Tento článek popisuje aspekty clusteru Azure Kubernetes Service (AKS), který je nakonfigurovaný v souladu se standardem PCI-DSS 3.2.1 ( Payment Card Industry Data Security Standard).
Tento článek je součástí série článků. Přečtěte si úvod.
Údržba zásad zabezpečení informací
Požadavek 12 – Udržování zásad, které řeší zabezpečení informací pro všechny pracovníky
Microsoft dokončil roční posouzení PCI DSS pomocí schváleného kvalifikovaného posouzení zabezpečení (QSA). Vezměte v úvahu všechny aspekty infrastruktury, vývoje, provozu, správy, podpory a služeb v oboru. Další informace naleznete v tématu PcI (Payment Card Industry) Data Security Standard (DSS).
Tato architektura a implementace nejsou navrženy tak, aby poskytovaly ilustrativní pokyny pro dokumentaci oficiální zásady zabezpečení na konci. Důležité informace najdete v pokynech v oficiální normě PCI-DSS 3.2.1.
Tady je několik obecných návrhů:
Udržujte důkladnou a aktualizovanou dokumentaci o procesu a zásadách. Zvažte použití Správce dodržování předpisů Microsoft Purview k posouzení vašeho rizika.
V ročním přezkumu zásad zabezpečení začleňte nové pokyny poskytované Microsoftem, Kubernetes a dalšími řešeními třetích stran, která jsou součástí vaší služby CDE. Mezi zdroje informací patří publikace dodavatelů v kombinaci s pokyny odvozenými z programu Microsoft Defender for Cloud, Azure Advisor, Přehled dobře navržená architektura Azure a aktualizace v srovnávacím testu AKS Azure Security Baseline a CIS Azure Kubernetes Service a dalších.
Při vytváření procesu posouzení rizik se shodujte s publikovaným standardem, kde je to praktické, například NIST SP 800-53. Mapujte publikace z publikovaného seznamu zabezpečení vašeho dodavatele, jako je průvodce centrem Microsoft Security Response Center, na váš proces posouzení rizik.
Udržujte aktuální informace o inventáři zařízení a dokumentaci pro přístup pracovníků. Zvažte použití funkce zjišťování zařízení, která je součástí programu Microsoft Defender for Endpoint. Pro sledování přístupu můžete odvodit informace z protokolů Microsoft Entra. Tady je několik článků, které vám pomůžou začít:
V rámci správy inventáře udržujte seznam schválených řešení nasazených jako součást infrastruktury a úloh PCI. To zahrnuje seznam imagí virtuálních počítačů, databází, řešení třetích stran podle vašeho výběru, která do CDE přinášíte. Tento proces můžete dokonce automatizovat vytvořením katalogu služeb. Poskytuje samoobslužné nasazení pomocí schválených řešení v konkrétní konfiguraci, která dodržuje probíhající operace platformy. Další informace naleznete v tématu Vytvoření katalogu služeb.
Ujistěte se, že kontakt zabezpečení obdrží oznámení o incidentech Azure od Microsoftu.
Tato oznámení indikují, jestli je váš prostředek napadený. Díky tomu může váš provozní tým zabezpečení rychle reagovat na potenciální bezpečnostní rizika a napravit je. Zajistěte, aby kontaktní informace správce na portálu registrace Azure obsahovaly kontaktní informace, které budou informovat operace zabezpečení přímo nebo rychle prostřednictvím interního procesu. Podrobnosti najdete v tématu Model operací zabezpečení.
Tady jsou další články, které vám pomůžou naplánovat provozní dodržování předpisů.
- Správa cloudu v rámci architektury přechodu na cloud
- Zásady správného řízení v rámci architektury přechodu na cloud od Microsoftu pro Azure