Artikel ini menjelaskan pertimbangan untuk kluster Azure Kubernetes Service (AKS) yang dikonfigurasi sesuai dengan Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS 3.2.1).
Artikel ini adalah bagian dari beberapa seri. Baca pengantar.
Menjaga kebijakan keamanan informasi
Persyaratan 12—Mempertahankan kebijakan yang membahas keamanan informasi untuk semua personel
Microsoft menyelesaikan penilaian PCI DSS tahunan menggunakan Qualified Security Assessor (QSA) yang disetujui. Pertimbangkan semua aspek infrastruktur, pembangunan, operasi, manajemen, dukungan, dan layanan dalam lingkup. Untuk informasi selengkapnya, lihat Standar Keamanan Data Industri Kartu Pembayaran (PCI) (DSS).
Arsitektur dan implementasi ini tidak dirancang untuk memberikan panduan ilustratif mendokumentasikan kebijakan keamanan resmi secara end-to-end. Untuk pertimbangan, lihat panduan dalam standar resmi PCI-DSS 3.2.1.
Berikut adalah beberapa saran umum:
Pertahankan dokumentasi menyeluruh dan terbaru tentang proses dan kebijakan. Pertimbangkan untuk menggunakan Microsoft Purview Compliance Manager untuk menilai risiko Anda.
Dalam tinjauan tahunan kebijakan keamanan, sertakan panduan baru yang diberikan oleh Microsoft, Kubernetes, dan solusi pihak ketiga lainnya yang merupakan bagian dari CDE Anda. Beberapa sumber termasuk publikasi vendor yang dikombinasikan dengan panduan yang berasal dari Microsoft Defender untuk Cloud, Azure Advisor, Azure Well-Architected Review, dan pembaruan di AKS Azure Security Baseline dan CIS Azure Kubernetes Service Benchmark, dan lainnya.
SSaat menetapkan proses penilaian risiko Anda, sesuaikan dengan standar yang dipublikasikan jika praktis, misalnya, misalnya NIST SP 800-53. PPublikasi peta dari daftar keamanan yang diterbitkan vendor Anda, seperti panduan Pusat Respons Keamanan Microsoft, untuk proses penilaian risiko Anda.
Tetap perbarui informasi tentang inventaris perangkat dan dokumentasi akses personel. Pertimbangkan untuk menggunakan kemampuan penemuan perangkat yang disertakan dalam Microsoft Defender untuk Endpoint. Untuk akses pelacakan, Anda dapat memperoleh informasi tersebut dari log Microsoft Entra. Berikut adalah beberapa artikel untuk membantu Anda memulai:
Sebagai bagian dari manajemen inventaris, pertahankan daftar solusi yang disetujui yang disebarkan sebagai bagian dari infrastruktur dan beban kerja PCI. Hal ini termasuk daftar gambar VM, database, dan solusi pihak ketiga pilihan Anda yang Anda bawa ke CDE. Anda bahkan bisa mengotomatisasi proses itu dengan membangun katalog layanan. Hal ini menyediakan penyebaran layanan mandiri dengan menggunakan solusi yang disetujui dalam konfigurasi tertentu, yang mematuhi operasi platform yang sedang berlangsung. Untuk informasi selengkapnya, lihat Pengembangan katalog layanan.
Pastikan bahwa kontak keamanan menerima notifikasi insiden Azure dari Microsoft.
Notifikasi ini mengindikasikan apakah sumber daya Anda disusupi. Hal ini memungkinkan tim operasi keamanan Anda dengan cepat merespons potensi risiko keamanan dan memulihkannya. Pastikan informasi kontak administrator di portal pendaftaran Azure menyertakan informasi kontak yang akan memberi tahu operasi keamanan secara langsung atau cepat melalui proses internal. Untuk selengkapnya, lihat Model operasi keamanan.
Berikut adalah artikel lain yang akan membantu Anda merencanakan kepatuhan operasional.
- Manajemen cloud dalam Kerangka Adopsi Cloud
- Tata kelola dalam Kerangka Adopsi Microsoft Cloud untuk Azure