Freigeben über


Azure Stack HCI und PCI DSS

In diesem Artikel wird erläutert, wie Microsoft Azure Stack HCI-Sicherheitsfeatures Organisationen in der Zahlungs- Karte Branche dabei helfen können, die Sicherheitskontrollanforderungen von PCI DSS sowohl in der Cloud als auch in ihren lokalen Umgebungen zu erfüllen.

PCI-DSS

Der DATA Security Standard (DSS) der Payment Card Industry (PCI) ist ein globaler Informationssicherheitsstandard zur Verhinderung von Betrug durch eine erhöhte Kontrolle von Kredit- Karte Daten. Der PCI DSS wird durch Zahlungs- Karte Marken vorgeschrieben und vom Payment Card Industry Security Standards Council verwaltet.

Die Konformität mit PCI DSS ist für alle organization erforderlich, die Karteninhaberdaten (CHD) speichern, verarbeiten oder übertragen. Organisationen, die der PCI-DSS-Compliance unterliegen, umfassen (sind aber nicht beschränkt auf) Händler, Zahlungsverarbeiter, Aussteller, Acquirer und Dienstanbieter.

Weitere Informationen zum Standard finden Sie in der Dokumentationsbibliothek des PCI Security Standards Council.

Gemeinsame Verantwortung

Es ist wichtig zu verstehen, dass PCI DSS nicht nur ein Technologie- und Produktstandard ist, sondern auch Sicherheitsanforderungen für Personen und Prozesse abdeckt. Die Verantwortung für die Compliance wird zwischen Ihnen als abgedeckter Entität und Microsoft als Dienstanbieter geteilt.

Microsoft-Kunden

Als abgedeckte Entität liegt es in Ihrer Verantwortung, Ihr eigenes PCI-DSS-Zertifikat zu erstellen und zu verwalten. Organisationen müssen ihre eigene Umgebung bewerten, insbesondere die Teile, die Dienstzahlungen oder zahlungsbezogene Workloads hosten, in denen Karteninhaberdaten gespeichert, verarbeitet und/oder übertragen werden. Dies wird als Karteninhaberdatenumgebung (CardHolder Data Environment, CDE) bezeichnet. Danach müssen Organisationen die richtigen Sicherheitskontrollen, Richtlinien und Verfahren planen und implementieren, um alle angegebenen Anforderungen zu erfüllen, bevor sie einen offiziellen Testprozess durchlaufen. Organisationen schließen letztendlich einen Vertrag mit einem qualifizierten Sicherheitsassessor (Qualified Security Assessor, QSA) ab, der überprüft, ob die Umgebung alle Anforderungen erfüllt.

Microsoft

Obwohl sie dafür verantwortlich sind, die Einhaltung des PCI-DSS-Standards aufrechtzuerhalten, sind Sie nicht allein auf dem Weg. Microsoft bietet zusätzliche Materialien und Sicherheitsfeatures in der gesamten Hybridumgebung, mit denen Sie den damit verbundenen Aufwand und die Kosten für die Durchführung der PCI-DSS-Validierung reduzieren können. Anstatt beispielsweise alles von Grund auf neu zu testen, können Ihre Bewerter die Azure Attestation of Compliance (AOC) für den Teil Ihrer Karteninhaberdatenumgebung verwenden, der in Azure bereitgestellt wird. Weitere Informationen finden Sie in den folgenden Inhalten.

Azure Stack HCI-Compliance

Beim Entwerfen und Erstellen von Azure Stack HCI berücksichtigt Microsoft die Sicherheitsanforderungen sowohl für die Microsoft-Cloud als auch für lokale Kundenumgebungen.

Verbundene Clouddienste

Azure Stack HCI bietet eine umfassende Integration mit verschiedenen Azure-Diensten wie Azure Monitor, Azure Backup und Azure Site Recovery, um neue Funktionen in die Hybrideinstellung zu integrieren. Diese Clouddienste sind gemäß PCI-DSS-Version 4.0 auf Dienstanbieterebene 1 als konform zertifiziert. Weitere Informationen zum Complianceprogramm von Azure-Clouddiensten finden Sie unter PCI DSS – Azure Compliance.

Wichtig

Beachten Sie, dass azure PCI DSS compliance status nicht automatisch in die PCI DSS-Überprüfung für die Dienste übersetzt wird, die Organisationen auf der Azure-Plattform erstellen oder hosten. Kunden sind dafür verantwortlich, sicherzustellen, dass ihre Organisationen die PCI-DSS-Anforderungen erfüllen.

Lokale Lösungen

Als lokale Lösung bietet Azure Stack HCI eine Reihe von Features, die Organisationen dabei unterstützen, die Einhaltung von PCI-DSS und anderen Sicherheitsstandards für Finanzdienstleistungen zu erfüllen.

Azure Stack HCI-Funktionen, die für PCI DSS relevant sind

In diesem Abschnitt wird kurz beschrieben, wie Organisationen die Azure Stack HCI-Funktionalität verwenden können, um die Anforderungen von PCI DSS zu erfüllen. Es ist wichtig zu beachten, dass PCI-DSS-Anforderungen für alle Systemkomponenten gelten, die in der Karteninhaberdatenumgebung (CardHolder Data Environment, CDE) enthalten oder damit verbunden sind. Der folgende Inhalt konzentriert sich auf die Azure Stack HCI-Plattformebene, die Dienstzahlungen oder zahlungsbezogene Workloads hostet, die Karteninhaberdaten enthalten.

Anforderung 1: Installieren und Verwalten von Netzwerksicherheitskontrollen

Mit Azure Stack HCI können Sie Netzwerksicherheitskontrollen anwenden, um Ihre Plattform und die darauf ausgeführten Workloads vor Netzwerkbedrohungen außerhalb und innerhalb von Netzwerken zu schützen. Die Plattform garantiert außerdem eine faire Netzwerkzuordnung auf einem Host und verbessert die Leistung und Verfügbarkeit von Workloads mit Lastenausgleichsfunktionen. Weitere Informationen zur Netzwerksicherheit in Azure Stack HCI finden Sie in den folgenden Artikeln.

Anforderung 2: Anwenden sicherer Konfigurationen auf alle Systemkomponenten

Standardmäßig sichern

Azure Stack HCI ist standardmäßig sicher mit Sicherheitstools und -technologien konfiguriert, um sich vor modernen Bedrohungen zu schützen und an den Azure Compute Security-Baselines auszurichten. Weitere Informationen finden Sie unter Sicherheitsbaselineeinstellungen für Azure Stack HCI.

Driftschutz

Die Standardsicherheitskonfiguration und die Einstellungen für geschützte Kerne der Plattform werden sowohl während der Bereitstellung als auch während der Laufzeit mit dem Schutz der Driftsteuerung geschützt. Wenn diese Option aktiviert ist, aktualisiert der Schutz für die Driftsteuerung die Sicherheitseinstellungen regelmäßig alle 90 Minuten, um sicherzustellen, dass alle Änderungen aus dem angegebenen Zustand behoben werden. Diese kontinuierliche Überwachung und Automatische Bereitstellung ermöglicht Ihnen eine konsistente und zuverlässige Sicherheitskonfiguration während des gesamten Lebenszyklus des Geräts. Sie können den Driftschutz während der Bereitstellung deaktivieren, wenn Sie die Sicherheitseinstellungen konfigurieren.

Sicherheitsbaseline für Workload

Für Workloads, die auf der Azure Stack HCI-Plattform ausgeführt werden, können Sie die von Azure empfohlene Betriebssystembaseline (für Windows und Linux) als Benchmark verwenden, um Ihre Baseline für die Computeressourcenkonfiguration zu definieren.

Anforderung 3: Schützen von gespeicherten Kontodaten

Verschlüsseln von Daten mit BitLocker

In Azure Stack HCI-Clustern können alle ruhenden Daten über bitLocker XTS-AES 256-Bit-Verschlüsselung verschlüsselt werden. Standardmäßig empfiehlt das System, BitLocker zu aktivieren, um alle Betriebssystemvolumes (OS) und freigegebene Clustervolumes (CSV) in Ihrer Azure Stack HCI-Bereitstellung zu verschlüsseln. Für alle neuen Speichervolumes, die nach der Bereitstellung hinzugefügt werden, müssen Sie BitLocker manuell aktivieren, um das neue Speichervolume zu verschlüsseln. Die Verwendung von BitLocker zum Schutz von Daten kann Organisationen dabei helfen, mit ISO/IEC 27001 konform zu bleiben. Weitere Informationen finden Sie unter Verwenden von BitLocker mit freigegebenen Clustervolumes (CSV).

Anforderung 4: Schützen von Karteninhaberdaten mit starker Kryptografie während der Übertragung über offene öffentliche Netzwerke

Schützen des externen Netzwerkdatenverkehrs mit TLS/DTLS

Standardmäßig wird die gesamte Hostkommunikation mit lokalen und Remoteendpunkten mit TLS1.2, TLS1.3 und DTLS 1.2 verschlüsselt. Die Plattform deaktiviert die Verwendung älterer Protokolle/Hashes wie TLS/DTLS 1.1 SMB1. Azure Stack HCI unterstützt auch starke Verschlüsselungssammlungen wie SDL-konforme elliptische Kurven, die nur auf NIST-Kurven P-256 und P-384 beschränkt sind.

Anforderung 5: Schutz aller Systeme und Netzwerke vor Schadsoftware

Windows Defender Antivirus

Windows Defender Antivirus ist eine Hilfsprogrammanwendung, die die Erzwingung von Echtzeit-Systemüberprüfungen und regelmäßigen Überprüfungen ermöglicht, um Plattform und Workloads vor Viren, Schadsoftware, Spyware und anderen Bedrohungen zu schützen. Standardmäßig ist Microsoft Defender Antivirus in Azure Stack HCI aktiviert. Microsoft empfiehlt die Verwendung Microsoft Defender Antivirus mit Azure Stack HCI anstelle von Antivirensoftware und Schadsoftware und Diensten von Drittanbietern, da diese die Fähigkeit des Betriebssystems zum Empfangen von Updates beeinträchtigen können. Weitere Informationen finden Sie unter Microsoft Defender Antivirus unter Windows Server.

Windows Defender Application Control (WDAC)

Windows Defender Anwendungssteuerung (WDAC) ist in Azure Stack HCI standardmäßig aktiviert, um zu steuern, welche Treiber und Anwendungen direkt auf den einzelnen Servern ausgeführt werden dürfen, um zu verhindern, dass Schadsoftware auf die Systeme zugreift. Weitere Informationen zu Basisrichtlinien in Azure Stack HCI und zum Erstellen zusätzlicher Richtlinien finden Sie unter Windows Defender Anwendungssteuerung für Azure Stack HCI.

Microsoft Defender für Cloud

Microsoft Defender für Cloud mit Endpoint Protection (aktiviert über Serverpläne) bietet eine Lösung für die Verwaltung des Sicherheitsstatus mit erweiterten Funktionen zum Schutz vor Bedrohungen. Es bietet Ihnen Tools, um die Sicherheits-status Ihrer Infrastruktur zu bewerten, Workloads zu schützen, Sicherheitswarnungen auszulösen und spezifischen Empfehlungen zur Abwehr von Angriffen und zukünftigen Bedrohungen zu folgen. Sie führt all diese Dienste mit hoher Geschwindigkeit in der Cloud ohne Bereitstellungsaufwand durch automatische Bereitstellung und Schutz mit Azure-Diensten aus. Weitere Informationen finden Sie unter Microsoft Defender für Cloud.

Anforderung 6: Entwickeln und Verwalten sicherer Systeme und Software

Plattformupdate

Alle Komponenten der Azure Stack HCI-Plattform, einschließlich des Betriebssystems, der Kern-Agents und -Dienste und der Lösungserweiterung, können mit dem Lifecycle Manager problemlos verwaltet werden. Mit diesem Feature können Sie verschiedene Komponenten in einem Updaterelease bündeln und die Kombination von Versionen überprüfen, um die Interoperabilität sicherzustellen. Weitere Informationen finden Sie unter Lifecycle Manager für Azure Stack HCI-Lösungsupdates.

Workloadupdate

Befolgen Sie für Workloads, die auf der Azure Stack HCI-Plattform ausgeführt werden, einschließlich Azure Kubernetes Service (AKS) Hybridcomputer, Azure Arc und virtuellen Infrastrukturcomputern (Virtual Machines, VMs), die nicht in den Lebenszyklus-Manager integriert sind, die unter Verwenden von Lifecycle Manager für Updates erläuterten Methoden, um sie auf dem neuesten Stand zu halten und an pci DSS-Anforderungen anzupassen.

Anforderung 7: Einschränken des Zugriffs auf Systemkomponenten und Karteninhaberdaten nach Geschäftsanforderungen

Es liegt in Ihrer Verantwortung, Rollen und deren Zugriffsanforderungen basierend auf den Geschäftsanforderungen Ihrer organization zu identifizieren und dann sicherzustellen, dass nur autorisierte Mitarbeiter Zugriff auf vertrauliche Systeme und Daten haben, indem Sie Berechtigungen basierend auf den Aufgaben des Auftrags zuweisen. Verwenden Sie die unter Anforderung 8: Identifizieren von Benutzern und Authentifizieren des Zugriffs auf Systemkomponenten beschriebenen Funktionen, um Ihre Richtlinien und Verfahren zu implementieren.

Anforderung 8: Identifizieren von Benutzern und Authentifizieren des Zugriffs auf Systemkomponenten

Die Azure Stack HCI-Plattform bietet über mehrere Schnittstellen wie Azure Arc und Windows PowerShell vollständigen und direkten Zugriff auf das zugrunde liegende System, das auf Clusterknoten ausgeführt wird. Sie können entweder herkömmliche Windows-Tools in lokalen Umgebungen oder cloudbasierte Lösungen wie Microsoft Entra ID (früher Azure Active Directory) verwenden, um Identität und Zugriff auf die Plattform zu verwalten. In beiden Fällen können Sie integrierte Sicherheitsfeatures wie mehrstufige Authentifizierung (Multi-Factor Authentication, MFA), bedingter Zugriff, rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) und Privileged Identity Management (PIM) nutzen, um sicherzustellen, dass Ihre Umgebung sicher und konform ist.

Weitere Informationen zur lokalen Identitäts- und Zugriffsverwaltung finden Sie unter Microsoft Identity Manager und Privileged Access Management für Active Directory Domain Services. Weitere Informationen zur cloudbasierten Identitäts- und Zugriffsverwaltung finden Sie unter Microsoft Entra ID.

Anforderung 9: Einschränken des physischen Zugriffs auf Karteninhaberdaten

Stellen Sie für lokale Umgebungen die physische Sicherheit sicher, die dem Wert der Azure Stack HCI-Plattform und den darin enthaltenen Daten entspricht.

Anforderung 10: Protokollieren und Überwachen des gesamten Zugriffs auf Systemkomponenten und Karteninhaberdaten

Protokolle des lokalen Systems

Standardmäßig werden alle Vorgänge, die auf der Azure Stack HCI-Plattform ausgeführt werden, aufgezeichnet, sodass Sie nachverfolgen können, wer was wann und wo auf der Plattform ausgeführt hat. Protokolle und Warnungen, die von Windows Defender erstellt werden, sind ebenfalls enthalten, um die Wahrscheinlichkeit und auswirkungen einer Datenkompromittierung zu verhindern, zu erkennen und zu minimieren. Da das Systemprotokoll jedoch häufig eine große Menge an Informationen enthält, die für die Überwachung der Informationssicherheit nicht geeignet sind, müssen Sie ermitteln, welche Ereignisse für die Sicherheitsüberwachung relevant sind. Azure-Überwachungsfunktionen helfen beim Sammeln, Speichern, Warnen und Analysieren dieser Protokolle. Weitere Informationen finden Sie in der Sicherheitsbaseline für Azure Stack HCI .

Lokale Aktivitätsprotokolle

Azure Stack HCI Lifecycle Manager erstellt und speichert Aktivitätsprotokolle für jeden ausgeführten Aktionsplan. Diese Protokolle unterstützen eine tiefergehende Untersuchung und Complianceüberwachung.

Cloudaktivitätsprotokolle

Indem Sie Ihre Cluster bei Azure registrieren, können Sie Azure Monitor-Aktivitätsprotokolle verwenden, um Vorgänge für jede Ressource auf Abonnementebene aufzuzeichnen, um das Was, wer und wann für alle Schreibvorgänge (Put, Post oder Delete) zu bestimmen, die für die Ressourcen in Ihrem Abonnement ausgeführt werden.

Cloudidentitätsprotokolle

Wenn Sie Microsoft Entra ID zum Verwalten der Identität und des Zugriffs auf die Plattform verwenden, können Sie Protokolle in der Azure AD-Berichterstellung anzeigen oder in Azure Monitor, Microsoft Sentinel oder andere SIEM-/Überwachungstools für anspruchsvolle Überwachungs- und Analyseanwendungsfälle integrieren. Wenn Sie lokales Active Directory verwenden, verwenden Sie die Microsoft Defender for Identity Lösung, um Ihre lokales Active Directory Signale zu nutzen, um erweiterte Bedrohungen, kompromittierte Identitäten und böswillige Insideraktionen zu identifizieren, zu erkennen und zu untersuchen. Ihre organization.

SIEM-Integration

Microsoft Defender für Cloud und Microsoft Sentinel ist nativ in Arc-fähige Azure Stack HCI-Knoten integriert. Sie können Ihre Protokolle aktivieren und in Microsoft Sentinel integrieren. Dies bietet Funktionen zur Verwaltung von Sicherheitsinformationen (Security Information Event Management, SIEM) und soAR (Security Orchestration Automated Response). Microsoft Sentinel erfüllt wie andere Azure-Clouddienste viele etablierte Sicherheitsstandards wie PCI DSS, HITRUST und FedRAMP-Autorisierung, die Ihnen beim Akkreditierungsprozess helfen können. Darüber hinaus bietet Azure Stack HCI eine systemeigene Syslog-Ereignisweiterleitung zum Senden der Systemereignisse an SIEM-Lösungen von Drittanbietern.

Erkenntnisse zu Azure Stack HCI

Mit Azure Stack HCI Insights können Sie Integritäts-, Leistungs- und Nutzungsinformationen für Cluster überwachen, die mit Azure verbunden sind und für die Überwachung registriert sind. Während der Insights-Konfiguration wird eine Datensammlungsregel erstellt, die die zu sammelnden Daten angibt. Diese Daten werden in einem Log Analytics-Arbeitsbereich gespeichert, der dann aggregiert, gefiltert und analysiert wird, um vordefinierte Überwachungsdashboards mithilfe von Azure-Arbeitsmappen bereitzustellen. Sie können die Überwachungsdaten für einen einzelnen Cluster oder mehrere Cluster auf Ihrer Azure Stack HCI-Ressourcenseite oder auf Azure Monitor anzeigen. Weitere Informationen finden Sie unter Überwachen von Azure Stack HCI mit Insights.

Azure Stack HCI-Metriken

Metriken speichern numerische Daten aus überwachten Ressourcen in einer Zeitreihendatenbank. Sie können den Metrik-Explorer von Azure Monitor verwenden, um die Daten in Ihrer Metrikdatenbank interaktiv zu analysieren und die Werte mehrerer Metriken im Zeitverlauf darzustellen. Mit Metriken können Sie Diagramme aus Metrikwerten erstellen und Trends visuell korrelieren.

Protokollwarnungen

Um Probleme in Echtzeit anzuzeigen, können Sie Warnungen für Azure Stack HCI-Systeme einrichten, indem Sie bereits vorhandene Beispielprotokollabfragen wie die durchschnittliche Server-CPU, den verfügbaren Arbeitsspeicher, die verfügbare Volumekapazität und vieles mehr verwenden. Weitere Informationen finden Sie unter Einrichten von Warnungen für Azure Stack HCI-Systeme.

Metrikwarnungen

Eine Metrikwarnungsregel überwacht eine Ressource, indem Die Bedingungen für die Ressourcenmetriken in regelmäßigen Abständen ausgewertet werden. Wenn die Bedingungen erfüllt sind, wird eine Warnung ausgelöst. Bei einer Metrikzeitreihe handelt es sich um eine Reihe von Metrikwerten, die über einen Zeitraum erfasst werden. Sie können diese Metriken verwenden, um Warnungsregeln zu erstellen. Weitere Informationen zum Erstellen von Metrikwarnungen finden Sie unter Metrikwarnungen.

Dienst- und Gerätewarnungen

Azure Stack HCI bietet dienstbasierte Warnungen für Konnektivität, Betriebssystemupdates, Azure-Konfiguration und vieles mehr. Gerätebasierte Warnungen für Clusterintegritätsfehler sind ebenfalls verfügbar. Sie können auch Azure Stack HCI-Cluster und die zugrunde liegenden Komponenten mithilfe von PowerShell oder Health Service überwachen.

Anforderung 11: Regelmäßiges Testen der Sicherheit von Systemen und Netzwerken

Neben häufigen Sicherheitsbewertungen und Penetrationstests selbst können Sie auch Microsoft Defender für Cloud verwenden, um sicherheitsrelevante status für Hybridworkloads in der Cloud und lokal zu bewerten, einschließlich virtueller Computer, Containerimages und SQL-Server, die Arc-fähig sind.

Anforderung 12: Unterstützung der Informationssicherheit mit Organisationsrichtlinien und -programmen

Es liegt in Ihrer Verantwortung, die Informationssicherheitsrichtlinien und -aktivitäten aufrechtzuerhalten, die Ihr Sicherheitsprogramm ihrer Organisation einrichten und ihre Datenumgebung für Karteninhaber schützen. Die von Azure-Diensten angebotenen Automatisierungsfeatures wie Microsoft Entra ID und die informationen, die unter Details der integrierten Initiative zur Einhaltung gesetzlicher Bestimmungen von PCI DSS geteilt werden, können Ihnen helfen, den Aufwand bei der Verwaltung dieser Richtlinien und Programme zu reduzieren.