In dit artikel worden de overwegingen beschreven voor een AKS-cluster (Azure Kubernetes Service) dat is geconfigureerd in overeenstemming met de Pci-DSS 3.2.1 (Payment Card Industry Data Security Standard).
Dit artikel maakt deel uit van een serie. Lees de inleiding.
Een informatiebeveiligingsbeleid onderhouden
Vereiste 12: onderhoud een beleid dat betrekking heeft op informatiebeveiliging voor alle medewerkers
Microsoft heeft een jaarlijkse PCI DSS-evaluatie voltooid met behulp van een goedgekeurde QSA (Qualified Security Assessor). Houd rekening met alle aspecten van de infrastructuur, ontwikkeling, bewerkingen, beheer, ondersteuning en services binnen het bereik. Zie Payment Card Industry (PCI) Data Security Standard (DSS) voor meer informatie.
Deze architectuur en de implementatie zijn niet ontworpen om illustratieve richtlijnen te bieden voor het documenteren van het officiële beveiligingsbeleid end-to-end. Raadpleeg voor overwegingen de richtlijnen in de officiële PCI-DSS 3.2.1-standaard.
Hier volgen enkele algemene suggesties:
Houd uitgebreide en bijgewerkte documentatie over het proces en beleid bij. Overweeg om Microsoft Purview Compliance Manager te gebruiken om uw risico te beoordelen.
Neem in de jaarlijkse beoordeling van het beveiligingsbeleid nieuwe richtlijnen op die worden geleverd door Microsoft, Kubernetes en andere oplossingen van derden die deel uitmaken van uw CDE. Sommige resources omvatten leverancierspublicaties in combinatie met richtlijnen die zijn afgeleid van Microsoft Defender voor Cloud, Azure Advisor, Azure Well-Architected Review en updates in de AKS Azure Security Baseline en CIS Azure Kubernetes Service Benchmark, en andere.
Bij het vaststellen van uw risicobeoordelingsproces moet u in overeenstemming zijn met een gepubliceerde standaard, bijvoorbeeld NIST SP 800-53. Wijs publicaties toe aan de gepubliceerde beveiligingslijst van uw leverancier, zoals de handleiding microsoft Security Response Center, voor uw risicoanalyseproces.
Houd actuele informatie over apparaatinventaris en documentatie over personeelstoegang bij. Overweeg het gebruik van de mogelijkheid voor apparaatdetectie die is opgenomen in Microsoft Defender voor Eindpunt. Voor het bijhouden van toegang kunt u die informatie afleiden uit Microsoft Entra-logboeken. Hier volgen enkele artikelen om u op weg te helpen:
Onderhoud als onderdeel van uw voorraadbeheer een lijst met goedgekeurde oplossingen die zijn geïmplementeerd als onderdeel van de PCI-infrastructuur en -workload. Dit omvat een lijst met VM-installatiekopieën, databases, oplossingen van derden van uw keuze die u naar de CDE brengt. U kunt dat proces zelfs automatiseren door een servicecatalogus te bouwen. Het biedt selfservice-implementatie met behulp van deze goedgekeurde oplossingen in een specifieke configuratie, die voldoet aan doorlopende platformbewerkingen. Zie Een servicecatalogus instellen voor meer informatie.
Zorg ervoor dat een beveiligingscontactpersoon meldingen ontvangt van Azure-incidenten van Microsoft.
Deze meldingen geven aan of uw resource is aangetast. Hierdoor kan uw beveiligingsteam snel reageren op mogelijke beveiligingsrisico's en deze herstellen. Zorg ervoor dat contactgegevens van de beheerder in de Azure-inschrijvingsportal contactgegevens bevatten die beveiligingsbewerkingen rechtstreeks of snel via een intern proces melden. Zie het Beveiligingsbewerkingsmodel voor meer informatie.
Hier volgen andere artikelen waarmee u de operationele naleving kunt plannen.
- Cloudbeheer in het Cloud Adoption Framework
- Governance in het Microsoft Cloud Adoption Framework voor Azure