Azure Stack HCI e PCI DSS

Questo articolo illustra come le funzionalità di sicurezza di Microsoft Azure Stack HCI consentono alle organizzazioni nel settore della carta di pagamento di ottenere i requisiti di controllo della sicurezza di PCI DSS, sia nel cloud che negli ambienti locali.

PCI DSS

Lo standard di sicurezza dei dati PCI (Payment Card Industry) (PCI) è uno standard globale di sicurezza delle informazioni progettato per prevenire le frodi tramite un maggiore controllo dei dati della carta di credito. Pci DSS viene mandato da marchi di carte di pagamento e amministrati dal Consiglio standard di sicurezza del settore delle carte di pagamento.

La conformità con PCI DSS è necessaria per qualsiasi organizzazione che archivia, elabora o trasmette i dati dei titolari di carte (CHD). Le organizzazioni soggette alla conformità di PCI DSS includono (ma non sono limitate a) commercianti, processori di pagamento, autorità di certificazione, acquisizioni e provider di servizi.

Altre informazioni sullo standard nella libreria di documentazione di PCI Security Standards Council.

Responsabilità condivise

È importante comprendere che PCI DSS non è solo una tecnologia e uno standard di prodotto, ma che copre anche i requisiti di sicurezza per le persone e i processi. La responsabilità della conformità è condivisa tra l'utente come entità coperta e Microsoft come provider di servizi.

Clienti Microsoft

Come entità coperta, è responsabilità dell'utente ottenere e gestire il proprio certificato PCI DSS. Le organizzazioni devono valutare il proprio ambiente distinto, soprattutto le parti che ospitano i pagamenti dei servizi o i carichi di lavoro correlati ai pagamenti in cui i dati dei titolari di carta vengono archiviati, elaborati e/o trasmessi. Viene chiamato ambiente dati del titolare della carta (CDE). In seguito, le organizzazioni devono pianificare e implementare i controlli di sicurezza, i criteri e le procedure appropriati per soddisfare tutti i requisiti specificati prima di eseguire un processo di test ufficiale. Le organizzazioni hanno infine contratto con un qualificato responsabile della sicurezza (QSA) che verifica se l'ambiente soddisfa tutti i requisiti.

Microsoft

Anche se è responsabilità mantenere la conformità allo standard PCI DSS, non sei solo nel percorso. Microsoft offre materiali e funzionalità di sicurezza supplementari nell'ambiente ibrido per ridurre lo sforzo e il costo associati per completare la convalida di PCI DSS. Ad esempio, invece di testare tutto da zero, i valutatori possono usare la attestazione di Azure di conformità (AOC) per la parte dell'ambiente dei dati dei titolari di carte distribuito in Azure. Altre informazioni nel contenuto seguente.

Conformità di Azure Stack HCI

Quando si progetta e si compila Azure Stack HCI, Microsoft tiene conto dei requisiti di sicurezza per gli ambienti cloud Microsoft e locali.

Servizi cloud connessi

Azure Stack HCI offre un'integrazione approfondita con vari servizi di Azure, ad esempio Monitoraggio di Azure, Backup di Azure e Azure Site Recovery, per portare nuove funzionalità all'impostazione ibrida. Questi servizi cloud sono certificati come conformi a PCI DSS versione 4.0 a Livello di provider di servizi 1. Altre informazioni sul programma di conformità dei servizi cloud di Azure in PCI DSS - Conformità di Azure.

Importante

È importante notare che lo stato di conformità di Azure PCI DSS non si traduce automaticamente nella convalida PCI DSS per i servizi che le organizzazioni compilano o ospitano nella piattaforma Azure. I clienti sono responsabili della garanzia che le organizzazioni ottengano la conformità ai requisiti PCI DSS.

Soluzioni locali

Come soluzione locale, Azure Stack HCI offre una serie di funzionalità che consentono alle organizzazioni di soddisfare la conformità con PCI DSS e altri standard di sicurezza per i servizi finanziari.

Funzionalità di Azure Stack HCI rilevanti per PCI DSS

Questa sezione descrive brevemente come le organizzazioni possono usare la funzionalità azure Stack HCI per soddisfare i requisiti di PCI DSS. È importante notare che i requisiti PCI DSS sono applicabili a tutti i componenti di sistema inclusi o connessi all'ambiente dei dati del titolare della scheda .CDE. Il contenuto seguente è incentrato sul livello di piattaforma HCI di Azure Stack, che ospita i pagamenti dei servizi o i carichi di lavoro correlati ai pagamenti che includono i dati dei titolari di carte.

Requisito 1: Installare e gestire i controlli di sicurezza di rete

Con Azure Stack HCI è possibile applicare controlli di sicurezza di rete per proteggere la piattaforma e i carichi di lavoro in esecuzione da minacce di rete all'esterno e all'interno. La piattaforma garantisce anche un'allocazione di rete equa in un host e migliora le prestazioni del carico di lavoro e la disponibilità con funzionalità di bilanciamento del carico. Altre informazioni sulla sicurezza di rete in Azure Stack HCI sono disponibili negli articoli seguenti.

Requisito 2: Applicare configurazioni sicure a tutti i componenti di sistema

Proteggere per impostazione predefinita

Azure Stack HCI è configurato in modo sicuro per impostazione predefinita con strumenti e tecnologie di sicurezza da difendere dalle minacce moderne e allinearsi alle baseline di Sicurezza di calcolo di Azure. Altre informazioni sulle impostazioni della baseline di sicurezza per Azure Stack HCI.

Protezione da deriva

La configurazione di sicurezza predefinita e le impostazioni di base protette della piattaforma sono protette sia durante la distribuzione che il runtime con protezione del controllo di deriva . Se abilitata, la protezione del controllo di deriva aggiorna regolarmente le impostazioni di sicurezza ogni 90 minuti per garantire che eventuali modifiche dallo stato specificato vengano correttive. Questo monitoraggio continuo e la correzione automatica consentono di avere una configurazione di sicurezza coerente e affidabile durante il ciclo di vita del dispositivo. È possibile disabilitare la protezione di deriva durante la distribuzione quando si configurano le impostazioni di sicurezza.

Baseline di sicurezza per il carico di lavoro

Per i carichi di lavoro in esecuzione nella piattaforma Azure Stack HCI, è possibile usare la baseline del sistema operativo consigliata di Azure (per Windows e Linux) come benchmark per definire la baseline di configurazione delle risorse di calcolo.

Requisito 3: Proteggere i dati dell'account archiviati

Crittografia dei dati con BitLocker

Nei cluster Azure Stack HCI è possibile crittografare tutti i dati inattivi tramite crittografia XTS-AES a 256 bit di BitLocker. Per impostazione predefinita, il sistema consiglia di abilitare BitLocker per crittografare tutti i volumi del sistema operativo e i volumi condivisi del cluster nella distribuzione di Azure Stack HCI. Per eventuali nuovi volumi di archiviazione aggiunti dopo la distribuzione, è necessario attivare manualmente BitLocker per crittografare il nuovo volume di archiviazione. L'uso di BitLocker per proteggere i dati può aiutare le organizzazioni a mantenere la conformità con ISO/IEC 27001. Per altre informazioni, vedere Usare BitLocker con volumi condivisi cluster (CSV).

Requisito 4: Proteggere i dati dei titolari di carte con crittografia avanzata durante la trasmissione su reti aperte e pubbliche

Protezione del traffico di rete esterno con TLS/DTLS

Per impostazione predefinita, tutte le comunicazioni host agli endpoint locali e remoti vengono crittografate usando TLS1.2, TLS1.3 e DTLS 1.2. La piattaforma disabilita l'uso di protocolli/hash meno recenti, ad esempio TLS/DTLS 1.1 SMB1. Azure Stack HCI supporta anche suite di crittografia complesse come curve ellittiche conformi a SDL limitate alle curve NIST P-256 e P-384 solo.

Requisito 5: proteggere tutti i sistemi e le reti da software dannoso

Windows Defender Antivirus

Windows Defender Antivirus è un'applicazione di utilità che consente l'applicazione di analisi e analisi periodica del sistema in tempo reale per proteggere la piattaforma e i carichi di lavoro da virus, malware, spyware e altre minacce. Per impostazione predefinita, Microsoft Defender Antivirus è abilitato in Azure Stack HCI. Microsoft consiglia di usare Microsoft Defender Antivirus con Azure Stack HCI anziché software e software di rilevamento malware di terze parti, in quanto potrebbero influire sulla capacità del sistema operativo di ricevere aggiornamenti. Altre informazioni sono disponibili in Microsoft Defender Antivirus in Windows Server.

Controllo di applicazioni di Windows Defender (WDAC)

Windows Defender Controllo applicazioni (WDAC) è abilitato per impostazione predefinita in Azure Stack HCI per controllare quali driver e applicazioni possono essere eseguiti direttamente in ogni server, consentendo di impedire l'accesso al malware ai sistemi. Altre informazioni sui criteri di base inclusi in Azure Stack HCI e su come creare criteri supplementari in Windows Defender Controllo applicazioni per Azure Stack HCI.

Microsoft Defender for Cloud

Microsoft Defender per Cloud with Endpoint Protection (abilitato tramite piani server) offre una soluzione di gestione del comportamento di sicurezza con funzionalità avanzate di protezione dalle minacce. Offre strumenti per valutare lo stato di sicurezza dell'infrastruttura, proteggere i carichi di lavoro, generare avvisi di sicurezza e seguire raccomandazioni specifiche per correggere gli attacchi e risolvere le minacce future. Esegue tutti questi servizi ad alta velocità nel cloud senza sovraccarico di distribuzione tramite il provisioning automatico e la protezione con i servizi di Azure. Altre informazioni sono disponibili in Microsoft Defender for Cloud.

Requisito 6: Sviluppare e gestire sistemi e software sicuri

Aggiornamento della piattaforma

Tutti i componenti della piattaforma Azure Stack HCI, inclusi il sistema operativo, gli agenti e i servizi principali e l'estensione della soluzione, possono essere mantenuti facilmente con Gestione ciclo di vita. Questa funzionalità consente di raggruppare componenti diversi in una versione di aggiornamento e convalidare la combinazione di versioni per garantire l'interoperabilità. Altre informazioni su Lifecycle Manager per gli aggiornamenti della soluzione HCI di Azure Stack.

Aggiornamento del carico di lavoro

Per i carichi di lavoro in esecuzione nella piattaforma Azure Stack HCI, tra cui servizio Azure Kubernetes ibrido, Azure Arc e macchine virtuali dell'infrastruttura non integrate in Gestione ciclo di vita, seguire i metodi descritti in Use Lifecycle Manager per gli aggiornamenti per mantenerli aggiornati e allineati ai requisiti PCI DSS.

Requisito 7: Limitare l'accesso ai componenti di sistema e ai dati dei titolari di carte da parte dell'azienda devono conoscere

È responsabilità dell'utente identificare i ruoli e le proprie esigenze di accesso in base ai requisiti aziendali dell'organizzazione e quindi assicurarsi che solo il personale autorizzato abbia accesso ai sistemi e ai dati sensibili assegnando privilegi in base alle responsabilità del lavoro. Usare le funzionalità descritte in Requisito 8: identificare gli utenti e autenticare l'accesso ai componenti di sistema per implementare i criteri e le procedure.

Requisito 8: Identificare gli utenti e autenticare l'accesso ai componenti di sistema

La piattaforma Azure Stack HCI offre accesso completo e diretto al sistema sottostante in esecuzione nei nodi del cluster tramite più interfacce, ad esempio Azure Arc e Windows PowerShell. È possibile usare gli strumenti di Windows convenzionali in ambienti locali o soluzioni basate sul cloud, ad esempio Microsoft Entra ID (in precedenza Azure Active Directory) per gestire l'identità e l'accesso alla piattaforma. In entrambi i casi, è possibile sfruttare le funzionalità di sicurezza predefinite, ad esempio l'autenticazione a più fattori, l'accesso condizionale, il controllo degli accessi in base al ruolo e la gestione delle identità con privilegi (PIM) per garantire che l'ambiente sia sicuro e conforme.

Altre informazioni sulla gestione delle identità e degli accessi locali in Microsoft Identity Manager e gestione degli accessi con privilegi per Active Directory Domain Services. Altre informazioni sulla gestione delle identità e degli accessi basate sul cloud in Microsoft Entra ID.

Requisito 9: Limitare l'accesso fisico ai dati dei titolari di carte

Per gli ambienti locali, assicurarsi che la sicurezza fisica sia proporzionale al valore della piattaforma Azure Stack HCI e ai dati contenuti.

Requisito 10: Registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati dei titolari di carte

Log di sistema locali

Per impostazione predefinita, tutte le operazioni eseguite all'interno della piattaforma Azure Stack HCI vengono registrate in modo da poter tenere traccia di chi ha fatto cosa, quando e dove si trova nella piattaforma. I log e gli avvisi creati da Windows Defender sono inclusi anche per evitare, rilevare e ridurre al minimo la probabilità e l'impatto di una compromissione dei dati. Tuttavia, poiché il log di sistema spesso contiene un volume elevato di informazioni, gran parte di esso estraneo al monitoraggio della sicurezza delle informazioni, è necessario identificare quali eventi sono rilevanti per essere raccolti e utilizzati a scopo di monitoraggio della sicurezza. Le funzionalità di monitoraggio di Azure consentono di raccogliere, archiviare, inviare avvisi e analizzare tali log. Per altre informazioni, fare riferimento alla baseline di sicurezza per Azure Stack HCI .

Log attività locali

Azure Stack HCI Lifecycle Manager crea e archivia i log attività per qualsiasi piano di azione eseguito. Questi log supportano analisi e monitoraggio della conformità più approfonditi.

Log attività cloud

Registrando i cluster con Azure, è possibile usare i log attività di Monitoraggio di Azure per registrare le operazioni su ogni risorsa a livello di sottoscrizione per determinare cosa, chi e quando per qualsiasi operazione di scrittura (put, post o delete) eseguita sulle risorse nella sottoscrizione.

Log delle identità cloud

Se si usa Microsoft Entra ID per gestire l'identità e l'accesso alla piattaforma, è possibile visualizzare i log nella creazione di report di Azure AD o integrarli con Monitoraggio di Azure, Microsoft Sentinel o altri strumenti siem/monitoraggio per casi d'uso sofisticati di monitoraggio e analisi. Se si usa Active Directory locale, usare la soluzione Microsoft Defender per identità per utilizzare i segnali Active Directory locale per identificare, rilevare e analizzare minacce avanzate, identità compromesse e azioni interne dannose dirette al proprio Organizzazione.

Integrazione SIEM

Microsoft Defender per Cloud e Microsoft Sentinel sono integrati in modo nativo con i nodi Azure Stack HCI abilitati per Arc. È possibile abilitare ed eseguire l'onboarding dei log in Microsoft Sentinel, che offre funzionalità SIEM (Security Information Event Management) e security orchestration automated response (SOAR). Microsoft Sentinel, come altri servizi cloud di Azure, è conforme a molti standard di sicurezza ben definiti, ad esempio PCI DSS, HITRUST e Autorizzazione FedRAMP, che possono essere utili per il processo di accreditamento. Azure Stack HCI offre inoltre un server d'inoltro eventi syslog nativo per inviare gli eventi di sistema a soluzioni SIEM di terze parti.

Azure Stack HCI Insights

Azure Stack HCI Insights consente di monitorare le informazioni sull'integrità, sulle prestazioni e sull'utilizzo per i cluster connessi ad Azure e registrati nel monitoraggio. Durante la configurazione di Insights viene creata una regola di raccolta dati che specifica i dati da raccogliere. Questi dati vengono archiviati in un'area di lavoro Log Analytics, che viene quindi aggregata, filtrata e analizzata per fornire dashboard di monitoraggio predefiniti usando cartelle di lavoro di Azure. È possibile visualizzare i dati di monitoraggio per un singolo cluster o più cluster dalla pagina delle risorse di Azure Stack HCI o da Monitoraggio di Azure. Per altre informazioni, vedere Monitorare Azure Stack HCI con Insights.

Metriche di Azure Stack HCI

Le metriche archivia i dati numerici dalle risorse monitorate in un database time series. È possibile usare Esplora metriche di Monitoraggio di Azure per analizzare in modo interattivo i dati nel database delle metriche e creare un grafico dei valori di più metriche nel tempo. Con Le metriche è possibile creare grafici da valori delle metriche e correlare visivamente le tendenze.

Avvisi relativi ai log

Per indicare problemi in tempo reale, è possibile configurare avvisi per i sistemi Azure Stack HCI, usando query di log di esempio preesistenti, ad esempio CPU media del server, memoria disponibile, capacità del volume disponibile e altro ancora. Per altre informazioni, vedere Configurare gli avvisi per i sistemi Azure Stack HCI.

Avvisi delle metriche

Una regola di avviso delle metriche monitora una risorsa valutando le condizioni sulle metriche delle risorse a intervalli regolari. Se le condizioni sono soddisfatte, viene generato un avviso. Una serie temporale della metrica è una serie di valori delle metriche acquisiti in un periodo di tempo. È possibile usare queste metriche per creare regole di avviso. Altre informazioni su come creare avvisi delle metriche in Avvisi delle metriche.

Avvisi del servizio e del dispositivo

Azure Stack HCI fornisce avvisi basati sul servizio per la connettività, gli aggiornamenti del sistema operativo, la configurazione di Azure e altro ancora. Sono disponibili anche avvisi basati su dispositivo per gli errori di integrità del cluster. È anche possibile monitorare i cluster Azure Stack HCI e i relativi componenti sottostanti usando PowerShell o il servizio integrità.

Requisito 11: Testare regolarmente la sicurezza dei sistemi e delle reti

Oltre a eseguire frequenti valutazioni della sicurezza e test di penetrazione, è anche possibile usare Microsoft Defender for Cloud per valutare lo stato di sicurezza tra carichi di lavoro ibridi nel cloud e in locale, tra cui macchine virtuali, immagini dei contenitori e server SQL abilitati per Arc.

Requisito 12: Supportare la sicurezza delle informazioni con i criteri e i programmi dell'organizzazione

È responsabilità dell'utente mantenere i criteri e le attività di sicurezza delle informazioni che stabiliscono il programma di sicurezza aziendale e salvaguardare l'ambiente dei dati dei titolari di carte. Le funzionalità di automazione offerte da servizi di Azure, ad esempio Microsoft Entra ID e le informazioni condivise in Dettagli dell'iniziativa predefinita pci DSS Per la conformità alle normative PCI DSS, è possibile ridurre i problemi di gestione di questi criteri e programmi.