Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Berlaku untuk: Azure Local 2311.2 dan yang lebih baru
Artikel ini menjelaskan bagaimana fitur keamanan Microsoft Azure Local dapat membantu organisasi dalam industri kartu pembayaran mencapai persyaratan kontrol keamanan PCI DSS, baik di cloud maupun di lingkungan lokal mereka.
PCI DSS
Standar Keamanan Data Industri Kartu Pembayaran (PCI) (DSS) adalah standar keamanan informasi global yang dirancang untuk mencegah penipuan melalui peningkatan kontrol data kartu kredit. PCI DSS diamanatkan oleh merek kartu pembayaran dan dikelola oleh Dewan Standar Keamanan Industri Kartu Pembayaran.
Kepatuhan terhadap PCI DSS diperlukan untuk setiap organisasi yang menyimpan, memproses, atau mengirimkan data pemegang kartu (CHD). Organisasi yang tunduk pada kepatuhan PCI DSS termasuk (tetapi tidak terbatas pada) pedagang, pemroses pembayaran, penerbit, acquirer, dan penyedia layanan.
Pelajari selengkapnya tentang standar di pustaka dokumentasi Dewan Standar Keamanan PCI.
Tanggung jawab bersama
Penting untuk dipahami bahwa PCI DSS bukan hanya teknologi dan standar produk, tetapi juga mencakup persyaratan keamanan untuk orang dan proses. Tanggung jawab untuk kepatuhan dibagikan antara Anda sebagai entitas yang tercakup dan Microsoft sebagai penyedia layanan.
Pelanggan Microsoft
Sebagai entitas tercakup, Anda bertanggung jawab untuk mencapai dan mengelola sertifikat PCI DSS Anda sendiri. Organisasi perlu menilai lingkungan mereka yang berbeda, terutama bagian yang menghosting pembayaran layanan atau beban kerja terkait pembayaran di mana data pemegang kartu disimpan, diproses, dan/atau ditransmisikan. Ini disebut lingkungan data pemegang kartu (CDE). Setelah itu, organisasi perlu merencanakan dan menerapkan kontrol, kebijakan, dan prosedur keamanan yang tepat untuk memenuhi semua persyaratan yang ditentukan sebelum menjalani proses pengujian resmi. Organisasi pada akhirnya berkontrak dengan Penilai Keamanan Memenuhi Syarat (QSA) yang memverifikasi apakah lingkungan memenuhi semua persyaratan.
Microsoft
Meskipun Anda bertanggung jawab untuk menjaga kepatuhan dengan standar PCI DSS, Anda tidak sendirian dalam perjalanan. Microsoft menyediakan materi tambahan dan fitur keamanan di seluruh lingkungan hibrid untuk membantu Anda mengurangi upaya dan biaya terkait menyelesaikan validasi PCI DSS. Misalnya, alih-alih menguji semuanya dari awal, penilai Anda dapat menggunakan Azure Attestation of Compliance (AOC) untuk bagian lingkungan data pemegang kartu Anda yang disebarkan di Azure. Pelajari selengkapnya dalam konten berikut.
Kepatuhan Lokal Azure
Saat merancang dan membangun Azure Local, Microsoft memperhitungkan persyaratan keamanan untuk lingkungan cloud microsoft dan pelanggan lokal.
Layanan cloud yang terhubung
Azure Local menawarkan integrasi mendalam dengan berbagai layanan Azure, seperti Azure Monitor, Azure Backup, dan Azure Site Recovery, untuk menghadirkan kemampuan baru ke pengaturan hibrid. Layanan cloud ini disertifikasi sesuai dengan PCI DSS versi 4.0 di Service Provider Level 1. Pelajari selengkapnya tentang program kepatuhan layanan cloud Azure di PCI DSS – Kepatuhan Azure.
Penting
Penting untuk dicatat bahwa status kepatuhan Azure PCI DSS tidak secara otomatis diterjemahkan ke validasi PCI DSS untuk layanan yang dibangun atau dihosting organisasi di platform Azure. Pelanggan bertanggung jawab untuk memastikan bahwa organisasi mereka mencapai kepatuhan terhadap persyaratan PCI DSS.
Solusi di lokasi
Sebagai solusi lokal, Azure Local menyediakan berbagai fitur yang membantu organisasi memenuhi kepatuhan terhadap PCI DSS dan standar keamanan lainnya untuk layanan keuangan.
Kemampuan Azure Local yang relevan untuk PCI DSS
Bagian ini secara singkat menguraikan bagaimana organisasi dapat menggunakan fungsionalitas Azure Local untuk memenuhi persyaratan PCI DSS. Penting untuk dicatat bahwa persyaratan PCI DSS berlaku untuk semua komponen sistem yang termasuk dalam atau terhubung ke lingkungan data pemegang kartu (CDE).
Konten berikut berfokus pada tingkat platform Azure Local, yang menghosting pembayaran layanan atau beban kerja terkait pembayaran yang menyertakan data pemegang kartu.
Persyaratan 1: Menginstal dan memelihara kontrol keamanan jaringan
Dengan Azure Local, Anda dapat menerapkan kontrol keamanan jaringan untuk melindungi platform Anda dan beban kerja yang berjalan di dalamnya dari ancaman jaringan di luar dan di dalamnya. Platform ini juga menjamin alokasi jaringan yang adil pada host dan meningkatkan performa dan ketersediaan beban kerja dengan kemampuan penyeimbangan beban. Pelajari selengkapnya tentang keamanan jaringan di Azure Local di artikel berikut ini.
- Gambaran umum Firewall Pusat Data
- Software Load Balancer (SLB) untuk Software Define Network (SDN)
- Gateway Layanan Akses Jarak Jauh (RAS) untuk SDN
- Kebijakan Kualitas Layanan untuk beban kerja Anda yang dihosting di Azure Local
Persyaratan 2: Menerapkan konfigurasi aman ke semua komponen sistem
Terlindungi Secara Default
Azure Local dikonfigurasi dengan aman secara default dengan alat dan teknologi keamanan untuk melindungi dari ancaman modern dan selaras dengan garis besar Azure Compute Security. Pelajari selengkapnya di Pengaturan garis besar keamanan untuk Azure Local.
Perlindungan terhadap deviasi
Konfigurasi keamanan default dan pengaturan inti yang aman dari platform dilindungi selama penyebaran dan waktu jalan dengan perlindungan kontrol penyimpangan. Saat diaktifkan, perlindungan pengendalian penyimpangan memperbarui pengaturan keamanan secara teratur setiap 90 menit untuk memastikan bahwa setiap perubahan dari status yang ditentukan dikoreksi. Pemantauan berkelanjutan dan autoremediasi ini memungkinkan Anda memiliki konfigurasi keamanan yang konsisten dan andal sepanjang siklus hidup perangkat. Anda dapat menonaktifkan perlindungan penyimpangan selama penyebaran saat mengonfigurasi pengaturan keamanan.
Garis besar keamanan untuk beban kerja
Untuk beban kerja yang berjalan di Azure Local, Anda dapat menggunakan garis besar sistem operasi yang direkomendasikan Azure (untuk Windows dan Linux) sebagai tolok ukur untuk menentukan garis besar konfigurasi sumber daya komputasi Anda.
Persyaratan 3: Melindungi data akun yang disimpan
Mengenkripsi data dengan BitLocker
Pada instans Azure Local, semua data tidak aktif dapat dienkripsi melalui enkripsi BitLocker XTS-AES 256-bit. Secara default, sistem akan merekomendasikan Anda mengaktifkan BitLocker untuk mengenkripsi semua volume sistem operasi (OS) dan volume bersama kluster (CSV) dalam penyebaran Azure Local Anda. Untuk volume penyimpanan baru yang ditambahkan setelah penyebaran, Anda perlu mengaktifkan BitLocker secara manual untuk mengenkripsi volume penyimpanan baru. Menggunakan BitLocker untuk melindungi data dapat membantu organisasi tetap mematuhi ISO/IEC 27001. Pelajari selengkapnya di Menggunakan BitLocker dengan Volume Bersama Kluster (CSV).
Persyaratan 4: Melindungi data pemegang kartu dengan kriptografi yang kuat selama transmisi melalui jaringan publik terbuka
Melindungi lalu lintas jaringan eksternal dengan TLS/DTLS
Secara default, semua komunikasi host ke titik akhir lokal dan jarak jauh dienkripsi menggunakan TLS1.2, TLS1.3, dan DTLS 1.2. Platform ini menonaktifkan penggunaan protokol/hash lama seperti TLS/DTLS 1.1 SMB1. Azure Local juga mendukung sandi suite yang kuat, seperti kurva elips yang sesuai dengan SDL dan terbatas pada kurva NIST P-256 dan P-384 saja.
Persyaratan 5: Melindungi semua sistem dan jaringan dari perangkat lunak berbahaya
Antivirus Pertahanan Windows
Antivirus Pertahanan Windows adalah aplikasi utilitas yang memungkinkan penegakan pemindaian sistem real time dan pemindaian berkala untuk melindungi platform dan beban kerja terhadap virus, malware, spyware, dan ancaman lainnya. Secara default, Antivirus Microsoft Defender diaktifkan di Azure Local. Microsoft merekomendasikan penggunaan Antivirus Microsoft Defender dengan Azure Local daripada perangkat lunak dan layanan deteksi antivirus dan malware pihak ketiga karena dapat memengaruhi kemampuan sistem operasi untuk menerima pembaruan. Pelajari selengkapnya di Antivirus Pertahanan Microsoft di Windows Server.
Kontrol Aplikasi
Kontrol Aplikasi diaktifkan secara default di Azure Local untuk mengontrol driver dan aplikasi mana yang diizinkan untuk berjalan langsung di setiap server, membantu mencegah malware mengakses sistem. Pelajari selengkapnya tentang kebijakan dasar yang disertakan dalam Azure Local dan cara membuat kebijakan tambahan di Kontrol Aplikasi untuk Azure Local.
Microsoft Defender untuk Awan
Microsoft Defender for Cloud dengan Perlindungan Endpoint (diaktifkan melalui paket Defender for Servers) menyediakan solusi tata kelola keamanan dengan kemampuan perlindungan ancaman yang canggih. Ini memberi Anda alat untuk menilai status keamanan infrastruktur Anda, melindungi beban kerja, meningkatkan pemberitahuan keamanan, dan mengikuti rekomendasi khusus untuk memulihkan serangan dan mengatasi ancaman di masa mendatang. Semua layanan ini dijalankan dengan kecepatan tinggi di dalam cloud tanpa beban penyebaran melalui penyediaan otomatis dan perlindungan dengan layanan dari Azure. Pelajari selengkapnya di Pertahanan Microsoft untuk Cloud.
Persyaratan 6: Mengembangkan dan memelihara sistem dan perangkat lunak yang aman
Pembaruan Platform
Semua komponen Azure Local, termasuk sistem operasi, agen dan layanan inti, dan ekstensi solusi, dapat dipertahankan dengan mudah dengan Lifecycle Manager. Fitur ini memungkinkan Anda untuk menggabungkan komponen yang berbeda ke dalam rilis pembaruan dan memvalidasi kombinasi versi untuk memastikan interoperabilitas. Pelajari selengkapnya di Lifecycle Manager untuk pembaruan solusi Azure Local.
Pembaruan beban kerja
Untuk beban kerja yang berjalan di atas Azure Local, termasuk hibrid Azure Kubernetes Service (AKS), Azure Arc, dan komputer virtual infrastruktur (VM) yang tidak diintegrasikan ke dalam Lifecycle Manager, ikuti metode yang dijelaskan dalam Menggunakan Lifecycle Manager untuk pembaruan agar tetap diperbarui dan selaras dengan persyaratan PCI DSS.
Persyaratan 7: Membatasi akses ke komponen sistem dan data pemegang kartu berdasarkan kebutuhan bisnis untuk diketahui
Anda bertanggung jawab untuk mengidentifikasi peran dan kebutuhan akses mereka berdasarkan persyaratan bisnis organisasi Anda, dan kemudian memastikan bahwa hanya personel yang berwenang yang memiliki akses ke sistem dan data sensitif dengan menetapkan hak istimewa berdasarkan tanggung jawab pekerjaan. Gunakan kemampuan yang dijelaskan dalam Persyaratan 8: Identifikasi pengguna dan autentikasi akses ke komponen sistem untuk menerapkan kebijakan dan prosedur Anda.
Persyaratan 8: Mengidentifikasi pengguna dan mengautentikasi akses ke komponen sistem
Azure Local menyediakan akses penuh dan langsung ke sistem yang mendasar yang berjalan pada komputer melalui beberapa antarmuka seperti Azure Arc dan Windows PowerShell. Anda dapat menggunakan alat Windows konvensional di lingkungan lokal atau solusi berbasis cloud seperti MICROSOFT Entra ID (sebelumnya Azure Active Directory) untuk mengelola identitas dan akses ke platform. Dalam kedua kasus, Anda dapat memanfaatkan fitur keamanan bawaan, seperti autentikasi multifaktor (MFA), akses bersyarat, kontrol akses berbasis peran (RBAC), dan manajemen identitas istimewa (PIM) untuk memastikan lingkungan Anda aman dan patuh.
Pelajari selengkapnya tentang manajemen identitas dan akses lokal di Microsoft Identity Manager dan Privileged Access Management for Active Directory Domain Services. Pelajari selengkapnya tentang manajemen identitas dan akses berbasis cloud di ID Microsoft Entra.
Persyaratan 9: Membatasi akses fisik ke data pemegang kartu
Untuk lingkungan lokal, pastikan keamanan fisik sepadan dengan nilai Azure Local dan data yang dikandungnya.
Persyaratan 10: Mencatat dan memantau semua akses ke komponen sistem dan data pemegang kartu
Catatan sistem lokal
Secara default, semua operasi yang dilakukan dalam Azure Local direkam sehingga Anda dapat melacak siapa yang melakukan apa, kapan, dan di mana pada platform. Log dan pemberitahuan yang dibuat oleh Windows Defender juga disertakan untuk membantu Anda mencegah, mendeteksi, dan meminimalkan kemungkinan dan dampak kompromi data. Namun, karena log sistem sering berisi sejumlah besar informasi, sebagian besar asing untuk pemantauan keamanan informasi, Anda perlu mengidentifikasi peristiwa mana yang relevan untuk dikumpulkan dan digunakan untuk tujuan pemantauan keamanan. Kemampuan pemantauan Azure membantu mengumpulkan, menyimpan, memperingatkan, dan menganalisis log tersebut. Referensikan Garis Besar Keamanan untuk Azure Local untuk mempelajari selengkapnya.
Catatan aktivitas lokal
Azure Local Lifecycle Manager membuat dan menyimpan log aktivitas untuk setiap rencana tindakan yang dijalankan. Log ini mendukung pemantauan investigasi dan kepatuhan yang lebih mendalam.
Log aktivitas cloud
Dengan mendaftarkan sistem Anda dengan Azure, Anda dapat menggunakan log aktivitas Azure Monitor untuk merekam operasi pada setiap sumber daya di lapisan langganan untuk menentukan apa, siapa, dan kapan untuk operasi tulis apa pun (menempatkan, memposting, atau menghapus) yang diambil pada sumber daya dalam langganan Anda.
Catatan identitas cloud
Jika Anda menggunakan ID Microsoft Entra untuk mengelola identitas dan akses ke platform, Anda dapat melihat log di pelaporan Microsoft Azure AD atau mengintegrasikannya dengan Azure Monitor, Microsoft Sentinel, atau alat SIEM/pemantauan lainnya untuk kasus penggunaan pemantauan dan analitik yang canggih. Jika Anda menggunakan Active Directory lokal, gunakan solusi Microsoft Defender untuk Identitas untuk menggunakan sinyal Active Directory lokal Anda untuk mengidentifikasi, mendeteksi, dan menyelidiki ancaman tingkat lanjut, identitas yang disusupi, dan tindakan orang dalam berbahaya yang diarahkan ke organisasi Anda.
Integrasi SIEM
Microsoft Defender for Cloud dan Microsoft Sentinel terintegrasi secara asli dengan server yang mendukung Arc. Anda dapat mengaktifkan dan mengintegrasikan log Anda ke Microsoft Sentinel, yang menyediakan kemampuan manajemen informasi dan peristiwa keamanan (SIEM) serta respons otomatis orkestrasi keamanan (SOAR). Microsoft Sentinel, seperti layanan cloud Azure lainnya, mematuhi banyak standar keamanan yang mapan seperti PCI DSS, HITRUST, dan Otorisasi FedRAMP, yang dapat membantu Anda dengan proses akreditasi Anda. Selain itu, Azure Local menyediakan penerus peristiwa syslog asli untuk mengirim peristiwa sistem ke solusi SIEM pihak ketiga.
Azure Local Insights
Azure Local Insights memungkinkan Anda memantau informasi kesehatan, performa, dan penggunaan untuk sistem yang terhubung ke Azure dan terdaftar dalam pemantauan. Selama konfigurasi Insight, aturan pengumpulan data dibuat, yang menentukan data yang akan dikumpulkan. Data ini disimpan di ruang kerja Analitik Log, yang kemudian diagregasi, difilter, dan dianalisis untuk menyediakan dasbor pemantauan bawaan menggunakan buku kerja Azure. Anda dapat melihat data pemantauan untuk sistem simpul tunggal dan multi-simpul dari halaman sumber daya Azure Local atau Azure Monitor Anda. Pelajari selengkapnya di Memantau Azure Local dengan Insight.
Metrik Lokal Azure
Metrik menyimpan data numerik dari sumber daya yang dipantau ke dalam database rangkaian waktu. Anda dapat menggunakan penjelajah metrik Azure Monitor untuk menganalisis data secara interaktif dalam database metrik Anda dan membuat bagan nilai beberapa metrik dari waktu ke waktu. Dengan Metrik, Anda dapat membuat bagan dari nilai metrik dan menghubungkan tren secara visual.
Notifikasi Log
Untuk menunjukkan masalah secara real time, Anda dapat menyiapkan pemberitahuan untuk instans Azure Local, menggunakan kueri log sampel yang sudah ada sebelumnya seperti CPU server rata-rata, memori yang tersedia, kapasitas volume yang tersedia, dan banyak lagi. Pelajari selengkapnya di Menyiapkan pemberitahuan untuk instans Azure Local.
Peringatan metrik
Aturan peringatan metrik memantau sumber daya dengan mengevaluasi kondisi pada metrik sumber daya secara berkala. Jika kondisi terpenuhi, peringatan akan diaktifkan. Rangkaian waktu metrik adalah rangkaian nilai metrik yang diambil selama periode waktu tertentu. Anda dapat menggunakan metrik ini untuk membuat aturan pemberitahuan. Pelajari selengkapnya tentang cara membuat pemberitahuan metrik di Pemberitahuan metrik.
Pemberitahuan layanan dan perangkat
Azure Local menyediakan pemberitahuan berbasis layanan untuk konektivitas, pembaruan OS, konfigurasi Azure, dan lainnya. Pemberitahuan berbasis perangkat untuk permasalahan kesehatan kluster juga tersedia. Anda juga dapat memantau instans Azure Local dan komponen yang mendasarnya menggunakan PowerShell atau Layanan Kesehatan.
Persyaratan 11: Menguji keamanan sistem dan jaringan secara teratur
Selain sering melakukan penilaian keamanan dan tes penetrasi secara mandiri, Anda juga dapat menggunakan Microsoft Defender for Cloud untuk menilai status keamanan di seluruh beban kerja hibrida di cloud dan lokal, termasuk mesin virtual, citra kontainer, dan server SQL yang diaktifkan oleh Arc.
Persyaratan 12: Mendukung keamanan informasi dengan kebijakan dan program organisasi
Anda bertanggung jawab untuk mempertahankan kebijakan dan aktivitas keamanan informasi yang menetapkan program keamanan organisasi Anda dan melindungi lingkungan data pemegang kartu Anda. Fitur otomatisasi yang ditawarkan oleh layanan Azure seperti ID Microsoft Entra dan informasi yang dibagikan dalam Detail inisiatif bawaan Kepatuhan Peraturan PCI DSS dapat membantu Anda mengurangi beban pengelolaan kebijakan dan program ini.