Azure Stack HCI und PCI DSS
In diesem Artikel wird erläutert, wie Microsoft Azure Stack HCI-Sicherheitsfeatures Organisationen in der Zahlungs- Karte Branche dabei helfen können, die Sicherheitskontrollanforderungen von PCI DSS sowohl in der Cloud als auch in ihren lokalen Umgebungen zu erreichen.
PCI-DSS
Der Payment Card Industry (PCI) Data Security Standard (DSS) ist ein globaler Informationssicherheitsstandard, der Betrug durch eine erhöhte Kontrolle von Krediten Karte Daten verhindert. Der PCI DSS wird durch Zahlung Karte Marken beauftragt und vom Payment Card Industry Security Standards Council verwaltet.
Die Einhaltung von PCI DSS ist für jede Organisation erforderlich, die Karte Holderdaten (CHD) speichert, verarbeitet oder überträgt. Organisationen, die der PCI DSS-Compliance unterliegen, umfassen (aber nicht beschränkt auf) Händler, Zahlungsverarbeiter, Aussteller, Erwerber und Dienstanbieter.
Erfahren Sie mehr über den Standard in der Dokumentationsbibliothek des PCI Security Standards Council.
Gemeinsame Verantwortung
Es ist wichtig zu verstehen, dass PCI DSS nicht nur ein Technologie- und Produktstandard ist, sondern auch Sicherheitsanforderungen für Personen und Prozesse abdeckt. Die Verantwortung für die Compliance wird zwischen Ihnen als abgedeckte Entität und Microsoft als Dienstanbieter geteilt.
Microsoft-Kunden
Als abgedeckte Entität liegt es in Ihrer Verantwortung, Ihr eigenes PCI DSS-Zertifikat zu erreichen und zu verwalten. Organisationen müssen ihre unterschiedliche Umgebung bewerten, insbesondere die Teile, die Dienstzahlungen oder zahlungsbezogene Workloads hosten, in denen Karte Holderdaten gespeichert, verarbeitet und/oder übertragen werden. Dies wird als Karte Halterdatenumgebung (CDE) bezeichnet. Danach müssen Organisationen die richtigen Sicherheitskontrollen, Richtlinien und Verfahren planen und implementieren, um alle angegebenen Anforderungen zu erfüllen, bevor sie einem offiziellen Testprozess unterzogen werden. Organisationen haben letztendlich einen Vertrag mit einem qualifizierten Sicherheitsprüfer (Qualified Security Assessor, QSA) abgeschlossen, der überprüft, ob die Umgebung alle Anforderungen erfüllt.
Microsoft
Obwohl es Ihre Verantwortung ist, die Einhaltung des PCI DSS-Standards zu Standard, sind Sie nicht allein auf der Reise. Microsoft bietet zusätzliche Materialien und Sicherheitsfeatures in der gesamten Hybridumgebung, um den zugehörigen Aufwand und die Kosten für die Durchführung der PCI DSS-Validierung zu reduzieren. Anstatt beispielsweise alles von Grund auf neu zu testen, können Ihre Prüfer den Azure-Nachweis der Compliance (AOC) für den Teil Ihrer Karte-Besitzerdatenumgebung verwenden, der in Azure bereitgestellt wird. Weitere Informationen finden Sie in den folgenden Inhalten.
Azure Stack HCI-Compliance
Beim Entwerfen und Erstellen von Azure Stack HCI berücksichtigt Microsoft sicherheitsrelevante Anforderungen sowohl für die Microsoft-Cloud als auch für lokale Kundenumgebungen.
Verbinden ed Cloud Services
Azure Stack HCI bietet umfassende Integration in verschiedene Azure-Dienste wie Azure Monitor, Azure Backup und Azure Site Recovery, um neue Funktionen in die Hybrideinstellung zu integrieren. Diese Clouddienste sind gemäß PCI DSS Version 4.0 auf Service Provider Level 1 als konform zertifiziert. Erfahren Sie mehr über das Compliance-Programm von Azure Cloud Services bei PCI DSS – Azure Compliance.
Wichtig
Es ist wichtig zu beachten, dass der Azure PCI DSS-Compliancestatus nicht automatisch in die PCI DSS-Validierung für die Dienste übersetzt wird, die Organisationen auf der Azure-Plattform erstellen oder hosten. Kunden sind dafür verantwortlich, sicherzustellen, dass ihre Organisationen die Einhaltung der PCI DSS-Anforderungen erfüllen.
Lokale Lösungen
Als lokale Lösung bietet Azure Stack HCI eine Reihe von Features, mit denen Organisationen die Einhaltung von PCI DSS und anderen Sicherheitsstandards für Finanzdienstleistungen erfüllen können.
Azure Stack HCI-Funktionen, die für PCI DSS relevant sind
In diesem Abschnitt wird kurz beschrieben, wie Organisationen Azure Stack HCI-Funktionen verwenden können, um die Anforderungen von PCI DSS zu erfüllen. Es ist wichtig zu beachten, dass PCI DSS-Anforderungen für alle Systemkomponenten gelten, die in der Karte-Datenumgebung (CDE) enthalten oder verbunden sind. Der folgende Inhalt konzentriert sich auf die Azure Stack HCI-Plattformebene, die Dienstzahlungen oder zahlungsbezogene Workloads hosten, die Karte Holderdaten enthalten.
Anforderung 1: Installieren und Standard Nachhaltige Netzwerksicherheitskontrollen
Mit Azure Stack HCI können Sie Netzwerksicherheitskontrollen anwenden, um Ihre Plattform und die darauf ausgeführten Workloads vor Netzwerkbedrohungen außerhalb und innerhalb zu schützen. Die Plattform garantiert auch eine faire Netzwerkzuordnung auf einem Host und verbessert die Workloadleistung und Verfügbarkeit mit Lastenausgleichsfunktionen. Weitere Informationen zur Netzwerksicherheit in Azure Stack HCI finden Sie in den folgenden Artikeln.
- Übersicht über die Rechenzentrumsfirewall
- Software Load Balancer (SLB) für Software Define Network (SDN)
- RAS-Gateway (Remote Access Service) für SDN
- Quality of Service-Richtlinien für Ihre Workloads, die auf Azure Stack HCI gehostet werden
Anforderung 2: Anwenden sicherer Konfigurationen auf alle Systemkomponenten
Standardmäßig sicher
Azure Stack HCI ist standardmäßig sicher mit Sicherheitstools und -technologien konfiguriert, um gegen moderne Bedrohungen zu schützen und die Azure Compute Security-Basiswerte zu berücksichtigen. Weitere Informationen finden Sie unter den Sicherheitsgrundwerteeinstellungen für Azure Stack HCI.
Driftschutz
Die Standardsicherheitskonfiguration und die sicheren Kerneinstellungen der Plattform werden sowohl während der Bereitstellung als auch zur Laufzeit mit Drift Control-Schutz geschützt. Wenn diese Option aktiviert ist, aktualisiert der Drift Control-Schutz die Sicherheitseinstellungen regelmäßig alle 90 Minuten, um sicherzustellen, dass alle Änderungen aus dem angegebenen Zustand behoben werden. Diese kontinuierliche Überwachung und Autoremediation ermöglicht es Ihnen, eine konsistente und zuverlässige Sicherheitskonfiguration während des gesamten Lebenszyklus des Geräts zu haben. Sie können den Driftschutz während der Bereitstellung deaktivieren, wenn Sie die Sicherheitseinstellungen konfigurieren.
Sicherheitsbasisplan für Arbeitsauslastung
Für Workloads, die auf der Azure Stack HCI-Plattform ausgeführt werden, können Sie die empfohlenen Azure-Betriebssystembasispläne (sowohl für Windows als auch Linux) als Benchmark verwenden, um Ihre Basisplan für die Berechnungsressourcenkonfiguration zu definieren.
Anforderung 3: Schützen gespeicherter Kontodaten
Verschlüsseln von Daten mit BitLocker
Auf Azure Stack HCI-Clustern können alle ruhenden Daten über bitLocker XTS-AES 256-Bit-Verschlüsselung verschlüsselt werden. Standardmäßig wird vom System empfohlen, BitLocker zum Verschlüsseln aller Betriebssystemvolumes und freigegebener Clustervolumes (Cluster Shared Volumes, CSV) in Ihrer Azure Stack HCI-Bereitstellung zu aktivieren. Für alle neuen Speichervolumes, die nach der Bereitstellung hinzugefügt wurden, müssen Sie BitLocker manuell aktivieren, um das neue Speichervolume zu verschlüsseln. Die Verwendung von BitLocker zum Schutz von Daten kann Organisationen dabei helfen, mit ISO/IEC 27001 konform zu bleiben. Weitere Informationen finden Sie unter "Verwenden von BitLocker mit freigegebenen Clustervolumes (CSV)".
Anforderung 4: Schützen Karte inhaberdaten mit starker Kryptografie während der Übertragung über offene, öffentliche Netzwerke
Schützen des externen Netzwerkdatenverkehrs mit TLS/DTLS
Standardmäßig werden alle Hostkommunikationen an lokale und Remoteendpunkte mit TLS1.2, TLS1.3 und DTLS 1.2 verschlüsselt. Die Plattform deaktiviert die Verwendung älterer Protokolle/Hashes wie TLS/DTLS 1.1 SMB1. Azure Stack HCI unterstützt auch starke Verschlüsselungssammlungen wie SDL-kompatible elliptische Kurven, die nur auf NIST-Kurven P-256 und P-384 beschränkt sind.
Anforderung 5: Schutz aller Systeme und Netzwerke vor Schadsoftware
Windows Defender Antivirus
Windows Defender Antivirus ist eine Hilfsanwendung, die die Durchsetzung von Echtzeit-Systemüberprüfungen und regelmäßigem Scannen ermöglicht, um Plattform und Workloads vor Viren, Schadsoftware, Spyware und anderen Bedrohungen zu schützen. Standardmäßig ist Microsoft Defender Antivirus auf Azure Stack HCI aktiviert. Microsoft empfiehlt die Verwendung von Microsoft Defender Antivirus mit Azure Stack HCI anstelle von Antivirensoftware und Schadsoftware und -diensten von Drittanbietern, da sie sich auf die Fähigkeit des Betriebssystems zum Empfangen von Updates auswirken können. Weitere Informationen finden Sie unter Microsoft Defender Antivirus auf Windows Server.
Windows Defender-Anwendungssteuerung (WDAC)
Windows Defender Application Control (WDAC) ist in Azure Stack HCI standardmäßig aktiviert, um zu steuern, welche Treiber und Anwendungen direkt auf jedem Server ausgeführt werden dürfen, wodurch verhindert wird, dass Schadsoftware auf die Systeme zugreift. Erfahren Sie mehr über Basisrichtlinien, die in Azure Stack HCI enthalten sind, und erfahren Sie, wie Sie zusätzliche Richtlinien unter Windows Defender Application Control für Azure Stack HCI erstellen.
Microsoft Defender für Cloud
Microsoft Defender für Cloud mit Endpoint Protection (aktiviert über Serverpläne) bietet eine Sicherheitsstatusverwaltungslösung mit erweiterten Bedrohungsschutzfunktionen. Es bietet Ihnen Tools, um den Sicherheitsstatus Ihrer Infrastruktur zu bewerten, Workloads zu schützen, Sicherheitswarnungen auszuheben und bestimmte Empfehlungen zur Behebung von Angriffen zu befolgen und zukünftige Bedrohungen zu beheben. Sie führt alle diese Dienste mit hoher Geschwindigkeit in der Cloud ohne Bereitstellungsaufwand durch automatische Bereitstellung und Schutz mit Azure-Diensten aus. Weitere Informationen finden Sie unter Microsoft Defender für Cloud.
Anforderung 6: Entwicklung und Standard nachhaltige Systeme und Software
Plattformupdate
Alle Komponenten der Azure Stack HCI-Plattform, einschließlich des Betriebssystems, der Kern-Agents und -Dienste und der Lösungserweiterung, können mit dem Lifecycle Manager problemlos Standard bleiben. Mit diesem Feature können Sie verschiedene Komponenten in einer Updateversion bündeln und die Kombination von Versionen überprüfen, um die Interoperabilität sicherzustellen. Weitere Informationen finden Sie unter Lifecycle Manager für Azure Stack HCI-Lösungsupdates.
Workloadupdate
Für Workloads, die auf der Azure Stack HCI-Plattform ausgeführt werden, einschließlich Azure Kubernetes Service (AKS)-Hybrid-, Azure Arc- und Infrastruktur-virtuelle Computer (Virtual Machines), die nicht in den Lifecycle Manager integriert sind, folgen Sie den Methoden, die im Use Lifecycle Manager erläutert werden, um Updates zu aktualisieren und an PCI DSS-Anforderungen anzupassen.
Anforderung 7: Einschränken des Zugriffs auf Systemkomponenten und Karte Holderdaten nach Geschäftsanforderungen
Es liegt in Ihrer Verantwortung, Rollen und deren Zugriffsanforderungen basierend auf den geschäftlichen Anforderungen Ihrer Organisation zu identifizieren und dann sicherzustellen, dass nur autorisierte Mitarbeiter Zugriff auf vertrauliche Systeme und Daten haben, indem Sie Berechtigungen basierend auf den Aufgabenaufgaben zuweisen. Verwenden Sie die unter Anforderung 8 beschriebenen Funktionen: Identifizieren Sie Benutzer, und authentifizieren Sie den Zugriff auf Systemkomponenten , um Ihre Richtlinien und Verfahren zu implementieren.
Anforderung 8: Identifizieren von Benutzern und Authentifizieren des Zugriffs auf Systemkomponenten
Die Azure Stack HCI-Plattform bietet vollständigen und direkten Zugriff auf das zugrunde liegende System, das auf Clusterknoten über mehrere Schnittstellen wie Azure Arc und Windows PowerShell ausgeführt wird. Sie können entweder herkömmliche Windows-Tools in lokalen Umgebungen oder cloudbasierte Lösungen wie Microsoft Entra ID (früher Azure Active Directory) verwenden, um Identität und Zugriff auf die Plattform zu verwalten. In beiden Fällen können Sie integrierte Sicherheitsfeatures nutzen, z. B. mehrstufige Authentifizierung (MFA), bedingter Zugriff, rollenbasierte Zugriffssteuerung (RBAC) und Privileged Identity Management (PIM), um sicherzustellen, dass Ihre Umgebung sicher und kompatibel ist.
Erfahren Sie mehr über die lokale Identitäts- und Zugriffsverwaltung bei Microsoft Identity Manager und Privileged Access Management für Active Directory-Domäne Services. Erfahren Sie mehr über cloudbasierte Identitäts- und Zugriffsverwaltung bei Microsoft Entra ID.
Anforderung 9: Einschränken des physischen Zugriffs auf Karte halterdaten
Stellen Sie für lokale Umgebungen sicher, dass die physische Sicherheit dem Wert der Azure Stack HCI-Plattform und den darin enthaltenen Daten entspricht.
Anforderung 10: Protokollieren und Überwachen des gesamten Zugriffs auf Systemkomponenten und Karte halterdaten
Lokale Systemprotokolle
Standardmäßig werden alle Vorgänge, die innerhalb der Azure Stack HCI-Plattform ausgeführt werden, aufgezeichnet, sodass Sie nachverfolgen können, wer was getan hat, wann und wo auf der Plattform. Protokolle und Warnungen, die von Windows Defender erstellt wurden, sind ebenfalls enthalten, um Die Wahrscheinlichkeit und Auswirkungen einer Datenkompromittierung zu verhindern, zu erkennen und zu minimieren. Da das Systemprotokoll jedoch häufig eine große Menge an Informationen enthält, von denen ein Großteil der Informationssicherheitsüberwachung überflüssig ist, müssen Sie ermitteln, welche Ereignisse für die Erfassung und Verwendung für Sicherheitsüberwachungszwecke relevant sind. Azure-Überwachungsfunktionen helfen beim Sammeln, Speichern, Warnen und Analysieren dieser Protokolle. Weitere Informationen finden Sie unter Security Baseline für Azure Stack HCI .
Lokale Aktivitätsprotokolle
Azure Stack HCI Lifecycle Manager erstellt und speichert Aktivitätsprotokolle für jeden ausgeführten Aktionsplan. Diese Protokolle unterstützen eine eingehendere Untersuchung und Complianceüberwachung.
Cloudaktivitätsprotokolle
Indem Sie Ihre Cluster bei Azure registrieren, können Sie Azure Monitor-Aktivitätsprotokolle verwenden, um Vorgänge auf jeder Ressource auf der Abonnementebene aufzuzeichnen, um zu bestimmen, was, wer und wann für schreibvorgänge (Put, Posten oder Löschen) für die Ressourcen in Ihrem Abonnement übernommen wurde.
Cloudidentitätsprotokolle
Wenn Sie Microsoft Entra-ID zum Verwalten von Identität und Zugriff auf die Plattform verwenden, können Sie Protokolle in der Azure AD-Berichterstellung anzeigen oder in Azure Monitor, Microsoft Sentinel oder andere SIEM/Monitoring-Tools für komplexe Überwachungs- und Analyseanwendungsfälle integrieren. Wenn Sie lokales Active Directory verwenden, verwenden Sie die Microsoft Defender for Identity-Lösung, um Ihre lokales Active Directory Signale zu nutzen, um erweiterte Bedrohungen, kompromittierte Identitäten und bösartige Insideraktionen zu identifizieren, zu erkennen und zu untersuchen, die an Ihre Organisation gerichtet sind.
SIEM-Integration
Microsoft Defender für Cloud und Microsoft Sentinel sind nativ in Arc-fähige Azure Stack HCI-Knoten integriert. Sie können Ihre Protokolle in Microsoft Sentinel aktivieren und integrieren, das sicherheitsrelevante Informationsereignisverwaltung (SECURITY Information Event Management, SIEM) und automatisierte Reaktionsfunktionen (Security Orchestration Automated Response, SOAR) bereitstellt. Microsoft Sentinel, wie andere Azure-Clouddienste, erfüllt viele bewährte Sicherheitsstandards wie PCI DSS, HITRUST und FedRAMP Authorization, die Ihnen bei Ihrem Akkreditierungsprozess helfen können. Darüber hinaus stellt Azure Stack HCI eine systemeigene Syslog-Ereignisweiterleitung bereit, um die Systemereignisse an SIEM-Lösungen von Drittanbietern zu senden.
Erkenntnisse zu Azure Stack HCI
Mit Azure Stack HCI Insights können Sie Integritäts-, Leistungs- und Nutzungsinformationen für Cluster überwachen, die mit Azure verbunden sind und bei der Überwachung registriert sind. Während der Insights-Konfiguration wird eine Datensammlungsregel erstellt, die die zu erfassenden Daten angibt. Diese Daten werden in einem Log Analytics-Arbeitsbereich gespeichert, der dann aggregiert, gefiltert und analysiert wird, um vordefinierte Überwachungsdashboards mithilfe von Azure-Arbeitsmappen bereitzustellen. Sie können die Überwachungsdaten für einen einzelnen Cluster oder mehrere Cluster über Ihre Azure Stack HCI-Ressourcenseite oder Azure Monitor anzeigen. Erfahren Sie mehr unter Monitor Azure Stack HCI mit Insights.
Azure Stack HCI-Metriken
Metriken speichern numerische Daten aus überwachten Ressourcen in einer Zeitreihendatenbank. Sie können den Azure Monitor-Metrik-Explorer verwenden, um die Daten in Ihrer Metrikdatenbank interaktiv zu analysieren und die Werte mehrerer Metriken im Laufe der Zeit zu diagrammen. Mit Metriken können Sie Diagramme aus Metrikwerten erstellen und Trends visuell korrelieren.
Protokollwarnungen
Um Probleme in Echtzeit anzugeben, können Sie Warnungen für Azure Stack HCI-Systeme einrichten, indem Sie bereits vorhandene Beispielprotokollabfragen wie die durchschnittliche Server-CPU, verfügbaren Arbeitsspeicher, verfügbare Volumenkapazität und vieles mehr verwenden. Weitere Informationen finden Sie unter Einrichten von Warnungen für Azure Stack HCI-Systeme.
Metrikwarnungen
Eine Metrikwarnungsregel überwacht eine Ressource, indem Die Bedingungen für die Ressourcenmetriken in regelmäßigen Abständen ausgewertet werden. Wenn die Bedingungen erfüllt sind, wird eine Warnung ausgelöst. Bei einer Metrikzeitreihe handelt es sich um eine Reihe von Metrikwerten, die über einen Zeitraum erfasst werden. Sie können diese Metriken verwenden, um Warnungsregeln zu erstellen. Erfahren Sie mehr über das Erstellen von Metrikwarnungen bei Metrikwarnungen.
Dienst- und Gerätewarnungen
Azure Stack HCI bietet dienstbasierte Warnungen für Konnektivität, Betriebssystemupdates, Azure-Konfiguration und vieles mehr. Gerätebasierte Warnungen für Clusterintegritätsfehler sind ebenfalls verfügbar. Sie können auch Azure Stack HCI-Cluster und ihre zugrunde liegenden Komponenten mithilfe von PowerShell oder Integritätsdienst überwachen.
Anforderung 11: Regelmäßiges Testen der Sicherheit von Systemen und Netzwerken
Neben der Durchführung häufiger Sicherheitsbewertungen und Penetrationstests können Sie auch Microsoft Defender for Cloud verwenden, um den Sicherheitsstatus für hybride Workloads in der Cloud und lokal zu bewerten, einschließlich virtueller Computer, Containerimages und SQL-Server, die arcfähig sind.
Anforderung 12: Unterstützung der Informationssicherheit mit Organisationsrichtlinien und -programmen
Es liegt in Ihrer Verantwortung, die Richtlinien und Aktivitäten zur Informationssicherheit zu Standard, die Ihr Organisationssicherheitsprogramm einrichten und Ihre Karte-Datenumgebung schützen. Die Automatisierungsfeatures, die von Azure-Diensten wie Microsoft Entra ID und den informationen bereitgestellt werden, die in Details der integrierten PCI DSS-Compliance-Initiative geteilt werden, können Ihnen helfen, die Probleme bei der Verwaltung dieser Richtlinien und Programme zu reduzieren.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für