Azure Stack HCI e PCI DSS
Questo articolo illustra in che modo le funzionalità di sicurezza di Microsoft Azure Stack HCI possono aiutare le organizzazioni nel settore delle carte di pagamento a soddisfare i requisiti di controllo della sicurezza di PCI DSS, sia nel cloud che negli ambienti locali.
PCI DSS
Payment Card Industry (PCI) Data Security Standard (DSS) è uno standard globale di sicurezza delle informazioni progettato per prevenire frodi tramite un maggiore controllo dei dati della carta di credito. Pci DSS è imposto dai marchi di carte di pagamento e amministrato dal Payment Card Industry Security Standards Council.
La conformità a PCI DSS è necessaria per qualsiasi organizzazione che archivia, elabora o trasmette i dati dei titolari di carte. Le organizzazioni soggette alla conformità PCI DSS includono (ma non sono limitati a) commercianti, responsabili dei pagamenti, emittenti, acquirenti e provider di servizi.
Altre informazioni sullo standard sono disponibili nella libreria di documentazione di PCI Security Standards Council.
Responsabilità condivise
È importante comprendere che PCI DSS non è solo una tecnologia e uno standard di prodotto, ma che copre anche i requisiti di sicurezza per persone e processi. La responsabilità della conformità viene condivisa tra l'utente come entità coperta e Microsoft come provider di servizi.
Clienti Microsoft
Come entità coperta, è responsabilità dell'utente ottenere e gestire il proprio certificato PCI DSS. Le organizzazioni devono valutare l'ambiente distinto, in particolare le parti che ospitano i pagamenti dei servizi o i carichi di lavoro correlati ai pagamenti in cui vengono archiviati, elaborati e/o trasmessi i dati dei titolari di carte. Questa operazione è denominata ambiente dei dati dei titolari di carte.This is called the cardholder data environment (CDE). Successivamente, le organizzazioni devono pianificare e implementare i controlli di sicurezza, i criteri e le procedure appropriati per soddisfare tutti i requisiti specificati prima di eseguire un processo di test ufficiale. Le organizzazioni infine si contraeno con un esperto di sicurezza qualificato (QSA) che verifica se l'ambiente soddisfa tutti i requisiti.
Microsoft
Anche se è responsabilità dell'utente mantenere la conformità allo standard PCI DSS, non si è soli nel percorso. Microsoft fornisce materiali supplementari e funzionalità di sicurezza nell'ambiente ibrido per ridurre le attività e i costi associati per completare la convalida pci DSS. Ad esempio, invece di testare tutto da zero, i valutatori possono usare il attestazione di Azure di conformità (AOC) per la parte dell'ambiente dei dati dei titolari di carte distribuito in Azure. Per altre informazioni, vedere il contenuto seguente.
Conformità di Azure Stack HCI
Quando si progetta e si compila Azure Stack HCI, Microsoft tiene conto dei requisiti di sicurezza per gli ambienti microsoft cloud e locali dei clienti.
servizi cloud Connessione ed
Azure Stack HCI offre un'integrazione approfondita con vari servizi di Azure, ad esempio Monitoraggio di Azure, Backup di Azure e Azure Site Recovery, per introdurre nuove funzionalità nell'impostazione ibrida. Questi servizi cloud sono certificati come conformi in PCI DSS versione 4.0 al livello 1 del provider di servizi. Altre informazioni sul programma di conformità dei servizi cloud di Azure sono disponibili in PCI DSS - Conformità di Azure.
Importante
È importante notare che lo stato di conformità di PCI DSS di Azure non si traduce automaticamente nella convalida PCI DSS per i servizi compilati o ospitati dalle organizzazioni nella piattaforma Azure. I clienti sono responsabili di garantire che le organizzazioni ottengano la conformità ai requisiti pci DSS.
Soluzioni locali
Come soluzione locale, Azure Stack HCI offre una serie di funzionalità che consentono alle organizzazioni di soddisfare la conformità con PCI DSS e altri standard di sicurezza per i servizi finanziari.
Funzionalità di Azure Stack HCI rilevanti per PCI DSS
Questa sezione descrive brevemente come le organizzazioni possono usare la funzionalità Azure Stack HCI per soddisfare i requisiti di PCI DSS. È importante notare che i requisiti di PCI DSS sono applicabili a tutti i componenti di sistema inclusi o connessi all'ambiente cde (Cardholder data environment). Il contenuto seguente è incentrato sul livello della piattaforma Azure Stack HCI, che ospita i pagamenti dei servizi o i carichi di lavoro correlati ai pagamenti che includono i dati dei titolari di carte.
Requisito 1: Installare e gestire i controlli di sicurezza di rete
Con Azure Stack HCI è possibile applicare controlli di sicurezza di rete per proteggere la piattaforma e i carichi di lavoro in esecuzione da minacce di rete all'esterno e all'interno. La piattaforma garantisce anche un'allocazione di rete equa in un host e migliora le prestazioni e la disponibilità dei carichi di lavoro con funzionalità di bilanciamento del carico. Altre informazioni sulla sicurezza di rete in Azure Stack HCI sono disponibili negli articoli seguenti.
- Panoramica del firewall del data center
- Bilanciamento del carico software (SLB) per la rete SDN (Software Define Network)
- Gateway RAS (Remote Access Service) per SDN
- Criteri di qualità del servizio per i carichi di lavoro ospitati in Azure Stack HCI
Requisito 2: Applicare configurazioni sicure a tutti i componenti di sistema
Protezione per impostazione predefinita
Azure Stack HCI è configurato in modo sicuro per impostazione predefinita con strumenti e tecnologie di sicurezza per difendersi dalle minacce moderne e allinearsi alle baseline di sicurezza di calcolo di Azure. Per altre informazioni, vedere Impostazioni della baseline di sicurezza per Azure Stack HCI.
Protezione deriva
La configurazione di sicurezza predefinita e le impostazioni di base protette della piattaforma sono protette sia durante la distribuzione che il runtime con protezione del controllo deriva. Se abilitata, la protezione del controllo deriva aggiorna regolarmente le impostazioni di sicurezza ogni 90 minuti per assicurarsi che le modifiche apportate allo stato specificato vengano corrette. Questo monitoraggio continuo e correzione automatica consente di avere una configurazione di sicurezza coerente e affidabile per tutto il ciclo di vita del dispositivo. È possibile disabilitare la protezione dalla deriva durante la distribuzione quando si configurano le impostazioni di sicurezza.
Baseline di sicurezza per il carico di lavoro
Per i carichi di lavoro in esecuzione nella piattaforma Azure Stack HCI, è possibile usare la baseline del sistema operativo consigliato di Azure (per Windows e Linux) come benchmark per definire la baseline di configurazione delle risorse di calcolo.
Requisito 3: Proteggere i dati dell'account archiviati
Crittografia dei dati con BitLocker
Nei cluster Azure Stack HCI è possibile crittografare tutti i dati inattivi tramite crittografia bitLocker XTS-AES a 256 bit. Per impostazione predefinita, il sistema consiglia di abilitare BitLocker per crittografare tutti i volumi del sistema operativo e i volumi condivisi del cluster nella distribuzione di Azure Stack HCI. Per tutti i nuovi volumi di archiviazione aggiunti dopo la distribuzione, è necessario attivare manualmente BitLocker per crittografare il nuovo volume di archiviazione. L'uso di BitLocker per proteggere i dati può aiutare le organizzazioni a mantenere la conformità con ISO/IEC 27001. Per altre informazioni, vedere Usare BitLocker con volumi condivisi cluster (CSV).
Requisito 4: Proteggere i dati dei titolari di carte con crittografia avanzata durante la trasmissione su reti pubbliche aperte
Protezione del traffico di rete esterno con TLS/DTLS
Per impostazione predefinita, tutte le comunicazioni host verso endpoint locali e remoti vengono crittografate con TLS1.2, TLS1.3 e DTLS 1.2. La piattaforma disabilita l'uso di protocolli/hash meno recenti, ad esempio TLS/DTLS 1.1 SMB1. Azure Stack HCI supporta anche pacchetti di crittografia sicuri come curve ellittiche conformi a SDL limitate alle curve NIST P-256 e P-384.
Requisito 5: Proteggere tutti i sistemi e le reti da software dannoso
Windows Defender Antivirus
Windows Defender Antivirus è un'applicazione di utilità che consente l'applicazione di analisi del sistema in tempo reale e analisi periodica per proteggere la piattaforma e i carichi di lavoro da virus, malware, spyware e altre minacce. Per impostazione predefinita, Antivirus Microsoft Defender è abilitato in Azure Stack HCI. Microsoft consiglia di usare Antivirus Microsoft Defender con Azure Stack HCI anziché con software e servizi di rilevamento malware di terze parti, in quanto possono influire sulla capacità del sistema operativo di ricevere gli aggiornamenti. Per altre informazioni, vedere Antivirus Microsoft Defender in Windows Server.
Controllo di applicazioni di Windows Defender (WDAC)
Windows Defender Application Control (WDAC) è abilitato per impostazione predefinita in Azure Stack HCI per controllare quali driver e applicazioni possono essere eseguiti direttamente in ogni server, impedendo l'accesso ai sistemi da parte di malware. Altre informazioni sui criteri di base inclusi in Azure Stack HCI e su come creare criteri supplementari in Controllo delle applicazioni di Windows Defender per Azure Stack HCI.
Microsoft Defender for Cloud
Microsoft Defender per il cloud con Endpoint Protection (abilitato tramite piani server) offre una soluzione di gestione del comportamento di sicurezza con funzionalità avanzate di protezione dalle minacce. Offre strumenti per valutare lo stato di sicurezza dell'infrastruttura, proteggere i carichi di lavoro, generare avvisi di sicurezza e seguire raccomandazioni specifiche per correggere gli attacchi e affrontare le minacce future. Esegue tutti questi servizi ad alta velocità nel cloud senza sovraccarico di distribuzione tramite il provisioning automatico e la protezione con i servizi di Azure. Per altre informazioni, vedere Microsoft Defender per il cloud.
Requisito 6: Sviluppare e gestire sistemi e software sicuri
Aggiornamento della piattaforma
Tutti i componenti della piattaforma Azure Stack HCI, inclusi il sistema operativo, gli agenti e i servizi principali e l'estensione della soluzione, possono essere gestiti facilmente con Lifecycle Manager. Questa funzionalità consente di aggregare componenti diversi in una versione di aggiornamento e convalida la combinazione di versioni per garantire l'interoperabilità. Per altre informazioni, vedere Lifecycle Manager per gli aggiornamenti della soluzione Azure Stack HCI.
Aggiornamento del carico di lavoro
Per i carichi di lavoro in esecuzione sulla piattaforma Azure Stack HCI, tra cui servizio Azure Kubernetes (AKS) ibrido, Azure Arc e macchine virtuali dell'infrastruttura (VM) che non sono integrate in Lifecycle Manager, seguire i metodi illustrati in Usare Lifecycle Manager per gli aggiornamenti per mantenerli aggiornati e allineati ai requisiti pci DSS.
Requisito 7: Limitare l'accesso ai componenti di sistema e ai dati dei titolari di carte da parte dell'azienda devono conoscere
È responsabilità dell'utente identificare i ruoli e le relative esigenze di accesso in base ai requisiti aziendali dell'organizzazione e quindi assicurarsi che solo il personale autorizzato abbia accesso a sistemi e dati sensibili assegnando privilegi in base alle responsabilità del lavoro. Usare le funzionalità descritte in Requisito 8: Identificare gli utenti e autenticare l'accesso ai componenti di sistema per implementare criteri e procedure.
Requisito 8: Identificare gli utenti e autenticare l'accesso ai componenti di sistema
La piattaforma Azure Stack HCI offre accesso completo e diretto al sistema sottostante in esecuzione nei nodi del cluster tramite più interfacce, ad esempio Azure Arc e Windows PowerShell. È possibile usare gli strumenti di Windows convenzionali in ambienti locali o soluzioni basate sul cloud come Microsoft Entra ID (in precedenza Azure Active Directory) per gestire l'identità e l'accesso alla piattaforma. In entrambi i casi, è possibile sfruttare le funzionalità di sicurezza predefinite, ad esempio l'autenticazione a più fattori (MFA), l'accesso condizionale, il controllo degli accessi in base al ruolo e la gestione delle identità con privilegi (PIM) per garantire che l'ambiente sia sicuro e conforme.
Altre informazioni sulla gestione delle identità e degli accessi locali sono disponibili in Microsoft Identity Manager e Privileged Access Management per i servizi di Dominio di Active Directory. Altre informazioni sulla gestione delle identità e degli accessi basate sul cloud sono disponibili in Microsoft Entra ID.
Requisito 9: Limitare l'accesso fisico ai dati dei titolari di carte
Per gli ambienti locali, assicurarsi che la sicurezza fisica sia conforme al valore della piattaforma Azure Stack HCI e ai dati contenuti.
Requisito 10: Registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati dei titolari di carte
Log di sistema locali
Per impostazione predefinita, tutte le operazioni eseguite all'interno della piattaforma Azure Stack HCI vengono registrate in modo da tenere traccia di chi ha fatto cosa, quando e dove nella piattaforma. Sono inclusi anche i log e gli avvisi creati da Windows Defender per prevenire, rilevare e ridurre al minimo la probabilità e l'impatto di una compromissione dei dati. Tuttavia, poiché il log di sistema spesso contiene un volume elevato di informazioni, gran parte di esso estraneo al monitoraggio della sicurezza delle informazioni, è necessario identificare quali eventi sono rilevanti per essere raccolti e utilizzati a scopo di monitoraggio della sicurezza. Le funzionalità di monitoraggio di Azure consentono di raccogliere, archiviare, inviare avvisi e analizzare tali log. Per altre informazioni, fare riferimento alla baseline di sicurezza per Azure Stack HCI .
Log attività locali
Azure Stack HCI Lifecycle Manager crea e archivia i log attività per qualsiasi piano di azione eseguito. Questi log supportano analisi più approfondite e il monitoraggio della conformità.
Log attività cloud
Registrando i cluster con Azure, è possibile usare i log attività di Monitoraggio di Azure per registrare le operazioni su ogni risorsa a livello di sottoscrizione per determinare cosa, chi e quando per le operazioni di scrittura (inserimento, post o eliminazione) eseguite sulle risorse nella sottoscrizione.
Log delle identità cloud
Se si usa Microsoft Entra ID per gestire l'identità e l'accesso alla piattaforma, è possibile visualizzare i log nella creazione di report di Azure AD o integrarli con Monitoraggio di Azure, Microsoft Sentinel o altri strumenti di monitoraggio e gestione degli eventi di sicurezza e gestione degli eventi di sicurezza e monitoraggio per casi d'uso avanzati di monitoraggio e analisi. Se si usa Active Directory locale, usare la soluzione Microsoft Defender per identità per usare i segnali di Active Directory locale per identificare, rilevare e analizzare minacce avanzate, identità compromesse e azioni interne dannose dirette al proprio Organizzazione.
Integrazione SIEM
Microsoft Defender per il cloud e Microsoft Sentinel sono integrati in modo nativo con i nodi Azure Stack HCI abilitati per Arc. È possibile abilitare ed eseguire l'onboarding dei log in Microsoft Sentinel, che fornisce la funzionalità SIEM (Security Information Event Management) e security orchestration automated response (SOAR). Microsoft Sentinel, come altri servizi cloud di Azure, è conforme a molti standard di sicurezza ben definiti, ad esempio PCI DSS, HITRUST e l'autorizzazione FedRAMP, che possono essere utili per il processo di accreditamento. Azure Stack HCI offre inoltre un server d'inoltro eventi syslog nativo per inviare gli eventi di sistema a soluzioni SIEM di terze parti.
Azure Stack HCI Insights
Azure Stack HCI Insights consente di monitorare le informazioni sull'integrità, sulle prestazioni e sull'utilizzo per i cluster connessi ad Azure e registrati nel monitoraggio. Durante la configurazione di Insights viene creata una regola di raccolta dati che specifica i dati da raccogliere. Questi dati vengono archiviati in un'area di lavoro Log Analytics, che viene quindi aggregata, filtrata e analizzata per fornire dashboard di monitoraggio predefiniti usando cartelle di lavoro di Azure. È possibile visualizzare i dati di monitoraggio per un singolo cluster o più cluster dalla pagina delle risorse di Azure Stack HCI o da Monitoraggio di Azure. Per altre informazioni, vedere Monitorare Azure Stack HCI con Insights.
Metriche di Azure Stack HCI
Le metriche archivia i dati numerici dalle risorse monitorate in un database time series. È possibile usare Esplora metriche di Monitoraggio di Azure per analizzare in modo interattivo i dati nel database delle metriche e tracciare i valori di più metriche nel tempo. Con Le metriche è possibile creare grafici dai valori delle metriche e correlare visivamente le tendenze.
Avvisi relativi ai log
Per indicare problemi in tempo reale, è possibile configurare avvisi per i sistemi Azure Stack HCI, usando query di log di esempio preesistenti, ad esempio CPU del server medio, memoria disponibile, capacità del volume disponibile e altro ancora. Per altre informazioni, vedere Configurare gli avvisi per i sistemi Azure Stack HCI.
Avvisi delle metriche
Una regola di avviso delle metriche monitora una risorsa valutando le condizioni sulle metriche delle risorse a intervalli regolari. Se le condizioni sono soddisfatte, viene generato un avviso. Una serie temporale della metrica è una serie di valori delle metriche acquisiti in un periodo di tempo. È possibile usare queste metriche per creare regole di avviso. Altre informazioni su come creare avvisi delle metriche in Avvisi delle metriche.
Avvisi del servizio e dei dispositivi
Azure Stack HCI fornisce avvisi basati sul servizio per la connettività, gli aggiornamenti del sistema operativo, la configurazione di Azure e altro ancora. Sono disponibili anche avvisi basati su dispositivo per gli errori di integrità del cluster. È anche possibile monitorare i cluster Azure Stack HCI e i relativi componenti sottostanti usando PowerShell o Servizio integrità.
Requisito 11: Testare regolarmente la sicurezza dei sistemi e delle reti
Oltre a eseguire frequenti valutazioni della sicurezza e test di penetrazione, è anche possibile usare Microsoft Defender per il cloud per valutare lo stato di sicurezza tra carichi di lavoro ibridi nel cloud e in locale, tra cui macchine virtuali, immagini del contenitore e server SQL abilitati per Arc.
Requisito 12: Supportare la sicurezza delle informazioni con i criteri e i programmi dell'organizzazione
È responsabilità dell'utente mantenere i criteri e le attività di sicurezza delle informazioni che stabiliscono il programma di sicurezza aziendale e salvaguardare l'ambiente dei dati dei titolari di carte. Le funzionalità di automazione offerte da servizi di Azure, ad esempio Microsoft Entra ID e le informazioni condivise in Dettagli dell'iniziativa predefinita per la conformità alle normative PCI DSS, consentono di ridurre i problemi di gestione di questi criteri e programmi.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per