Adatok védelme egy AKS-szabályozott fürtben a PCI-DSS 3.2.1-hez (9. rész)

Ez a cikk a fizetésikártya-iparág adatbiztonsági szabványának (PCI-DSS 3.2.1) megfelelően számítási feladatot futtató Azure Kubernetes Service-fürt (AKS) szempontjait ismerteti.

Ez a cikk egy sorozat része. Olvassa el a bevezetést.

Ez az architektúra és az implementáció az infrastruktúrára és nem a számítási feladatokra összpontosít. Ez a cikk általános szempontokat és ajánlott eljárásokat tartalmaz a tervezési döntések meghozatalához. Kövesse a HIVATALOS PCI-DSS 3.2.1 szabvány követelményeit, és szükség esetén használja ezt a cikket további információként.

Kártyaőrzők adatainak védelme

3. követelmény – Tárolt kártyatulajdonosi adatok védelme

Az Ön feladatai

4. követelmény – Kártyaőrző adatok átvitelének titkosítása nyílt, nyilvános hálózatokon.

Az Ön feladatai

3.1. követelmény

A kártyatulajdonosok adatmegőrzési és -ártalmatlanítási szabályzatainak, eljárásainak és folyamatainak alkalmazásával minimálisra kell csökkenteni a kártyatulajdonosi adatok tárolását, amelyek legalább az alábbiakat tartalmazzák az összes kártyatulajdonosi adattároló esetében:

• Az adattárolás mennyiségének és megőrzési idejének korlátozása a jogi, szabályozási és üzleti követelményekhez szükségesre
• Folyamatok az adatok biztonságos törléséhez, ha már nincs rá szükség
• A kártyatulajdonos adatainak különleges adatmegőrzési követelményei
• Negyedéves folyamat a meghatározott megőrzést meghaladó tárolt kártyaőrző adatok azonosítására és biztonságos törlésére.

Az Ön feladatai

Ne tárolja az állapotot az AKS-fürtben. Ha a CHD tárolása mellett dönt, fedezze fel a biztonságos tárolási lehetőségeket. A lehetőségek közé tartozik az Azure Storage a fájltároláshoz, vagy az olyan adatbázisok, mint az Azure SQL Database vagy az Azure Cosmos DB.

Szigorúan tartsa be a szabványos útmutatást arról, hogy milyen típusú CHD tárolható. Az üzleti követelmények és a használt tárterület típusa alapján határozza meg az adatmegőrzési szabályzatokat. Néhány fontos szempont:

• Hogyan és hol tárolják az adatokat?
• Titkosítva van a tárolt adatok?
• Mi a megőrzési idő?
• Milyen műveletek engedélyezettek a megőrzési időszak alatt?
• Hogyan törli a tárolt adatokat a megőrzési időszak lejárta után?

Szabályozási szabályzatokkal rendelkezik néhány ilyen lehetőséghez. A beépített Azure-szabályzatok kikényszeríti ezeket a lehetőségeket. Korlátozhatja például a fürt podokon lévő kötettípusokat, vagy megtagadhatja az írási műveleteket a gyökér fájlrendszerben.

Tekintse át a szabályzatdefiníciók listáját, és alkalmazza őket a fürtre, ha van ilyen.

Előfordulhat, hogy ideiglenesen gyorsítótáraznia kell az adatokat. Javasoljuk, hogy védje a gyorsítótárazott adatokat, amíg azok tárolómegoldásba kerülnek. Fontolja meg a gazdagépalapú titkosítási funkció engedélyezését az AKS-en. Ez titkosítja a csomóponti virtuális gépeken tárolt adatokat. További információ: Gazdagépalapú titkosítás az Azure Kubernetes Service-en (AKS). Emellett engedélyezzen egy beépített Azure-szabályzatot is, amely megköveteli az ideiglenes lemezek és a csomópontkészletek gyorsítótárának titkosítását.

A tárolási technológia kiválasztásakor ismerkedjen meg a megőrzési funkciókkal. Az Azure Blob Storage például időalapú adatmegőrzési szabályzatokat biztosít. Egy másik lehetőség egy olyan egyéni megoldás implementálása, amely adatmegőrzési szabályzatok szerint törli az adatokat. Ilyen például a Data Lifecycle Management (DLM), amely az adatéletciklus-tevékenységeket kezeli. A megoldást olyan szolgáltatásokkal tervezték, mint az Azure Data Factory, a Microsoft Entra ID és az Azure Key Vault.

További információ: Az adatéletciklus kezelése az Azure Data Factory használatával.

3.2. követelmény

Ne tárolja a bizalmas hitelesítési adatokat az engedélyezés után (még akkor sem, ha titkosított). Ha bizalmas hitelesítési adatok érkeznek, az engedélyezési folyamat befejezése után az összes adat helyreállíthatatlanná válik.

Az Ön feladatai

(A következőkre vonatkozik: 3.2.1. követelmény, 3.2.2. követelmény, 3.2.3. követelmény)

Az adatok feldolgozása és védelme meghaladja az architektúra hatókörét. Íme néhány általános szempont.

A standard, bizalmas hitelesítési adatok teljes körű adatokból, kártyaérvényesítési kódból vagy értékből és PIN-kódból állnak. A CHD-feldolgozás részeként győződjön meg arról, hogy a hitelesítési adatok nincsenek közzétéve olyan forrásokban, mint például:

• A podokból kibocsátott naplók.
• Kivételkezelési rutinok.
• Fájlnevek.
• Gyorsítótár.

Általános útmutatásként a kereskedőknek nem szabad ezeket az információkat tárolniuk. Ha szükséges, dokumentálja az üzleti indoklást.

3.3. követelmény

Ha megjelenik a MASZK (az első hat és az utolsó négy számjegy a megjelenítendő számjegyek maximális száma), így csak a jogos üzleti igényű személyzet láthatja a teljes PÁSZ-t.

Az Ön feladatai

Az elsődleges fiókszám (PAN) bizalmas adatnak minősül, és az adatoknak való kitettséget meg kell akadályozni. Ennek egyik módja a megjelenített számjegyek maszkolással történő csökkentése.

Ne implementálja az adatmaszkolást a számítási feladatban. Ehelyett használjon adatbázisszintű szerkezeteket. Az Azure SQL szolgáltatási vonala, beleértve az Azure Synapse Analyticset is, támogatja a dinamikus adatmaszkolást, ami csökkenti az alkalmazásréteg expozícióját. Ez egy szabályzatalapú biztonsági funkció, amely meghatározza, hogy ki tekintheti meg a maszkolatlan adatokat, és hogy mennyi adat érhető el maszkolással. A beépített hitelkártyamaszkolási módszer a kijelölt mezők utolsó négy számjegyét teszi elérhetővé, és egy állandó sztringet ad hozzá előtagként hitelkártya formájában.

További információ: Dinamikus adatmaszkolás.

Ha nem maszkolt adatokat kell bevinnie a fürtbe, a lehető leghamarabb maszkoljon.

3.4. követelmény

A PAN olvashatatlanná tétele bárhol tárolva (beleértve a hordozható digitális adathordozókat, a biztonsági mentési adathordozókat és a naplókat is) az alábbi módszerek bármelyikével:

• Erős titkosításon alapuló egyirányú kivonatok (a kivonatnak a teljes PAN-nak kell lennie)
• Csonkolás (kivonatolás nem használható a PAN csonkolt szegmensének helyére)
• Index jogkivonatok és párnák (a párnákat biztonságosan kell tárolni)
• Erős titkosítás a társított kulcskezelési folyamatokkal és eljárásokkal.

Az Ön feladatai

Ehhez a követelményhez előfordulhat, hogy közvetlen titkosítást kell használnia a számítási feladatban. A PCI DSS útmutatója iparági tesztelésű algoritmusok használatát javasolja, hogy azok képesek legyenek a valós támadásokra. Kerülje az egyéni titkosítási algoritmusok használatát.

A megfelelő adatmaszkolási technikák is megfelelnek ennek a követelménynek. Ön a felelős az összes elsődleges fiókszám (PAN) adatainak maszkolásáért. Az Azure SQL szolgáltatásvonal, beleértve az Azure Synapse Analyticset is, támogatja a dinamikus adatmaszkolást. Lásd a 3.3. követelményt.

Győződjön meg arról, hogy a PAN nem jelenik meg a munkafolyamatok részeként. Íme néhány szempont:

• A PAN-t ne használja a naplókból, mind a munkafolyamat-naplókból, mind a (várt vagy váratlan) kivételkezelési naplókból. Emellett a diagnosztikai adatfolyamok, például a HTTP-fejlécek nem tehetik közzé ezeket az adatokat.

• Ne használja a PAN-t gyorsítótár-keresési kulcsként vagy a folyamat által létrehozott fájlnév részeként.

• Előfordulhat, hogy az ügyfelek a PAN-t nem megfelelő szabad formátumú szövegmezőkben adják meg. Győződjön meg arról, hogy a tartalomérvényesítési és észlelési folyamatok minden szabad formátumú szövegmező esetében érvényben vannak, és a PAN-adatokhoz hasonló összes tartalmat megtisztítja.

3.4.1. követelmény

Lemeztitkosítás használata esetén (fájl- vagy oszlopszintű adatbázistitkosítás helyett) a logikai hozzáférést a natív operációsrendszer-hitelesítési és hozzáférés-vezérlési mechanizmusoktól függetlenül kell kezelni (például helyi felhasználói fiók adatbázisainak vagy általános hálózati bejelentkezési hitelesítő adatainak használatával). A visszafejtési kulcsokat nem szabad felhasználói fiókokhoz társítani.

Az Ön feladatai

Általában ne tárolja az állapotot az AKS-fürtben. Használjon külső adattárat, amely támogatja a tárolómotorszintű titkosítást.

Az Azure Storage-ban tárolt adatok titkosítása és visszafejtése erős titkosítással történik. A Microsoft kezeli a társított kulcsokat. Előnyben részesítik az önkiszolgáló titkosítási kulcsokat. Mindig a tárolási rétegen kívül titkosít, és csak titkosított adatokat ír a tárolóeszközbe, biztosítva, hogy a kulcsok soha ne legyenek a tárolási réteggel szomszédosak.

Az Azure Storage-ban ön által felügyelt kulcsokat is használhat. További információ: Ügyfél által felügyelt kulcsok az Azure Storage-titkosításhoz.

Hasonló képességek érhetők el az adatbázisokhoz. Az Azure SQL-beállításokért tekintse meg az Azure SQL transzparens adattitkosítás ügyfél által felügyelt kulccsal.

Győződjön meg arról, hogy a kulcsokat egy felügyelt kulcstárolóban tárolja (Azure Key Vault, Azure Key Vault felügyelt hardveres biztonsági modul (HSM) és mások).

Ha ideiglenesen kell tárolnia az adatokat, engedélyezze az AKS gazdagéptitkosítási funkcióját annak érdekében, hogy a virtuálisgép-csomópontokon tárolt adatok titkosítva legyenek.

3.5. követelmény

Dokumentálja és implementálja azokat az eljárásokat, amelyek a tárolt kártyatulajdonos adatainak védelmére szolgálnak a nyilvánosságra hozatal és a visszaélés ellen:

Az Ön feladatai

Ezeket a pontokat az alszakaszok ismertetik:

• Tartsa fenn a titkosítási kulcsok minimális jogosultságú hozzáférésének gyakorlatát.
• Az Azure Key Vault és a Microsoft Entra ID az engedélyezési és naplózási követelmények támogatására szolgál. További részletekért lásd az Azure Key Vault hitelesítésének kérését.
• Az összes adattitkosítási kulcs védelme titkosítási eszközön tárolt kulcstitkosítási kulccsal.
• Ha ön által felügyelt kulcsokat használ (a Microsoft által felügyelt kulcsok helyett), rendelkezik egy folyamattal és dokumentációval a kulcskezeléssel kapcsolatos feladatok karbantartásához.

3.5.1. követelmény

Csak a szolgáltatókra vonatkozó további követelmények: A titkosítási architektúra dokumentált leírásának karbantartása, amely a következőket tartalmazza:

• A kártyatulajdonosi adatok védelméhez használt összes algoritmus, protokoll és kulcs részletei, beleértve a kulcserősséget és a lejárati dátumot
• Az egyes kulcsok kulcshasználatának leírása
• A kulcskezeléshez használt HSM-k és egyéb SCD-k leltára

Az Ön feladatai

A bizalmas információk (kulcsok, kapcsolati sztring és egyéb) tárolásának egyik módja a natív Kubernetes-erőforrás Secret használata. Explicit módon engedélyeznie kell a titkosítást inaktív állapotban. Másik lehetőségként tárolhatja őket egy felügyelt tárolóban, például az Azure Key Vaultban. A két módszer közül javasoljuk, hogy egy felügyelt áruház szolgáltatást használjon. Az egyik előny a kulcskezeléssel kapcsolatos feladatok, például a kulcsforgatás kisebb többletterhelése.

Az Azure alapértelmezés szerint a Microsoft által felügyelt kulcsokat használja az összes titkosított adathoz, ügyfélenként. Egyes szolgáltatások azonban a titkosítás ön által felügyelt kulcsait is támogatják. Ha ön által felügyelt kulcsokat használ a inaktív titkosításhoz, győződjön meg arról, hogy olyan folyamatot és stratégiát használ, amely kezeli a kulcskezelési feladatokat.

A dokumentáció részeként adja meg a kulcskezeléssel kapcsolatos információkat, például a lejárat, a hely és a karbantartási terv részleteit.

3.5.2. követelmény

A kriptográfiai kulcsokhoz való hozzáférés korlátozása a szükséges legkevesebb gondnokra.

Az Ön feladatai

Csökkentse a kulcsokhoz hozzáféréssel rendelkező személyek számát. Ha csoportalapú szerepkör-hozzárendeléseket használ, állítson be egy ismétlődő naplózási folyamatot a hozzáféréssel rendelkező szerepkörök áttekintéséhez. Ha a projektcsapat tagjai megváltoznak, a már nem releváns fiókokat el kell távolítani az engedélyekből. Csak a megfelelő személyek férhetnek hozzá. Fontolja meg az állandó engedélyek eltávolítását az igény szerinti (JIT) szerepkör-hozzárendelések, az időalapú szerepkör-aktiválás és a jóváhagyásalapú szerepkör-aktiválás érdekében.

3.5.3. követelmény

A kártyaőrző adatok titkosításához/visszafejtéséhez használt titkos kulcsokat és titkos kulcsokat mindig az alábbi űrlapok egyikében (vagy többben) tárolhatja:

• Olyan kulcstitkosítási kulccsal van titkosítva, amely legalább olyan erős, mint az adattitkosítási kulcs, és amelyet az adattitkosítási kulcstól elkülönítve tárolnak
• Biztonságos titkosítási eszközön (például hardveres (gazdagép) biztonsági modulon (HSM) vagy PTS által jóváhagyott interakciós ponton) belül
• Legalább két teljes hosszúságú kulcsösszetevőként vagy kulcsmegosztásként, egy iparág által elfogadott módszernek megfelelően

Az Ön feladatai

A PCI-DSS 3.2.1 számítási feladatnak egynél több titkosítási kulcsot kell használnia az adat-at-rest védelmi stratégia részeként. Az adattitkosítási kulcs (DEK) a CHD titkosítására és visszafejtésére szolgál, de ön felelős egy további kulcstitkosítási kulcsért (KEK) a DEK védelméért. Ön is felelős azért, hogy a KEK titkosítási eszközön legyen tárolva.

Az Azure Key Vault használatával tárolhatja a DEK-t, és az Azure Dedikált HSM-et használhatja a KEK tárolásához. A HSM-kulcskezeléssel kapcsolatos információkért lásd: Mi az Az Azure Dedikált HSM?

3.6. követelmény

A kártyatulajdonosi adatok titkosításához használt titkosítási kulcsok kulcskezelési folyamatainak és eljárásainak teljes körű dokumentálása és implementálása, beleértve a következőket is:

Az Ön feladatai

(A következőkre vonatkozik: 3.6.1. követelmény, 3.6.2. követelmény, 3.6.3. követelmény, 3.2.4. követelmény)

Ha az Azure Key Vaultot használja titkos kulcsok, például kulcsok, tanúsítványok és kapcsolati sztring tárolására, védje meg a jogosulatlan hozzáféréstől. A Key Vaulthoz készült Microsoft Defender észleli a gyanús hozzáférési kísérleteket, és riasztásokat hoz létre. Ezeket a riasztásokat Felhőhöz készült Microsoft Defender tekintheti meg. További információ: Microsoft Defender for Key Vault.

Kövesse az NIST kulcskezeléssel kapcsolatos útmutatását. For details, see:

• Titkosítási kulcskezelés.
• SP 800-133 Rev. 2, Javaslat a titkosítási kulcsok generálásához
• SP 800-57 Part 1 Rev. 5, Recommendation for Key Management

Lásd még a Key Vaulthoz készült Microsoft Defendert.

3.6.7. követelmény

A titkosítási kulcsok jogosulatlan helyettesítésének megakadályozása.

Az Ön feladatai

• Diagnosztikát engedélyezhet az összes kulcstárolóban. Használja az Azure Monitort a Key Vaulthoz. Naplókat és metrikákat gyűjt, és elküldi őket az Azure Monitornak. További információ: A Key Vault szolgáltatás monitorozása az Azure Monitor for Key Vault használatával.
• Írásvédett engedélyek megadása minden felhasználónak.
• Nem rendelkezik állandó engedélyekkel az összes felügyeleti szolgáltatásnévhez. Ehelyett használjon igény szerinti (JIT) szerepkör-hozzárendeléseket, időalapú szerepkör-aktiválást és jóváhagyásalapú szerepkör-aktiválást.
• Központosított nézet létrehozása a naplók és riasztások biztonsági információkba és eseménykezelési (SIEM) megoldásokba, például a Microsoft Sentinelbe való integrálásával.
• Műveletet hajt végre a riasztások és értesítések esetén, különösen a váratlan változások esetén.

3.6.8. követelmény

A titkosítási kulcsok letétkezelőinek formálisan el kell ismerniük, hogy megértik és elfogadják a kulcs-letétkezelői feladataikat.

Az Ön feladatai

A kulcskezelés műveleteiért felelős felek fiókképességét leíró dokumentáció karbantartása.

3.7. követelmény

Győződjön meg arról, hogy a tárolt kártyatulajdonosi adatok védelmére vonatkozó biztonsági szabályzatok és működési eljárások dokumentálva, használatban vannak, és minden érintett fél számára ismertek.

Az Ön feladatai

Hozzon létre dokumentációt általános nyilatkozatként, valamint naprakész szerepkör-útmutatókat minden személy számára. Új alkalmazotti képzés és folyamatos képzés elvégzése.

Kritikus fontosságú, hogy alapos dokumentációt tartson fenn a folyamatokról és szabályzatokról. Több csapat is részt vesz annak biztosításában, hogy az adatok védettek legyenek az inaktív és az átvitel során. A dokumentációban adjon meg szerepkör-útmutatást az összes személy számára. A szerepköröknek tartalmazniuk kell az SRE-t, az ügyfélszolgálatot, az értékesítést, a hálózati műveleteket, a biztonsági műveleteket, a szoftvermérnököket, az adatbázis-rendszergazdákat és másokat. A személyzetet a NIST útmutatási és inaktív adatokkal kapcsolatos stratégiáiban kell betanítani a készségek naprakészen tartásához. A betanítási követelményekkel a 6.5 . és a 12.6. követelmény foglalkozik.

4.1. követelmény

Használjon erős titkosítási és biztonsági protokollokat (például TLS, IP Standard kiadás C, SSH stb.) a bizalmas kártyatulajdonosok adatainak védelmére a nyílt, nyilvános hálózatokon keresztül történő átvitel során, beleértve a következőket:

Az Ön feladatai

A nyilvános interneten áthaladó kártyatulajdonosi adatokat (CHD) titkosítva kell megadni. Az adatokat TLS 1.2-vel (vagy újabb verzióval) kell titkosítani, és az összes átvitelhez csökkentett titkosítási támogatást kell nyújtani. Ne támogassa a nem TLS-ről TLS-átirányításokra irányuló átirányításokat semmilyen adatátviteli szolgáltatáson.

A kialakításnak a TLS-végpontok stratégiai láncával kell rendelkeznie. Amikor az adatok hálózati ugrásokon haladnak keresztül, a csomagvizsgálatot igénylő ugrásokban tartsa karban a TLS-t. Legalább a fürt bejövő erőforrásánál legyen az utolsó TLS-végpont. Fontolja meg a fürterőforrások további használatát.

Az erőforrások létrehozásának szabályozása az Azure Policy használatával:

• Tiltsa le a nem HTTPS bejövő erőforrások létrehozását.
• Tiltsa le a fürt nyilvános IP-címének vagy nyilvános terheléselosztóinak létrehozását annak biztosítása érdekében, hogy a webes forgalom bújtatása az átjárón keresztül történjen.

További információkért tekintse meg az Azure-titkosítás áttekintését.

4.1.1. követelmény

Győződjön meg arról, hogy a kártyatulajdonosi adatokat továbbító vagy a kártyatulajdonosi adatkörnyezethez csatlakoztatott vezeték nélküli hálózatok az iparág ajánlott eljárásait (például I Enterprise kiadás E 802.11i) használják a hitelesítés és az átvitel erős titkosításának implementálásához.

Az Ön feladatai

Ez az architektúra és az implementáció nem úgy van kialakítva, hogy a vezeték nélküli kapcsolatokon keresztül helyszíni vagy vállalati hálózatról felhőbe irányuló tranzakciókat hajt végre. A szempontokat a PCI-DSS 3.2.1 szabvány hivatalos útmutatójában találhatja meg.

4.2. követelmény

Soha ne küldjön védelem nélküli PAN-okat végfelhasználói üzenetkezelési technológiákkal (például e-mail, csevegőüzenet, SMS, csevegés stb.).

Az Ön feladatai

Ha a számítási feladathoz e-mailek küldése szükséges, fontolja meg az e-mailek karanténba helyezésének kapuját. Ez az ellenőrzés lehetővé teszi az összes kimenő üzenet megfelelőségét, és ellenőrizheti, hogy a bizalmas adatok nem szerepelnek-e benne. Ideális esetben ezt a megközelítést is figyelembe kell vennie az ügyfélszolgálati üzenetek esetében.

Az ellenőrzést a számítási feladatok szintjén és a változásvezérlési folyamat során kell elvégezni. A jóváhagyási kapuknak meg kell érteniük a követelményt.

A szempontokat a PCI-DSS 3.2.1 szabvány hivatalos útmutatójában találhatja meg.

4.3. követelmény

Győződjön meg arról, hogy a kártyatulajdonosi adatok továbbításának titkosítására vonatkozó biztonsági szabályzatok és működési eljárások dokumentálva vannak, használatban vannak és ismertek az összes érintett fél számára.

Az Ön feladatai

Kritikus fontosságú, hogy alapos dokumentációt tartson fenn a folyamatokról és szabályzatokról. Ez különösen igaz a Transport Layer Security (TLS) házirendjeinek kezelésekor. Íme néhány terület:

• Nyilvános internetes bejövő pontok. Ilyen például Azure-alkalmazás TLS-titkosítások átjárótámogatása.
• Hálózati ugrások a szegélyhálózat és a számítási feladat podjai között.
• Pod-pod titkosítás (ha implementálva van). Ez a szolgáltatásháló konfigurálásának részleteit is tartalmazhatja.
• Podról tárolóra (ha az architektúra része).
• Pod to external services, Azure PaaS services that use TLS, payment gateway, or a fraud detection system.

Kapcsolatok, akik szabályozott környezeteket működtetnek, a biztonsági biztosítékok támogatása érdekében oktatni, tájékoztatni és ösztönözni kell őket. Ez különösen fontos azoknak az embereknek, akik politikai szempontból a jóváhagyási folyamat részét képezik.

Következő lépések

Védje az összes rendszert a kártevők ellen, és rendszeresen frissítse a víruskereső szoftvereket vagy programokat. Biztonságos rendszerek és alkalmazások fejlesztése és karbantartása.