Cet article décrit les considérations relatives à un cluster Azure Kubernetes Service (AKS) configuré conformément à la norme de sécurité des données du secteur des cartes de paiement (PCI-DSS 3.2.1).
Cet article fait partie d’une série. Lisez l’introduction.
Gérer une stratégie de sécurité des informations
Condition requise 12 : Gérer une stratégie de sécurité des informations pour l’ensemble du personnel
Microsoft a effectué une évaluation annuelle PCI DSS en faisant appel à un évaluateur de sécurité qualifié (QSA) approuvé. Considérez tous les aspects de l’infrastructure, du développement, des opérations, de la gestion, du support et des services concernés. Pour plus d’informations, consultez Payment Card Industry (PCI) Data Security Standard (DSS).
Cette architecture et l’implémentation ne sont pas conçues pour fournir des conseils illustrant la façon de documenter la stratégie de sécurité officielle de bout en bout. Pour plus d’informations, reportez-vous à l’aide de la norme PCI-DSS 3.2.1.
Voici quelques suggestions générales à prendre en compte :
Maintenez une documentation complète et mise à jour sur le processus et les stratégies. Envisagez d’utiliser Microsoft Purview Compliance Manager pour évaluer les risques.
Lors de la révision annuelle de la stratégie de sécurité, intégrez les nouvelles orientations fournies par Microsoft, Kubernetes et d’autres solutions tierces qui font partie de votre CDE. Parmi les ressources disponibles, citons les publications des fournisseurs combinées à l’aide fournie par Microsoft Defender pour le cloud, Azure Advisor, Azure Well-Architected Review et les mises à jour d’AKS Azure Security Baseline et de CIS Azure Kubernetes Service Benchmark, entre autres.
Lors de l’établissement de votre processus d’évaluation des risques, alignez-vous sur une norme publiée quand cela est possible, par exemple, NIST SP 800-53. Mappez les publications de la liste de sécurité publiée de votre fournisseur, telles que le Guide Microsoft Security Response Center, à votre processus d’évaluation des risques.
Conservez les informations à jour sur l’inventaire des appareils et les documents relatifs à l’accès du personnel. Envisagez d’utiliser la fonctionnalité de découverte des appareils incluse dans Microsoft Defender pour le point de terminaison. Pour le suivi de l’accès, vous pouvez dériver ces informations des journaux Microsoft Entra. Voici quelques articles pour démarrer :
Dans le cadre de la gestion de votre inventaire, conservez une liste des solutions approuvées qui ont été déployées dans le cadre de l’infrastructure et de la charge de travail PCI. Cela comprend une liste d’images de machines virtuelles, de bases de données et de solutions tierces de votre choix que vous apportez au CDE. Vous pouvez même automatiser ce processus en créant un catalogue de services. Cela permet le déploiement en libre-service à l’aide de ces solutions approuvées dans une configuration spécifique, qui respecte les opérations courantes de la plateforme. Pour plus d’informations, consultez Établir un catalogue de services.
Veillez à ce qu’un contact de sécurité reçoive des notifications d’incidents Azure de la part de Microsoft.
Ces notifications indiquent si votre ressource est compromise. Cela permet à votre équipe en charge des opérations de sécurité de réagir rapidement aux risques de sécurité potentiels et de les corriger. Vérifiez que les informations de contact de l’administrateur dans le portail d’inscription Azure incluent des informations de contact qui signaleront les opérations de sécurité directement ou rapidement via un processus interne. Pour plus d’informations, consultez Modèle des opérations de sécurité.
Voici d’autres articles qui vous aideront à planifier la conformité opérationnelle.
- Gestion de cloud dans le Framework d’adoption du cloud
- Gouvernance dans le Framework d’adoption du cloud Microsoft pour Azure