Questo articolo descrive le considerazioni relative a un cluster servizio Azure Kubernetes (AKS) configurato in base allo standard Pci-DSS 3.2.1 di Payment Card Industry Data Security Standard (PCI-DSS 3.2.1).
Questo articolo fa parte di una serie. Leggere l'introduzione.
Gestire i criteri di sicurezza delle informazioni
Requisito 12: gestire un criterio che risponda alla sicurezza delle informazioni per tutto il personale
Microsoft ha completato una valutazione annuale di PCI DSS usando un valutatore di sicurezza qualificato (QSA) approvato. Prendere in considerazione tutti gli aspetti dell'infrastruttura, dello sviluppo, delle operazioni, della gestione, del supporto e dei servizi nell'ambito. Per altre informazioni, vedere Payment Card Industry (PCI) Data Security Standard (DSS).
Questa architettura e l'implementazione non sono progettate per fornire indicazioni illustrative per documentare i criteri di sicurezza ufficiali end-to-end. Per considerazioni, vedere le linee guida contenute nello standard PCI-DSS 3.2.1 ufficiale.
Ecco alcuni suggerimenti generali:
Mantenere la documentazione completa e aggiornata sul processo e sui criteri. Prendere in considerazione l'uso di Microsoft Purview Compliance Manager per valutare il rischio.
Nella revisione annuale dei criteri di sicurezza incorporare nuove linee guida fornite da Microsoft, Kubernetes e altre soluzioni di terze parti che fanno parte della rete CDE. Alcune risorse includono pubblicazioni fornitore combinate con linee guida derivate da Microsoft Defender per il cloud, Azure Advisor, revisione ben progettata di Azure e aggiornamenti nella baseline di sicurezza di Azure del servizio Azure Kubernetes e cis servizio Azure Kubernetes Benchmark e altri.
Quando si stabilisce il processo di valutazione dei rischi, allinearsi a uno standard pubblicato, dove pratico, ad esempio NIST SP 800-53. Eseguire il mapping delle pubblicazioni dall'elenco di sicurezza pubblicato del fornitore, ad esempio la guida al Centro sicurezza di Microsoft, al processo di valutazione dei rischi.
Mantenere aggiornate le informazioni sull'inventario dei dispositivi e sulla documentazione sull'accesso al personale. È consigliabile usare la funzionalità di individuazione dei dispositivi inclusa in Microsoft Defender per endpoint. Per tenere traccia dell'accesso, è possibile derivare tali informazioni dai log di Microsoft Entra. Ecco alcuni articoli per iniziare:
Come parte della gestione dell'inventario, mantenere un elenco di soluzioni approvate distribuite come parte dell'infrastruttura e del carico di lavoro PCI. Questo include un elenco di immagini di macchine virtuali, database, soluzioni di terze parti di propria scelta che è possibile portare nell'ambiente cde. È anche possibile automatizzare il processo creando un catalogo di servizi. Fornisce la distribuzione self-service usando le soluzioni approvate in una configurazione specifica, che rispetta le operazioni della piattaforma in corso. Per altre informazioni, vedere Stabilire un catalogo di servizi.
Assicurarsi che un contatto di sicurezza riceva le notifiche degli eventi imprevisti di Azure da Microsoft.
Queste notifiche indicano se la risorsa è compromessa. In questo modo il team operazioni di sicurezza può rispondere rapidamente ai potenziali rischi per la sicurezza e attuare misure correttive. Assicurarsi che le informazioni di contatto dell'amministratore nel portale di registrazione di Azure includano le informazioni sul contatto che invierà notifiche alle operazioni di sicurezza direttamente o rapidamente tramite un processo interno. Per informazioni dettagliate, vedere Modello di operazioni di sicurezza.
Ecco altri articoli che consentono di pianificare la conformità operativa.
- Gestione del cloud in Cloud Adoption Framework
- Governance in Microsoft Cloud Adoption Framework per Azure