A PCI-DSS 3.2.1 AKS által szabályozott fürt biztonsági réseinek észlelése (9. rész)

Ez a cikk a Payment Card Industry Data Security Standard (PCI-DSS 3.2.1) szerint konfigurált Azure Kubernetes Service-fürt (AKS) szempontjait ismerteti.

Ez a cikk egy sorozat része. Olvassa el a bevezetést.

A felhőalapú megoldásokhoz hasonlóan a PCI-számítási feladatokat is hálózati, identitás- és adatfenyegetések fenyegetik. A számítási feladatok és a rendszer biztonsági réseit kihasználó források gyakori példái a nemkívánatos eredményeket eredményező vírusok vagy szoftverfrissítések. Észlelje a fenyegetéseket korán, és időben reagáljon a kockázatcsökkentésre. Kritikus riasztásokat hozhat létre a számítási feladatokhoz, és kiterjesztheti ezeket a riasztásokat az alapvető rendszerfolyamatokra. A víruskereső vagy fájlintegritási monitorozási (FIM) eszközöknek mindig futniuk kell . Rendelkeznie kell egy elszámoltatható választervvel és egy csapattal, amely megvizsgálja a riasztásokat, és végrehajtja a műveletet.

Biztonságirés-kezelési program karbantartása

5. követelmény – Minden rendszer védelme a kártevők ellen, és a víruskereső szoftverek vagy programok rendszeres frissítése

Az AKS szolgáltatás támogatása

Az AKS nem úgy viselkedik, mint egy hagyományos alkalmazásgazda. Az AKS-fürtök csomópont virtuális gépei korlátozott expozícióval rendelkeznek, és úgy vannak kialakítva, hogy közvetlenül ne legyenek elérhetők. Mivel a csomóponti virtuális gépek nem egyeznek a hagyományos virtuális gépekkel, nem használhat általános virtuálisgép-eszközöket. Az ebben a szakaszban szereplő javaslatok tehát natív Kubernetes-szerkezeteken keresztül lesznek alkalmazva. Ha ezeket a követelményeket közvetlenül a virtuális gép szintjén alkalmazza, előfordulhat, hogy a fürt nem támogatott.

Az ön által választott kártevőirtó szoftvereket a DaemonSetsben kell üzembe helyeznie, amelyek minden csomóponton podban fognak futni.

Az Ön feladatai

Győződjön meg arról, hogy a szoftver a Kubernetesre és a tárolókra specializálódott. Számos külső szoftverlehetőség közül választhat. A népszerű lehetőségek közé tartozik a Prisma Cloud és az Aquasec. Vannak nyílt forráskódú lehetőségek is, például a Falco. Az Ön felelőssége, hogy gondoskodjon arról, hogy a harmadik féltől származó szoftverek naprakészek legyenek. Emellett a megoldások figyelése és riasztása az Ön feladata.

6. követelmény – Biztonságos rendszerek és alkalmazások fejlesztése és karbantartása

Az AKS szolgáltatás támogatása

A többi Azure-szolgáltatáshoz hasonlóan az AKS a Microsoft SDL (Security Development Lifecycle) folyamatait is követi a biztonság érdekében a fejlesztési folyamat szakaszaiban. A fejlesztés korai szakaszától kezdve különböző összetevőket vizsgálunk, és a biztonsági réseket a lehető leghamarabb lefedjük.

Az AKS-rendszerképek FedRAMP SLA-megközelítést követnek, amely megköveteli, hogy a rendszerképek biztonsági réseit 30 napon belül ki kell javítani. Ennek a követelménynek a kikényszerítéséhez a rendszer minden rendszerképet egy DevSecOps-folyamaton keresztül fertőtlenít.

Az AKS hetente új rendszerképeket biztosít a csomópontkészletekhez. A virtuálisgép-méretezési csoportok munkavégző csomópontjainak javítása és frissítése az Ön feladata. További információ: Azure Kubernetes Service (AKS) csomópont képfrissítése.

Az AKS vezérlősík esetében az AKS telepíti vagy frissíti a biztonsági javításokat. 24 óránként frissülnek.

Az AKS vezérlősíkja és a feldolgozó csomópontok a Center for Internet Security (CIS) ellen vannak megerősítve. Konkrétan az AKS CIS, az Ubuntu CIS és a Windows CIS.

Az AKS integrálva van az Azure Container Registryvel (ACR). Az ACR folyamatos ellenőrzési funkciókkal rendelkezik Felhőhöz készült Microsoft Defender a sebezhető képek és alkalmazások különböző kockázati szinteken való azonosításához. A képvizsgálatról és a kockázatkezelésről további információt a Microsoft Defender for Containers című témakörben talál.

Az Ön feladatai

5.1. követelmény

Vírusirtó szoftverek üzembe helyezése a rosszindulatú szoftverek által gyakran érintett összes rendszeren, különösen a személyi számítógépeken és kiszolgálókon.

Az Ön feladatai

A számítási feladat, az infrastruktúra és az üzembehelyezési folyamatok védelme az Ön feladata egy megfelelő kártevőirtó szoftver kiválasztásával.

Mivel az AKS-csomópont virtuális gépeihez való hozzáférés korlátozott, védje a rendszert olyan rétegeken, amelyek kártevőt tudnak injektálni a csomópont virtuális gépeibe. A fürtcsomópontokon, a tárolólemezképeken és a Kubernetes API-kiszolgálóval való futtatókörnyezeti interakciókon való észlelést és megelőzést is magában foglalja. A fürt mellett védje ezeket az összetevőket, amelyek együttműködnek a fürttel, és hagyományos módon telepíthetik a víruskereső szoftvereket:

• Jump boxok
• Ügynökök létrehozása

A vizsgálati tevékenységek igazítása a biztonsági fejlesztési életciklushoz (SDL). Az SDL követése biztosítja, hogy az architektúra különböző összetevőinek vizsgálata a fejlesztés korai szakaszában kezdődjön, és a biztonsági réseket a lehető leghamarabb lefedjük.

5.1.1. követelmény

Győződjön meg arról, hogy a víruskereső programok képesek észlelni, eltávolítani és védeni az összes ismert típusú rosszindulatú szoftvert.

Az Ön feladatai

Megismerheti az egyes szoftverajánlatok funkciókészletét, valamint az általa elvégezhető vizsgálat mélységét. A szoftvernek blokkolnia kell a gyakori fenyegetéseket, és figyelnie kell az új fenyegetéseket. Győződjön meg arról, hogy a szoftvert rendszeresen frissítik, tesztelik és lecserélik, ha nem megfelelőnek találták. Fontolja meg a jó hírű gyártók által fejlesztett szoftvereket.

• A fürt biztonsági réseit észlelő monitorozási eszközök.

  Az AKS-ben nem futtathat hagyományos ügynökalapú virtuálisgép-megoldásokat közvetlenül csomóponti virtuális gépeken. Kártevőirtó szoftvereket kell telepítenie a DaemonSetsben, amelyek minden csomóponton podban futnak.

  Válassza ki a Kubernetesre és a tárolókra specializálódott szoftvereket. Számos külső szoftverlehetőség közül választhat. A népszerű lehetőségek közé tartozik a Prisma Cloud és az Aquasec. Vannak nyílt forráskódú lehetőségek is, például a Falco.

  Üzembe helyezéskor ügynökökként futnak a fürtben, amely az összes felhasználói és rendszercsomópont-készletet megvizsgálja. Annak ellenére, hogy az AKS rendszercsomópontkészleteket használ a futtatókörnyezeti rendszer bináris fájljaihoz, a mögöttes számítás továbbra is az Ön feladata.

  Az ügynök futtatásának célja a szokatlan fürttevékenységek észlelése. Egy alkalmazás például megpróbálja meghívni az API-kiszolgálót? Egyes megoldások api-hívások naplóját generálják a podok között, jelentéseket hoznak létre és riasztásokat hoznak létre. Ellenőrizze ezeket a naplókat, és végezze el a szükséges műveleteket.

  Közvetlenül a fürt indítása után telepítse a biztonsági ügynököket a fürt és az AKS-erőforrás üzembe helyezése közötti nem figyelt rések minimalizálása érdekében.

  A biztonsági ügynökök magas jogosultságokkal futnak, és mindent átvizsgálnak, ami a fürtön fut, és nem csak a számítási feladatot. Nem válhatnak adatkiszivárgási forrássá. Emellett a tárolók esetében gyakoriak az ellátási lánc támadásai. Használjon részletes védelmi stratégiákat, és győződjön meg arról, hogy a szoftver és az összes függőség megbízható.

  A fürtműveletekben részt vevő külső objektumokon is futtassa a víruskereső szoftvereket. Ilyenek például a jump boxok, a buildügynökök és a fürttel kommunikáló tárolólemezképek.

  Az ügynök vizsgálatakor nem szabad letiltani vagy zavarni a fürt kritikus műveleteit, például a fájlok zárolását. A helytelen konfiguráció stabilitási problémákat okozhat, és a fürt nem támogatott.

  Fontos

  A referencia-implementáció helyőrző DaemonSet üzembe helyezést biztosít egy kártevőirtó-ügynök futtatásához. Az ügynök a fürt összes csomóponti virtuális gépén futni fog. A kártevőirtó szoftverek közül választhat ebben az üzembe helyezésben.

• A tárolók biztonságának fenntartása. Futtassa a tárolókereső eszközöket a folyamatban a tárolólemezképeken keresztül érkező fenyegetések észleléséhez, például a Ci/CD biztonsági rések vizsgálatához a Microsoft Defender for Containersben. A harmadik féltől származó választási lehetőségek közé tartozik a Trivy és a Clair. Amikor képeket készít, mindig törekedjen a disztribúció nélküli képekre. Ezek a képek csak a linuxos alaprendszerkép alapvető bináris fájljait tartalmazzák, és csökkentik a támadások felületét. Használjon folyamatos vizsgálati megoldást, például sebezhetőségi felmérést a Microsoft Defender for Containersben az adattárakban már inaktív képek folyamatos vizsgálatához.

5.1.2. követelmény

A rosszindulatú szoftverek által nem gyakran megcélzott vagy érintett rendszerek esetében rendszeres értékeléseket kell végezni a folyamatosan változó kártevő-fenyegetések azonosításához és kiértékeléséhez annak ellenőrzéséhez, hogy továbbra sem igényelnek-e vírusirtó szoftvert.

Az Ön feladatai

A gyakori biztonsági rések hatással lehetnek a fürtön kívüli összetevőkre. A biztonsági rések nyomon követéséhez kövesse nyomon a CVE-eket és az Azure-platform egyéb biztonsági riasztásait. Keresse meg az Azure-frissítéseket olyan új funkciókkal, amelyek észlelik a biztonsági réseket, és víruskereső megoldásokat futtatnak az Azure által üzemeltetett szolgáltatásokban.

A Blob Storage-nak például kártevő-reputáció-szűréssel kell rendelkeznie a gyanús feltöltések észleléséhez. Egy új funkció, a Microsoft Defender for Storage a kártevők hírnevének szűrését tartalmazza. Fontolja meg azt is, hogy szükség van-e víruskereső megoldásra egy ilyen szolgáltatáshoz.

5.2. követelmény

Győződjön meg arról, hogy az összes víruskereső mechanizmus a következőképpen van fenntartva:

• A rendszer naprakészen tartja,
• Rendszeres vizsgálatok végrehajtása
• Naplózási naplók létrehozása, amelyeket a PCI DSS 10.7-s követelménye őriz meg.

Az Ön feladatai

• Győződjön meg arról, hogy a fürt a víruskereső szoftver legújabb verziójával védve van az új támadások ellen. Kétféle frissítést kell figyelembe venni:
  • A víruskereső szoftvernek lépést kell tartania a legújabb funkciófrissítésekkel. Ennek egyik módja a frissítések ütemezése a platformfrissítések részeként.
  • A biztonságiintelligencia-frissítéseket azonnal alkalmazni kell, amint elérhetők a legújabb fenyegetések észleléséhez és azonosításához. Válassza az automatikus frissítéseket.
• Ellenőrizze, hogy a biztonságirés-vizsgálatok ütemezetten futnak-e.
• Őrizze meg a vizsgálat eredményeként létrehozott naplókat, amelyek kifogástalan és nem kifogástalan összetevőket jeleznek. Az ajánlott megőrzési időtartamot a 10.7. követelmény adja meg, amely egy év.
• Legyen egy olyan folyamat, amely triages és elhárítja az észlelt problémákat.

A Microsoft Defender víruskereső frissítéseinek alkalmazásáról további információt a Microsoft Defender víruskereső frissítéseinek kezelése és az alapkonfigurációk alkalmazása című témakörben talál.

5.3. követelmény

A vírusvédelmi funkcióknak aktívan kell futniuk, és a felhasználók nem tilthatják le vagy nem módosíthatják őket. Kivéve, ha a vezetőség eseti alapon, korlátozott időtartamra engedélyezi.

Az Ön feladatai

Ön felel a biztonsági ügynök figyelésének és riasztásának beállításáért. Kritikus riasztásokat hozhat létre nemcsak a számítási feladatokhoz, hanem az alapvető rendszerfolyamatokhoz is. Az ügynöknek mindig futnia kell . Válaszoljon a kártevőirtó szoftver által kiváltott riasztásokra.

• A vizsgálati tevékenységek naplójának megőrzése. Győződjön meg arról, hogy a vizsgálati folyamat nem naplózza a lemezről vagy a memóriából lekaparott kártyaőrző adatokat.
• Riasztások beállítása olyan tevékenységekhez, amelyek a megfelelőség váratlan megszűnését okozhatják. A riasztásokat nem szabad véletlenül kikapcsolni.
• Korlátozza az ügynök üzembe helyezésének módosítására vonatkozó engedélyeket (és egyéb kritikus biztonsági eszközöket). Ezeket az engedélyeket tartsa elkülönítve a számítási feladatok üzembehelyezési engedélyétől.
• Ne telepítsen számítási feladatokat, ha a biztonsági ügynökök nem a várt módon futnak.

5.4. követelmény

Ellenőrizze, hogy a rendszer kártevők elleni védelmére vonatkozó biztonsági szabályzatokat és működési eljárásokat dokumentálja, használja és közli az összes érintett félel.

Az Ön feladatai

Kritikus fontosságú, hogy a folyamatokkal és szabályzatokkal kapcsolatos részletes dokumentációt, különösen a rendszer védelméhez használt víruskereső megoldás részleteit megőrizze. Adjon meg olyan információkat, mint a termékciklusban a biztonságiintelligencia-frissítések karbantartása, a vizsgálatok gyakorisága, valamint a valós idejű vizsgálati képességekre vonatkozó információk.

A naplók tárolására vonatkozó adatmegőrzési szabályzatokkal rendelkezik. Előfordulhat, hogy megfelelőségi okokból hosszú távú tárolásra van szüksége.

A problémák felmérésére és elhárítására szolgáló szabványos üzemeltetési eljárások dokumentációjának karbantartása. A szabályozott környezeteket üzemeltető személyeket ki kell oktatni, tájékoztatni és ösztönözni kell a biztonsági biztosítékok támogatására. Ez olyan személyek számára fontos, akik politikai szempontból a jóváhagyási folyamat részét képezik.

6.1. követelmény

Hozzon létre egy folyamatot a biztonsági rések azonosítására, a biztonsági rések információinak jó hírű külső forrásaival, és rendeljen hozzá egy kockázati rangsort (például magas, közepes vagy alacsony) az újonnan felfedezett biztonsági résekhez.

Az Ön feladatai

Olyan folyamatokkal rendelkezik, amelyek ellenőrzik az észlelt biztonsági réseket, és megfelelően vannak rangsorolva. Felhőhöz készült Microsoft Defender javaslatokat és riasztásokat, az erőforrástípust és annak súlyosságát, környezetét jeleníti meg. A legtöbb riasztás MITRE ATT&CK-taktikával rendelkezik , amelyek segítenek® megérteni a gyilkossági lánc szándékát. Győződjön meg arról, hogy rendelkezik szervizelési tervvel a probléma kivizsgálásához és megoldásához.

Az AKS-ben az Azure Container Registryt a folyamatos vizsgálattal kombinálva azonosíthatja a különböző kockázati szinteken lévő sebezhető képeket és alkalmazásokat. Az eredményeket Felhőhöz készült Microsoft Defender tekintheti meg.

További információ: Tárolóregisztrációs adatbázis.

6.2. követelmény

A gyártó által biztosított biztonsági javítások telepítésével győződjön meg arról, hogy minden rendszerösszetevő és szoftver védve van az ismert biztonsági résektől. A kiadást követő egy hónapon belül telepítse a kritikus biztonsági javításokat.

Az Ön feladatai

• Az ellátási lánc külső szállítóktól érkező támadásainak megakadályozása érdekében győződjön meg arról, hogy az összes függőség megbízható. Fontos, hogy megbízható és megbízható szállítót válasszon.

• Az AKS hetente új rendszerképeket biztosít a csomópontkészletekhez. Ezek a képek nem lesznek automatikusan alkalmazva. Alkalmazza őket, amint elérhetők. A csomópontrendszerkép-frissítéssel manuálisan vagy automatikusan is frissíthet. További információ: Azure Kubernetes Service (AKS) csomópont képfrissítése

  Az AKS vezérlősík esetében az AKS telepíti vagy frissíti a biztonsági javításokat.

• Az AKS-csomópontok 24 óránként automatikusan letöltik és telepítik az operációs rendszert és a biztonsági javításokat egyenként. A tűzfal nem tilthatja le ezt a forgalmat, ha meg szeretné kapni ezeket a frissítéseket.

  Fontolja meg a biztonsági ügynök jelentéskészítési képességeinek engedélyezését az alkalmazott frissítésekre vonatkozó információk lekéréséhez. Egyes biztonsági frissítések újraindítást igényelnek. Mindenképpen tekintse át a riasztásokat, és tegyen lépéseket az alkalmazás minimális vagy nulla állásidejének biztosítása érdekében az újraindításokkal. A Kured (Kubernetes reboot daemon) nyílt forráskódú lehetőség az újraindítások szabályozott módon történő végrehajtására.

• A javítási folyamat kiterjesztése a kiépítendő fürtön kívüli erőforrásokra, például a jump boxok és a buildelési ügynökökre.

• Tartsa naprakészen a támogatott AKS-verziókat. Ha a terv olyan verziót használ, amely elérte az élettartamot, frissítsen egy aktuális verzióra. További információ: Támogatott AKS-verziók.

6.3. követelmény

Belső és külső szoftveralkalmazások (beleértve az alkalmazásokhoz való webes rendszergazdai hozzáférést) biztonságos fejlesztése az alábbiak szerint:

• A PCI DSS-nek megfelelően (például biztonságos hitelesítés és naplózás)
• Iparági szabványok és/vagy ajánlott eljárások alapján.
• Az információbiztonság beépítése a szoftverfejlesztési életciklus során, amely a belső fejlesztésű összes szoftverre vonatkozik, beleértve a külső gyártó által fejlesztett szoftvereket vagy egyéni szoftvereket is.

Az Ön feladatai

A számítási feladatok életciklusának és műveleteinek részeként integrálhatja és rangsorolhatja a biztonsági döntéseket.

Számos iparági keretrendszer megfelelteti az életciklust, például a NIST-keretrendszert . A NIST-függvények – az azonosítás, a védelem, az észlelés, a válaszadás és a helyreállítás – stratégiákat biztosítanak az egyes fázisok megelőző vezérlőihez.

A Microsoft SDL (Security Development Lifecycle) a fejlesztési folyamat szakaszaiban ajánlott eljárásokat, eszközöket és folyamatokat biztosít a biztonsághoz. A Microsoft SDL-eljárásokat minden Azure-szolgáltatás esetében követjük, beleértve az AKS-t is. A felhőszolgáltatások üzemeltetéséhez az Operational Security Assurance (OSA) keretrendszert is követjük. Győződjön meg arról, hogy hasonló folyamat áll rendelkezésére. Ezek a gyakorlatok az alkalmazások biztonságossá tételéhez szükségesek.

• Microsoft SDL
• Microsoft OSA

6.3.1. követelmény

Távolítsa el a fejlesztési, tesztelési és/vagy egyéni alkalmazásfiókokat, felhasználói azonosítókat és jelszavakat az alkalmazások aktívvá válása vagy az ügyfelek számára történő kiadása előtt.

Az Ön feladatai

A fürtlétrehozás részeként alapértelmezés szerint több helyi Kubernetes-felhasználó jön létre. Ezek a felhasználók nem naplózhatók, mert nem jelölnek egyedi identitást. Némelyikük magas jogosultságokkal rendelkezik. Tiltsa le ezeket a felhasználókat az AKS Helyi fiókok letiltása funkciójával.

Egyéb szempontokat a PCI-DSS 3.2.1 szabvány hivatalos útmutatójában talál.

6.3.2. követelmény

Tekintse át az egyéni kódot az éles vagy az ügyfelek számára történő kiadás előtt annak érdekében, hogy azonosítsa az esetleges kódolási biztonsági réseket (manuális vagy automatizált folyamatok használatával), hogy az alábbiakat tartalmazza:

• A kódmódosításokat a kód eredeti szerzőétől eltérő személyek, valamint a kódvizsgálati technikákkal és a biztonságos kódolási gyakorlattal jártos személyek tekintik át.
• A kódvizsgálatok biztosítják, hogy a kód a biztonságos kódolási irányelveknek megfelelően legyen kifejlesztve
• A megfelelő javítások a kiadás előtt kerülnek végrehajtásra.
• A kódismétlési eredményeket a vezetőség a kiadás előtt felülvizsgálja és jóváhagyja.

Az Ön feladatai

A fürtben telepített összes szoftver a tárolóregisztrációs adatbázisból származik. Az alkalmazáskódhoz hasonlóan a folyamatok és a felhasználók is ellenőrzik az Azure-beli és külső rendszerképeket (DockerFile és OCI). Lásd még:

• Kezdje el a tárolólemezképek vizsgálatát a fürt létrehozásakor a kezdeti szakaszokból. A vizsgálati folyamatot a folyamatos integrációs/folyamatos üzembehelyezési folyamatok részévé teheti.

  Győződjön meg arról, hogy az üzembehelyezési folyamatok úgy vannak lezárva, hogy a fürt rendszerindítási lemezképei és a számítási feladat is átment egy felülvizsgálati és/vagy karanténkapun. A fürtbe való lekérés előtt megőrizze az előzményeit arról, hogy hogyan és milyen folyamatokat használtak.

• Csökkentse a kép méretét. A képek általában a szükségesnél több bináris fájlt tartalmaznak. A képméret csökkentése nem csak a teljesítmény szempontjából előnyös, hanem a támadási felületet is korlátozza. A disztribúció nélküli használata például minimálisra csökkenti az alapSzintű Linux-lemezképeket.

• Használjon statikus elemzési eszközöket, amelyek ellenőrzik a Dockerfile és a jegyzékek integritását. A harmadik féltől származó lehetőségek közé tartozik a Dockle és a Trivy.

• Csak aláírt képeket használjon.

• Ismerje meg (és fogadja el) az Azure által biztosított alaprendszerképet, és hogy azok hogyan felelnek meg a CIS-teljesítményteszteknek. További információ: Center for Internet Security (CIS) Benchmarks.

Az Azure Container Registry és a Felhőhöz készült Microsoft Defender folyamatos vizsgálata segít azonosítani a sebezhető rendszerképeket és a számítási feladatra jelentett különböző kockázatokat. A képvizsgálatról és a kockázatkezelésről további információt a Tárolóbiztonság című témakörben talál.

6.4. követelmény

Kövesse a rendszerösszetevők módosításainak változásvezérlési folyamatait és eljárásait.

Az Ön feladatai

Győződjön meg arról, hogy dokumentálja a változásvezérlési folyamatokat, és ezeknek a folyamatoknak megfelelően tervezi meg az üzembe helyezési folyamatokat. Egyéb folyamatokat is tartalmazhat olyan helyzetek észleléséhez, amikor a folyamatok és a tényleges folyamatok nem igazodnak egymáshoz.

6.4.1. követelmény, 6.4.2

• Különítse el a fejlesztési/tesztelési környezeteket az éles környezetektől, és a hozzáférés-vezérléssel kényszerítse ki az elkülönítést.
• A feladatok elkülönítése a fejlesztési/tesztelési és az éles környezetek között.

Az Ön feladatai

Külön éles és üzem előtti környezetek és szerepkörök fenntartása, amelyek ezekben a környezetekben működnek.

• Ne használja az éles fürtöt fejlesztési/tesztelési célokra. Például ne telepítse a Kubernetes-hidat az éles fürtökben. Dedikált fürtöket használjon nem éles számítási feladatokhoz.

• Győződjön meg arról, hogy az éles környezetek nem teszik lehetővé az éles környezetekhez való hálózati hozzáférést, és fordítva.

• Ne használja újra a rendszeridentitásokat az éles üzem előtti és az éles környezetekben.

  Microsoft Entra-csoportokat használhat olyan csoportokhoz, mint a fürtgazdák vagy a folyamatnevek. Ne használjon általános vagy gyakori csoportokat hozzáférés-vezérlésként. Ne használja újra ezeket a csoportokat az éles üzem előtti és az éles fürtök között. Ennek egyik módja a fürtnév (vagy más átlátszatlan azonosító) használata a csoportnévben, hogy explicit legyen a tagságokon.

  Az Azure szerepköralapú hozzáférés-vezérlési (RBAC) szerepköreit a környezetek közötti megfelelő módon használhatja. Általában több szerepkör és jogosultság van hozzárendelve az éles üzem előtti környezetekhez.

  Az éles üzem előtti identitásoknak (amelyek csak folyamatoknak vagy szoftverfejlesztő csapatoknak adhatók meg) nem szabad hozzáférést biztosítani az éles környezetben. Ezzel szemben az éles környezethez tartozó összes identitásnak (például folyamatoknak) nem szabad hozzáférést biztosítani az éles üzem előtti fürtökben.

  Ne használja ugyanazt a felhasználó által felügyelt identitást az éles üzem előtti és az éles környezetben lévő erőforrásokhoz. Ez a javaslat a felhasználó által felügyelt identitást támogató összes erőforrásra vonatkozik, nem csak a fürtben üzembe helyezett erőforrásra. Az identitásokat igénylő Azure-erőforrásoknak általában saját identitással kell rendelkezniük, nem pedig más erőforrásokkal kell megosztaniuk őket.

• Igény szerinti (JIT) hozzáférés használata magas jogosultsági szintű hozzáféréshez, lehetőség szerint az éles üzem előtti fürtökön is. Használjon feltételes hozzáférési szabályzatokat az éles üzem előtti és az éles fürtökön is.

6.4.3. követelmény

Az éles adatokat (élő PAN-okat) nem használják teszteléshez vagy fejlesztéshez.

Az Ön feladatai

Győződjön meg arról, hogy a CHD-adatok nem áramlanak a fejlesztői/tesztelési környezetbe. Egyértelmű dokumentációval rendelkezik, amely lehetővé teszi az adatok éles környezetből a fejlesztési/tesztelési folyamatba való áthelyezését. A valós adatok eltávolítását bele kell foglalni ebbe az eljárásba, és jóvá kell hagyni az elszámoltatható feleket.

6.4.4. követelmény

A tesztadatok és fiókok eltávolítása a rendszerösszetevőkből, mielőtt a rendszer aktívvá válik / éles környezetbe kerül.

Az Ön feladatai

Az éles környezetben való üzembe helyezés előtt távolítsa el az alapértelmezett konfigurációs adatokat, a mintaadatokat és a jól ismert tesztadatokat a rendszerben. Ne használjon kártyaőrző adatokat tesztelési célokra.

6.4.5. követelmény

A biztonsági javítások és szoftvermódosítások végrehajtására vonatkozó változásvezérlési eljárásoknak a következőket kell tartalmazniuk:

• 6.4.5.1 A hatás dokumentációja.
• 6.4.5.2 Az engedélyezett felek dokumentált változás-jóváhagyást kapnak.
• 6.4.5.3 Funkciótesztelés annak ellenőrzéséhez, hogy a változás nem befolyásolja-e hátrányosan a rendszer biztonságát.
• 6.4.5.4. Visszalépési eljárások.

Az Ön feladatai

Az alábbi útmutatási pontok az előző követelményekre mutatnak:

• Dokumentálja a biztonsági javítások és szoftvermódosítások következtében várható infrastruktúra-módosításokat. Ez a folyamat egyszerűbb az infrastruktúra mint kód (IaC) megközelítéssel. Az üzembe helyezéshez használható Azure Resource Manager-sablonnal (ARM-sablonnal) például megtekintheti a módosításokat egy lehetőségelemzési művelettel. További információ: ARM-sablon üzembe helyezési lehetőség az infrastruktúra változásaihoz.

• Olyan kapukat implementáljon az üzembehelyezési folyamatokban, amelyek ellenőrzik a normál üzembe helyezés módosításainak jóváhagyását. Dokumentálja azokat a vészhelyzeti üzemelő példányokat, amelyeknél a kapuk megkerülése lehetséges.

  Határozza meg a változások szintjét és mélységét. Győződjön meg arról, hogy a csapat egyetért a jelentős változások meghatározásában, szemben a kisebb módosításokkal. Ha gyakorlatias, automatizálja néhány ilyen módosítás felderítését. A számítási feladat, az infrastruktúra és a folyamat véleményezőinek világosan ismerniük kell a szinteket, és ellenőrizniük kell ezeket a kritériumokat.

• Tesztelje a biztonsági megfizethetőségeket. Győződjön meg arról, hogy a szintetikus tranzakciók biztonsági (engedélyezési és megtagadási) biztonsági szempontokat tesztelnek. Győződjön meg arról is, hogy ezek a szintetikus tesztek éles környezetben futnak.

• Ha egy biztonsági javítás nem várt eredményt ad, legyen egy kimaradási folyamat. Gyakori stratégia egy korábbi állapot üzembe helyezése kék-zöld környezetek használatával. A számítási feladatok , beleértve az adatbázisokat is, olyan stratégiával rendelkeznek, amely az adott topológiához működik, és az üzembe helyezési egységekre terjed ki.

6.5. követelmény

A szoftverfejlesztési folyamatok gyakori kódolási biztonsági réseinek kezelése az alábbiak szerint:

• A fejlesztőket legalább évente naprakész, biztonságos kódolási technikákkal taníthatja be, beleértve a gyakori kódolási biztonsági rések elkerülését is.
• Alkalmazások fejlesztése biztonságos kódolási irányelvek alapján.

Az Ön feladatai

Kritikus fontosságú, hogy az alkalmazáscsapatok és az üzemeltetési csapatok képzettek, tájékozottak és ösztönözve legyenek a számítási feladatok és az infrastruktúra vizsgálatának támogatására. Íme néhány erőforrás:

• Biztonságos kódolási irányelvek
• A DevOps biztonságossá tétele
• Biztonságos fejlesztési életciklus-erőforrások

6.6-os követelmény

A nyilvánosan elérhető webalkalmazások esetében folyamatosan kell kezelni az új fenyegetéseket és biztonsági réseket. Győződjön meg arról, hogy ezek az alkalmazások az alábbi módszerek egyikével védve vannak az ismert támadásokkal szemben:

• A nyilvánosan elérhető webalkalmazások áttekintése manuális vagy automatizált alkalmazásbiztonsági biztonsági felmérési eszközökkel vagy módszerekkel. Végezzen sebezhetőségi felmérést legalább évente és a módosítások után.

  Feljegyzés

  Ez az értékelés nem ugyanaz, mint a 11.2 követelmény részeként végrehajtott biztonságirés-vizsgálatok.

• Telepítsen egy automatizált megoldást, amely észleli és megakadályozza a webes támadásokat. Például egy webalkalmazási tűzfal. Helyezze üzembe a nyilvános elérésű webalkalmazások előtt, és aktívan értékelje ki az összes forgalmat.

Az Ön feladatai

Ellenőrizze a nyilvános internetről érkező forgalmat egy webalkalmazási tűzfal (WAF) használatával. Ebben az architektúrában az Azure-alkalmazás Gateway az integrált WAF használatával ellenőrzi az összes bejövő forgalmat. A WAF az Open Web Application Security Project (OWASP) alapvető szabálykészletén (CRS) alapul. Ha a műszaki vezérlők nincsenek érvényben, kompenzáló vezérlőkkel kell rendelkezniük. Ennek egyik módja a manuális kódvizsgálat.

Győződjön meg arról, hogy a szabálykészlet legújabb verzióit használja, és alkalmazza a számítási feladat szempontjából releváns szabályokat. A szabályoknak megelőzési módban kell futniuk. Ezt a követelményt egy Azure Policy-példány hozzáadásával kényszerítheti ki, amely ellenőrzi, hogy a WAF engedélyezve van-e, és ebben a módban működik-e.

Az Application Gateway WAF által létrehozott naplók megőrzése az észlelt fenyegetések részleteinek lekéréséhez. Igény szerint finomhangolja a szabályokat.

Végezzen behatolástesztelést az alkalmazás kódjára összpontosítva. Így az alkalmazáscsapathoz nem tartozó szakemberek biztonsági réseket (például SQL-injektálást és könyvtárbejárást) találnak az információk összegyűjtésével, a biztonsági rések elemzésével és a jelentéskészítéssel. Ebben a gyakorlatban előfordulhat, hogy a gyakorlóknak hozzáférésre van szükségük a bizalmas adatokhoz. Annak érdekében, hogy a szándék ne legyen visszaélve, kövesse a behatolástesztelési szabályokban szereplő útmutatást.

6.7. követelmény

Győződjön meg arról, hogy a biztonságos rendszerek és alkalmazások fejlesztésére és fenntartására vonatkozó biztonsági szabályzatok és üzemeltetési eljárások dokumentálva vannak, használatban vannak, és minden érintett fél számára ismertek.

Az Ön feladatai

Kritikus fontosságú, hogy alapos dokumentációt tartson fenn a folyamatokról és szabályzatokról. A csapatokat be kell tanítani arra, hogy rangsorolják a biztonsági döntéseket a számítási feladatok életciklusának és műveleteinek részeként.

A Microsoft SDL a fejlesztési folyamat szakaszaiban ajánlott eljárásokat, eszközöket és folyamatokat biztosít a biztonsághoz. A Microsoft SDL gyakorlatát szigorúan belsőleg követjük a Microsoft szoftverfejlesztésének módjában. A felhőszolgáltatások üzemeltetéséhez az Operational Security Assurance (OSA) keretrendszert is követjük. Ezek a gyakorlatok az alkalmazások biztonságossá tételéhez szükségesek.

• Microsoft SDL
• Microsoft OSA

A behatolástesztelés részletes dokumentációja, amely leírja a teszt hatókörét, az osztályozási folyamatokat és az észlelt problémák szervizelési stratégiáját. Incidens esetén foglalja bele a 6. követelmény kiértékelését a kiváltó okok elemzésének részeként. Ha réseket észlel (például OWASP-szabálysértést észlel), zárja be ezeket a réseket.

A dokumentációban egyértelmű irányelveket talál a WAF-védelem várható állapotáról.

A szabályozott környezeteket üzemeltető személyeket oktatni, tájékoztatni és ösztönözni kell, hogy támogassák a biztonsági garanciákat. Olyan személyek számára fontos, akik politikai szempontból a jóváhagyási folyamat részét képezik.

Következő lépések

A kártyatulajdonosi adatokhoz való hozzáférést üzleti szempontból korlátozni kell. A rendszerösszetevőkhöz való hozzáférés azonosítása és hitelesítése. A kártyatulajdonos adataihoz való fizikai hozzáférés korlátozása.