Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Azure Local 2311.2 und höher
In diesem Artikel wird erläutert, wie Microsoft Azure Local-Sicherheitsfeatures Organisationen in der Zahlungskartenbranche dabei helfen können, die Sicherheitskontrollanforderungen von PCI DSS sowohl in der Cloud als auch in ihren lokalen Umgebungen zu erreichen.
PCI-DSS
Der Payment Card Industry (PCI) Data Security Standard (DSS) ist ein globaler Informationssicherheitsstandard, der Betrug durch eine erhöhte Kontrolle über Kreditkartendaten verhindert. Der PCI DSS wird von Zahlungskartenmarken beauftragt und vom Payment Card Industry Security Standards Council verwaltet.
Die Einhaltung von PCI DSS ist für jede Organisation erforderlich, die Kartenhalterdaten speichert, verarbeitet oder überträgt. Organisationen, die der PCI DSS-Compliance unterliegen, umfassen (aber nicht beschränkt auf) Händler, Zahlungsverarbeiter, Aussteller, Erwerber und Dienstanbieter.
Erfahren Sie mehr über den Standard in der Dokumentationsbibliothek des PCI Security Standards Council.
Gemeinsame Verantwortung
Es ist wichtig zu verstehen, dass PCI DSS nicht nur ein Technologie- und Produktstandard ist, sondern auch Sicherheitsanforderungen für Personen und Prozesse abdeckt. Die Verantwortung für die Compliance wird zwischen Ihnen als abgedeckte Entität und Microsoft als Dienstanbieter geteilt.
Microsoft-Kunden
Als abgedeckte Entität liegt es in Ihrer Verantwortung, Ihr eigenes PCI DSS-Zertifikat zu erreichen und zu verwalten. Organisationen müssen ihre eigene Umgebung bewerten, insbesondere die Teile, die Dienstzahlungen oder zahlungsbezogene Workloads hosten, in denen Kartenhalterdaten gespeichert, verarbeitet und/oder übertragen werden. Dies wird als Kartenhalterdatenumgebung (CDE) bezeichnet. Danach müssen Organisationen die richtigen Sicherheitskontrollen, Richtlinien und Verfahren planen und implementieren, um alle angegebenen Anforderungen zu erfüllen, bevor sie einem offiziellen Testprozess unterzogen werden. Organisationen haben letztendlich einen Vertrag mit einem qualifizierten Sicherheitsprüfer (Qualified Security Assessor, QSA) abgeschlossen, der überprüft, ob die Umgebung alle Anforderungen erfüllt.
Microsoft
Obwohl es Ihre Verantwortung ist, die Einhaltung des PCI DSS-Standards aufrechtzuerhalten, sind Sie nicht allein auf der Reise. Microsoft bietet zusätzliche Materialien und Sicherheitsfeatures in der gesamten Hybridumgebung, um den zugehörigen Aufwand und die Kosten für die Durchführung der PCI DSS-Validierung zu reduzieren. Anstatt beispielsweise alles von Grund auf neu zu testen, können Ihre Prüfer den Azure-Nachweis der Compliance (AOC) für den Teil Ihrer Kartenhalterdatenumgebung verwenden, der in Azure bereitgestellt wird. Weitere Informationen finden Sie in den folgenden Inhalten.
Lokale Azure-Compliance
Beim Entwerfen und Erstellen von Azure Local berücksichtigt Microsoft Sicherheitsanforderungen sowohl für die lokale Microsoft-Cloud als auch für lokale Kundenumgebungen.
Verbundene Clouddienste
Azure Local bietet umfassende Integration in verschiedene Azure-Dienste wie Azure Monitor, Azure Backup und Azure Site Recovery, um neue Funktionen in die Hybrideinstellung zu integrieren. Diese Clouddienste sind gemäß PCI DSS Version 4.0 auf Service Provider Level 1 als konform zertifiziert. Erfahren Sie mehr über das Compliance-Programm von Azure Cloud Services bei PCI DSS – Azure Compliance.
Wichtig
Es ist wichtig zu beachten, dass der Azure PCI DSS-Compliancestatus nicht automatisch in die PCI DSS-Validierung für die Dienste übersetzt wird, die Organisationen auf der Azure-Plattform erstellen oder hosten. Kunden sind dafür verantwortlich, sicherzustellen, dass ihre Organisationen die Einhaltung der PCI DSS-Anforderungen erfüllen.
Lokale Lösungen
Als lokale Lösung bietet Azure Local eine Reihe von Features, mit denen Organisationen die Einhaltung von PCI DSS und anderen Sicherheitsstandards für Finanzdienstleistungen erfüllen können.
Lokale Azure-Funktionen, die für PCI DSS relevant sind
In diesem Abschnitt wird kurz beschrieben, wie Organisationen Azure Local-Funktionen verwenden können, um die Anforderungen von PCI DSS zu erfüllen. Es ist wichtig zu beachten, dass PCI DSS-Anforderungen für alle Systemkomponenten gelten, die in oder mit der Kartenhalterdatenumgebung (CDE) verbunden sind.
Der folgende Inhalt konzentriert sich auf die Ebene der lokalen Azure-Plattform, auf der Dienstzahlungen oder zahlungsbezogene Workloads gehostet werden, die Kartenhalterdaten enthalten.
Anforderung 1: Installieren und Verwalten von Netzwerksicherheitskontrollen
Mit Azure Local können Sie Netzwerksicherheitskontrollen anwenden, um Ihre Plattform und die darin ausgeführten Workloads vor Netzwerkbedrohungen außerhalb und innerhalb zu schützen. Die Plattform garantiert auch eine faire Netzwerkzuordnung auf einem Host und verbessert die Workloadleistung und Verfügbarkeit mit Lastenausgleichsfunktionen. Weitere Informationen zur Netzwerksicherheit in Azure Local finden Sie in den folgenden Artikeln.
- Übersicht über die Rechenzentrumsfirewall
- Software Load Balancer (SLB) für Software Define Network (SDN)
- RAS-Gateway (Remote Access Service) für SDN
- Quality of Service-Richtlinien für Ihre Workloads, die in Azure Local gehostet werden
Anforderung 2: Anwenden sicherer Konfigurationen auf alle Systemkomponenten
Standardmäßig sicher
Azure Local ist standardmäßig sicher mit Sicherheitstools und -technologien konfiguriert, um gegen moderne Bedrohungen zu schützen und die Azure Compute Security-Basiswerte zu berücksichtigen. Weitere Informationen finden Sie unter den Sicherheitsgrundwerteeinstellungen für Azure Local.
Driftschutz
Die Standardsicherheitskonfiguration und die sicheren Kerneinstellungen der Plattform werden sowohl während der Bereitstellung als auch zur Laufzeit mit Drift Control-Schutz geschützt. Wenn diese Option aktiviert ist, aktualisiert der Drift Control-Schutz die Sicherheitseinstellungen regelmäßig alle 90 Minuten, um sicherzustellen, dass alle Änderungen aus dem angegebenen Zustand behoben werden. Diese kontinuierliche Überwachung und Autoremediation ermöglicht es Ihnen, eine konsistente und zuverlässige Sicherheitskonfiguration während des gesamten Lebenszyklus des Geräts zu haben. Sie können den Driftschutz während der Bereitstellung deaktivieren, wenn Sie die Sicherheitseinstellungen konfigurieren.
Sicherheitsbasisplan für Arbeitsauslastung
Für Workloads, die auf Azure Local ausgeführt werden, können Sie den empfohlenen Basisplan des Azure-Betriebssystems (sowohl für Windows als auch Linux) als Benchmark verwenden, um Ihre Basisplan für die Berechnungsressourcenkonfiguration zu definieren.
Anforderung 3: Schützen gespeicherter Kontodaten
Verschlüsseln von Daten mit BitLocker
Auf lokalen Azure-Instanzen können alle ruhenden Daten durch BitLocker XTS-AES 256-Bit-Verschlüsselung verschlüsselt werden. Standardmäßig wird vom System empfohlen, BitLocker zu aktivieren, um alle Betriebssystemvolumes (OS) und freigegebene Clustervolumes (CSV) in Ihrer lokalen Azure-Bereitstellung zu verschlüsseln. Für alle neuen Speichervolumes, die nach der Bereitstellung hinzugefügt wurden, müssen Sie BitLocker manuell aktivieren, um das neue Speichervolume zu verschlüsseln. Die Verwendung von BitLocker zum Schutz von Daten kann Organisationen dabei helfen, mit ISO/IEC 27001 konform zu bleiben. Weitere Informationen finden Sie unter "Verwenden von BitLocker mit freigegebenen Clustervolumes (CSV)".
Anforderung 4: Schützen von Karteninhaberdaten mit starker Kryptografie während der Übertragung über offene, öffentliche Netzwerke
Schützen des externen Netzwerkdatenverkehrs mit TLS/DTLS
Standardmäßig werden alle Hostkommunikationen an lokale und Remoteendpunkte mit TLS1.2, TLS1.3 und DTLS 1.2 verschlüsselt. Die Plattform deaktiviert die Verwendung älterer Protokolle/Hashes wie TLS/DTLS 1.1 SMB1. Azure Local unterstützt auch starke Verschlüsselungssammlungen wie SDL-kompatible elliptische Kurven, die nur auf NIST-Kurven P-256 und P-384 beschränkt sind.
Anforderung 5: Schutz aller Systeme und Netzwerke vor Schadsoftware
Windows Defender Antivirus
Windows Defender Antivirus ist eine Hilfsanwendung, die die Durchsetzung von Echtzeit-Systemüberprüfungen und regelmäßigem Scannen ermöglicht, um Plattform und Workloads vor Viren, Schadsoftware, Spyware und anderen Bedrohungen zu schützen. Microsoft Defender Antivirus ist standardmäßig in Azure Local aktiviert. Microsoft empfiehlt die Verwendung von Microsoft Defender Antivirus mit Azure Local anstelle von Antiviren- und Schadsoftwareerkennungssoftware und -diensten von Drittanbietern, da sie sich auf die Fähigkeit des Betriebssystems zum Empfangen von Updates auswirken können. Weitere Informationen finden Sie unter Microsoft Defender Antivirus auf Windows Server.
Anwendungskontrolle
Die Anwendungssteuerung ist in Azure Local standardmäßig aktiviert und legt fest, welche Treiber und Anwendungen direkt auf jedem Server ausgeführt werden dürfen. Dadurch wird verhindert, dass Schadsoftware auf die Systeme zugreift. Weitere Informationen zu den in Azure Local enthaltenen Basisrichtlinien und dazu, wie Sie zusätzliche Richtlinien erstellen finden Sie unter Anwendungssteuerung für Azure Local.
Microsoft Defender für Cloud
Microsoft Defender für Cloud mit Endpoint Protection (aktiviert über den Defender for Servers-Plan) bietet eine Sicherheitsstatusverwaltungslösung mit erweiterten Bedrohungsschutzfunktionen. Es bietet Ihnen Tools, um den Sicherheitsstatus Ihrer Infrastruktur zu bewerten, Workloads zu schützen, Sicherheitswarnungen auszuheben und bestimmte Empfehlungen zur Behebung von Angriffen zu befolgen und zukünftige Bedrohungen zu beheben. Sie führt alle diese Dienste mit hoher Geschwindigkeit in der Cloud ohne Bereitstellungsaufwand durch automatische Bereitstellung und Schutz mit Azure-Diensten aus. Weitere Informationen finden Sie unter Microsoft Defender für Cloud.
Anforderung 6: Entwickeln und Warten sicherer Systeme und Software
Plattformupdate
Alle Komponenten von Azure Local, einschließlich Betriebssystem, Kern-Agents und -Diensten und der Lösungserweiterung, können mit dem Lifecycle Manager problemlos verwaltet werden. Mit diesem Feature können Sie verschiedene Komponenten in einer Updateversion bündeln und die Kombination von Versionen überprüfen, um die Interoperabilität sicherzustellen. Weitere Informationen finden Sie unter Lifecycle Manager für lokale Azure-Lösungsupdates.
Workload-Update
Für Arbeitslasten, die über Azure Local ausgeführt werden, einschließlich Azure Kubernetes Service (AKS)-Hybrid-, Azure Arc- und Infrastruktur-virtuelle Computer (VMs), die nicht in den Lifecycle Manager integriert sind, folgen Sie den Methoden, die im Use Lifecycle Manager erläutert werden, um Updates zu erhalten, um sie auf dem neuesten Stand zu halten und die PCI DSS-Anforderungen anzupassen.
Anforderung 7: Einschränken des Zugriffs auf Systemkomponenten und Kartenhalterdaten nach Geschäftlichem Bedarf
Es liegt in Ihrer Verantwortung, Rollen und deren Zugriffsanforderungen basierend auf den geschäftlichen Anforderungen Ihrer Organisation zu identifizieren und dann sicherzustellen, dass nur autorisierte Mitarbeiter Zugriff auf vertrauliche Systeme und Daten haben, indem Sie Berechtigungen basierend auf den Aufgabenaufgaben zuweisen. Verwenden Sie die unter Anforderung 8 beschriebenen Funktionen: Identifizieren Sie Benutzer, und authentifizieren Sie den Zugriff auf Systemkomponenten , um Ihre Richtlinien und Verfahren zu implementieren.
Anforderung 8: Identifizieren von Benutzern und Authentifizieren des Zugriffs auf Systemkomponenten
Azure Local bietet vollständigen und direkten Zugriff auf das zugrunde liegende System, das auf Computern über mehrere Schnittstellen wie Azure Arc und Windows PowerShell ausgeführt wird. Sie können entweder herkömmliche Windows-Tools in lokalen Umgebungen oder cloudbasierte Lösungen wie Microsoft Entra ID (früher Azure Active Directory) verwenden, um Identität und Zugriff auf die Plattform zu verwalten. In beiden Fällen können Sie integrierte Sicherheitsfeatures nutzen, z. B. mehrstufige Authentifizierung (MFA), bedingter Zugriff, rollenbasierte Zugriffssteuerung (RBAC) und Privileged Identity Management (PIM), um sicherzustellen, dass Ihre Umgebung sicher und kompatibel ist.
Erfahren Sie mehr über die lokale Identitäts- und Zugriffsverwaltung bei Microsoft Identity Manager und Privileged Access Management für Active Directory-Domäne Services. Erfahren Sie mehr über cloudbasierte Identitäts- und Zugriffsverwaltung bei Microsoft Entra ID.
Anforderung 9: Einschränken des physischen Zugriffs auf Karteninhaberdaten
Stellen Sie für lokale Umgebungen sicher, dass die physische Sicherheit dem Wert von Azure Local und den darin enthaltenen Daten entspricht.
Anforderung 10: Protokollieren und Überwachen des gesamten Zugriffs auf Systemkomponenten und Kartenhalterdaten
Lokale Systemprotokolle
Standardmäßig werden alle Vorgänge, die in Azure Local ausgeführt werden, aufgezeichnet, sodass Sie nachverfolgen können, wer was getan hat, wann und wo auf der Plattform. Protokolle und Warnungen, die von Windows Defender erstellt wurden, sind ebenfalls enthalten, um Die Wahrscheinlichkeit und Auswirkungen einer Datenkompromittierung zu verhindern, zu erkennen und zu minimieren. Da das Systemprotokoll jedoch häufig eine große Menge an Informationen enthält, von denen ein Großteil der Informationssicherheitsüberwachung überflüssig ist, müssen Sie ermitteln, welche Ereignisse für die Erfassung und Verwendung für Sicherheitsüberwachungszwecke relevant sind. Azure-Überwachungsfunktionen helfen beim Sammeln, Speichern, Warnen und Analysieren dieser Protokolle. Verweisen Sie auf die Sicherheitsbasislinie für Azure Local , um mehr zu erfahren.
Lokale Aktivitätsprotokolle
Azure Local Lifecycle Manager erstellt und speichert Aktivitätsprotokolle für jeden ausgeführten Aktionsplan. Diese Protokolle unterstützen eine eingehendere Untersuchung und Complianceüberwachung.
Cloudaktivitätsprotokolle
Indem Sie Ihre Systeme bei Azure registrieren, können Sie Mithilfe von Azure Monitor-Aktivitätsprotokollen Vorgänge auf jeder Ressource auf der Abonnementebene aufzeichnen, um zu bestimmen, was, wer und wann für schreibvorgänge (put, post oder delete), die für die Ressourcen in Ihrem Abonnement übernommen wurden.
Cloudidentitätsprotokolle
Wenn Sie Microsoft Entra-ID zum Verwalten von Identität und Zugriff auf die Plattform verwenden, können Sie Protokolle in der Azure AD-Berichterstellung anzeigen oder in Azure Monitor, Microsoft Sentinel oder andere SIEM/Monitoring-Tools für komplexe Überwachungs- und Analyseanwendungsfälle integrieren. Wenn Sie lokales Active Directory verwenden, verwenden Sie die Microsoft Defender for Identity-Lösung, um Ihre lokales Active Directory Signale zu nutzen, um erweiterte Bedrohungen, kompromittierte Identitäten und bösartige Insideraktionen zu identifizieren, zu erkennen und zu untersuchen, die an Ihre Organisation gerichtet sind.
SIEM-Integration
Microsoft Defender für Cloud und Microsoft Sentinel sind nativ in Arc-fähige Server integriert. Sie können Ihre Protokolle in Microsoft Sentinel aktivieren und integrieren, das sicherheitsrelevante Informationsereignisverwaltung (SECURITY Information Event Management, SIEM) und automatisierte Reaktionsfunktionen (Security Orchestration Automated Response, SOAR) bereitstellt. Microsoft Sentinel, wie andere Azure-Clouddienste, erfüllt viele bewährte Sicherheitsstandards wie PCI DSS, HITRUST und FedRAMP Authorization, die Ihnen bei Ihrem Akkreditierungsprozess helfen können. Darüber hinaus stellt Azure Local eine systemeigene Syslog-Ereignisweiterleitung bereit, um die Systemereignisse an SIEM-Lösungen von Drittanbietern zu senden.
Azure Local Insights
Mit Azure Local Insights können Sie Integritäts-, Leistungs- und Nutzungsinformationen für Systeme überwachen, die mit Azure verbunden sind und bei der Überwachung registriert sind. Während der Insights-Konfiguration wird eine Datensammlungsregel erstellt, die die zu erfassenden Daten angibt. Diese Daten werden in einem Log Analytics-Arbeitsbereich gespeichert, der dann aggregiert, gefiltert und analysiert wird, um vordefinierte Überwachungsdashboards mithilfe von Azure-Arbeitsmappen bereitzustellen. Sie können die Überwachungsdaten sowohl für einzelne Knoten- als auch für Mehrknoten-Systeme von Ihrer *Azure Local*-Ressourcenseite oder *Azure Monitor* anzeigen. Weitere Informationen finden Sie unter Monitor Azure Local with Insights.
Lokale Azure-Metriken
Metriken speichern numerische Daten aus überwachten Ressourcen in einer Zeitreihendatenbank. Sie können den Azure Monitor-Metrik-Explorer verwenden, um die Daten in Ihrer Metrikdatenbank interaktiv zu analysieren und die Werte mehrerer Metriken im Laufe der Zeit zu diagrammen. Mit Metriken können Sie Diagramme aus Metrikwerten erstellen und Trends visuell korrelieren.
Protokollwarnungen
Um Probleme in Echtzeit anzuzeigen, können Sie Warnungen für lokale Azure-Instanzen einrichten, indem Sie bereits vorhandene Beispielprotokollabfragen wie die durchschnittliche Server-CPU, verfügbaren Arbeitsspeicher, verfügbare Volumenkapazität und vieles mehr verwenden. Weitere Informationen finden Sie unter Einrichten von Warnungen für lokale Azure-Instanzen.
Metrikwarnungen
Eine Metrikwarnungsregel überwacht eine Ressource, indem die Bedingungen der Ressourcenmetriken in regelmäßigen Abständen ausgewertet werden. Wenn die Bedingungen erfüllt sind, wird eine Warnung ausgelöst. Bei einer Metrikzeitreihe handelt es sich um eine Reihe von Metrikwerten, die über einen Zeitraum erfasst werden. Sie können diese Metriken verwenden, um Warnungsregeln zu erstellen. Erfahren Sie mehr über das Erstellen von Metrikwarnungen bei Metrikwarnungen.
Dienst- und Gerätewarnungen
Azure Local bietet dienstbasierte Warnungen für Konnektivität, Betriebssystemupdates, Azure-Konfiguration und vieles mehr. Gerätebasierte Warnungen für Cluster-Gesundheitsfehler sind ebenfalls verfügbar. Sie können auch Azure Local Instances und deren zugrunde liegende Komponenten mithilfe von PowerShell oder Health Service überwachen.
Anforderung 11: Regelmäßiges Testen der Sicherheit von Systemen und Netzwerken
Neben der Durchführung häufiger Sicherheitsbewertungen und Penetrationstests können Sie auch Microsoft Defender for Cloud verwenden, um den Sicherheitsstatus für hybride Workloads in der Cloud und lokal zu bewerten, einschließlich virtueller Computer, Containerimages und SQL-Server, die arcfähig sind.
Anforderung 12: Unterstützung der Informationssicherheit mit Organisationsrichtlinien und -programmen
Es liegt in Ihrer Verantwortung, die Richtlinien und Aktivitäten zur Informationssicherheit aufrechtzuerhalten, die Ihr Organisationssicherheitsprogramm einrichten und Ihre Umgebung für Kartenhalterdaten schützen. Die Automatisierungsfeatures, die von Azure-Diensten wie Microsoft Entra ID und den informationen bereitgestellt werden, die in Details der integrierten PCI DSS-Compliance-Initiative geteilt werden, können Ihnen helfen, den Aufwand für die Verwaltung dieser Richtlinien und Programme zu verringern.