Ez a cikk a Payment Card Industry Data Security Standard (PCI-DSS 3.2.1) szerint konfigurált Azure Kubernetes Service-fürt (AKS) szempontjait ismerteti.
Információbiztonsági szabályzat karbantartása
12. követelmény – Olyan szabályzat fenntartása, amely az összes személy információbiztonságát kezeli
A Microsoft egy jóváhagyott minősített biztonsági értékelő (QSA) használatával végzett éves PCI DSS-értékelést. Vegye figyelembe az infrastruktúra, a fejlesztés, az üzemeltetés, a felügyelet, a támogatás és a hatókörön belüli szolgáltatások minden aspektusát. További információ: Payment Card Industry (PCI) Data Security Standard (DSS).
Ez az architektúra és az implementáció nem arra szolgál, hogy szemléltető útmutatást nyújtson a hivatalos biztonsági szabályzat végpontok közötti dokumentálásához. A szempontokat a PCI-DSS 3.2.1 szabvány hivatalos útmutatójában találhatja meg.
Íme néhány általános javaslat:
A folyamatokkal és szabályzatokkal kapcsolatos részletes és frissített dokumentáció fenntartása. Fontolja meg a Microsoft Purview Compliance Manager használatát a kockázat felméréséhez.
A biztonsági szabályzat éves felülvizsgálatában foglalja magában a Microsoft, a Kubernetes és más, a CDE részét képező külső megoldások által nyújtott új útmutatást. Egyes erőforrások közé tartoznak az Felhőhöz készült Microsoft Defender, az Azure Advisor, az Azure Well-Architected Review, valamint az AKS Azure Biztonsági Alapkonfigurációjának és a CIS Azure Kubernetes Service Benchmark frissítéseinek útmutatásával kombinálva.
A kockázatértékelési folyamat létrehozásakor igazodjon egy közzétett szabványhoz, amely gyakorlatias, például NIST SP 800-53. A kiadványok leképezése a gyártó által közzétett biztonsági listáról, például a Microsoft Security Response Center útmutatójából a kockázatértékelési folyamatba.
Naprakész információk az eszközleltárról és a személyzet hozzáférésének dokumentációjáról. Fontolja meg a Végponthoz készült Microsoft Defender eszközfelderítési funkciójának használatát. A hozzáférés nyomon követéséhez ezeket az információkat a Microsoft Entra naplóiból származtathatja. Íme néhány cikk az első lépésekhez:
A készletkezelés részeként fenntarthatja a PCI-infrastruktúra és számítási feladatok részeként üzembe helyezett jóváhagyott megoldások listáját. Ez tartalmazza a CDE-hez választott virtuálisgép-rendszerképek, adatbázisok és külső megoldások listáját. Ezt a folyamatot akár egy szolgáltatáskatalógus létrehozásával is automatizálhatja. Önkiszolgáló üzembe helyezést biztosít a jóváhagyott megoldások használatával egy adott konfigurációban, amely megfelel a folyamatban lévő platformműveleteknek. További információ: Szolgáltatáskatalógus létrehozása.
Győződjön meg arról, hogy egy biztonsági partner azure-incidensértesítéseket kap a Microsofttól.
Ezek az értesítések jelzik, hogy az erőforrás sérült-e. Ez lehetővé teszi, hogy a biztonsági üzemeltetési csapat gyorsan reagáljon a lehetséges biztonsági kockázatokra, és elhárítsa őket. Győződjön meg arról, hogy az Azure regisztrációs portál rendszergazdai kapcsolattartási adatai olyan kapcsolattartási adatokat tartalmaznak, amelyek belső folyamaton keresztül közvetlenül vagy gyorsan értesítik a biztonsági műveleteket. További részletekért lásd : Biztonsági műveleti modell.
Az alábbiakban további cikkeket talál, amelyek segítenek megtervezni a működési megfelelőséget.
- Felhőfelügyelet a felhőadaptálási keretrendszer
- Irányítás az Azure-hoz készült Microsoft felhőadaptálási keretrendszer