusteru, který prohledá všechny fondy uzlů uživatelů a systémů. I když AKS používá fondy systémových uzlů pro binární soubory systému runtime, základní výpočetní prostředky jsou stále vaší zodpovědností.

    Účelem spuštění agenta je detekovat neobvyklé aktivity clusteru. Například se aplikace pokouší volat server rozhraní API? Některá řešení generují protokol volání rozhraní API mezi pody, generují sestavy a generují výstrahy. Zkontrolujte tyto protokoly a proveďte nezbytné akce.

    Okamžitě po spuštění clusteru nainstalujte agenty zabezpečení, abyste minimalizovali nesledované mezery mezi clusterem a nasazením prostředků AKS.

    Agenti zabezpečení běží s vysokými oprávněními a kontrolují vše, co běží v clusteru, a ne jenom úlohy. Nesmí se stát zdrojem exfiltrace dat. Útoky na dodavatelský řetězec jsou také běžné pro kontejnery. Použijte strategie hloubkové ochrany a ujistěte se, že software a všechny závislosti jsou důvěryhodné.

    Také spusťte antivirový software na externích prostředcích, které se účastní operací clusteru. Mezi příklady patří jump boxy, agenti sestavení a image kontejnerů, které komunikují s clusterem.

    Když agent prohledá, neměl by blokovat nebo rušit důležité operace clusteru, jako je například uzamčení souborů. Chybná konfigurace může způsobit problémy se stabilitou a může způsobit výpadky podpory clusteru.

    Důležité

    Referenční implementace poskytuje zástupné DaemonSet nasazení pro spuštění antimalwarového agenta. Agent se spustí na každém virtuálním počítači uzlu v clusteru. V tomto nasazení umístěte svůj výběr antimalwarového softwaru.

  • Udržování bezpečnosti kontejnerů. Spuštěním nástrojů pro kontrolu kontejnerů v kanálu detekujte hrozby, které můžou projít imagemi kontejnerů, jako je kontrola ohrožení zabezpečení CI/CD v programu Microsoft Defender for Containers. Mezi volby třetích stran patří Trivy a Clair. Když vytváříte obrázky, vždy se snažte o nechtěné obrázky. Tyto image obsahují jenom základní binární soubory v základní imagi Linuxu a snižují prostor pro útoky. K průběžné kontrole neaktivních imagí v úložištích použijte řešení průběžné kontroly, jako je posouzení ohrožení zabezpečení v programu Microsoft Defender for Containers .

Požadavek 5.1.2

U systémů, které nejsou běžně zacílené nebo ovlivněné škodlivým softwarem, proveďte pravidelné vyhodnocení, abyste identifikovali a vyhodnotili vyvíjející se malwarové hrozby, abyste ověřili, jestli nadále nevyžadují antivirový software.

Vaše odpovědnosti

Běžná ohrožení zabezpečení můžou mít vliv na komponenty mimo cluster. Sledujte ohrožení zabezpečení sledováním CVE a dalších výstrah zabezpečení z platformy Azure. Vyhledejte aktualizace Azure pro nové funkce, které můžou detekovat ohrožení zabezpečení a spouštět antivirová řešení ve službách hostovaných v Azure.

Úložiště objektů blob by například mělo mít kontrolu reputace malwaru, aby detekovaly podezřelé nahrávání. Nová funkce, Microsoft Defender for Storage, zahrnuje blokování reputace malwaru. Zvažte také, jestli je pro takovou službu vyžadováno antivirové řešení.

Požadavek 5.2

Ujistěte se, že jsou zachovány všechny antivirové mechanismy následujícím způsobem:

  • Jsou udržovány v aktuálním stavu,
  • Provádění pravidelných kontrol
  • Vygenerujte protokoly auditu, které se uchovávají podle požadavku PCI DSS 10.7.

Vaše odpovědnosti

  • Ujistěte se, že je cluster chráněný proti novým útokům pomocí nejnovější verze antivirového softwaru. Je potřeba vzít v úvahu dva typy aktualizací:
    • Antivirový software musí držet krok s nejnovějšími aktualizacemi funkcí. Jedním ze způsobů je naplánovat aktualizace jako součást aktualizací platformy.
    • Aktualizace analýzy zabezpečení je potřeba použít hned, jakmile budou k dispozici, aby bylo možné detekovat a identifikovat nejnovější hrozby. Opt for automatic updates.
  • Podle plánu ověřte, že jsou kontroly ohrožení zabezpečení spuštěné.
  • Zachovejte protokoly vygenerované v důsledku kontroly, které značí, že jsou součásti v pořádku a nejsou v pořádku. Doporučená doba uchovávání je uvedena v požadavku 10,7, což je rok.
  • Mějte na místě proces, který provádí třídění a opravuje zjištěné problémy.

Informace o tom, jak se používají antivirové aktualizace v programu Microsoft Defender, najdete v tématu Správa aktualizací antivirové ochrany v programu Microsoft Defender a použití směrných plánů.

Požadavek 5.3

Antivirové funkce by měly být aktivně spuštěné a uživatelé je nemůžou zakázat ani měnit. S výjimkou případů, kdy je vedení povoleno na základě případu po omezenou dobu.

Vaše odpovědnosti

Zodpovídáte za nastavení monitorování a upozorňování agenta zabezpečení. Vytvářejte kritická upozornění nejen pro úlohy, ale také základní systémové procesy. Agent musí být spuštěn vždy. Reagujte na výstrahy vyvolané antimalwarovým softwarem.

  • Uchovávejte záznam protokolu aktivit kontroly. Ujistěte se, že proces skenování nezapíše z disku nebo paměti žádná data z karet.
  • Nastavte výstrahy pro aktivity, které můžou způsobit neočekávané výpadky dodržování předpisů. Upozornění by neměla být neúmyslně vypnutá.
  • Omezte oprávnění k úpravě nasazení agenta (a dalších důležitých nástrojů zabezpečení). Tato oprávnění nechte oddělená od oprávnění nasazení úloh.
  • Nenasazujte úlohy, pokud agenti zabezpečení neběží podle očekávání.

Požadavek 5.4

Ověřte, že zásady zabezpečení a provozní postupy pro ochranu systémů před malwarem jsou zdokumentované, používané a komunikované všem ovlivněným stranám.

Vaše odpovědnosti

Je důležité udržovat důkladnou dokumentaci k procesu a zásadám, zejména podrobnosti o antivirovém řešení používaném k ochraně systému. Uveďte například informace o tom, kde se v cyklu produktu aktualizace bezpečnostních informací udržují, frekvence kontrol a informace o možnostech kontroly v reálném čase.

Máte zásady uchovávání informací pro ukládání protokolů. Pro účely dodržování předpisů můžete chtít mít dlouhodobé úložiště.

Udržujte dokumentaci ke standardním provozním postupům pro posouzení a nápravu problémů. Lidé, kteří pracují s regulovanými prostředími, musí být poučeni, informovaní a incentivizováni, aby podporovali záruky zabezpečení. To je důležité pro lidi, kteří jsou součástí procesu schvalování z hlediska zásad.

Požadavek 6.1

Vytvořte proces pro identifikaci ohrožení zabezpečení, použití důvěryhodných externích zdrojů pro informace o ohrožení zabezpečení a přiřaďte hodnocení rizik (například vysoké, střední nebo nízké) nově zjištěným ohrožením zabezpečení.

Vaše odpovědnosti

Mají procesy, které kontrolují zjištěná ohrožení zabezpečení a jsou správně seřazené. Microsoft Defender for Cloud zobrazuje doporučení a výstrahy, typ prostředku na základě závažnosti a prostředí. Většina výstrah má taktiku MITRE ATT&CK®, která vám můžou pomoct pochopit záměr kill chain. Ujistěte se, že máte plán nápravy pro zkoumání a zmírnění problému.

V AKS můžete azure Container Registry používat v kombinaci s průběžnou kontrolou k identifikaci ohrožených imagí a aplikací na různých úrovních rizika. Výsledky můžete zobrazit v programu Microsoft Defender for Cloud.

Další informace najdete v tématu Container Registry.

Požadavek 6.2

Zajistěte, aby všechny systémové komponenty a software byly chráněny před známými ohroženími zabezpečení instalací příslušných oprav zabezpečení dodaného dodavatelem. Nainstalujte důležité opravy zabezpečení do jednoho měsíce od vydání.

Vaše odpovědnosti

  • Pokud chcete zabránit útokům dodavatelského řetězce od dodavatelů třetích stran, ujistěte se, že jsou všechny závislosti důvěryhodné. Je důležité, abyste zvolili dodavatele, který je důvěryhodný a důvěryhodný.

  • AKS každý týden poskytuje nové image pro fondy uzlů. Tyto obrázky se nepoužijí automaticky. Použijte je, jakmile budou k dispozici. Aktualizaci bitové kopie uzlu můžete aktualizovat ručně nebo automaticky. Další informace najdete v tématu Upgrade image uzlu Azure Kubernetes Service (AKS)

    Pro řídicí rovinu AKS služba AKS nainstaluje nebo upgraduje opravy zabezpečení.

  • Uzly AKS každých 24 hodin automaticky stahují a instalují operační systém a opravy zabezpečení jednotlivě. Pokud chcete tyto aktualizace dostávat, brána firewall nesmí tento provoz blokovat.

    Zvažte povolení možností vytváření sestav v agentu zabezpečení, abyste získali informace o použitých aktualizacích. Některé aktualizace zabezpečení vyžadují restartování. Nezapomeňte zkontrolovat upozornění a provést akci, abyste zajistili minimální nebo nulový výpadek aplikace při těchto restartováních. Open source možnost provádět restartování řízeným způsobem je Kured (Kubernetes reboot démon).

  • Rozšiřte proces oprav na prostředky mimo cluster, který zřídíte, například jump boxy a agenty sestavení.

  • Mějte aktuální přehled o podporovaných verzích AKS. Pokud váš návrh používá verzi, která dosáhla konce životnosti, upgradujte na aktuální verzi. Další informace naleznete v tématu Podporované verze AKS.

Požadavek 6.3

Vyvíjejte interní a externí softwarové aplikace (včetně webového přístupu pro správu k aplikacím) bezpečně, a to následujícím způsobem:

  • V souladu s PCI DSS (například zabezpečené ověřování a protokolování)
  • Na základě oborových standardů a/nebo osvědčených postupů.
  • Začlenění zabezpečení informací v průběhu životního cyklu vývoje softwaru, které se vztahuje na veškerý software vyvinutý interně, včetně softwaru vyvinutého třetí stranou nebo vlastního softwaru.

Vaše odpovědnosti

Integrujte a upřednostněte volby zabezpečení v rámci životního cyklu a provozu úloh.

Několik oborových architektur se mapuje na životní cyklus, jako je architektura NIST . Funkce NIST – Identifikace, ochrana, detekce, reakce a obnovení – poskytují strategie pro preventivní kontroly v jednotlivých fázích.

Microsoft SDL (Security Development Lifecycle) poskytuje osvědčené postupy, nástroje a procesy zabezpečení v průběhu fází procesu vývoje. Postupy MicrosoftU SDL se řídí pro všechny služby Azure, včetně AKS. Sledujeme také architekturu OSA (Operational Security Assurance) pro provoz cloudových služeb. Ujistěte se, že máte podobný proces. Tyto postupy se publikují, aby vám pomohly zabezpečit vaše aplikace.

Požadavek 6.3.1

Odeberte vývoj, testování a/nebo vlastní účty aplikací, ID uživatelů a hesla předtím, než se aplikace stanou aktivními nebo uvolněné zákazníkům.

Vaše odpovědnosti

V rámci vytváření clusteru se ve výchozím nastavení vytvoří více místních uživatelů Kubernetes. Tito uživatelé se nedají auditovat, protože nepředstavují jedinečnou identitu. Některé z nich mají vysoká oprávnění. Zakažte tyto uživatele pomocí funkce Zakázat místní účty AKS.

Další aspekty najdete v pokynech v oficiální normě PCI-DSS 3.2.1.

Požadavek 6.3.2

Projděte si vlastní kód před vydáním do produkčního prostředí nebo zákazníků, abyste identifikovali potenciální ohrožení zabezpečení kódu (pomocí ručních nebo automatizovaných procesů), aby zahrnovalo následující:

  • Změny kódu jsou zkontrolovány jinými osobami, než je původní autor kódu, a jednotlivci, kteří znalostí o technikách kontroly kódu a zabezpečených postupech kódování.
  • Kontroly kódu zajišťují, že se kód vyvíjí podle bezpečnostních pokynů pro kódování.
  • Před vydáním se implementují příslušné opravy.
  • Výsledky kontroly kódu se před vydáním kontrolují a schvalují ve správě.
Vaše odpovědnosti

Veškerý software nainstalovaný v clusteru je zdrojový z vašeho registru kontejneru. Podobně jako kód aplikace mají procesy a lidé kontrolují image Azure a image třetích stran (DockerFile a OCI). Navíc:

  • Při vytváření clusteru začněte skenovat image kontejneru z počátečních fází. Zpracujte proces kontroly jako součást kanálů kontinuální integrace nebo průběžného nasazování.

    Zajistěte, aby kanály nasazení byly brány takovým způsobem, aby image spouštění clusteru i vaše úlohy prošly kontrolou nebo bránou karantény. Udržujte historii o tom, jak a jaké procesy byly použity před jejich získáním do clusteru.

  • Zmenšete velikost obrázku. Obrázky obvykle obsahují více binárních souborů, než je potřeba. Zmenšení velikosti image má nejen výhody výkonu, ale také omezuje prostor pro útoky. Použití distribuce například minimalizuje základní linuxové image.

  • Použijte nástroje statické analýzy, které ověřují integritu souboru Dockerfile a manifestů. Mezi možnosti třetích stran patří Dockle a Trivy.

  • Používejte jenom podepsané obrázky.

  • Seznamte se s základní imagí poskytovanou Azure (a přijměte) a zjistěte, jak vyhovuje srovnávacím testům CIS. Další informace naleznete v tématu Center for Internet Security (CIS) Benchmarks.

Azure Container Registry s průběžnou kontrolou v Programu Microsoft Defender pro cloud pomůže identifikovat zranitelné image a různá rizika, která může představovat pro danou úlohu. Další informace o kontrole imagí a řízení rizik najdete v tématu Zabezpečení kontejneru.

Požadavek 6.4

Pro všechny změny systémových komponent postupujte podle procesů a postupů řízení změn.

Vaše odpovědnosti

Ujistěte se, že dokumentujete procesy řízení změn a navrhnete kanály nasazení podle těchto procesů. Zahrňte další procesy pro detekci situací, kdy procesy a skutečné kanály nejsou v souladu.

Požadavek 6.4.1, 6.4.2

  • Oddělte vývojová a testovací prostředí od produkčních prostředí a vynucujte oddělení pomocí řízení přístupu.
  • Oddělení povinností mezi vývojovými/testovacími a produkčními prostředími
Vaše odpovědnosti

Udržujte samostatná produkční a předprodukční prostředí a role, které v těchto prostředích pracují.

  • Nepoužívejte produkční cluster pro účely vývoje a testování. Například neinstalujte most na Kubernetes v produkčních clusterech. Používejte vyhrazené clustery pro neprodukční úlohy.

  • Ujistěte se, že vaše produkční prostředí nepovoluje síťový přístup k předprodukčním prostředím a naopak.

  • Nepoužívejte systémové identity v předprodukčním a produkčním prostředí.

    Skupiny Microsoft Entra použijte pro skupiny, jako jsou správci clusteru nebo objekty zabezpečení kanálu. Nepoužívejte generalizované ani běžné skupiny jako řízení přístupu. Tyto skupiny nepoužívejte mezi předprodukčními a produkčními clustery. Jedním ze způsobů je použít název clusteru (nebo jiný neprůhlásný identifikátor) v názvu skupiny, aby byl explicitní pro členství.

    Role řízení přístupu na základě role v Azure (RBAC) můžete použít správně mezi prostředími. Obvykle se k předprodukčním prostředím přiřazují další role a práva.

    Identitám v předprodukčním prostředí (udělené kanálům nebo týmům softwarového inženýrství) by neměl být udělen přístup v produkčním prostředí. Naopak žádné produkční identity (například kanály) by neměly mít udělený přístup v předprodukčních clusterech.

    Nepoužívejte stejnou identitu spravovanou uživatelem pro žádný prostředek v předprodukčním i produkčním prostředí. Toto doporučení platí pro všechny prostředky, které podporují identitu spravovanou uživatelem, nejen prostředek nasazený ve vašem clusteru. Prostředky Azure, které vyžadují identity, by měly mít svou vlastní jedinečnou identitu, a ne jejich sdílení s jinými prostředky.

  • Přístup za běhu (JIT) použijte pro přístup s vysokou úrovní oprávnění, včetně předprodukčních clusterů, pokud je to možné. Zásady podmíněného přístupu používejte v předprodukčním i produkčním clusteru.

Požadavek 6.4.3

Produkční data (živé pany) se nepoužívají k testování ani vývoji.

Vaše odpovědnosti

Ujistěte se, že data CHD neprotékají do vývojového/testovacího prostředí. Získáte jasnou dokumentaci, která poskytuje postup pro přesun dat z produkčního prostředí na vývoj/testování. Odstranění skutečných údajů musí být součástí tohoto postupu a schváleno odpovědnými stranami.

Požadavek 6.4.4

Odebrání testovacích dat a účtů ze systémových komponent před tím, než se systém aktivuje nebo přejde do produkčního prostředí.

Vaše odpovědnosti

Před nasazením do produkčního prostředí odeberte výchozí konfigurační data, ukázková data a dobře známá testovací data v systému. Nepoužívejte data držitelů karet pro testovací účely.

Požadavek 6.4.5

Postupy řízení změn pro implementaci oprav zabezpečení a úprav softwaru musí zahrnovat následující:

  • 6.4.5.1 Dokumentace dopadu.
  • 6.4.5.2 Zdokumentované schválení změn autorizovanými stranami.
  • 6.4.5.3 Testování funkčnosti pro ověření, že změna nemá nepříznivý vliv na zabezpečení systému.
  • 6.4.5.4 Postupy zálohování.
Vaše odpovědnosti

Tyto pokyny mapují předchozí požadavky:

  • Zdokumentujte změny infrastruktury, které se očekávají v důsledku oprav zabezpečení a úprav softwaru. Tento proces je jednodušší díky přístupu IaC (infrastructure-as-code). Například pomocí šablony Azure Resource Manageru (šablona ARM) pro nasazení můžete zobrazit náhled změn pomocí operace citlivostní analýza. Další informace najdete v tématu Operace citlivostní operace nasazení šablony ARM pro změny infrastruktury.

  • Implementujte brány v kanálech nasazení, které ověřují schválení změn pro běžná nasazení. Zdokumentujte odůvodnění nouzových nasazení, u kterých mohlo dojít k obejití bran.

    Definujte úrovně a hloubku změn. Ujistěte se, že tým souhlasí s definicí významných změn, na rozdíl od menších změn. Pokud je to praktické, automatizujte zjišťování některých těchto změn. Revidujícím úlohy, infrastruktury a kanálu musí jasně porozumět úrovním a ověřit je v těchto kritériích.

  • Otestujte cenovou dostupnost zabezpečení. Ujistěte se, že syntetické transakce testují obavy ohledně zabezpečení (povolit i odepřít). Ujistěte se také, že tyto syntetické testy běží v předprodukčním prostředí.

  • Pokud má oprava zabezpečení neočekávané výsledky, požádejte o back-out. Běžnou strategií je nasazení předchozího stavu pomocí modrých zelených nasazení. Pro úlohy, včetně databází, máte strategii, která funguje pro vaši konkrétní topologii a je vymezená na jednotky nasazení.

Požadavek 6.5

Běžné chyby zabezpečení kódování v procesech vývoje softwaru řešíte následujícím způsobem:

  • Vytrénujte vývojáře alespoň ročně v aktuálních technikách bezpečného kódování, včetně toho, jak se vyhnout běžným chybám zabezpečení kódu.
  • Vyvíjejte aplikace na základě pokynů pro zabezpečené kódování.

Vaše odpovědnosti

Je důležité, aby aplikační týmy a provozní týmy byly poučeny, informovány a incentivovány, aby podporovaly kontroly aktivit úloh a infrastruktury. Tady jsou některé zdroje informací:

Požadavek 6.6

U veřejných webových aplikací průběžně řešíte nové hrozby a ohrožení zabezpečení. Ujistěte se, že jsou tyto aplikace chráněné proti známým útokům některou z následujících metod:

  • Projděte si veřejně přístupné webové aplikace pomocí ručních nebo automatizovaných nástrojů nebo metod posouzení ohrožení zabezpečení aplikací. Proveďte posouzení ohrožení zabezpečení alespoň ročně a po jakýchkoli změnách.

    Poznámka:

    Toto posouzení není stejné jako kontroly ohrožení zabezpečení prováděné jako součást požadavku 11.2.

  • Nainstalujte automatizované řešení, které detekuje a brání webovým útokům. Například firewall webových aplikací. Nasaďte před veřejně přístupné webové aplikace a aktivně vyhodnoťte veškerý provoz.

Vaše odpovědnosti

Kontrolujte provoz přicházející z veřejného internetu pomocí firewallu webových aplikací (WAF). V této architektuře Aplikace Azure Gateway kontroluje veškerý příchozí provoz pomocí integrovaného WAF. WAF je založená na základní sadě pravidel (CRS) z projektu zabezpečení open web application (OWASP). Pokud nejsou zavedeny technické kontroly, mají kompenzační ovládací prvky. Jedním ze způsobů je ruční kontrola kódu.

Ujistěte se, že používáte nejnovější verze sady pravidel, a použijte pravidla, která jsou pro vaši úlohu relevantní. Pravidla by se měla spouštět v režimu prevence . Tento požadavek můžete vynutit přidáním instance služby Azure Policy, která kontroluje, jestli je povolený WAF a funguje v tomto režimu.

Uchovávejte protokoly vygenerované WAF služby Application Gateway, abyste získali podrobnosti o detekovaných hrozbách. Vylaďte pravidla podle potřeby.

Testování průniku se zaměřuje na kód aplikace. Díky tomu odborníci, kteří nejsou součástí aplikačního týmu, najdou mezery v zabezpečení (například injektáž SQL a procházení adresářů) shromažďováním informací, analýzou ohrožení zabezpečení a vytvářením sestav. V tomto cvičení můžou odborníci potřebovat přístup k citlivým datům. Pokud chcete zajistit, aby záměr nebyl zneužitý, postupujte podle pokynů uvedených v pravidlech penetračního testování zapojení.

Požadavek 6.7

Ujistěte se, že zásady zabezpečení a provozní postupy pro vývoj a údržbu zabezpečených systémů a aplikací jsou zdokumentované, používané a známé všem postiženým stranám.

Vaše odpovědnosti

Je důležité udržovat důkladnou dokumentaci k procesům a zásadám. Vaše týmy by měly být vytrénované tak, aby upřednostňovaly volby zabezpečení v rámci životního cyklu a provozu úloh.

Microsoft SDL poskytuje osvědčené postupy, nástroje a procesy pro zabezpečení v průběhu fází procesu vývoje. Postupy Microsoft SDL se řídí výhradně interně v tom, jak vytváříme software v Microsoftu. Sledujeme také architekturu OSA (Operational Security Assurance) pro provoz cloudových služeb. Tyto postupy se publikují, aby vám pomohly zabezpečit vaše aplikace.

Udržujte důkladnou dokumentaci pro penetrační testování, která popisuje rozsah procesů testování, třídění a strategii nápravy zjištěných problémů. Pokud dojde k incidentu, začlente vyhodnocení požadavku 6 jako součást analýzy původní příčiny. Pokud se zjistí mezery (například zjistí se porušení pravidla OWASP), zavřete tyto mezery.

V dokumentaci máte jasné pokyny týkající se očekávaného stavu ochrany WAF.

Lidé, kteří pracují s regulovanými prostředími, musí být poučeni, informovaní a incentivizováni, aby podporovali bezpečnostní záruky. Je důležité, aby uživatelé, kteří jsou součástí procesu schvalování z hlediska zásad.

Další kroky

Omezte přístup k datům držitelů karet podle potřeb firmy. Identifikujte a ověřte přístup k systémovým komponentám. Omezte fyzický přístup k datům držitelů karet.

Implementace měr silného řízení přístupu