Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A következőkre vonatkozik: Azure Local 2311.2 és újabb verziók
Ez a cikk azt ismerteti, hogy a Microsoft Azure helyi biztonsági funkciói hogyan segíthetik a fizetésikártya-iparágban dolgozó szervezeteket a PCI DSS biztonsági ellenőrzési követelményeinek teljesítésében mind a felhőben, mind a helyszíni környezetekben.
PCI DSS
A Payment Card Industry (PCI) Data Security Standard (DSS) egy globális információbiztonsági szabvány, amelynek célja, hogy megelőzze a csalást a hitelkártyaadatok fokozott ellenőrzésével. A PCI DSS-t a fizetésikártya-márkák irányítja, és a Payment Card Industry Security Standards Council felügyeli.
A PCI DSS-nek való megfelelésre minden olyan szervezet esetében szükség van, amely kártyaőrző adatokat (CHD) tárol, dolgoz fel vagy továbbít. A PCI DSS-megfelelőség hatálya alá tartozó szervezetek közé tartoznak a kereskedők, a fizetési feldolgozók, a kiállítók, a beszerzők és a szolgáltatók.
További információ a szabványról a PCI Biztonsági Szabványok Tanácsának dokumentációs könyvtárában.
Közös feladatkörök
Fontos tisztában lenni azzal, hogy a PCI DSS nem csupán technológiai és termékszabvány, hanem az emberek és folyamatok biztonsági követelményeit is magában foglalja. A megfelelőségért ön mint érintett entitás és a Microsoft, mint szolgáltató osztozik.
Microsoft-ügyfelek
Érintett entitásként az Ön felelőssége saját PCI DSS-tanúsítvány elérése és kezelése. A szervezeteknek fel kell mérniük a különböző környezetüket, különösen azokat a részeket, amelyek szolgáltatásfizetéseket vagy fizetésekkel kapcsolatos számítási feladatokat üzemeltetnek, ahol a kártyaőrző adatokat tárolják, feldolgozzák és/vagy továbbítják. Ezt a kártyaőrző adatkörnyezetnek (CDE) nevezzük. Ezt követően a szervezeteknek meg kell tervezniük és végre kell hajtaniuk a megfelelő biztonsági ellenőrzéseket, szabályzatokat és eljárásokat a megadott követelmények teljesítéséhez, mielőtt hivatalos tesztelési folyamaton esnek át. A szervezetek végül szerződést kötnek egy minősített biztonsági értékelővel (QSA), aki ellenőrzi, hogy a környezet megfelel-e az összes követelménynek.
Microsoft
Bár az Ön felelőssége a PCI DSS szabványnak való megfelelés fenntartása, ön nem egyedül van az úton. A Microsoft kiegészítő anyagokat és biztonsági funkciókat biztosít a hibrid környezetekben, hogy csökkentse a PCI DSS-ellenőrzés végrehajtásával járó erőfeszítéseket és költségeket. Például ahelyett, hogy mindent az alapoktól tesztelnek, az értékelők használhatják az Azure-beli megfelelőségi igazolást (AOC) az Azure-ban üzembe helyezett kártyatulajdonosi adatkörnyezet egy részére. További információ az alábbi tartalomban.
Azure Helyi megfelelőség
Az Azure Local tervezésekor és létrehozásakor a Microsoft figyelembe veszi a Microsoft felhőre és a helyszíni ügyfélkörnyezetekre vonatkozó biztonsági követelményeket.
Csatlakoztatott felhőszolgáltatások
Az Azure Local mély integrációt kínál a különböző Azure-szolgáltatásokkal, például az Azure Monitorral, az Azure Backuptal és az Azure Site Recoveryvel, hogy új képességeket hozzon létre a hibrid beállításhoz. Ezek a felhőszolgáltatások a PCI DSS 4.0-s verziójának megfelelőként vannak minősítve az 1. szolgáltatói szinten. További információ az Azure-felhőszolgáltatások megfelelőségi programjáról a PCI DSS – Azure Compliance szolgáltatásban.
Fontos
Fontos megjegyezni, hogy az Azure PCI DSS megfelelőségi állapota nem fordítja le automatikusan a PCI DSS-ellenőrzésre azon szolgáltatások esetében, amelyeket a szervezetek az Azure platformon építenek vagy üzemeltetnek. Az ügyfelek feladata annak biztosítása, hogy szervezeteik megfeleljenek a PCI DSS követelményeinek.
Helyszíni megoldások
Helyszíni megoldásként az Azure Local számos olyan funkciót biztosít, amelyek segítenek a szervezeteknek megfelelni a PCI DSS-nek és a pénzügyi szolgáltatások egyéb biztonsági szabványainak.
A PCI DSS-hez kapcsolódó Azure Helyi képességek
Ez a szakasz röviden ismerteti, hogyan használhatják a szervezetek az Azure Local funkciót a PCI DSS követelményeinek való megfeleléshez. Fontos megjegyezni, hogy a PCI DSS-követelmények a kártyaőrző adatkörnyezetben (CDE) található vagy ahhoz csatlakoztatott összes rendszerösszetevőre vonatkoznak.
Az alábbi tartalom az Azure Helyi platform szintjére összpontosít, amely szolgáltatáskifizetéseket vagy a kártyás adatokat tartalmazó, fizetéssel kapcsolatos számítási feladatokat üzemeltet.
1. követelmény: Hálózati biztonsági vezérlők telepítése és karbantartása
Az Azure Local használatával hálózati biztonsági vezérlőket alkalmazhat a platform és a rajta futó számítási feladatok védelmére a külső és belső hálózati fenyegetésektől. A platform emellett garantálja a gazdagép igazságos hálózati kiosztását, és a terheléselosztási képességekkel javítja a számítási feladatok teljesítményét és rendelkezésre állását. A hálózati biztonságról az alábbi cikkekben olvashat bővebben az Azure Local szolgáltatásban.
- Az adatközponti tűzfal áttekintése
- Szoftveres terheléselosztó (SLB) szoftveres definíciós hálózathoz (SDN)
- Távelérési szolgáltatás (RAS) átjárója SDN-hez
- Szolgáltatási szabályzatok minősége az Azure Local-on üzemeltetett számítási feladatokhoz
2. követelmény: Biztonságos konfigurációk alkalmazása az összes rendszerösszetevőre
Alapértelmezés szerint biztonságos
Az Azure Local alapértelmezés szerint biztonságosan van konfigurálva biztonsági eszközökkel és technológiákkal a modern fenyegetések elleni védelemhez és az Azure Compute Security alapkonfigurációihoz való igazodáshoz. További információ az Azure Local biztonsági alapkonfigurációs beállításairól.
Sodródás elleni védelem
A platform alapértelmezett biztonsági konfigurációja és biztonságos magbeállításai az üzembe helyezés és a futtatókörnyezet során egyaránt védettek , sodródásvezérlési védelemmel. Ha engedélyezve van, az elsodródás-vezérlés elleni védelem 90 percenként rendszeresen frissíti a biztonsági beállításokat, hogy a megadott állapot változásait kijavítsa. Ez a folyamatos monitorozás és automatikus szervizelés lehetővé teszi, hogy konzisztens és megbízható biztonsági konfigurációval rendelkezzen az eszköz teljes életciklusa során. A biztonsági beállítások konfigurálásakor letilthatja az eltolódás elleni védelmet az üzembe helyezés során.
A számítási feladatok biztonsági alapkonfigurációja
Az Azure Local-on futó számítási feladatok esetében az Azure által javasolt operációsrendszer-alapkonfigurációt használhatja ( Windows és Linux esetén egyaránt) viszonyítási alapkonfigurációként a számítási erőforrás konfigurációs alapkonfigurációjának meghatározásához.
3. követelmény: A tárolt számlaadatok védelme
Adatok titkosítása a BitLockerrel
Az Azure Local-példányokon minden inaktív adat titkosítható BitLocker XTS-AES 256 bites titkosítással. Alapértelmezés szerint a rendszer azt javasolja, hogy engedélyezze a BitLockert az összes operációs rendszer kötet és fürtmegosztott kötet (CSV) titkosításához az Azure Helyi telepítésben. Az üzembe helyezés után hozzáadott új tárolókötetek esetében manuálisan kell bekapcsolnia a BitLockert az új tárolókötet titkosításához. A BitLocker adatainak védelme segíthet a szervezeteknek az ISO/IEC 27001 szabványnak való megfelelésben. További információ a fürtmegosztott köteteken (CSV) való BitLocker használatáról.
4. követelmény: A kártyaőrző adatok védelme erős titkosítással a nyílt, nyilvános hálózatokon keresztüli átvitel során
Külső hálózati forgalom védelme TLS/DTLS használatával
Alapértelmezés szerint a helyi és távoli végpontokra való összes gazdakommunikáció tLS1.2, TLS1.3 és DTLS 1.2 használatával van titkosítva. A platform letiltja a régebbi protokollok/kivonatok, például a TLS/DTLS 1.1 SMB1 használatát. Az Azure Local támogatja az olyan erős titkosítási csomagokat is, mint az SDL-kompatibilis háromliptikus görbék, amelyek csak A-256 és P-384 NIST-görbékre korlátozódnak.
5. követelmény: Az összes rendszer és hálózat védelme a rosszindulatú szoftverektől
Windows Defender víruskereső
A Windows Defender víruskereső egy olyan segédprogram, amely lehetővé teszi a valós idejű rendszervizsgálat és rendszeres vizsgálat végrehajtását, hogy megvédje a platformokat és a számítási feladatokat a vírusok, kártevők, kémprogramok és egyéb fenyegetések ellen. Alapértelmezés szerint a Microsoft Defender víruskereső engedélyezve van az Azure Local-ban. A Microsoft azt javasolja, hogy a Microsoft Defender víruskereső a külső víruskereső és kártevő-észlelő szoftverek és szolgáltatások helyett az Azure Local használatával használja, mivel ezek hatással lehetnek az operációs rendszer frissítéseinek fogadására. További információ a Windows Serveren futó Microsoft Defender víruskeresőről.
Alkalmazásvezérlő
Az Alkalmazásvezérlés alapértelmezés szerint engedélyezve van az Azure Local-ban annak szabályozásához, hogy mely illesztőprogramok és alkalmazások fussanak közvetlenül az egyes kiszolgálókon, ezzel megakadályozva, hogy a kártevők hozzáférjenek a rendszerekhez. További információ az Azure Local-ban található alapszabályzatokról, valamint kiegészítő szabályzatok létrehozásáról az Azure Local alkalmazásvezérlésében.
Microsoft Defender for Cloud
A Microsoft Defender for Cloud és az Endpoint Protection (a Defender for Servers csomagon keresztül engedélyezve) fejlett veszélyforrások elleni védelemmel rendelkező biztonsági helyzetkezelési megoldást biztosít. Eszközöket biztosít az infrastruktúra biztonsági állapotának felméréséhez, a számítási feladatok védelméhez, a biztonsági riasztások létrehozásához, valamint a támadások elhárításához és a jövőbeli fenyegetések kezeléséhez szükséges konkrét javaslatok követéséhez. Ezeket a szolgáltatásokat nagy sebességgel hajtja végre a felhőben, üzembe helyezési többletterhelés nélkül az Azure-szolgáltatások automatikus kiépítésével és védelmével. További információ: Microsoft Defender for Cloud.
6. követelmény: Biztonságos rendszerek és szoftverek fejlesztése és karbantartása
Platformfrissítés
Az Azure Local összes összetevője, beleértve az operációs rendszert, az alapvető ügynököket és a szolgáltatásokat, valamint a megoldásbővítményt, egyszerűen karbantartható az Életciklus-kezelővel. Ez a funkció lehetővé teszi, hogy különböző összetevőket csomagoljon egy frissítési kiadásba, és érvényesítse a verziók kombinációját az együttműködés biztosítása érdekében. További információ az Azure Local Megoldásfrissítések életciklus-kezelőjében.
Munkaterhelés frissítése
A helyi Azure-on futó számítási feladatok, köztük az Azure Kubernetes Service (AKS) hibrid, az Azure Arc és az életciklus-kezelőbe nem integrált infrastruktúra-virtuális gépek (VM-ek) esetében kövesse a Use Lifecycle Managerben ismertetett módszereket a frissítések frissítéséhez és a PCI DSS-követelményekhez való igazításához.
7. követelmény: A rendszerösszetevők és a kártyatulajdonosi adatok hozzáférésének korlátozása üzleti szükségesség alapján
Az Ön feladata, hogy a szervezet üzleti igényei alapján azonosítsa a szerepköröket és azok hozzáférési igényeit, majd a feladatokkal kapcsolatos jogosultságok hozzárendelésével biztosítsa, hogy csak az arra jogosult személyzet férhessen hozzá a bizalmas rendszerekhez és adatokhoz. Használja a 8. követelményben leírt képességeket : Felhasználók azonosítása és a rendszerösszetevőkhöz való hozzáférés hitelesítése a szabályzatok és eljárások implementálásához.
8. követelmény: Felhasználók azonosítása és a rendszerösszetevőkhöz való hozzáférés hitelesítése
Az Azure Local teljes és közvetlen hozzáférést biztosít a gépeken futó mögöttes rendszerhez több felületen, például az Azure Arcon és a Windows PowerShellen keresztül. Az identitás és a platformhoz való hozzáférés kezeléséhez használhat hagyományos Windows-eszközöket helyi környezetekben vagy olyan felhőalapú megoldásokat, mint a Microsoft Entra ID (korábbi nevén Azure Active Directory). Mindkét esetben kihasználhatja a beépített biztonsági funkciókat, például a többtényezős hitelesítést (MFA), a feltételes hozzáférést, a szerepköralapú hozzáférés-vezérlést (RBAC) és a kiemelt identitáskezelést (PIM), hogy a környezet biztonságos és megfelelő legyen.
További információ a helyi identitás- és hozzáférés-kezelésről a Microsoft Identity Managerben és az Active Directory Domain Services kiemelt hozzáférés-kezelésében. További információ a felhőalapú identitás- és hozzáférés-kezelésről a Microsoft Entra ID-ben.
9. követelmény: A kártyatulajdonos adataihoz való fizikai hozzáférés korlátozása
Helyszíni környezetek esetén gondoskodjon arról, hogy a fizikai biztonság az Azure Local értékével és a benne lévő adatokkal arányos legyen.
10. követelmény: A rendszerösszetevőkhöz és a kártyaőrző adatokhoz való hozzáférés naplózása és monitorozása
Helyi rendszernaplók
Alapértelmezés szerint az Azure Local-ban végrehajtott összes művelet rögzítésre kerül, így nyomon követheti, hogy ki mit, mikor és hol végzett a platformon. A Windows Defender által létrehozott naplókat és riasztásokat is tartalmazza, amelyek segítenek megelőzni, észlelni és minimalizálni az adatsértés valószínűségét és hatását. Mivel azonban a rendszernapló gyakran nagy mennyiségű információt tartalmaz, amelyek nagy része nem tartozik az információbiztonsági monitorozáshoz, meg kell határoznia, hogy mely események relevánsak a biztonsági monitorozási célokra történő adatgyűjtéshez és felhasználáshoz. Az Azure monitorozási képességei segítenek a naplók gyűjtésében, tárolásában, riasztásában és elemzésében. További információért tekintse meg az Azure Local biztonsági alapkonfigurációt .
Helyi tevékenységnaplók
Az Azure Local Lifecycle Manager tevékenységnaplókat hoz létre és tárol minden végrehajtott művelettervhez. Ezek a naplók támogatják a mélyebb vizsgálatot és a megfelelőség monitorozását.
Felhőtevékenység-naplók
A rendszerek Azure-beli regisztrálásával az Azure Monitor tevékenységnaplóival rögzítheti a műveleteket az előfizetési réteg minden erőforrásán annak meghatározásához, hogy az előfizetés erőforrásain végrehajtott írási műveletek (put, post vagy delete) mit, ki és mikor történjenek meg.
Felhőbeli identitásnaplók
Ha a Microsoft Entra ID-val kezeli az identitást és a platformhoz való hozzáférést, megtekintheti a naplókat az Azure AD jelentéseiben , vagy integrálhatja őket az Azure Monitorral, a Microsoft Sentinellel vagy más SIEM/monitorozási eszközökkel a kifinomult monitorozási és elemzési használati esetekhez. Ha helyi Active Directory használ, a Microsoft Defender for Identity megoldással használja a helyi Active Directory jeleket a szervezetre irányított speciális fenyegetések, feltört identitások és rosszindulatú belső műveletek azonosítására, észlelésére és kivizsgálására.
SIEM-integráció
A Microsoft Defender for Cloud és a Microsoft Sentinel natívan integrálva van az Arc-engedélyezett szerverekkel. Engedélyezheti és előkészítheti a naplókat a Microsoft Sentinelbe, amely biztonsági információk eseménykezelését (SIEM) és biztonsági vezénylési automatizált válaszképességet (SOAR) biztosít. A Microsoft Sentinel a többi Azure-felhőszolgáltatáshoz hasonlóan számos jól bevált biztonsági szabványnak is megfelel, például a PCI DSS, a HITRUST és a FedRAMP Authorization szabványnak, amelyek segíthetnek önnek az akkreditációs folyamatában. Emellett az Azure Local egy natív syslog eseménytovábbítót is biztosít a rendszeresemények külső SIEM-megoldásoknak való küldéséhez.
Azure Local Insights
Az Azure Local Insights lehetővé teszi az Azure-hoz csatlakoztatott és a monitorozásban regisztrált rendszerek állapotának, teljesítményének és használati adatainak monitorozását. Az Insights konfigurálása során létrejön egy adatgyűjtési szabály, amely meghatározza az összegyűjtendő adatokat. Ezeket az adatokat egy Log Analytics-munkaterület tárolja, amelyet aztán összesít, szűr és elemez, hogy előre összeállított monitorozási irányítópultokat biztosítson Az Azure-munkafüzetek használatával. Az egycsomópontos és a többcsomópontos rendszerek monitorozási adatait az Azure Local erőforráslapján vagy az Azure Monitorban tekintheti meg. További információ az Azure Local with Insights monitorozásával kapcsolatban.
Helyi Azure-metrikák
A metrikák a figyelt erőforrásokból származó numerikus adatokat idősoros adatbázisba tárolják. Az Azure Monitor Metrics Explorerrel interaktívan elemezheti a metrikaadatbázis adatait, és több metrika értékeit ábrázolhatja az idő függvényében. A Metrikákkal diagramokat hozhat létre metrikaértékekből, és vizuálisan korrelálhatja a trendeket.
Eseménynapló-alapú riasztások
Ha valós időben szeretné jelezni a problémákat, riasztásokat állíthat be az Azure Local-példányokhoz olyan már meglévő mintanapló-lekérdezések használatával, mint az átlagos kiszolgálói PROCESSZOR, a rendelkezésre álló memória, a rendelkezésre álló kötetkapacitás stb. További információ: Riasztások beállítása azure-beli helyi példányokhoz.
Metrikai riasztások
A metrikariasztási szabály egy erőforrást figyel azáltal, hogy rendszeres időközönként kiértékeli az erőforrás metrikáinak feltételeit. Ha a feltételek teljesülnek, riasztás aktiválódik. A metrikaidősorok egy adott időszak alatt rögzített metrikaértékek sorozatai. Ezekkel a metrikákkal riasztási szabályokat hozhat létre. További információt a metrikariasztások létrehozásáról a metrikariasztások oldalon talál.
Szolgáltatás- és eszközriasztások
Az Azure Local szolgáltatásalapú riasztásokat biztosít a kapcsolathoz, az operációs rendszer frissítéséhez, az Azure-konfigurációhoz és egyebekhez. Eszközalapú riasztások a fürt egészségi hibáira vonatkozóan is elérhetők. Az Azure Local-példányokat és azok mögöttes összetevőit a PowerShell vagy a Health Service használatával is figyelheti.
11. követelmény: Rendszerek és hálózatok biztonságának rendszeres tesztelése
A gyakori biztonsági értékelések és behatolási tesztek elvégzése mellett a Felhőhöz készült Microsoft Defender is használhatja a biztonsági helyzet felmérésére a felhőben és a helyszínen található hibrid számítási feladatokban, magában foglalva az Arc-kompatibilis virtuális gépeket, konténerképeket és SQL-kiszolgálókat.
12. követelmény: Az információbiztonság támogatása szervezeti szabályzatokkal és programokkal
Az Ön felelőssége, hogy fenntartsa azokat az információbiztonsági szabályzatokat és tevékenységeket, amelyek létrehozzák a szervezeti biztonsági programot, és védik a kártyatulajdonosi adatkörnyezetet. Az Azure-szolgáltatások, például a Microsoft Entra ID által kínált automatizálási funkciók és a PCI DSS jogszabályi megfelelőség beépített kezdeményezésében megosztott információk segíthetnek csökkenteni a szabályzatok és programok kezelésének terheit.