Azure Stack HCI et PCI DSS

Cet article explique comment les fonctionnalités de sécurité de Microsoft Azure Stack HCI peuvent aider les organisations dans le secteur du paiement carte atteindre les exigences de contrôle de sécurité de PCI DSS, tant dans le cloud que dans leurs environnements locaux.

PCI DSS

La norme de sécurité des données (DSS) de l’industrie des cartes de paiement (PCI) est une norme mondiale de sécurité des informations conçue pour empêcher la fraude par le biais d’un contrôle accru des données de crédit carte. Le PCI DSS est mandaté par les marques de paiement carte et administrés par le Conseil des normes de sécurité de l’industrie des cartes de paiement.

La conformité à PCI DSS est requise pour toute organisation qui stocke, traite ou transmet des données d’espace réservé carte (CHD). Les organisations soumises à la conformité PCI DSS incluent (mais ne sont pas limitées à) les marchands, les processeurs de paiement, les émetteurs, les acquisitions et les fournisseurs de services.

En savoir plus sur la norme dans la bibliothèque de documentation du Conseil des normes de sécurité PCI.

Responsabilités partagées

Il est important de comprendre que PCI DSS n’est pas seulement une technologie et une norme de produit, mais qu’elle couvre également les exigences de sécurité pour les personnes et les processus. La responsabilité de la conformité est partagée entre vous en tant qu’entité couverte et Microsoft en tant que fournisseur de services.

Clients Microsoft

En tant qu’entité couverte, il est de votre responsabilité d’obtenir et de gérer votre propre certificat PCI DSS. Les organisations doivent évaluer leur environnement distinct, en particulier les parties qui hébergent les paiements de service ou les charges de travail liées aux paiements où les données de l’espace réservé carte sont stockées, traitées et/ou transmises. Il s’agit de l’environnement de données de l’espace réservé carte (CDE). Après cela, les organisations doivent planifier et implémenter les contrôles, stratégies et procédures de sécurité appropriés pour répondre à toutes les exigences spécifiées avant de subir un processus de test officiel. Les organisations contratent finalement avec un évaluateur de sécurité qualifié (QSA) qui vérifie si l’environnement répond à toutes les exigences.

Microsoft

Bien qu’il soit de votre responsabilité de maintenir la conformité avec la norme PCI DSS, vous n’êtes pas seul dans le parcours. Microsoft fournit des matériaux supplémentaires et des fonctionnalités de sécurité dans l’environnement hybride pour vous aider à réduire l’effort associé et le coût de la validation PCI DSS. Par exemple, au lieu de tout tester à partir de zéro, vos évaluateurs peuvent utiliser l’attestation de conformité Azure (AOC) pour la partie de votre environnement de données d’espace réservé carte déployé dans Azure. En savoir plus dans le contenu suivant.

Conformité Azure Stack HCI

Lors de la conception et de la création d’Azure Stack HCI, Microsoft prend en compte les exigences de sécurité pour les environnements locaux et cloud Microsoft.

services cloud Connecter ed

Azure Stack HCI offre une intégration approfondie avec différents services Azure, tels qu’Azure Monitor, Sauvegarde Azure et Azure Site Recovery, pour apporter de nouvelles fonctionnalités au paramètre hybride. Ces services cloud sont certifiés conformes sous PCI DSS version 4.0 au niveau du fournisseur de services 1. En savoir plus sur le programme de conformité des services cloud Azure sur PCI DSS – Conformité Azure.

Important

Il est important de noter que l’état de conformité d’Azure PCI DSS ne se traduit pas automatiquement par la validation PCI DSS pour les services que les organisations créent ou hébergent sur la plateforme Azure. Les clients sont responsables de s’assurer que leurs organisations respectent les exigences PCI DSS.

Solutions locales

En tant que solution locale, Azure Stack HCI fournit un ensemble de fonctionnalités qui aident les organisations à respecter la conformité avec PCI DSS et d’autres normes de sécurité pour les services financiers.

Fonctionnalités d’Azure Stack HCI pertinentes pour PCI DSS

Cette section décrit brièvement comment les organisations peuvent utiliser la fonctionnalité Azure Stack HCI pour répondre aux exigences de PCI DSS. Il est important de noter que les exigences PCI DSS s’appliquent à tous les composants système inclus ou connectés à l’environnement de données de l’espace réservé carte (CDE). Le contenu suivant se concentre sur le niveau de la plateforme Azure Stack HCI, qui héberge les paiements de service ou les charges de travail liées aux paiements qui incluent des données d’espace réservé carte.

Condition 1 : Installer et gérer les contrôles de sécurité réseau

Avec Azure Stack HCI, vous pouvez appliquer des contrôles de sécurité réseau pour protéger votre plateforme et les charges de travail en cours d’exécution à partir de menaces réseau en dehors et à l’intérieur. La plateforme garantit également une allocation réseau équitable sur un hôte et améliore les performances et la disponibilité des charges de travail avec des fonctionnalités d’équilibrage de charge. En savoir plus sur la sécurité réseau dans Azure Stack HCI dans les articles suivants.

• Vue d'ensemble du Pare-feu Datacenter
• Software Load Balancer (SLB) for Software Define Network (SDN)
• Passerelle RAS (Remote Access Service) pour SDN
• Stratégies de qualité de service pour vos charges de travail hébergées sur Azure Stack HCI

Condition 2 : Appliquer des configurations sécurisées à tous les composants système

Sécurisé par défaut

Azure Stack HCI est configuré en toute sécurité par défaut avec des outils et technologies de sécurité pour se défendre contre les menaces modernes et s’aligner sur les bases de référence azure Compute Security. En savoir plus sur les paramètres de base de référence de sécurité pour Azure Stack HCI.

Protection contre la dérive

La configuration de sécurité par défaut et les paramètres principaux sécurisés de la plateforme sont protégés pendant le déploiement et l’exécution avec la protection de contrôle de dérive. Lorsqu’elle est activée, la protection de contrôle de dérive actualise régulièrement les paramètres de sécurité toutes les 90 minutes pour vous assurer que les modifications de l’état spécifié sont corrigées. Cette surveillance continue et cette autorémédiation vous permettent d’avoir une configuration de sécurité cohérente et fiable tout au long du cycle de vie de l’appareil. Vous pouvez désactiver la protection de dérive pendant le déploiement lorsque vous configurez les paramètres de sécurité.

Base de référence de sécurité pour la charge de travail

Pour les charges de travail exécutées sur la plateforme Azure Stack HCI, vous pouvez utiliser la base de référence du système d’exploitation recommandée par Azure (pour Windows et Linux) comme point de référence pour définir votre base de référence de configuration des ressources de calcul.

Condition 3 : Protéger les données de compte stockées

Chiffrement des données avec BitLocker

Sur les clusters Azure Stack HCI, toutes les données au repos peuvent être chiffrées via le chiffrement XTS-AES 256 bits BitLocker. Par défaut, le système vous recommande d’autoriser BitLocker à chiffrer tous les volumes du système d’exploitation et les volumes partagés de cluster (CSV) dans votre déploiement Azure Stack HCI. Pour les nouveaux volumes de stockage ajoutés après le déploiement, vous devez activer manuellement BitLocker pour chiffrer le nouveau volume de stockage. L’utilisation de BitLocker pour protéger les données peut aider les organisations à rester conformes à iso/IEC 27001. Pour en savoir plus, consultez Utiliser BitLocker avec des volumes partagés de cluster (CSV).

Condition 4 : Protéger les données d’espace réservé carte avec un chiffrement fort lors de la transmission sur des réseaux publics ouverts

Protection du trafic réseau externe avec TLS/DTLS

Par défaut, toutes les communications de l’hôte vers des points de terminaison locaux et distants sont chiffrées à l’aide de TLS1.2, TLS1.3 et DTLS 1.2. La plateforme désactive l’utilisation de protocoles/hachages plus anciens, tels que TLS/DTLS 1.1 S Mo 1. Azure Stack HCI prend également en charge des suites de chiffrement fortes comme les courbes elliptiques compatibles SDL limitées aux courbes NIST P-256 et P-384 uniquement.

Condition 5 : Protéger tous les systèmes et réseaux contre les logiciels malveillants

Antivirus Windows Defender

L’antivirus Windows Defender est une application utilitaire qui permet l’application de l’analyse système en temps réel et de l’analyse périodique pour protéger la plateforme et les charges de travail contre les virus, les logiciels malveillants, les logiciels espions et d’autres menaces. Par défaut, Antivirus Microsoft Defender est activé sur Azure Stack HCI. Microsoft recommande d’utiliser Antivirus Microsoft Defender avec Azure Stack HCI plutôt que les logiciels et services de détection de programmes malveillants tiers, car ils peuvent avoir un impact sur la capacité du système d’exploitation à recevoir des mises à jour. En savoir plus sur Antivirus Microsoft Defender sur Windows Server.

Contrôle d’application Windows Defender (WDAC)

Windows Defender Application Control (WDAC) est activé par défaut sur Azure Stack HCI pour contrôler quels pilotes et applications sont autorisés à s’exécuter directement sur chaque serveur, ce qui permet d’empêcher les programmes malveillants d’accéder aux systèmes. En savoir plus sur les stratégies de base incluses dans Azure Stack HCI et comment créer des stratégies supplémentaires sur Windows Defender Application Control pour Azure Stack HCI.

Microsoft Defender for Cloud

Microsoft Defender pour le cloud avec Endpoint Protection (activé via des plans de serveur) fournit une solution de gestion de la posture de sécurité avec des fonctionnalités avancées de protection contre les menaces. Il vous fournit des outils pour évaluer l’état de sécurité de votre infrastructure, protéger les charges de travail, déclencher des alertes de sécurité et suivre des recommandations spécifiques pour corriger les attaques et résoudre les menaces futures. Il effectue tous ces services à grande vitesse dans le cloud sans surcharge de déploiement via le provisionnement automatique et la protection avec les services Azure. En savoir plus sur Microsoft Defender pour le cloud.

Condition 6 : Développer et gérer des systèmes et des logiciels sécurisés

Mise à jour de plateforme

Tous les composants de la plateforme Azure Stack HCI, y compris le système d’exploitation, les principaux agents et services, et l’extension de solution, peuvent être gérés facilement avec le Gestionnaire de cycle de vie. Cette fonctionnalité vous permet de regrouper différents composants dans une version de mise à jour et de valider la combinaison de versions pour garantir l’interopérabilité. En savoir plus sur les mises à jour de la solution Lifecycle Manager pour Azure Stack HCI.

Mise à jour de la charge de travail

Pour les charges de travail s’exécutant sur la plateforme Azure Stack HCI, notamment Azure Kubernetes Service (AKS) hybride, Azure Arc et les machines virtuelles d’infrastructure qui ne sont pas intégrées au Gestionnaire de cycle de vie, suivez les méthodes expliquées dans Use Lifecycle Manager pour les mettre à jour et les aligner sur les exigences PCI DSS.

Condition 7 : Restreindre l’accès aux composants système et carte données d’espace réservé par l’entreprise doivent savoir

Il vous incombe d’identifier les rôles et leurs besoins d’accès en fonction des besoins métier de votre organisation, puis de s’assurer que seul le personnel autorisé a accès aux systèmes et données sensibles en attribuant des privilèges en fonction des responsabilités du travail. Utilisez les fonctionnalités décrites dans l’exigence 8 : identifiez les utilisateurs et authentifiez l’accès aux composants système pour implémenter vos stratégies et procédures.

Condition 8 : Identifier les utilisateurs et authentifier l’accès aux composants système

La plateforme Azure Stack HCI fournit un accès complet et direct au système sous-jacent s’exécutant sur des nœuds de cluster via plusieurs interfaces telles qu’Azure Arc et Windows PowerShell. Vous pouvez utiliser des outils Windows classiques dans des environnements locaux ou des solutions cloud telles que Microsoft Entra ID (anciennement Azure Active Directory) pour gérer l’identité et l’accès à la plateforme. Dans les deux cas, vous pouvez tirer parti des fonctionnalités de sécurité intégrées, telles que l’authentification multifacteur (MFA), l’accès conditionnel, le contrôle d’accès en fonction du rôle (RBAC) et la gestion des identités privilégiées (PIM) pour garantir que votre environnement est sécurisé et conforme.

En savoir plus sur la gestion des identités et des accès locaux dans Microsoft Identity Manager et Privileged Access Management pour services de domaine Active Directory. En savoir plus sur la gestion des identités et des accès basées sur le cloud sur Microsoft Entra ID.

Condition 9 : Restreindre l’accès physique aux données d’espace réservé carte

Pour les environnements locaux, assurez-vous que la sécurité physique correspond à la valeur de la plateforme Azure Stack HCI et aux données qu’elle contient.

Condition 10 : Journaliser et surveiller tous les accès aux composants système et aux données d’espace réservé carte

Journaux système locaux

Par défaut, toutes les opérations effectuées dans la plateforme Azure Stack HCI sont enregistrées afin de pouvoir suivre qui a fait quoi, quand et où sur la plateforme. Les journaux et les alertes créés par Windows Defender sont également inclus pour vous aider à prévenir, détecter et réduire la probabilité et l’impact d’une compromission des données. Toutefois, étant donné que le journal système contient souvent un grand volume d’informations, la plupart d’entre elles sont superflues pour la surveillance de la sécurité des informations, vous devez identifier les événements qui sont pertinents pour être collectés et utilisés à des fins de surveillance de la sécurité. Les fonctionnalités de supervision Azure aident à collecter, stocker, alerter et analyser ces journaux. Référencez la base de référence de sécurité pour Azure Stack HCI pour en savoir plus.

Journaux d’activité locaux

Azure Stack HCI Lifecycle Manager crée et stocke les journaux d’activité pour tout plan d’action exécuté. Ces journaux prennent en charge l’examen approfondi et la surveillance de la conformité.

Journaux d’activité cloud

En inscrivant vos clusters auprès d’Azure, vous pouvez utiliser les journaux d’activité Azure Monitor pour enregistrer les opérations sur chaque ressource de la couche d’abonnement afin de déterminer qui, et quand, pour toutes les opérations d’écriture (put, post ou delete) effectuées sur les ressources de votre abonnement.

Journaux des identités cloud

Si vous utilisez Microsoft Entra ID pour gérer l’identité et l’accès à la plateforme, vous pouvez afficher les journaux d’activité dans les rapports Azure AD ou les intégrer à Azure Monitor, Microsoft Sentinel ou à d’autres outils SIEM/monitoring pour des cas d’utilisation sophistiqués de surveillance et d’analyse. Si vous utilisez Active Directory local, utilisez la solution de Microsoft Defender pour Identity pour consommer vos signaux Active Directory local pour identifier, détecter et examiner les menaces avancées, les identités compromises et les actions internes malveillantes dirigées vers votre Organisation.

Intégration de SIEM

Microsoft Defender pour le cloud et Microsoft Sentinel sont intégrés en mode natif aux nœuds Azure Stack HCI avec Arc. Vous pouvez activer et intégrer vos journaux à Microsoft Sentinel, qui fournit une fonctionnalité SIEM (Security Information Event Management) et une réponse automatisée de l’orchestration de la sécurité (SOAR). Microsoft Sentinel, comme d’autres services cloud Azure, est conforme à de nombreuses normes de sécurité bien établies telles que PCI DSS, HITRUST et l’autorisation FedRAMP, qui peuvent vous aider à utiliser votre processus d’accréditation. En outre, Azure Stack HCI fournit un redirecteur d’événements syslog natif pour envoyer les événements système aux solutions SIEM tierces.

Insights Azure Stack HCI

Azure Stack HCI Recommandations vous permet de surveiller l’intégrité, les performances et les informations d’utilisation des clusters connectés à Azure et inscrits dans la supervision. Pendant Recommandations configuration, une règle de collecte de données est créée, qui spécifie les données à collecter. Ces données sont stockées dans un espace de travail Log Analytics, qui est ensuite agrégé, filtré et analysé pour fournir des tableaux de bord de surveillance prédéfinis à l’aide de classeurs Azure. Vous pouvez afficher les données de surveillance pour un cluster unique ou plusieurs clusters à partir de votre page de ressources Azure Stack HCI ou d’Azure Monitor. En savoir plus sur Monitor Azure Stack HCI avec Recommandations.

Métriques Azure Stack HCI

Les métriques stockent des données numériques à partir de ressources surveillées dans une base de données de série chronologique. Vous pouvez utiliser l’Explorateur de métriques Azure Monitor pour analyser de manière interactive les données de votre base de données de métriques et tracer les valeurs de plusieurs métriques au fil du temps. Avec Métriques, vous pouvez créer des graphiques à partir de valeurs de métriques et mettre en corrélation visuellement les tendances.

Alertes de journal

Pour indiquer des problèmes en temps réel, vous pouvez configurer des alertes pour les systèmes Azure Stack HCI à l’aide d’exemples de requêtes de journal préexistantes telles que le processeur moyen du serveur, la mémoire disponible, la capacité de volume disponible et bien plus encore. Pour en savoir plus, consultez Configurer des alertes pour les systèmes Azure Stack HCI.

Alertes de métrique

Une règle d’alerte de métrique supervise une ressource en évaluant les conditions sur les métriques de ressource à intervalles réguliers. Si les conditions sont remplies, une alerte est déclenchée. Une série chronologique de métriques est une série de valeurs de métriques capturées sur une période donnée. Vous pouvez utiliser ces métriques pour créer des règles d’alerte. En savoir plus sur la création d’alertes de métriques sur les alertes de métriques.

Alertes de service et d’appareil

Azure Stack HCI fournit des alertes basées sur le service pour la connectivité, les mises à jour du système d’exploitation, la configuration Azure et bien plus encore. Les alertes basées sur les appareils pour les erreurs d’intégrité du cluster sont également disponibles. Vous pouvez également surveiller les clusters Azure Stack HCI et leurs composants sous-jacents à l’aide de PowerShell ou du service d’intégrité.

Condition 11 : Tester régulièrement la sécurité des systèmes et des réseaux

Outre l’exécution d’évaluations de sécurité fréquentes et de tests d’intrusion vous-même, vous pouvez également utiliser Microsoft Defender pour le cloud pour évaluer l’état de sécurité sur les charges de travail hybrides dans le cloud et localement, notamment les machines virtuelles, les images conteneur et les serveurs SQL activés par Arc.

Condition 12 : Prendre en charge la sécurité des informations avec les stratégies et programmes organisationnels

Il vous incombe de maintenir les stratégies et activités de sécurité des informations qui établissent votre programme de sécurité organisationnelle et protègent votre environnement de données de l’espace réservé carte. Les fonctionnalités d’automatisation offertes par les services Azure tels que Microsoft Entra ID et les informations partagées dans les détails de l’initiative intégrée conformité réglementaire PCI DSS peuvent vous aider à réduire les problèmes de gestion de ces stratégies et programmes.