En este artículo se describen las consideraciones para un clúster de Azure Kubernetes Service (AKS) configurado de acuerdo con el estándar de seguridad de datos del sector de tarjetas de pago (PCI-DSS 3.2.1).
Este artículo forma parte de una serie. Lea la introducción.
Mantenimiento de una directiva de seguridad de la información
Requisito 12: mantenimiento de una directiva que trate la seguridad de la información para todo el personal
Microsoft completó una evaluación de PCI DSS anual con un evaluador de seguridad calificado (QSA) aprobado. Considere todos los aspectos de la infraestructura, el desarrollo, las operaciones, la administración, el soporte técnico y los servicios en el ámbito. Para más información, vea Estándar de seguridad de los datos (DSS) de la industria de tarjetas de pago (PCI).
Esta arquitectura y la implementación no están diseñadas para proporcionar instrucciones ilustrativas para documentar por completo la directiva de seguridad oficial. Para obtener consideraciones, consulte las instrucciones del estándar PCI-DSS 3.2.1 oficial.
Estas son algunas sugerencias generales:
Mantenga una documentación exhaustiva y actualizada sobre el proceso y las directivas. Considere la posibilidad de usar el Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo.
En la revisión anual de la directiva de seguridad, incorpore las nuevas instrucciones proporcionadas por Microsoft, Kubernetes y otras soluciones de terceros que forman parte del CDE. Algunos recursos incluyen publicaciones de proveedores combinadas con instrucciones derivadas de Microsoft Defender for Cloud, Azure Advisor, la revisión de buena arquitectura de Azure y actualizaciones de la base de referencia de seguridad de Azure de AKS y los puntos de referencia de CIS Azure Kubernetes Service, etc.
Al establecer el proceso de evaluación de riesgos, alinee con un estándar publicado cuando sea práctico, por ejemplo, NIST SP 800-53. Asigne publicaciones de la lista de seguridad publicada del proveedor, como la guía del Centro de respuesta de seguridad de Microsoft, al proceso de evaluación de riesgos.
Mantenga actualizada la información sobre el inventario de dispositivos y la documentación de acceso del personal. Considere la posibilidad de usar la funcionalidad de detección de dispositivos incluida en Microsoft Defender para punto de conexión. Para realizar el seguimiento del acceso, puede derivar esa información de los registros de Microsoft Entra. Aquí tiene algunos artículos para empezar:
Como parte de la administración del inventario, mantenga una lista de soluciones aprobadas que se implementan como parte de la infraestructura y la carga de trabajo de PCI. Esto incluye una lista de imágenes de máquina virtual, bases de datos y soluciones de terceros de su elección que traiga al CDE. Incluso puede automatizar ese proceso mediante la creación de un catálogo de servicios. Proporciona una implementación de autoservicio mediante las soluciones aprobadas en una configuración específica, que se ajusta a las operaciones en curso de la plataforma. Para más información, vea Establecimiento de un catálogo de servicios.
Asegúrese de que un contacto de seguridad reciba notificaciones de Microsoft de los incidentes en Azure.
Estas notificaciones indican si el recurso está en peligro. Estas notificaciones permiten que el equipo de operaciones de seguridad responda rápidamente a posibles riesgos de seguridad y los solucionen. Asegúrese de que la información de contacto del administrador en el portal de inscripción de Azure incluya la necesaria para notificar las operaciones de seguridad de forma directa o rápida a través de un proceso interno. Para obtener más información, vea Modelo de operaciones de seguridad.
Estos son otros artículos que le ayudarán a planear el cumplimiento operativo.
- Administración de la nube en Cloud Adoption Framework
- Gobernanza en Microsoft Cloud Adoption Framework para Azure