Cetak Biru Kepatuhan dan Keamanan Azure: Aplikasi Web PaaS untuk PCI DSS

Gambaran Umum

Automasi Cetak Biru Kepatuhan dan Keamanan Azure ini memberikan panduan untuk penyebaran lingkungan platform as a service (PaaS) yang patuh terhadap Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS 3.2) yang sesuai untuk pengumpulan, penyimpanan, dan pengambilan data pemegang kartu. Solusi ini mengotomatiskan penyebaran dan konfigurasi sumber daya Azure untuk arsitektur referensi umum, menunjukkan cara di mana pelanggan dapat memenuhi persyaratan keamanan dan kepatuhan tertentu dan berfungsi sebagai fondasi bagi pelanggan untuk membangun dan mengonfigurasi solusi mereka sendiri di Azure. Solusi ini menerapkan subset persyaratan dari PCI DSS 3.2. Untuk informasi selengkapnya tentang persyaratan PCI DSS 3.2 dan solusi ini, lihat bagian dokumentasi kepatuhan .

Automasi Cetak Biru Kepatuhan dan Keamanan Azure ini secara otomatis menyebarkan arsitektur referensi aplikasi web PaaS dengan kontrol keamanan yang telah dikonfigurasi sebelumnya untuk membantu pelanggan memenuhi kepatuhan terhadap persyaratan PCI DSS 3.2. Solusinya terdiri dari templat Resource Manager dan skrip PowerShell yang memandu penyebaran dan konfigurasi sumber daya.

Arsitektur ini dimaksudkan untuk berfungsi sebagai fondasi bagi pelanggan untuk menyesuaikan dengan persyaratan spesifik mereka dan tidak boleh digunakan apa adanya di lingkungan produksi. Menyebarkan aplikasi ke lingkungan ini tanpa modifikasi tidak cukup untuk sepenuhnya memenuhi persyaratan PCI DSS 3.2. Perhatikan hal berikut:

• Arsitektur ini menyediakan garis besar untuk membantu pelanggan menggunakan Azure dengan cara yang sesuai dengan PCI DSS 3.2.
• Pelanggan bertanggung jawab untuk melakukan penilaian keamanan dan kepatuhan yang sesuai dari solusi apa pun yang dibangun menggunakan arsitektur ini, karena persyaratan dapat bervariasi berdasarkan spesifikasi implementasi setiap pelanggan.

Mencapai kepatuhan PCI DSS mengharuskan Penilai Keamanan Berkualifikasi (QSA) terakreditasi mensertifikasi solusi pelanggan produksi. Pelanggan bertanggung jawab untuk melakukan penilaian keamanan dan kepatuhan yang sesuai dari solusi apa pun yang dibangun menggunakan arsitektur ini, karena persyaratan dapat bervariasi berdasarkan spesifikasi implementasi setiap pelanggan.

Klik di sini untuk instruksi penyebaran.

Diagram dan komponen arsitektur

Azure Security and Compliance Blueprint Automation ini menyebarkan arsitektur referensi untuk aplikasi web PaaS dengan backend database Azure SQL. Aplikasi web dihosting di lingkungan Azure App Service terisolasi, yang merupakan lingkungan privat dan khusus di pusat data Azure. Beban lingkungan menyeimbangkan lalu lintas untuk aplikasi web di seluruh komputer virtual yang dikelola oleh Azure. Arsitektur ini juga mencakup grup keamanan jaringan, Application Gateway, Azure DNS, dan Load Balancer.

Untuk analitik dan pelaporan yang disempurnakan, database Azure SQL dapat dikonfigurasi dengan indeks penyimpan kolom. Azure SQL database dapat ditingkatkan atau dimatikan atau dimatikan sepenuhnya sebagai respons terhadap penggunaan pelanggan. Semua lalu lintas SQL dienkripsi dengan SSL melalui penyertaan sertifikat yang ditandatangani sendiri. Sebagai praktik terbaik, Azure merekomendasikan penggunaan otoritas sertifikat tepercaya untuk keamanan yang ditingkatkan.

Solusi ini menggunakan akun Azure Storage, yang dapat dikonfigurasi pelanggan untuk menggunakan Enkripsi Layanan Penyimpanan untuk menjaga kerahasiaan data tidak aktif. Azure menyimpan tiga salinan data dalam pusat data yang dipilih pelanggan untuk ketahanan. Penyimpanan redundan geografis memastikan bahwa data akan direplikasi ke pusat data sekunder ratusan mil jauhnya dan disimpan lagi sebagai tiga salinan di dalam pusat data tersebut, mencegah peristiwa yang merugikan di pusat data utama pelanggan mengakibatkan hilangnya data.

Untuk keamanan yang ditingkatkan, semua sumber daya dalam solusi ini dikelola sebagai grup sumber daya melalui Azure Resource Manager. Kontrol akses berbasis peran Azure Active Directory digunakan untuk mengontrol akses ke sumber daya yang disebarkan, termasuk kuncinya di Azure Key Vault. Kesehatan sistem dipantau melalui Azure Monitor. Pelanggan mengonfigurasi kedua layanan pemantauan untuk menangkap log dan menampilkan kesehatan sistem dalam satu dasbor yang mudah dinavigasi.

Azure SQL Database umumnya dikelola melalui SQL Server Management Studio, yang berjalan dari komputer lokal yang dikonfigurasi untuk mengakses Database Azure SQL melalui VPN aman atau koneksi ExpressRoute.

Selain itu, Application Insights menyediakan manajemen dan analitik performa aplikasi real time melalui log Azure Monitor. Microsoft merekomendasikan untuk mengonfigurasi koneksi VPN atau ExpressRoute untuk manajemen dan impor data ke subnet arsitektur referensi.

Solusi ini menggunakan layanan Azure berikut. Detail arsitektur penyebaran ada di bagian Arsitektur Penyebaran .

• Lingkungan App Service v2
• Application Gateway
  • (1) firewall aplikasi web
    • Mode firewall: pencegahan
    • Seperangkat aturan: OWASP 3.0
    • Port pendengar: 443
• Application Insights
• Azure Active Directory
• Azure Automation
• Azure DNS
• Azure Key Vault
• Azure Load Balancer
• Azure Monitor
• Azure Resource Manager
• Azure Security Center
• Azure SQL Database
• Azure Storage
• Microsoft Azure Virtual Network
  • (1) /16 Jaringan
  • (4) /24 Jaringan
  • (4) Kelompok Keamanan Jaringan
• Aplikasi Web Azure

Arsitektur Penyebaran

Bagian berikut merinci elemen penyebaran dan implementasi.

Azure Resource Manager: Azure Resource Manager memungkinkan pelanggan untuk bekerja dengan sumber daya dalam solusi sebagai grup. Pelanggan dapat menyebarkan, memperbarui, atau menghapus semua sumber daya untuk solusi dalam satu operasi terkoordinasi. Pelanggan menggunakan templat untuk penyebaran dan templat tersebut dapat berfungsi untuk lingkungan yang berbeda seperti pengujian, penahapan, dan produksi. Resource Manager menyediakan fitur keamanan, audit, dan pemberian tag untuk membantu pelanggan mengelola sumber daya mereka setelah penyebaran.

Host Bastion: Host bastion adalah satu titik masuk yang memungkinkan pengguna mengakses sumber daya yang disebarkan di lingkungan ini. Host bastion menyediakan koneksi aman ke sumber daya yang disebarkan dengan hanya mengizinkan lalu lintas jarak jauh dari alamat IP publik pada daftar yang aman. Untuk mengizinkan lalu lintas desktop jarak jauh (RDP), sumber lalu lintas perlu ditentukan dalam kelompok keamanan jaringan.

Solusi ini membuat komputer virtual sebagai host bastion yang bergabung dengan domain dengan konfigurasi berikut:

• Ekstensi antimalware
• Ekstensi Diagnostik Azure
• Azure Disk Encryption menggunakan Azure Key Vault
• Kebijakan matikan otomatis untuk mengurangi konsumsi sumber daya komputer virtual saat tidak digunakan
• Pertahanan Windows Credential Guard diaktifkan sehingga kredensial dan rahasia lainnya berjalan di lingkungan yang dilindungi yang terisolasi dari sistem operasi yang sedang berjalan

App Service Environment v2: Lingkungan Azure App Service adalah fitur App Service yang menyediakan lingkungan yang sepenuhnya terisolasi dan khusus untuk menjalankan aplikasi App Service dengan aman dalam skala tinggi. Fitur isolasi ini diperlukan untuk memenuhi persyaratan kepatuhan PCI.

App Service Environments diisolasi untuk hanya menjalankan satu aplikasi pelanggan dan selalu disebarkan ke dalam jaringan virtual. Fitur isolasi ini memungkinkan arsitektur referensi memiliki isolasi penyewa lengkap, menghapusnya dari lingkungan multi-penyewa Azure yang melarang multi-penyewa tersebut menghitung sumber daya lingkungan App Service yang disebarkan. Pelanggan memiliki kontrol terperinci atas kedua lalu lintas jaringan aplikasi masuk dan keluar, dan aplikasi dapat membangun koneksi aman berkecepatan tinggi melalui jaringan virtual ke sumber daya perusahaan lokal. Pelanggan dapat "menskalakan otomatis" dengan lingkungan App Service berdasarkan metrik beban, anggaran yang tersedia, atau jadwal yang ditentukan.

Gunakan lingkungan App Service untuk kontrol/konfigurasi berikut:

• Host di dalam Virtual Network Azure yang aman dan aturan keamanan jaringan
• Sertifikat ILB yang ditandatangani sendiri untuk komunikasi HTTPS
• Mode Penyeimbangan Beban Internal
• Nonaktifkan TLS 1.0
• Ubah Cipher TLS
• Mengontrol lalu lintas masuk port N/W
• Firewall aplikasi web – membatasi data
• Perbolehkan lalu lintas database Azure SQL

Azure Web App: Azure App Service memungkinkan pelanggan untuk membangun dan menghosting aplikasi web dalam bahasa pemrograman pilihan mereka tanpa mengelola infrastruktur. Azure App Service menawarkan penskalaan otomatis dan ketersediaan tinggi, mendukung Windows dan Linux, serta memungkinkan penyebaran otomatis dari GitHub, Azure DevOps, atau repo Git mana pun.

Virtual Network

Arsitektur mendefinisikan Virtual Network privat dengan ruang alamat 10.200.0.0/16.

Grup keamanan jaringan: Kelompok keamanan jaringan berisi daftar Access Control (ACL) yang mengizinkan atau menolak lalu lintas dalam Virtual Network. Grup keamanan jaringan dapat digunakan untuk mengamankan lalu lintas di tingkat subnet atau VM individual. Grup keamanan Jaringan berikut ini ada:

• 1 Kelompok keamanan jaringan untuk Application Gateway
• 1 Kelompok keamanan jaringan untuk Lingkungan App Service
• 1 Grup keamanan jaringan untuk Database Azure SQL
• 1 Kelompok Keamanan jaringan untuk host bastion

Masing-masing kelompok keamanan Jaringan memiliki port dan protokol tertentu yang terbuka sehingga solusi dapat bekerja dengan aman dan benar. Selain itu, konfigurasi berikut diaktifkan untuk setiap grup keamanan Jaringan:

• Log diagnostik dan peristiwa diaktifkan dan disimpan di akun penyimpanan
• Log Azure Monitor tersambung ke diagnostik grup keamanan Jaringan

Subnet: Setiap subnet dikaitkan dengan grup keamanan Jaringan yang sesuai.

Azure DNS: Sistem Nama Domain, atau DNS, bertanggung jawab untuk menerjemahkan (atau menyelesaikan) nama situs web atau layanan ke alamat IP-nya. Azure DNS adalah layanan hosting untuk domain DNS yang menyediakan resolusi nama menggunakan infrastruktur Azure. Dengan menghosting domain di Azure, pengguna dapat mengelola catatan DNS menggunakan kredensial, API, alat, dan tagihan yang sama dengan layanan Azure lainnya. Azure DNS juga mendukung domain DNS privat.

Azure Load Balancer: Azure Load Balancer memungkinkan pelanggan untuk menskalakan aplikasi mereka dan menciptakan ketersediaan tinggi untuk layanan. Load Balancer mendukung skenario masuk serta keluar, dan memberikan latensi rendah, throughput tinggi, dan menskalakan hingga jutaan alur untuk semua aplikasi TCP dan UDP.

Data saat transit

Azure mengenkripsi semua komunikasi ke dan dari pusat data Azure secara default. Semua transaksi ke Azure Storage melalui portal Azure terjadi melalui HTTPS.

Data saat tidak aktif

Arsitektur melindungi data tidak aktif melalui enkripsi, audit database, dan langkah-langkah lainnya.

Azure Storage: Untuk memenuhi persyaratan data terenkripsi saat tidak aktif, semua Azure Storage menggunakan Enkripsi Layanan Penyimpanan. Ini membantu melindungi dan melindungi data pemegang kartu untuk mendukung komitmen keamanan organisasi dan persyaratan kepatuhan yang ditentukan oleh PCI DSS 3.2.

Azure Disk Encryption: Azure Disk Encryption memanfaatkan fitur BitLocker Windows untuk menyediakan enkripsi volume untuk disk data. Solusi ini terintegrasi dengan Azure Key Vault untuk membantu mengontrol dan mengelola kunci enkripsi disk.

Azure SQL Database: Instans database Azure SQL menggunakan langkah-langkah keamanan database berikut:

• Autentikasi dan otorisasi Direktori Aktif memungkinkan manajemen identitas pengguna database dan layanan Microsoft lainnya di satu lokasi pusat.
• Audit database SQL melacak peristiwa database dan menulisnya ke log audit di akun penyimpanan Azure.
• Azure SQL Database dikonfigurasi untuk menggunakan enkripsi data transparan, yang melakukan enkripsi real-time dan dekripsi database, cadangan terkait, dan file log transaksi untuk melindungi informasi tidak aktif. Enkripsi data transparan memberikan jaminan bahwa data yang disimpan belum tunduk pada akses yang tidak sah.
• Aturan firewall mencegah semua akses ke server database hingga izin yang tepat diberikan. Firewall memberikan akses ke database berdasarkan alamat IP yang berasal dari setiap permintaan.
• Deteksi Ancaman SQL memungkinkan deteksi dan respons terhadap potensi ancaman saat terjadi dengan memberikan pemberitahuan keamanan untuk aktivitas database yang mencurigakan, potensi kerentanan, serangan injeksi SQL, dan pola akses database anomali.
• Kolom Terenkripsi memastikan bahwa data sensitif tidak pernah muncul sebagai teks biasa di dalam sistem database. Setelah mengaktifkan enkripsi data, hanya aplikasi klien atau server aplikasi dengan akses ke kunci yang dapat mengakses data teks biasa.
• SQL Database masking data dinamis membatasi paparan data sensitif dengan menutupi data ke pengguna atau aplikasi yang tidak istimewa. Masking data dinamis dapat secara otomatis menemukan data yang berpotensi sensitif dan menyarankan masker yang sesuai untuk diterapkan. Ini membantu mengidentifikasi dan mengurangi akses ke data sehingga tidak keluar dari database melalui akses yang tidak sah. Pelanggan bertanggung jawab untuk menyesuaikan pengaturan masking data dinamis untuk mematuhi skema database mereka.

Manajemen identitas

Teknologi berikut menyediakan kemampuan untuk mengelola akses ke data pemegang kartu di lingkungan Azure:

• Azure Active Directory adalah layanan manajemen identitas dan direktori berbasis cloud multi-penyewa Microsoft. Semua pengguna untuk solusi ini dibuat di Azure Active Directory, termasuk pengguna yang mengakses database Azure SQL.
• Autentikasi ke aplikasi dilakukan menggunakan Azure Active Directory. Untuk informasi selengkapnya, lihat Mengintegrasikan aplikasi dengan Azure Active Directory. Selain itu, enkripsi kolom database menggunakan Azure Active Directory untuk mengautentikasi aplikasi ke Azure SQL Database. Untuk informasi selengkapnya, lihat cara melindungi data sensitif di Azure SQL Database.
• Kontrol akses berbasis peran Azure memungkinkan administrator untuk menentukan izin akses mendetail untuk hanya memberikan jumlah akses yang dibutuhkan pengguna untuk melakukan pekerjaan mereka. Alih-alih memberikan izin tidak terbatas kepada setiap pengguna untuk sumber daya Azure, administrator hanya dapat mengizinkan tindakan tertentu untuk mengakses data pemegang kartu. Akses langganan terbatas pada administrator langganan.
• Azure Active Directory Privileged Identity Management memungkinkan pelanggan untuk meminimalkan jumlah pengguna yang memiliki akses ke informasi tertentu seperti data pemegang kartu. Administrator dapat menggunakan Azure Active Directory Privileged Identity Management untuk menemukan, membatasi, dan memantau identitas istimewa dan aksesnya ke sumber daya. Fungsionalitas ini juga dapat digunakan untuk memberlakukan akses administratif sesuai permintaan dan just-in-time saat diperlukan.
• Azure Active Directory Identity Protection mendeteksi potensi kerentanan yang memengaruhi identitas organisasi, mengonfigurasi respons otomatis terhadap tindakan mencurigakan yang terdeteksi terkait identitas organisasi, dan menyelidiki insiden mencurigakan untuk mengambil tindakan yang tepat untuk mengatasinya.

Keamanan

Manajemen rahasia: Solusi ini menggunakan Azure Key Vault untuk pengelolaan kunci dan rahasia. Azure Key Vault membantu melindungi kunci kriptografi dan rahasia yang digunakan oleh aplikasi dan layanan cloud. Kemampuan Key Vault Azure berikut ini membantu pelanggan melindungi dan mengakses data tersebut:

• Kebijakan akses tingkat lanjut dikonfigurasi berdasarkan kebutuhan.
• Key Vault kebijakan akses didefinisikan dengan izin minimum yang diperlukan untuk kunci dan rahasia.
• Semua kunci dan rahasia dalam Key Vault memiliki tanggal kedaluwarsa.
• Semua kunci dalam Key Vault dilindungi oleh modul keamanan perangkat keras khusus. Jenis kuncinya adalah Kunci RSA HSM Protected 2048-bit.
• Semua pengguna dan identitas diberikan izin minimum yang diperlukan menggunakan kontrol akses berbasis peran.
• Log diagnostik untuk Key Vault diaktifkan dengan periode retensi setidaknya 365 hari.
• Operasi kriptografi yang diizinkan untuk kunci dibatasi untuk yang diperlukan.

Azure Security Center: Dengan Azure Security Center, pelanggan dapat menerapkan dan mengelola kebijakan keamanan secara terpusat di seluruh beban kerja, membatasi paparan ancaman, dan mendeteksi dan merespons serangan. Selain itu, Azure Security Center mengakses konfigurasi layanan Azure yang ada untuk memberikan rekomendasi konfigurasi dan layanan untuk membantu meningkatkan postur keamanan dan melindungi data.

Azure Security Center menggunakan berbagai kemampuan deteksi untuk memperingatkan pelanggan tentang potensi serangan yang menargetkan lingkungan mereka. Pemberitahuan ini berisi informasi berharga tentang apa yang memicu pemberitahuan, sumber daya yang ditargetkan, dan sumber serangan. Azure Security Center memiliki serangkaian pemberitahuan keamanan yang telah ditentukan sebelumnya, yang dipicu saat ancaman, atau aktivitas mencurigakan terjadi. Aturan pemberitahuan kustom di Azure Security Center memungkinkan pelanggan menentukan pemberitahuan keamanan baru berdasarkan data yang sudah dikumpulkan dari lingkungan mereka.

Azure Security Center menyediakan pemberitahuan dan insiden keamanan yang diprioritaskan, sehingga lebih sederhana bagi pelanggan untuk menemukan dan mengatasi potensi masalah keamanan. Laporan inteligensi ancaman dihasilkan untuk setiap ancaman yang terdeteksi untuk membantu tim respons insiden dalam menyelidiki dan memulihkan ancaman.

Azure Application Gateway: Arsitektur mengurangi risiko kerentanan keamanan menggunakan Azure Application Gateway dengan firewall aplikasi web yang dikonfigurasi, dan set aturan OWASP diaktifkan. Kemampuan tambahan meliputi:

• SSL end-to-end
• Aktifkan Offload SSL
• Nonaktifkan TLS v1.0 dan v1.1
• Firewall aplikasi web (mode pencegahan)
• Mode pencegahan dengan ruleset OWASP 3.0
• Mengaktifkan pembuatan log diagnostik
• Pemeriksaan kesehatan kustom
• Azure Security Center dan Azure Advisor memberikan perlindungan dan pemberitahuan tambahan. Azure Security Center juga menyediakan sistem reputasi.

Mencatat dan mengaudit

Layanan Azure secara ekstensif mencatat sistem dan aktivitas pengguna, serta kesehatan sistem:

• Log aktivitas: Log aktivitas memberikan wawasan tentang operasi yang dilakukan pada sumber daya dalam langganan. Log aktivitas dapat membantu menentukan inisiator operasi, waktu kemunculan, dan status.
• Log diagnostik: Log diagnostik mencakup semua log yang dipancarkan oleh setiap sumber daya. Log ini termasuk log sistem peristiwa Windows, log Azure Storage, log audit Key Vault, dan akses Application Gateway dan log firewall. Semua log diagnostik menulis ke akun penyimpanan Azure terpusat dan terenkripsi untuk pengarsipan. Retensi dapat dikonfigurasi pengguna, hingga 730 hari, untuk memenuhi persyaratan retensi khusus organisasi.

Log Azure Monitor: Log ini dikonsolidasikan dalam log Azure Monitor untuk pemrosesan, penyimpanan, dan pelaporan dasbor. Setelah dikumpulkan, data diatur ke dalam tabel terpisah untuk setiap jenis data dalam ruang kerja Log Analytics, yang memungkinkan semua data dianalisis bersama terlepas dari sumber aslinya. Selain itu, Azure Security Center terintegrasi dengan log Azure Monitor yang memungkinkan pelanggan menggunakan kueri Kusto untuk mengakses data peristiwa keamanan mereka dan menggabungkannya dengan data dari layanan lain.

Solusi pemantauan Azure berikut disertakan sebagai bagian dari arsitektur ini:

• Penilaian Direktori Aktif: Solusi Pemeriksaan Kesehatan Direktori Aktif menilai risiko dan kesehatan lingkungan server secara berkala dan memberikan daftar rekomendasi yang diprioritaskan khusus untuk infrastruktur server yang disebarkan.
• Penilaian SQL: Solusi SQL Health Check menilai risiko dan kesehatan lingkungan server secara berkala dan memberi pelanggan daftar rekomendasi yang diprioritaskan khusus untuk infrastruktur server yang disebarkan.
• Kesehatan Agen: Solusi Kesehatan Agen melaporkan berapa banyak agen yang disebarkan dan distribusi geografis mereka, serta berapa banyak agen yang tidak responsif dan jumlah agen yang mengirimkan data operasional.
• Analitik Log Aktivitas: Solusi Analitik Log Aktivitas membantu analisis log aktivitas Azure di semua langganan Azure untuk pelanggan.

Azure Automation: Azure Automation menyimpan, menjalankan, dan mengelola runbook. Dalam solusi ini, runbook membantu mengumpulkan log dari Azure SQL Database. Solusi Pelacakan Perubahan Automation memungkinkan pelanggan untuk dengan mudah mengidentifikasi perubahan di lingkungan.

Azure Monitor: Azure Monitor membantu pengguna melacak performa, menjaga keamanan, dan mengidentifikasi tren dengan memungkinkan organisasi untuk mengaudit, membuat pemberitahuan, dan mengarsipkan data, termasuk melacak panggilan API di sumber daya Azure mereka.

Application Insights: Application Insights adalah layanan Manajemen Performa Aplikasi yang dapat diperluas untuk pengembang web di beberapa platform. Application Insights mendeteksi anomali performa dan pelanggan dapat menggunakannya untuk memantau aplikasi web langsung. Ini termasuk alat analitik yang kuat untuk membantu pelanggan mendiagnosis masalah dan untuk memahami apa yang sebenarnya dilakukan pengguna dengan aplikasi mereka. Ini dirancang untuk membantu pelanggan terus meningkatkan performa dan kegunaan.

Model ancaman

Diagram aliran data untuk arsitektur referensi ini tersedia untuk diunduh atau dapat ditemukan di bawah ini. Model ini dapat membantu pelanggan memahami titik-titik potensi risiko dalam infrastruktur sistem saat melakukan modifikasi.

Dokumentasi kepatuhan

Cetak Biru Keamanan dan Kepatuhan Azure – Matriks Tanggung Jawab Pelanggan PCI DSS mencantumkan tanggung jawab pengontrol dan prosesor untuk semua persyaratan PCI DSS 3.2.

Cetak Biru Keamanan dan Kepatuhan Azure – Matriks Implementasi Aplikasi Web PAAS PCI DSS menyediakan informasi tentang persyaratan PCI DSS 3.2 yang ditangani oleh arsitektur aplikasi web PaaS, termasuk deskripsi terperinci tentang bagaimana implementasi memenuhi persyaratan setiap artikel yang dibahas.

Sebarkan solusi ini

Automasi Cetak Biru Kepatuhan dan Keamanan Azure ini terdiri dari file konfigurasi JSON dan skrip PowerShell yang ditangani oleh layanan API Azure Resource Manager untuk menyebarkan sumber daya di dalam Azure. Instruksi penyebaran terperinci tersedia di sini.

Mulai Cepat

1. Kloning atau unduh repositori GitHub ini ke stasiun kerja lokal Anda.

2. Tinjau 0-Setup-AdministrativeAccountAndPermission.md dan jalankan perintah yang disediakan.

3. Sebarkan solusi pengujian dengan data sampel Contoso atau uji coba lingkungan produksi awal.

   • 1A-ContosoWebStoreDemoAzureResources.ps1
     • Skrip ini menyebarkan sumber daya Azure untuk demonstrasi webstore menggunakan data sampel Contoso.
   • 1-DeployAndConfigureAzureResources.ps1
     • Skrip ini menyebarkan sumber daya Azure yang diperlukan untuk mendukung lingkungan produksi untuk aplikasi web milik pelanggan. Lingkungan ini harus disesuaikan lebih lanjut oleh pelanggan berdasarkan persyaratan organisasi.

Panduan dan rekomendasi

VPN dan ExpressRoute

Terowongan VPN aman atau ExpressRoute perlu dikonfigurasi untuk membuat koneksi dengan aman ke sumber daya yang disebarkan sebagai bagian dari arsitektur referensi aplikasi web PaaS ini. Dengan menyiapkan VPN atau ExpressRoute dengan tepat, pelanggan dapat menambahkan lapisan perlindungan untuk data saat transit.

Dengan menerapkan terowongan VPN aman dengan Azure, koneksi privat virtual antara jaringan lokal dan azure Virtual Network dapat dibuat. Koneksi ini terjadi melalui Internet dan memungkinkan pelanggan untuk "terowongan" informasi dengan aman di dalam tautan terenkripsi antara jaringan pelanggan dan Azure. VPN Situs-ke-Situs adalah teknologi yang aman dan matang yang telah disebarkan oleh perusahaan dari semua ukuran selama beberapa dekade. Mode terowongan IPsec digunakan dalam opsi ini sebagai mekanisme enkripsi.

Karena lalu lintas dalam terowongan VPN melintasi Internet dengan VPN situs-ke-situs, Microsoft menawarkan opsi koneksi lain yang lebih aman. Azure ExpressRoute adalah tautan WAN khusus antara Azure dan lokasi lokal atau penyedia hosting Exchange. Karena koneksi ExpressRoute tidak melalui Internet, koneksi ini menawarkan lebih banyak keandalan, kecepatan yang lebih cepat, latensi yang lebih rendah, dan keamanan yang lebih tinggi daripada koneksi umum melalui Internet. Selain itu, karena ini adalah koneksi langsung dari penyedia telekomunikasi pelanggan, data tidak melakukan perjalanan melalui Internet dan oleh karena itu tidak terekspos ke dalamnya.

Praktik terbaik untuk menerapkan jaringan hibrid aman yang memperluas jaringan lokal ke Azure tersedia.

Disclaimer

• Dokumen ini hanya untuk tujuan informasi. MICROSOFT TIDAK MEMBERIKAN JAMINAN, TERSURAT, TERSIRAT, ATAU MENURUT UNDANG-UNDANG, TENTANG INFORMASI DALAM DOKUMEN INI. Dokumen ini disediakan "apa adanya." Informasi dan tampilan yang dinyatakan dalam dokumen ini, termasuk URL dan referensi situs web Internet lainnya, dapat berubah tanpa pemberitahuan. Pelanggan yang membaca dokumen ini menanggung risiko menggunakannya.
• Dokumen ini tidak memberi pelanggan hak hukum apa pun atas kekayaan intelektual apa pun dalam produk atau solusi Microsoft apa pun.
• Pelanggan dapat menyalin dan menggunakan dokumen ini untuk tujuan referensi internal.
• Rekomendasi tertentu dalam dokumen ini dapat mengakibatkan peningkatan penggunaan sumber daya data, jaringan, atau komputasi di Azure, dan dapat meningkatkan lisensi Atau biaya langganan Azure pelanggan.
• Arsitektur ini dimaksudkan untuk berfungsi sebagai fondasi bagi pelanggan untuk menyesuaikan dengan persyaratan spesifik mereka dan tidak boleh digunakan apa adanya di lingkungan produksi.
• Dokumen ini dikembangkan sebagai referensi dan tidak boleh digunakan untuk menentukan semua cara di mana pelanggan dapat memenuhi persyaratan dan peraturan kepatuhan tertentu. Pelanggan harus mencari dukungan hukum dari organisasi mereka tentang implementasi pelanggan yang disetujui.