편집

다음을 통해 공유


PCI-DSS 3.2.1 인프라의 거버넌스, 위험 및 규정 준수(8/9부)

AKS(Azure Kubernetes Service)
Microsoft Entra ID
Microsoft Defender for Cloud

이 문서에서는 PCI-DSS 3.2.1(지불 카드 업계 데이터 보안 표준)에 따라 구성된 AKS(Azure Kubernetes Service) 클러스터에 대한 고려 사항을 설명합니다.

이 문서는 시리즈의 일부입니다. 소개를 읽습니다.

정보 보안 정책 유지 관리

요구 사항 12—모든 직원에 대한 정보 보안을 해결하는 정책 유지 관리

Microsoft는 승인된 QSA(정규화된 보안 평가자)를 사용하여 연간 PCI DSS 평가를 완료합니다. 인프라, 개발, 운영, 관리, 지원 및 범위 내 서비스의 모든 측면을 고려합니다. 자세한 내용은 PCI(지불 카드 업계) DSS(데이터 보안 표준)를 참조하세요.

이 아키텍처 및 구현은 공식 보안 정책 엔드투엔드 문서화에 대한 설명 지침을 제공하도록 설계되지 않았습니다. 고려 사항은 공식 PCI-DSS 3.2.1 표준 지침을 참조하세요.

다음은 몇 가지 일반적인 제안 사항입니다.

  • 프로세스 및 정책에 대한 철저하고 업데이트된 설명서를 유지 관리합니다. Microsoft Purview Compliance Manager를 사용하여 위험을 평가하는 것이 좋습니다.

  • 보안 정책의 연례 검토에서 Microsoft, Kubernetes 및 CDE의 일부인 기타 타사 솔루션에서 제공하는 새로운 참고 자료를 통합합니다. 일부 리소스에는 클라우드용 Microsoft Defender, Azure Advisor, Azure Well-Architected 검토에서 파생된 참고 자료와 결합된 공급업체 게시와 AKS Azure 보안 기준CIS Azure Kubernetes Service 벤치마크의 업데이트 등이 포함됩니다.

  • 위험 평가 프로세스를 설정할 때 NIST SP 800-53과 같이 실용적인 게시된 표준에 맞게 조정합니다. Microsoft 보안 대응 센터 가이드와 같은 공급업체의 게시된 보안 목록의 게시를 위험 평가 프로세스에 매핑합니다.

  • 디바이스 인벤토리 및 직원 액세스 설명서에 대한 최신 정보를 유지합니다. 엔드포인트용 Microsoft Defender에 포함된 디바이스 검색 기능을 사용하는 것이 좋습니다. 액세스를 추적하기 위해 Microsoft Entra 로그에서 해당 정보를 파생시킬 수 있습니다. 다음과 같이 시작하는 데 도움이 되는 몇 가지 문서가 있습니다.

  • 인벤토리 관리의 일환으로 PCI 인프라 및 워크로드의 일부로 배포되는 승인된 솔루션 목록을 유지 관리합니다. 여기에는 CDE로 가져오는 VM 이미지, 데이터베이스, 선택한 타사 솔루션의 목록이 포함됩니다. 서비스 카탈로그를 빌드하여 해당 프로세스를 자동화할 수도 있습니다. 특정 구성으로 승인된 솔루션을 사용하여 셀프 서비스 배포를 제공하여 지속적인 플랫폼 운영을 준수합니다. 자세한 내용은 서비스 카탈로그 설정을 참조하세요.

  • 보안 담당자가 Microsoft에서 Azure 인시던트 알림을 받는지 확인합니다.

    이러한 알림은 리소스가 손상되었는지 여부를 나타냅니다. 이것을 통해 보안 운영 팀은 잠재적 보안 위험에 신속하게 대응하고 이를 수정할 수 있습니다. Azure 등록 포털의 관리자 연락처 정보에 보안 작업을 직접적으로 또는 내부 프로세스를 통해 신속하게 알리는 연락처 정보가 포함되어 있는지 확인합니다. 자세한 내용은 보안 작업 모델을 참조하세요.

운영 규정 준수를 계획하는 데 도움이 되는 다른 문서는 다음과 같습니다.

다음 단계