Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden Überlegungen zum Datenschutz für einen Azure Kubernetes Service (AKS)-Cluster beschrieben, der eine Workload in Übereinstimmung mit dem Data Security Standard für Zahlungskarten (PCI-DSS 4.0.1) ausführt.
Dieser Artikel ist Teil einer Serie. Die Einführung finden Sie hier.
Bei dieser Architektur und Implementierung liegt der Schwerpunkt nicht auf der Workload, sondern auf der Infrastruktur. In diesem Artikel werden die allgemeinen Aspekte und die bewährten Methoden beschrieben, die Ihnen das Treffen von Entwurfsentscheidungen erleichtern. Befolgen Sie die Anforderungen in der offiziellen PCI-DSS 4.0.1 Standard, und verwenden Sie diesen Artikel gegebenenfalls als zusätzliche Informationen.
Von Bedeutung
Die Anleitungen und die begleitende Implementierung basieren auf der AKS-Basisarchitektur, die auf einer Hub-Spoke-Netzwerktopologie basiert. Das virtuelle Hub-Netzwerk umfasst die Firewall zum Steuern des ausgehenden Datenverkehrs, den Gatewaydatenverkehr aus lokalen Netzwerken und ein drittes Netzwerk für Wartungszwecke. Das virtuelle Spoke-Netzwerk enthält den AKS-Cluster, von dem die Karteninhaberumgebung (CDE) bereitgestellt und die PCI-DSS-Workload gehostet wird.
in Kürze verfügbar: Der Azure Kubernetes Service (AKS)-Basiscluster für regulierte Workloads-Referenzimplementierung für PCI DSS 4.0.1 wird derzeit aktualisiert und wird in Kürze verfügbar sein. Diese Implementierung veranschaulicht eine regulierte Infrastruktur, die die Verwendung verschiedener Netzwerk- und Sicherheitskontrollen innerhalb Ihres CDE veranschaulicht. Dies umfasst sowohl native Netzwerksteuerungen von Azure als auch native Steuerungen von Kubernetes. Sie enthält auch eine Anwendung, um die Interaktionen zwischen der Umgebung und einer Beispielarbeitsauslastung zu veranschaulichen. In diesem Artikel liegt der Schwerpunkt auf der Infrastruktur. Die Stichprobe wird nicht auf einen tatsächlichen PCI-DSS 4.0.1-Workload hinweisen.
Schützen von Karteninhaberdaten
Hinweis
Dieser Artikel wurde für PCI DSS 4.0.1 aktualisiert. Zu den wichtigsten Änderungen gehören unterstützung für den angepassten Ansatz für Steuerelemente, erweiterte mehrstufige Authentifizierung (MFA), aktualisierte Kryptografieanforderungen, erweiterte Überwachung und Protokollierung sowie ein Fokus auf kontinuierliches Sicherheits- und Risikomanagement. Stellen Sie sicher, dass Sie die offizielle PCI DSS 4.0.1-Dokumentation auf vollständige Details und zukünftige Anforderungen überprüfen.
Anforderung 3: Schützen gespeicherter Kartenhalterdaten
Ihre Zuständigkeiten
| Anforderung | Verantwortung |
|---|---|
| Anforderung 3.1 | Halten Sie die Speicherung von Kartenhalterdaten auf ein Minimum, indem Sie Richtlinien zur Aufbewahrung und Entsorgung von Daten, Verfahren und Prozessen für alle Kartenhalterdaten (CHD) implementieren. |
| Anforderung 3.2 | Speichern Sie vertrauliche Authentifizierungsdaten nicht nach der Autorisierung (auch wenn verschlüsselt). Wenn vertrauliche Authentifizierungsdaten empfangen werden, sorgen Sie dafür, dass alle Daten nach Abschluss des Autorisierungsprozesses nicht mehr wiederhergestellt werden können. |
| Anforderung 3.3 | Maskieren Sie die PAN bei der Anzeige (die ersten sechs und die letzten vier Ziffern sind die maximale Anzahl von anzuzeigenden Ziffern), sodass nur Mitarbeiter mit einem berechtigten geschäftlichen Anspruch die vollständige PAN sehen können. |
| Anforderung 3.4 | Rendern Sie PAN unlesbar überall, wo sie gespeichert ist (einschließlich auf tragbaren digitalen Medien, Sicherungsmedien und in Protokollen), indem Sie starke Kryptografie- und Schlüsselverwaltungsprozesse verwenden. |
| Anforderung 3.5 | Dokumentieren und implementieren Sie Verfahren zum Schutz von Schlüsseln, mit denen gespeicherte Karteninhaberdaten vor Offenlegung und Missbrauch geschützt werden. |
| Anforderung 3.6 | Vollständig dokumentieren und implementieren Sie alle Schlüsselverwaltungsprozesse und -verfahren für kryptografische Schlüssel, die für die Verschlüsselung von Kartenhalterdaten verwendet werden. |
| Anforderung 3.7 | Stellen Sie sicher, dass Sicherheitsrichtlinien und betriebliche Verfahren zum Schützen gespeicherter Daten von Karteninhabern dokumentiert und verwendet werden sowie allen beteiligten Parteien bekannt sind. |
Anforderung 3.1
Minimieren Sie die Speicherung von Karteninhaberdaten, indem Sie Richtlinien, Verfahren und Prozesse zur Datenaufbewahrung und -entsorgung implementieren, die mindestens Folgendes für die Speicherung aller Karteninhaberdaten (Cardholder Data, CHD) umfassen:
- Beschränken der Datenspeichermenge und -aufbewahrungszeit auf das, was für gesetzliche, behördliche und geschäftliche Anforderungen erforderlich ist.
- Prozesse zum sicheren Löschen von Daten, wenn sie nicht mehr benötigt werden.
- Spezifische Aufbewahrungsanforderungen für Kartenhalterdaten.
- Ein vierteljährlicher Prozess zur Identifizierung und sicheren Löschung gespeicherter Karteninhaberdaten, die die definierte Aufbewahrungsdauer überschreiten
Ihre Zuständigkeiten (PCI DSS 4.0.1)
Speichern Sie den Zustand nicht im AKS-Cluster. Wenn Sie sich für die Speicherung der Karteninhaberdaten entscheiden, sollten Sie sich über die Optionen für die sichere Speicherung informieren. Zu den verfügbaren Optionen gehören Azure Storage für die Dateispeicherung oder Datenbanken, z. B. Azure SQL-Datenbank oder Azure Cosmos DB. PCI DSS 4.0.1 ermöglicht einen angepassten Ansatz zur Erfüllung von Sicherheitszielen, aber Sie müssen alle alternativen Steuerelemente dokumentieren und rechtfertigen.
Halten Sie sich strikt an die Standardvorgaben zur Art der Karteninhaberdaten, die gespeichert werden können. Definieren Sie die Richtlinien zur Datenaufbewahrung basierend auf Ihren Geschäftsanforderungen und der Art des verwendeten Speichers. Folgende Aspekte sind besonders wichtig:
- Wie und wo werden die Daten gespeichert?
- Werden die Daten verschlüsselt gespeichert?
- Welche Länge hat der Aufbewahrungszeitraum?
- Welche Aktionen sind während des Aufbewahrungszeitraums zulässig?
- Wie löschen Sie die gespeicherten Daten, nachdem der Aufbewahrungszeitraum abgelaufen ist?
Legen Sie Governancerichtlinien fest, die sich auf die getroffene Auswahl beziehen. Diese Auswahl wird dann mithilfe der integrierten Azure-Richtlinien durchgesetzt. Beispielsweise können Sie die Volumetypen auf den Clusterpods einschränken oder Schreibvorgänge im Stammdateisystem verweigern.
Überprüfen Sie die Liste der Richtliniendefinitionen , und wenden Sie sie gegebenenfalls auf den Cluster an.
Unter Umständen müssen Sie Daten vorübergehend zwischenspeichern. Wir empfehlen Ihnen, die zwischengespeicherten Daten zu schützen, während diese in eine Speicherlösung verschoben werden. Erwägen Sie, in AKS das Feature für die hostbasierte Verschlüsselung zu aktivieren. Hierdurch werden die auf Knoten-VMs gespeicherten Daten verschlüsselt. Weitere Informationen finden Sie unter Hostbasierte Verschlüsselung in Azure Kubernetes Service (AKS). Aktivieren Sie außerdem eine integrierte Azure-Richtlinie, mit der die Verschlüsselung temporärer Datenträger und des Caches für Knotenpools erzwungen wird.
Informieren Sie sich bei der Auswahl einer Speichertechnologie über die Features für die Datenaufbewahrung. Bei Azure Blob Storage können Sie beispielsweise zeitbasierte Aufbewahrungsrichtlinien verwenden. Eine andere Möglichkeit ist die Implementierung einer benutzerdefinierten Lösung, bei der Daten gemäß den Aufbewahrungsrichtlinien gelöscht werden. Ein Beispiel hierfür ist die Datenlebenszyklusverwaltung (Data Lifecycle Management, DLM), die Datenlebenszyklusaktivitäten verwaltet. Die Lösung wurde mit Diensten wie Azure Data Factory, Microsoft Entra ID und Azure Key Vault entwickelt. PCI DSS 4.0.1 betont kontinuierliche Überwachung und regelmäßige Risikobewertungen für alle Datenspeicherungs- und Aufbewahrungsprozesse.
Weitere Informationen finden Sie unter Verwalten des Datenlebenszyklus mithilfe von Azure Data Factory.
Anforderung 3.2
Speichern Sie vertrauliche Authentifizierungsdaten nicht nach der Autorisierung (auch wenn verschlüsselt). Wenn vertrauliche Authentifizierungsdaten empfangen werden, sorgen Sie dafür, dass alle Daten nach Abschluss des Autorisierungsprozesses nicht mehr wiederhergestellt werden können.
Ihre Zuständigkeiten
Die Verarbeitung und der Schutz von Daten sind Workload-Angelegenheiten und gehen über den Rahmen dieser Architektur hinaus. Im Folgenden finden Sie einige allgemeine Überlegungen:
Gemäß Standard bestehen vertrauliche Authentifizierungsdaten aus den vollständigen Nachverfolgungsdaten, der Kartenprüfnummer und den PIN-Daten. Stellen Sie als Teil der CHD-Verarbeitung sicher, dass Authentifizierungsdaten nicht in Quellen wie Protokollen, Ausnahmebehandlungsroutinen, Dateinamen oder Caches verfügbar gemacht werden. PCI DSS 4.0.1 erfordert erweiterte Überwachung und Protokollierung, um unbefugten Zugriff oder die Speicherung vertraulicher Authentifizierungsdaten zu erkennen und darauf zu reagieren, einschließlich:
- Protokolle, die von den Pods ausgegeben werden
- Ausnahmebehandlungsroutinen
- Dateinamen
- Caches.
Eine allgemeine Faustregel lautet, dass diese Informationen von Händlern nicht gespeichert werden sollten. Falls eine Anforderung in dieser Hinsicht besteht, sollten Sie die geschäftliche Begründung dafür dokumentieren.
Anforderung 3.3
Maskieren Sie die PAN bei der Anzeige (die ersten sechs und die letzten vier Ziffern sind die maximale Anzahl von anzuzeigenden Ziffern), sodass nur Mitarbeiter mit einem berechtigten geschäftlichen Anspruch die vollständige PAN sehen können.
Ihre Zuständigkeiten
Die Hauptkontonummer (Primary Account Number, PAN) gilt als vertrauliches Datenelement, dessen Offenlegung verhindert werden muss. Eine Möglichkeit besteht darin, die Anzahl angezeigter Ziffern per Maskierung zu verringern. PCI DSS 4.0.1 verdeutlicht Maskierungsanforderungen und ermöglicht einen angepassten Ansatz, falls gerechtfertigt und dokumentiert.
Implementieren Sie die Datenmaske nicht in der Workload. Verwenden Sie stattdessen Konstrukte auf Datenbankebene. Für die Azure SQL-Reihe der Dienste, z. B. Azure Synapse Analytics, wird die dynamische Datenmaskierung unterstützt, mit der der Grad der Offenlegung auf der Anwendungsebene reduziert wird. Hierbei handelt es sich um ein richtlinienbasiertes Sicherheitsfeature, mit dem definiert wird, wer die nicht maskierten Daten anzeigen kann und welcher Anteil der Daten bei der Maskierung verfügbar gemacht wird. Bei der integrierten Maskierungsmethode vom Typ Kreditkarte werden die letzten vier Ziffern der festgelegten Felder angezeigt, und es wird eine konstante Zeichenfolge in Form einer Kreditkarte als Präfix hinzugefügt.
Weitere Informationen finden Sie unter Dynamische Datenmaskierung.
Wenn Sie ungemaskete Daten so schnell wie möglich in Ihren Cluster einbinden müssen, maskieren Sie sie so schnell wie möglich.
Anforderung 3.4
Rendern Sie PAN unlesbar überall, wo sie gespeichert ist (einschließlich auf tragbaren digitalen Medien, Sicherungsmedien und in Protokollen), indem Sie eine der folgenden Ansätze verwenden:
- Unidirektionale Hashes basierend auf starker Kryptografie (Hash muss der gesamte PAN sein).
- Abschneiden (Hashing kann nicht verwendet werden, um das abgeschnittene Segment von PAN zu ersetzen).
- Indextoken und Pads (Pads müssen sicher gespeichert werden).
- Starke Kryptografie mit zugehörigen Schlüsselverwaltungsprozessen und -verfahren
Ihre Zuständigkeiten
Zur Erfüllung dieser Anforderung müssen Sie unter Umständen die direkte Kryptografie in der Workload verwenden. PCI DSS 4.0.1 aktualisiert kryptografische Anforderungen entsprechend den sich entwickelnden Branchenstandards. Verwenden Sie nur branchenspezifische und genehmigte Algorithmen (z. B. AES, RSA usw.), und vermeiden Sie benutzerdefinierte Verschlüsselungsalgorithmen. Stellen Sie sicher, dass kryptografische Steuerelemente kontinuierlich überwacht und getestet werden.
Diese Anforderung kann auch mit geeigneten Datenmaskierungsverfahren erfüllt werden. Sie sind dafür verantwortlich, alle Daten der Hauptkontonummer (Primary Account Number, PAN) zu maskieren. Für die Azure SQL-Reihe der Dienste, z. B. Azure Synapse Analytics, wird die dynamische Datenmaskierung unterstützt. Informationen hierzu finden Sie unter Anforderung 3.3. PCI DSS 4.0.1 erfordert, dass Maskierungs- und kryptografische Steuerelemente dokumentiert und kontinuierlich überprüft werden.
Stellen Sie sicher, dass PAN nicht als Teil Ihrer Workflowprozesse verfügbar gemacht wird. Hier sind einige Überlegungen:
- Nehmen Sie die Hauptkontonummer von der Protokollierung aus. Dies gilt sowohl für Workflowprotokolle (erwartet oder unerwartet) als auch für Protokolle zur Ausnahmebehandlung. Darüber hinaus dürfen diese Daten auch nicht in Diagnosedatenflüssen, z. B. HTTP-Headern, verfügbar gemacht werden.
- Verwenden Sie PAN nicht als Cache-Nachschlageschlüssel oder als Teil eines Dateinamens, der von diesem Prozess generiert wird.
- Es kann vorkommen, dass Ihre Kunden die Hauptkontonummer unaufgefordert in Feldern für Freitext angeben. Stellen Sie sicher, dass Prozesse zur Inhaltsüberprüfung und -erkennung für alle Freitextfelder vorhanden sind und alle Inhalte bereinigt werden, die Hauptkontonummer-Daten ähneln.
Anforderung 3.4.1
Wenn die Datenträgerverschlüsselung verwendet wird (anstelle der Datenbankverschlüsselung auf Datei- oder Spaltenebene), muss der logische Zugriff separat und unabhängig von nativen Authentifizierungs- und Zugriffssteuerungsmechanismen des Betriebssystems verwaltet werden (z. B. durch den Verzicht auf lokale Benutzerkontendatenbanken oder allgemeine Netzwerkanmeldeinformationen). Entschlüsselungsschlüssel dürfen nicht zu Benutzerkonten zugeordnet werden. PCI DSS 4.0.1 verdeutlicht die Schlüsselverwaltung und die Anforderungen an die Zugriffstrennung weiter.
Ihre Zuständigkeiten
Im Allgemeinen speichern Sie den Zustand nicht im AKS-Cluster. Verwenden Sie einen externen Datenspeicher, für den die Verschlüsselung auf der Ebene der Speicher-Engine unterstützt wird.
Alle gespeicherten Daten in Azure Storage werden mit sicheren Kryptografieverfahren ver- und entschlüsselt. Die zugehörigen Schlüssel werden von Microsoft verwaltet. Hierbei werden selbstverwaltete Verschlüsselungsschlüssel bevorzugt. Führen Sie die Verschlüsselung immer außerhalb der Speicherebene durch, und schreiben Sie nur verschlüsselte Daten auf das Speichermedium. Stellen Sie sicher, dass sich die Schlüssel niemals in der Nähe der Speicherebene befinden.
Bei Azure Storage können Sie auch selbstverwaltete Schlüssel verwenden. Ausführlichere Informationen finden Sie unter Kundenseitig verwaltete Schlüssel für die Azure Storage-Verschlüsselung.
Für Datenbanken sind ähnliche Funktionen verfügbar. Informationen zu Azure SQL-Optionen finden Sie unter Azure SQL Transparent Data Encryption mithilfe eines kundenseitig verwalteten Schlüssels.
Stellen Sie sicher, dass Sie Ihre Schlüssel in einem verwalteten Schlüsselspeicher wie Azure Key Vault, einem verwalteten Azure-HSM oder einer Drittanbieterlösung für die Schlüsselverwaltung speichern.
Falls Sie Daten vorübergehend speichern müssen, sollten Sie das Feature Hostverschlüsselung von AKS aktivieren, um sicherzustellen, dass die auf den VM-Knoten gespeicherten Daten verschlüsselt sind.
Anforderung 3.5
Dokumentieren und implementieren Sie Verfahren zum Schutz von Schlüsseln, mit denen gespeicherte Karteninhaberdaten vor Offenlegung und Missbrauch geschützt werden.
Ihre Zuständigkeiten
Die folgenden Zuständigkeiten gelten:
- Nutzen Sie für die kryptografischen Schlüssel den Zugriff mit den geringsten Rechten.
- Azure Key Vault und Microsoft Entra ID sind so konzipiert, dass die Anforderungen in Bezug auf die Autorisierung und die Überwachungsprotokollierung unterstützt werden. Ausführlichere Informationen finden Sie im Abschnitt zum Anfordern der Authentifizierung für Azure Key Vault.
- Schützen Sie alle Datenverschlüsselungsschlüssel mit einem Schlüssel für die Schlüsselverschlüsselung, der auf einem kryptografischen Gerät gespeichert ist.
- Achten Sie bei Verwendung von selbstverwalteten Schlüsseln (anstelle von durch Microsoft verwalteten Schlüsseln) darauf, dass ein Prozess und eine Dokumentation vorhanden sind, in der die Aufgaben der Schlüsselverwaltung beschrieben sind.
Anforderung 3.5.1
Zusätzliche Anforderung nur für Dienstanbieter: Bewahren Sie eine dokumentierte Beschreibung der kryptografischen Architektur auf, die Folgendes umfasst:
- Details zu allen Algorithmen, Protokollen und Schlüsseln, die zum Schutz von Kartenhalterdaten verwendet werden, einschließlich Schlüsselstärke und Ablaufdatum.
- Beschreibung der Schlüsselverwendung für jeden Schlüssel.
- Inventar aller HSMs und anderer SCDs, die für die Schlüsselverwaltung verwendet werden.
Ihre Zuständigkeiten
Eine Möglichkeit zum Speichern von vertraulichen Informationen (Schlüssel, Verbindungszeichenfolgen und andere) ist die Nutzung der nativen Kubernetes-Ressource Secret. Sie müssen die Verschlüsselung ruhender Daten explizit aktivieren. Speichern Sie sie alternativ in einem verwalteten Speicher, z. B. Azure Key Vault. Der von uns empfohlene Ansatz ist die Verwendung eines verwalteten Speicherdiensts. Ein Vorteil ist eine Reduzierung des Mehraufwands bei den Aufgaben zur Schlüsselverwaltung, z. B. die Schlüsselrotation.
Standardmäßig verwendet Azure microsoftverwaltete Schlüssel pro Kunde für alle verschlüsselten Daten. Bei einigen Diensten werden aber auch selbstverwaltete Schlüssel für die Verschlüsselung unterstützt. Wenn Sie selbstverwaltete Schlüssel für die Verschlüsselung im ruhenden Zustand verwenden, sollten Sie sicherstellen, dass Sie über einen Prozess und eine Strategie für die Aufgaben zur Schlüsselverwaltung verfügen.
Fügen Sie in Ihre Dokumentation auch Informationen zur Schlüsselverwaltung ein, z. B. Details zu Ablauf, Standort und Wartungsplan.
Anforderung 3.5.2
Beschränken Sie den Zugriff auf kryptografische Schlüssel auf die geringstmögliche Anzahl von Verwaltungsberechtigten.
Ihre Zuständigkeiten
Halten Sie die Anzahl von Personen, die Zugriff auf die Schlüssel haben, möglichst gering. Richten Sie bei Verwendung von gruppenbasierten Rollenzuweisungen einen wiederkehrenden Überwachungsprozess ein, bei dem die Rollen überprüft werden, für die Zugriff besteht. Wenn sich die Mitglieder des Projektteams ändern, müssen die Berechtigungen für Konten, die nicht mehr relevant sind, entfernt werden. Nur die richtigen Personen sollten jeweils Zugriff haben. Verwenden Sie Microsoft Entra ID-Zugriffsüberprüfungen, um Gruppenmitgliedschaften regelmäßig zu überprüfen.
Erwägen Sie, fest zugeordnete Berechtigungen durch JIT-Rollenzuweisungen (Just-In-Time) und eine zeit- bzw. genehmigungsbasierte Aktivierung von Rollen zu ersetzen. Ziehen Sie beispielsweise die Verwendung von Privileged Identity Management in Betracht.
Anforderung 3.5.3
Speichern Sie geheime und private Schlüssel, die zum Ver-/Entschlüsseln von Karteninhaberdaten verwendet werden, immer in einem (oder mehreren) der folgenden Formate:
- Verschlüsselt mit einem Schlüssel verschlüsselnden Schlüssel, der mindestens so stark ist wie der datenverschlüsselte Schlüssel, und das wird separat vom Datenverschlüsselungsschlüssel gespeichert.
- Innerhalb eines sicheren kryptografischen Geräts (z. B. eines Hardware-Sicherheitsmoduls (Host) (HSM) oder ptS-genehmigter Point-of-Interaction-Gerät).
- Als mindestens zwei hauptwierige Komponenten oder Schlüsselanteile gemäß einer branchenüblichen Methode.
Ihre Zuständigkeiten
Eine PCI-DSS 4.0.1-Workload muss mehr als einen Verschlüsselungsschlüssel als Teil der Data-at-Rest-Schutzstrategie verwenden. Ein Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) wird verwendet, um die Karteninhaberdaten zu ver- und entschlüsseln. Sie selbst sind aber für das Vorhandensein eines zusätzlichen Schlüssels für die Schlüsselverschlüsselung (Key Encryption Key, KEK) verantwortlich, mit dem der DEK geschützt wird. Darüber hinaus müssen Sie auch sicherstellen, dass der KEK auf einem kryptografischen Gerät gespeichert wird. PCI DSS 4.0.1 erfordert kontinuierliche Überwachung und Dokumentation aller wichtigen Verwaltungsaktivitäten.
Sie können Azure Key Vault zum Speichern des DEK und das Azure Dedicated HSM zum Speichern des KEK nutzen. Informationen zur HSM-Schlüsselverwaltung finden Sie unter Was ist Azure Dedicated HSM?
Anforderung 3.6
Dokumentieren und implementieren Sie alle Schlüsselverwaltungsprozesse und -verfahren für kryptografische Schlüssel, die zur Verschlüsselung von Karteninhaberdaten verwendet werden, z. B.:
Ihre Zuständigkeiten
Wenn Sie Azure Key Vault zum Speichern von Geheimnissen wie Schlüsseln, Zertifikaten und Verbindungszeichenfolgen verwenden, sollten Sie die Daten vor unbefugtem Zugriff schützen. Microsoft Defender für Key Vault erkennt verdächtige Zugriffsversuche und generiert Warnungen. Sie können diese Warnungen in Microsoft Defender für Cloud anzeigen. Weitere Informationen finden Sie unter Einführung in Microsoft Defender für Key Vault. PCI DSS 4.0.1 erfordert erweiterte Überwachung und Warnung für alle Schlüsselverwaltungssysteme.
Befolgen Sie die NIST-Anleitung zur Schlüsselverwaltung. Ausführliche Informationen finden Sie hier:
- Verwaltung kryptografischer Schlüssel
- SP 800-133 Rev. 2, Empfehlung zur Generierung kryptografischer Schlüssel
- SP 800-57 Teil 1 Rev. 5, Empfehlung zur Schlüsselverwaltung
Lesen Sie auch die Informationen unter Einführung in Microsoft Defender für Key Vault.
Anforderung 3.6.7
Verhinderung der unbefugten Ersetzung von kryptografischen Schlüsseln.
Ihre Zuständigkeiten
- Aktivieren Sie die Diagnose für alle Schlüsselspeicher. Verwenden Sie Azure Monitor für Key Vault. Hiermit werden Protokolle und Metriken gesammelt und an Azure Monitor gesendet. Weitere Informationen finden Sie unter Überwachen Ihres Schlüsseltresordiensts mit Azure Monitor für Key Vault.
- Erteilen Sie allen Consumern Leseberechtigungen.
- Sie verfügen nicht über ständige Berechtigungen für Verwaltungsbenutzer oder Prinzipale. Nutzen Sie stattdessen Just-In-Time-Rollenzuweisungen (JIT) und die zeit- bzw. genehmigungsbasierte Rollenaktivierung.
- Erstellen Sie eine zentrale Ansicht, indem Sie Protokolle und Warnungen in SIEM-Lösungen (Security Information & Event Management) integrieren, z. B. Microsoft Sentinel.
- Ergreifen Sie Maßnahmen in Bezug auf Warnungen und Benachrichtigungen. Dies gilt vor allem für unerwartete Änderungen.
Anforderung 3.6.8
Anforderung an Verwaltungsberechtigte für kryptografische Schlüssel zur formellen Anerkennung, dass sie ihre Verantwortung als Schlüsselverwaltungsberechtigte verstehen und akzeptieren.
Ihre Zuständigkeiten
Verwalten Sie Dokumentationen, die die Verantwortlichkeiten der beteiligten Parteien in Schlüsselverwaltungsvorgängen beschreiben.
Anforderung 3.7
Stellen Sie sicher, dass Sicherheitsrichtlinien und betriebliche Verfahren zum Schützen gespeicherter Daten von Karteninhabern dokumentiert und verwendet werden sowie allen beteiligten Parteien bekannt sind.
Ihre Zuständigkeiten
Erstellen Sie eine Dokumentation mit allgemeinen Informationen sowie aktuelle Rollenleitfäden für alle Personas. Führen Sie Schulungen für neu eingestellte Mitarbeiter und fortlaufende Schulungen durch.
Es ist wichtig, dass Sie eine umfassende Dokumentation zu den Prozessen und Richtlinien führen. Mehrere Teams sind daran beteiligt sicherzustellen, dass die Daten im ruhenden Zustand und während der Übertragung geschützt sind. Stellen Sie in Ihrer Dokumentation Rollenleitfäden für alle Personas bereit. Die Rollen sollten die Bereiche SRE, Kundensupport, Vertrieb, Netzwerkbetrieb, Sicherheitsabläufe, Softwareentwickler, Datenbankadministratoren und mehr abdecken. Das Personal sollte in NIST-Anleitungen und ruhenden Strategien geschult werden, um ihre Fähigkeiten auf dem neuesten Stand zu halten. Die Trainingsanforderungen sind unter Anforderung 6.5 und Anforderung 12.6 beschrieben.
Anforderung 4: Verschlüsseln der Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke
Ihre Zuständigkeiten
| Anforderung | Verantwortung |
|---|---|
| Anforderung 4.1 | Verwenden Sie starke Kryptografie- und Sicherheitsprotokolle (z. B. TLS 1.2 oder höher, IPSEC, SSH usw.), um vertrauliche Karteninhaberdaten während der Übertragung über offene, öffentliche Netzwerke zu schützen, einschließlich der folgenden: |
| Anforderung 4.2 | Senden Sie niemals ungeschützte PANs über Messagingtechnologien für Endbenutzer (z. B. E-Mail, Sofortnachrichten, SMS, Chat usw.). |
| Anforderung 4.3 | Stellen Sie sicher, dass Sicherheitsrichtlinien und betriebliche Verfahren für die Verschlüsselung der Übertragungen von Daten von Karteninhabern dokumentiert und verwendet werden sowie allen beteiligten Parteien bekannt sind. |
Anforderung 4.1
Verwenden Sie sichere Kryptografieverfahren und Sicherheitsprotokolle (z. B. TLS, IPSEC, SSH usw.), um vertrauliche Daten von Karteninhabern während der Übertragung über offen zugängliche öffentliche Netzwerke zu schützen, z. B.:
Ihre Zuständigkeiten
Kartenhalterdaten (CHD), die über das öffentliche Internet übertragen werden, müssen verschlüsselt werden. Daten müssen mit TLS 1.2 oder höher verschlüsselt werden, mit starker Verschlüsselungsunterstützung für alle Übertragungen. Unterstützen Sie keine TLS-zu TLS-Umleitungen für Datenübertragungsdienste. PCI DSS 4.0.1 erfordert eine kontinuierliche Überwachung von Verschlüsselungsprotokollen und regelmäßigen Risikobewertungen, um sicherzustellen, dass kryptografische Kontrollen wirksam bleiben.
Ihr Entwurf sollte über eine strategische Kette mit TLS-Abschlusspunkten verfügen. Wenn Daten über Netzwerkhops übertragen werden, sollten Sie TLS an Hops nutzen, die eine Paketüberprüfung erfordern. Verwenden Sie mindestens den letzten TLS-Abschlusspunkt auf der Eingangsressource des Clusters. Erwägen Sie, dies auch auf die anderen Clusterressourcen zu erweitern.
Nutzen Sie Azure Policy, um die Erstellung von Ressourcen zu steuern:
- Lehnen Sie die Erstellung von Eingangsressourcen ab, für die nicht HTTPS verwendet wird.
- Lehnen Sie die Erstellung einer öffentlichen IP-Adresse oder eines öffentlichen Lastenausgleichsmoduls in Ihrem Cluster ab, um sicherzustellen, dass für Webdatenverkehr die Tunnelung über Ihr Gateway erfolgt.
Weitere Informationen finden Sie unter Übersicht über die Azure-Verschlüsselung. PCI DSS 4.0.1 ermöglicht einen angepassten Ansatz für Verschlüsselungskontrollen, wenn sie gerechtfertigt und dokumentiert sind.
Anforderung 4.1.1
Stellen Sie sicher, dass für Drahtlosnetzwerke, die Daten von Karteninhabern übertragen oder mit der Umgebung der Karteninhaberdaten verbunden sind, die bewährten Methoden der Branche (z. B. IEEE 802.11i) genutzt werden, um eine sichere Verschlüsselung für die Authentifizierung und Übertragung zu implementieren.
Ihre Zuständigkeiten
Diese Architektur und die Implementierung sind nicht für die Durchführung von lokalen oder unternehmensinternen Netzwerk-zu-Cloud-Transaktionen über Funkverbindungen konzipiert. Weitere Informationen finden Sie in den Leitlinien im offiziellen PCI-DSS 4.0.1 Standard.
Anforderung 4.2
Senden Sie niemals ungeschützte PANs über Messagingtechnologien für Endbenutzer (z. B. E-Mail, Sofortnachrichten, SMS, Chat usw.).
Ihre Zuständigkeiten
Falls für Ihre Workload das Senden von E-Mails erforderlich ist, sollten Sie erwägen, ein Gate für die E-Mail-Quarantäne zu erstellen. Bei dieser Überprüfung haben Sie die Möglichkeit, alle ausgehenden Nachrichten auf Konformität zu untersuchen und sicherzustellen, dass keine vertraulichen Daten enthalten sind. Idealerweise sollten Sie diesen Ansatz auch für Kundensupportnachrichten in Betracht ziehen.
Die Überprüfung sollte auf Workloadebene und während des Prozesses für die Änderungssteuerung erfolgen. Für die Genehmigungsgates sollte klar sein, um was es bei der Anforderung geht.
Weitere Informationen finden Sie in den Leitlinien im offiziellen PCI-DSS 4.0.1 Standard.
Anforderung 4.3
Stellen Sie sicher, dass Sicherheitsrichtlinien und betriebliche Verfahren für die Verschlüsselung der Übertragungen von Daten von Karteninhabern dokumentiert und verwendet werden sowie allen beteiligten Parteien bekannt sind.
Ihre Zuständigkeiten
Es ist wichtig, dass Sie eine umfassende Dokumentation zu den Prozessen und Richtlinien führen. Dies gilt besonders für die Verwaltung von Richtlinien für Transport Layer Security (TLS). Die Dokumentation sollte Informationen zu Aspekten enthalten, z. B.:
- Öffentliche Internetzugangspunkte. Ein Beispiel hierfür ist die Azure Application Gateway-Unterstützung für TLS-Verschlüsselungsverfahren.
- Netzwerkhops zwischen Umkreisnetzwerk und Workloadpods.
- Pod-zu-Pod-Verschlüsselung (falls implementiert). Dies kann auch Details zur Konfiguration eines Dienstnetzes (Service Mesh) enthalten.
- Pod zu Speicher (falls dies Teil der Architektur ist).
- Pod zu externen Diensten, Azure PaaS-Dienste, für die TLS genutzt wird, ein Zahlungsgateway oder ein System zum Erkennen von Betrugsversuchen.
Personen, die in regulierten Umgebungen arbeiten, müssen geschult werden, informiert sein und Anreize erhalten, damit sie die Sicherheitsgarantien unterstützen. Dies ist besonders wichtig für Personen, die aus Richtliniensicht Teil des Genehmigungsprozesses sind.
Nächste Schritte
Implementieren Sie umfassende Kryptografie- und Schlüsselverwaltungssteuerelemente zum Schutz ruhender Und während der Übertragung von Kartenhalterdaten.