Azure Stack HCI et PCI DSS

Cet article explique comment les fonctionnalités de sécurité de Microsoft Azure Stack HCI peuvent aider les organisations du secteur des carte de paiement à satisfaire aux exigences de contrôle de sécurité de PCI DSS, à la fois dans le cloud et dans leurs environnements locaux.

PCI DSS

La norme pci (Payment Card Industry) Data Security Standard (DSS) est une norme mondiale de sécurité des informations conçue pour prévenir la fraude grâce à un contrôle accru des données de carte de crédit. Le PCI DSS est mandaté par les marques de paiement carte et administré par le Conseil des normes de sécurité de l’industrie des cartes de paiement.

La conformité à la norme PCI DSS est requise pour tout organization qui stocke, traite ou transmet les données des titulaires de carte (CHD). Les organisations soumises à la conformité PCI DSS incluent (sans s’y limiter) les commerçants, les processeurs de paiement, les émetteurs, les acquéreurs et les fournisseurs de services.

Pour en savoir plus sur la norme, consultez la bibliothèque de documentation du Conseil des normes de sécurité PCI.

Responsabilités partagées

Il est important de comprendre que PCI DSS n’est pas seulement une norme de technologie et de produit, mais qu’elle couvre également les exigences de sécurité pour les personnes et les processus. La responsabilité de la conformité est partagée entre vous en tant qu’entité couverte et Microsoft en tant que fournisseur de services.

Clients Microsoft

En tant qu’entité couverte, il vous incombe d’obtenir et de gérer votre propre certificat PCI DSS. Les organisations doivent évaluer leur environnement distinct, en particulier les parties qui hébergent les paiements de service ou les charges de travail liées aux paiements où les données des titulaires de carte sont stockées, traitées et/ou transmises. Il s’agit de l’environnement de données des titulaires de carte (CDE). Après cela, les organisations doivent planifier et implémenter les contrôles de sécurité, les stratégies et les procédures appropriés pour répondre à toutes les exigences spécifiées avant de subir un processus de test officiel. Les organisations concluent un contrat avec un évaluateur de sécurité qualifié (QSA) qui vérifie si l’environnement répond à toutes les exigences.

Microsoft

Bien qu’il soit de votre responsabilité de maintenir la conformité à la norme PCI DSS, vous n’êtes pas seul dans le voyage. Microsoft fournit des matériaux supplémentaires et des fonctionnalités de sécurité dans l’environnement hybride pour vous aider à réduire les efforts et les coûts associés à la validation PCI DSS. Par exemple, au lieu de tout tester à partir de zéro, vos évaluateurs peuvent utiliser la Azure Attestation de conformité (AOC) pour la partie de votre environnement de données de titulaires de carte déployée dans Azure. Pour en savoir plus, consultez le contenu suivant.

Conformité Azure Stack HCI

Lors de la conception et de la création d’Azure Stack HCI, Microsoft prend en compte les exigences de sécurité pour les environnements cloud microsoft et les environnements locaux des clients.

Services cloud connectés

Azure Stack HCI offre une intégration approfondie à différents services Azure, tels qu’Azure Monitor, Sauvegarde Azure et Azure Site Recovery, pour apporter de nouvelles fonctionnalités au paramètre hybride. Ces services cloud sont certifiés conformes à la norme PCI DSS version 4.0 au niveau du fournisseur de services 1. Pour en savoir plus sur le programme de conformité des services cloud Azure, consultez PCI DSS – Conformité Azure.

Important

Il est important de noter que la conformité d’Azure PCI DSS status ne se traduit pas automatiquement en validation PCI DSS pour les services que les organisations créent ou hébergent sur la plateforme Azure. Il incombe aux clients de s’assurer que leur organisation est conforme aux exigences PCI DSS.

Solution au niveau local

En tant que solution locale, Azure Stack HCI fournit un éventail de fonctionnalités qui aident les organisations à se conformer à la norme PCI DSS et à d’autres normes de sécurité pour les services financiers.

Fonctionnalités Azure Stack HCI pertinentes pour PCI DSS

Cette section décrit brièvement comment les organisations peuvent utiliser la fonctionnalité Azure Stack HCI pour répondre aux exigences de PCI DSS. Il est important de noter que les exigences PCI DSS s’appliquent à tous les composants système inclus ou connectés à l’environnement de données des titulaires de carte (CDE). Le contenu suivant se concentre sur le niveau de la plateforme Azure Stack HCI, qui héberge les paiements de service ou les charges de travail liées aux paiements qui incluent les données des titulaires de carte.

Condition requise 1 : Installer et gérer les contrôles de sécurité réseau

Avec Azure Stack HCI, vous pouvez appliquer des contrôles de sécurité réseau pour protéger votre plateforme et les charges de travail qui s’exécutent sur celle-ci contre les menaces réseau à l’extérieur et à l’intérieur. La plateforme garantit également une allocation réseau équitable sur un hôte et améliore les performances et la disponibilité des charges de travail avec des fonctionnalités d’équilibrage de charge. Pour en savoir plus sur la sécurité réseau dans Azure Stack HCI, consultez les articles suivants.

Condition requise 2 : Appliquer des configurations sécurisées à tous les composants système

Sécurisé par défaut

Azure Stack HCI est configuré de manière sécurisée par défaut avec des outils et des technologies de sécurité pour se défendre contre les menaces modernes et s’aligner sur les bases de référence Azure Compute Security. Pour plus d’informations, consultez Paramètres de base de référence de sécurité pour Azure Stack HCI.

Protection contre la dérive

La configuration de sécurité par défaut et les paramètres de cœur sécurisé de la plateforme sont protégés pendant le déploiement et l’exécution avec la protection contre la dérive . Lorsqu’elle est activée, la protection contre la dérive actualise les paramètres de sécurité régulièrement toutes les 90 minutes pour s’assurer que toutes les modifications de l’état spécifié sont corrigées. Cette surveillance continue et cette autoremediation vous permettent d’avoir une configuration de sécurité cohérente et fiable tout au long du cycle de vie de l’appareil. Vous pouvez désactiver la protection contre la dérive pendant le déploiement lorsque vous configurez les paramètres de sécurité.

Base de référence de sécurité pour la charge de travail

Pour les charges de travail s’exécutant sur la plateforme Azure Stack HCI, vous pouvez utiliser la base de référence du système d’exploitation recommandée Azure (pour Windows et Linux) comme point de référence pour définir votre base de référence de configuration des ressources de calcul.

Condition requise 3 : Protéger les données de compte stockées

Chiffrement des données avec BitLocker

Sur les clusters Azure Stack HCI, toutes les données au repos peuvent être chiffrées via le chiffrement BitLocker XTS-AES 256 bits. Par défaut, le système vous recommande d’activer BitLocker pour chiffrer tous les volumes du système d’exploitation et les volumes partagés de cluster (CSV) dans votre déploiement Azure Stack HCI. Pour tous les nouveaux volumes de stockage ajoutés après le déploiement, vous devez activer manuellement BitLocker pour chiffrer le nouveau volume de stockage. L’utilisation de BitLocker pour protéger les données peut aider les organisations à rester conformes à la norme ISO/IEC 27001. Pour plus d’informations, consultez Utiliser BitLocker avec des volumes partagés de cluster (CSV).

Exigence 4 : Protéger les données des titulaires de carte avec un chiffrement fort lors de la transmission sur des réseaux publics ouverts

Protection du trafic réseau externe avec TLS/DTLS

Par défaut, toutes les communications de l’hôte vers des points de terminaison locaux et distants sont chiffrées à l’aide de TLS1.2, TLS1.3 et DTLS 1.2. La plateforme désactive l’utilisation d’anciens protocoles/hachages tels que TLS/DTLS 1.1 SMB1. Azure Stack HCI prend également en charge des suites de chiffrement fortes telles que les courbes elliptiques compatibles SDL limitées aux courbes NIST P-256 et P-384 uniquement.

Condition requise 5 : Protéger tous les systèmes et réseaux contre les logiciels malveillants

Antivirus Windows Defender

Windows Defender Antivirus est une application utilitaire qui permet d’appliquer l’analyse du système en temps réel et l’analyse périodique pour protéger la plateforme et les charges de travail contre les virus, les logiciels malveillants, les logiciels espions et d’autres menaces. Par défaut, Microsoft Defender Antivirus est activé sur Azure Stack HCI. Microsoft recommande d’utiliser Microsoft Defender Antivirus avec Azure Stack HCI plutôt que des logiciels et services antivirus et de détection de programmes malveillants tiers, car ils peuvent avoir un impact sur la capacité du système d’exploitation à recevoir des mises à jour. Pour plus d’informations, consultez Antivirus Microsoft Defender sur Windows Server.

Contrôle d’application Windows Defender (WDAC)

Windows Defender Application Control (WDAC) est activé par défaut sur Azure Stack HCI pour contrôler les pilotes et les applications autorisés à s’exécuter directement sur chaque serveur, ce qui empêche les programmes malveillants d’accéder aux systèmes. Pour en savoir plus sur les stratégies de base incluses dans Azure Stack HCI et sur la création de stratégies supplémentaires, consultez Windows Defender Contrôle d’application pour Azure Stack HCI.

Microsoft Defender pour le cloud

Microsoft Defender pour le cloud avec Endpoint Protection (activé via des plans serveur) fournit une solution de gestion de la posture de sécurité avec des fonctionnalités avancées de protection contre les menaces. Il vous fournit des outils pour évaluer les status de sécurité de votre infrastructure, protéger les charges de travail, déclencher des alertes de sécurité et suivre des recommandations spécifiques pour corriger les attaques et traiter les menaces futures. Il effectue tous ces services à grande vitesse dans le cloud sans surcharge de déploiement via le provisionnement automatique et la protection avec les services Azure. Pour plus d’informations, consultez Microsoft Defender for Cloud.

Exigence 6 : Développer et gérer des systèmes et des logiciels sécurisés

Mise à jour de plateforme

Tous les composants de la plateforme Azure Stack HCI, y compris le système d’exploitation, les principaux agents et services, et l’extension de la solution, peuvent être facilement gérés avec le Gestionnaire de cycle de vie. Cette fonctionnalité vous permet de regrouper différents composants dans une version de mise à jour et valide la combinaison des versions pour garantir l’interopérabilité. Pour en savoir plus, consultez Lifecycle Manager pour les mises à jour de la solution Azure Stack HCI.

Mise à jour de la charge de travail

Pour les charges de travail s’exécutant sur la plateforme Azure Stack HCI, notamment les Azure Kubernetes Service (AKS) hybrides, Azure Arc et les machines virtuelles d’infrastructure qui ne sont pas intégrées au gestionnaire de cycle de vie, suivez les méthodes expliquées dans Utiliser le Gestionnaire de cycle de vie pour les mises à jour afin de les maintenir à jour et alignées sur les exigences PCI DSS.

Condition requise 7 : Restreindre l’accès aux composants système et aux données des titulaires de carte par besoin d’entreprise

Il vous incombe d’identifier les rôles et leurs besoins en matière d’accès en fonction des exigences métier de votre organization, puis de vous assurer que seul le personnel autorisé a accès aux systèmes et aux données sensibles en attribuant des privilèges en fonction des responsabilités du travail. Utilisez les fonctionnalités décrites dans Condition requise 8 : Identifier les utilisateurs et authentifier l’accès aux composants système pour implémenter vos stratégies et procédures.

Condition requise 8 : Identifier les utilisateurs et authentifier l’accès aux composants système

La plateforme Azure Stack HCI offre un accès complet et direct au système sous-jacent s’exécutant sur des nœuds de cluster via plusieurs interfaces telles qu’Azure Arc et Windows PowerShell. Vous pouvez utiliser des outils Windows conventionnels dans des environnements locaux ou des solutions cloud telles que Microsoft Entra ID (anciennement Azure Active Directory) pour gérer l’identité et l’accès à la plateforme. Dans les deux cas, vous pouvez tirer parti des fonctionnalités de sécurité intégrées, telles que l’authentification multifacteur (MFA), l’accès conditionnel, le contrôle d’accès en fonction du rôle (RBAC) et la gestion des identités privilégiées (PIM) pour garantir la sécurité et la conformité de votre environnement.

Pour en savoir plus sur la gestion des identités et des accès locaux, consultez Microsoft Identity Manager et Privileged Access Management for services de domaine Active Directory. Pour en savoir plus sur la gestion des identités et des accès basée sur le cloud, consultez Microsoft Entra ID.

Condition requise 9 : Restreindre l’accès physique aux données des titulaires de carte

Pour les environnements locaux, assurez une sécurité physique proportionnelle à la valeur de la plateforme Azure Stack HCI et aux données qu’elle contient.

Condition requise 10 : Journaliser et surveiller tous les accès aux composants système et aux données des titulaires de carte

Journaux système locaux

Par défaut, toutes les opérations effectuées dans la plateforme Azure Stack HCI sont enregistrées afin que vous puissiez suivre qui a fait quoi, quand et où sur la plateforme. Les journaux et les alertes créés par Windows Defender sont également inclus pour vous aider à prévenir, détecter et réduire la probabilité et l’impact d’une compromission de données. Toutefois, étant donné que le journal système contient souvent un grand volume d’informations, en grande partie superflues pour la surveillance de la sécurité des informations, vous devez identifier les événements qui doivent être collectés et utilisés à des fins de surveillance de la sécurité. Les fonctionnalités de supervision Azure permettent de collecter, de stocker, d’alerter et d’analyser ces journaux. Pour en savoir plus, reportez-vous à la base de référence de sécurité pour Azure Stack HCI .

Journaux d’activité locaux

Azure Stack HCI Lifecycle Manager crée et stocke des journaux d’activité pour tout plan d’action exécuté. Ces journaux prennent en charge une investigation et une surveillance de la conformité plus approfondies.

Journaux d’activité cloud

En inscrivant vos clusters auprès d’Azure, vous pouvez utiliser les journaux d’activité Azure Monitor pour enregistrer les opérations sur chaque ressource au niveau de la couche d’abonnement afin de déterminer quoi, qui et quand pour les opérations d’écriture (placer, publier ou supprimer) effectuées sur les ressources de votre abonnement.

Journaux d’identité cloud

Si vous utilisez Microsoft Entra ID pour gérer l’identité et l’accès à la plateforme, vous pouvez afficher les journaux dans les rapports Azure AD ou les intégrer à Azure Monitor, Microsoft Sentinel ou d’autres outils SIEM/monitoring pour des cas d’usage sophistiqués de surveillance et d’analyse. Si vous utilisez Active Directory local, utilisez la solution de Microsoft Defender pour Identity pour utiliser vos signaux Active Directory local afin d’identifier, de détecter et d’examiner les menaces avancées, les identités compromises et les actions malveillantes internes dirigées contre votre organization.

Intégration à SIEM

Microsoft Defender pour le cloud et Microsoft Sentinel est intégré en mode natif aux nœuds Azure Stack HCI avec Arc. Vous pouvez activer et intégrer vos journaux à Microsoft Sentinel, qui fournit la fonctionnalité SIEM (Security Information Event Management) et soar (Security Orchestration Automated Response). Microsoft Sentinel, comme d’autres services cloud Azure, est conforme à de nombreuses normes de sécurité bien établies, telles que PCI DSS, HITRUST et l’autorisation FedRAMP, qui peuvent vous aider dans votre processus d’accréditation. En outre, Azure Stack HCI fournit un redirecteur d’événements syslog natif pour envoyer les événements système à des solutions SIEM tierces.

Insights Azure Stack HCI

Azure Stack HCI Insights vous permet de surveiller les informations d’intégrité, de performances et d’utilisation pour les clusters connectés à Azure et inscrits dans le monitoring. Pendant la configuration d’Insights, une règle de collecte de données est créée, qui spécifie les données à collecter. Ces données sont stockées dans un espace de travail Log Analytics, qui est ensuite agrégé, filtré et analysé pour fournir des tableaux de bord de supervision prédéfinis à l’aide de classeurs Azure. Vous pouvez afficher les données de supervision d’un seul cluster ou de plusieurs clusters à partir de votre page de ressources Azure Stack HCI ou d’Azure Monitor. Pour plus d’informations, consultez Surveiller Azure Stack HCI avec Insights.

Métriques Azure Stack HCI

Les métriques stockent les données numériques des ressources surveillées dans une base de données de séries chronologiques. Vous pouvez utiliser l’Explorateur de métriques Azure Monitor pour analyser de manière interactive les données de votre base de données de métriques et graphiquer les valeurs de plusieurs métriques au fil du temps. Avec Metrics, vous pouvez créer des graphiques à partir de valeurs de métriques et mettre en corrélation visuellement les tendances.

Alertes de journal

Pour indiquer les problèmes en temps réel, vous pouvez configurer des alertes pour les systèmes Azure Stack HCI, à l’aide d’exemples de requêtes de journal préexistantes, telles que le processeur moyen du serveur, la mémoire disponible, la capacité de volume disponible, etc. Pour en savoir plus , consultez Configurer des alertes pour les systèmes Azure Stack HCI.

Alertes de métrique

Une règle d’alerte de métrique supervise une ressource en évaluant les conditions sur les métriques de ressource à intervalles réguliers. Si les conditions sont remplies, une alerte est déclenchée. Une série chronologique de métriques est une série de valeurs de métriques capturées sur une période donnée. Vous pouvez utiliser ces métriques pour créer des règles d’alerte. Pour en savoir plus sur la création d’alertes de métriques, consultez Alertes de métriques.

Alertes de service et d’appareil

Azure Stack HCI fournit des alertes basées sur le service pour la connectivité, les mises à jour du système d’exploitation, la configuration Azure et bien plus encore. Des alertes basées sur l’appareil pour les erreurs d’intégrité du cluster sont également disponibles. Vous pouvez également surveiller les clusters Azure Stack HCI et leurs composants sous-jacents à l’aide de PowerShell ou du service d’intégrité.

Condition requise 11 : Tester régulièrement la sécurité des systèmes et des réseaux

En plus d’effectuer vous-même des évaluations de sécurité et des tests d’intrusion fréquents, vous pouvez également utiliser Microsoft Defender pour le cloud afin d’évaluer les status de sécurité sur les charges de travail hybrides dans le cloud et localement, notamment les machines virtuelles, les images conteneur et les serveurs SQL compatibles avec Arc.

Condition requise 12 : Prendre en charge la sécurité des informations avec des stratégies et des programmes organisationnels

Il est de votre responsabilité de maintenir les stratégies et activités de sécurité des informations qui établissent votre programme de sécurité organisationnel et protègent votre environnement de données de titulaires de carte. Les fonctionnalités d’automatisation offertes par les services Azure tels que Microsoft Entra ID et les informations partagées dans Détails de l’initiative intégrée conformité réglementaire PCI DSS peuvent vous aider à réduire les tracas liés à la gestion de ces stratégies et programmes.