Zabezpieczanie danych w klastrze regulowanym usługi AKS dla standardu PCI-DSS 3.2.1 (część 4 z 9)

W tym artykule opisano zagadnienia dotyczące klastra usługi Azure Kubernetes Service (AKS), który uruchamia obciążenie zgodnie z standardem Payment Card Industry Data Security Standard (PCI-DSS 3.2.1).

Ten artykuł jest częścią serii. Przeczytaj wprowadzenie.

Ta architektura i implementacja koncentrują się na infrastrukturze, a nie na obciążeniu. Ten artykuł zawiera ogólne zagadnienia i najlepsze rozwiązania ułatwiające podejmowanie decyzji projektowych. Postępuj zgodnie z wymaganiami w oficjalnym standardzie PCI-DSS 3.2.1 i użyj tego artykułu jako dodatkowych informacji, jeśli ma to zastosowanie.

Ochrona danych karty

Wymaganie 3 — Ochrona przechowywanych danych karty

Twoje obowiązki

Wymaganie 4 — Szyfruj przesyłanie danych posiadaczy kart w otwartych sieciach publicznych.

Twoje obowiązki

Wymaganie 3.1

Przechowywanie danych posiadaczy kart do minimum przez zaimplementowanie zasad przechowywania i usuwania danych, procedur i procesów, które obejmują co najmniej następujące elementy dla wszystkich magazynów danych posiadaczy kart (CHD):

• Ograniczenie ilości i czasu przechowywania danych do tego, co jest wymagane dla wymagań prawnych, regulacyjnych i biznesowych
• Procesy bezpiecznego usuwania danych, gdy nie są już potrzebne
• Określone wymagania dotyczące przechowywania danych posiadaczy kart
• Kwartalny proces identyfikowania i bezpiecznego usuwania przechowywanych danych karty, które przekraczają zdefiniowane przechowywanie.

Twoje obowiązki

Nie przechowuj stanu w klastrze usługi AKS. Jeśli zdecydujesz się przechowywać CHD, zapoznaj się z opcjami bezpiecznego magazynu. Opcje obejmują usługę Azure Storage dla magazynu plików lub bazy danych, takie jak Usługa Azure SQL Database lub Azure Cosmos DB.

Ściśle przestrzegaj standardowych wskazówek dotyczących tego, jakiego rodzaju CHD można przechowywać. Zdefiniuj zasady przechowywania danych na podstawie wymagań biznesowych i typu używanego magazynu. Oto niektóre kluczowe zagadnienia:

• Jak i gdzie są przechowywane dane?
• Czy przechowywane dane są szyfrowane?
• Jaki jest okres przechowywania?
• Jakie akcje są dozwolone w okresie przechowywania?
• Jak usuwasz przechowywane dane po wygaśnięciu okresu przechowywania?

Mają zasady ładu dotyczące niektórych z tych opcji. Wbudowane zasady platformy Azure wymuszają te opcje. Można na przykład ograniczyć typy woluminów w zasobnikach klastra lub blokować operacje zapisu w głównym systemie plików.

Przejrzyj tę listę definicji zasad i zastosuj je do klastra, jeśli ma to zastosowanie.

Może być konieczne tymczasowe buforowanie danych. Zalecamy ochronę buforowanych danych podczas przenoszenia ich do rozwiązania magazynu. Rozważ włączenie funkcji szyfrowania opartej na hoście w usłudze AKS. Spowoduje to zaszyfrowanie danych przechowywanych na maszynach wirtualnych węzła. Aby uzyskać więcej informacji, zobacz Szyfrowanie oparte na hoście w usłudze Azure Kubernetes Service (AKS). Ponadto włącz wbudowane zasady platformy Azure, które wymagają szyfrowania dysków tymczasowych i pamięci podręcznej dla pul węzłów.

Podczas wybierania technologii magazynowania zapoznaj się z funkcjami przechowywania. Na przykład usługa Azure Blob Storage udostępnia zasady przechowywania na podstawie czasu. Innym wyborem jest zaimplementowanie niestandardowego rozwiązania, które usuwa dane zgodnie z zasadami przechowywania. Przykładem jest zarządzanie cyklem życia danych (DLM), które zarządza działaniami cyklu życia danych. Rozwiązanie zostało zaprojektowane z usługami takimi jak Azure Data Factory, Microsoft Entra ID i Azure Key Vault.

Aby uzyskać więcej informacji, zobacz Zarządzanie cyklem życia danych przy użyciu usługi Azure Data Factory.

Wymaganie 3.2

Nie przechowuj poufnych danych uwierzytelniania po autoryzacji (nawet w przypadku szyfrowania). Jeśli dane uwierzytelniania poufnego są odbierane, renderuj wszystkie dane nie do odzyskania po zakończeniu procesu autoryzacji.

Twoje obowiązki

(DOTYCZY: Wymaganie 3.2.1, Wymaganie 3.2.2, Wymaganie 3.2.3)

Przetwarzanie i ochrona danych wykracza poza zakres tej architektury. Poniżej przedstawiono kilka ogólnych zagadnień.

Zgodnie ze standardem poufne dane uwierzytelniania składają się z pełnych danych śledzenia, kodu weryfikacji karty lub wartości oraz danych numeru PIN. W ramach przetwarzania CHD upewnij się, że dane uwierzytelniania nie są widoczne w źródłach, takich jak:

• Dzienniki emitowane z zasobników.
• Procedury obsługi wyjątków.
• Nazwy plików.
• Pamięć podręczna.

Zgodnie z ogólnymi wskazówkami handlowcy nie powinni przechowywać tych informacji. Jeśli istnieje potrzeba udokumentowania uzasadnienia biznesowego.

Wymaganie 3.3

Maskuj pan po wyświetleniu (pierwsze sześć i ostatnie cztery cyfry są maksymalną liczbą cyfr do wyświetlenia), tak aby tylko pracownicy z uzasadnionymi potrzebami biznesowymi mogli zobaczyć pełną liczbą cyfr.

Twoje obowiązki

Podstawowy numer konta (PAN) jest uważany za dane poufne, a narażenie na te dane musi być zapobiegane. Jednym ze sposobów jest zmniejszenie wyświetlanych cyfr przez maskowanie.

Nie implementuj maskowania danych w obciążeniu. Zamiast tego należy używać konstrukcji na poziomie bazy danych. Linia usług Azure SQL, w tym Azure Synapse Analytics, obsługuje dynamiczne maskowanie danych, co zmniejsza narażenie na warstwę aplikacji. Jest to funkcja zabezpieczeń oparta na zasadach, która definiuje, kto może wyświetlać niemaskowane dane i ile danych jest ujawnianych za pośrednictwem maskowania. Wbudowana metoda maskowania kart kredytowych uwidacznia ostatnie cztery cyfry wyznaczonych pól i dodaje ciąg stały jako prefiks w postaci karty kredytowej.

Aby uzyskać więcej informacji, zobacz Dynamiczne maskowanie danych.

Jeśli musisz wprowadzić niemaskowane dane do klastra, zamaskuj je tak szybko, jak to możliwe.

Wymaganie 3.4

Renderowanie funkcji PAN jest nieczytelne w dowolnym miejscu, w jakim jest przechowywany (w tym na przenośnym nośniku cyfrowym, nośniku kopii zapasowych i w dziennikach) przy użyciu dowolnego z następujących podejść:

• Skróty jednokierunkowe oparte na silnej kryptografii (skrót musi być cały PAN)
• Obcięcie (nie można użyć skrótu do zastąpienia obciętego segmentu PAN)
• Tokeny indeksu i konsole (konsole muszą być bezpiecznie przechowywane)
• Silna kryptografia ze skojarzonymi procesami i procedurami zarządzania kluczami.

Twoje obowiązki

W przypadku tego wymagania może być konieczne użycie bezpośredniej kryptografii w obciążeniu. Wytyczne PCI DSS zalecają stosowanie algorytmów przetestowanych przez branżę, aby stanąć w obronie rzeczywistych ataków. Unikaj używania niestandardowych algorytmów szyfrowania.

Odpowiednie techniki maskowania danych spełniają również to wymaganie. Odpowiadasz za maskowanie wszystkich danych podstawowego numeru konta (PAN). Linia usług Azure SQL, w tym Azure Synapse Analytics, obsługuje dynamiczne maskowanie danych. Zobacz Wymaganie 3.3.

Upewnij się, że funkcja PAN nie jest uwidoczniona w ramach procesów przepływu pracy. Oto kilka zagadnień:

• Zachowaj brak dzienników, dzienniki przepływu pracy i (oczekiwane lub nieoczekiwane) dzienniki obsługi wyjątków. Ponadto przepływy danych diagnostycznych, takie jak nagłówki HTTP, nie mogą ujawniać tych danych.

• Nie należy używać funkcji PAN jako klucza odnośnika pamięci podręcznej ani w ramach żadnej nazwy pliku wygenerowanej przez ten proces.

• Klienci mogą udostępniać okienko PAN w polach tekstowych bez obsługi formularza. Upewnij się, że procesy sprawdzania poprawności zawartości i wykrywania są dostępne dla dowolnych pól tekstowych w dowolnej formie, czyszając całą zawartość przypominającą dane PAN.

Wymaganie 3.4.1

Jeśli jest używane szyfrowanie dysków (zamiast szyfrowania bazy danych na poziomie pliku lub kolumny), dostęp logiczny musi być zarządzany oddzielnie i niezależnie od natywnych mechanizmów uwierzytelniania systemu operacyjnego i kontroli dostępu (na przykład nie przy użyciu lokalnych baz danych kont użytkowników lub ogólnych poświadczeń logowania do sieci). Klucze odszyfrowywania nie mogą być skojarzone z kontami użytkowników.

Twoje obowiązki

Ogólnie rzecz biorąc, nie przechowuj stanu w klastrze usługi AKS. Użyj zewnętrznego magazynu danych, który obsługuje szyfrowanie na poziomie aparatu magazynu.

Wszystkie przechowywane dane w usłudze Azure Storage są szyfrowane i odszyfrowywane przy użyciu silnej kryptografii. Firma Microsoft zarządza skojarzonymi kluczami. Preferowane są klucze szyfrowania zarządzane przez siebie. Zawsze szyfruj poza warstwą magazynu i zapisuj tylko zaszyfrowane dane na nośniku magazynu, zapewniając, że klucze nigdy nie sąsiadują z warstwą magazynu.

Za pomocą usługi Azure Storage można również używać kluczy zarządzanych samodzielnie. Aby uzyskać szczegółowe informacje, zobacz Klucze zarządzane przez klienta na potrzeby szyfrowania usługi Azure Storage.

Podobne możliwości są dostępne dla baz danych. Aby uzyskać informacje o opcjach usługi Azure SQL, zobacz Usługa Azure SQL Transparent Data Encryption z kluczem zarządzanym przez klienta.

Upewnij się, że klucze są przechowywane w zarządzanym magazynie kluczy (Azure Key Vault, zarządzanym sprzętowym module zabezpieczeń usługi Azure Key Vault i innych).

Jeśli musisz tymczasowo przechowywać dane, włącz funkcję szyfrowania hosta usługi AKS, aby upewnić się, że dane przechowywane w węzłach maszyny wirtualnej są szyfrowane.

Wymaganie 3.5

Dokumentowanie i implementowanie procedur ochrony kluczy używanych do zabezpieczania przechowywanych danych karty przed ujawnieniem i nieprawidłowym użyciem:

Twoje obowiązki

Te kwestie opisano w podsekcjach:

• Zachowaj praktykę dostępu z najniższymi uprawnieniami dla kluczy kryptograficznych.
• Usługi Azure Key Vault i Microsoft Entra ID są przeznaczone do obsługi wymagań dotyczących autoryzacji i rejestrowania inspekcji. Aby uzyskać szczegółowe informacje, zobacz Request authentication for Azure Key Vault (Żądanie uwierzytelniania dla usługi Azure Key Vault).
• Chroń wszystkie klucze szyfrowania danych przy użyciu klucza szyfrowania klucza przechowywanego na urządzeniu kryptograficznym.
• Jeśli używasz kluczy zarządzanych samodzielnie (zamiast kluczy zarządzanych przez firmę Microsoft), skorzystaj z procesu i dokumentacji do obsługi zadań związanych z zarządzaniem kluczami.

Wymaganie 3.5.1

Dodatkowe wymaganie tylko dla dostawców usług: zachowaj udokumentowany opis architektury kryptograficznego, która obejmuje:

• Szczegóły wszystkich algorytmów, protokołów i kluczy używanych do ochrony danych posiadaczy kart, w tym siły klucza i daty wygaśnięcia
• Opis użycia klucza dla każdego klucza
• Spis wszystkich modułów HSM i innych identyfikatorów SCD używanych do zarządzania kluczami

Twoje obowiązki

Jednym ze sposobów przechowywania poufnych informacji (kluczy, parametry połączenia i innych) jest użycie natywnego zasobu KubernetesSecret. Należy jawnie włączyć szyfrowanie magazynowane. Alternatywnie przechowuj je w magazynie zarządzanym, takim jak Azure Key Vault. Z dwóch podejść zalecamy użycie usługi magazynu zarządzanego. Jedną z zalet jest zmniejszenie nakładu pracy w zadaniach związanych z zarządzaniem kluczami, takimi jak rotacja kluczy.

Domyślnie platforma Azure używa kluczy zarządzanych przez firmę Microsoft dla wszystkich zaszyfrowanych danych na klienta. Jednak niektóre usługi obsługują również klucze zarządzane samodzielnie na potrzeby szyfrowania. Jeśli używasz kluczy zarządzanych samodzielnie do szyfrowania magazynowanych, upewnij się, że uwzględniasz proces i strategię, która obsługuje kluczowe zadania zarządzania.

W ramach dokumentacji dołącz informacje dotyczące zarządzania kluczami, takie jak wygaśnięcie, lokalizacja i szczegóły planu konserwacji.

Wymaganie 3.5.2

Ogranicz dostęp do kluczy kryptograficznych do najmniejszej liczby niezbędnych opiekunów.

Twoje obowiązki

Zminimalizuj liczbę osób, które mają dostęp do kluczy. Jeśli używasz dowolnych przypisań ról opartych na grupach, skonfiguruj cykliczny proces inspekcji, aby przejrzeć role, które mają dostęp. Gdy członkowie zespołu projektu zmienią się, konta, które nie są już istotne, muszą zostać usunięte z uprawnień. Tylko odpowiednie osoby powinny mieć dostęp. Rozważ usunięcie stałych uprawnień na rzecz przypisań ról just in time (JIT), aktywacji ról opartych na czasie i aktywacji roli opartej na zatwierdzeniu.

Wymaganie 3.5.3

Przechowuj klucze tajne i prywatne używane do szyfrowania/odszyfrowywania danych karty w co najmniej jednym z następujących formularzy przez cały czas:

• Zaszyfrowane przy użyciu klucza szyfrowanego kluczem, który jest co najmniej tak silny, jak klucz szyfrujący dane, i który jest przechowywany oddzielnie od klucza szyfrowania danych
• W ramach bezpiecznego urządzenia kryptograficznego (takiego jak sprzętowy (host) moduł zabezpieczeń (HSM) lub zatwierdzony punkt interakcji PTS)
• Co najmniej dwa kluczowe składniki lub udziały kluczy o pełnej długości, zgodnie z metodą akceptowaną przez branżę

Twoje obowiązki

Obciążenie PCI-DSS 3.2.1 będzie musiało używać więcej niż jednego klucza szyfrowania w ramach strategii ochrony danych magazynowanych. Klucz szyfrowania danych (DEK) służy do szyfrowania i odszyfrowywania klucza CHD, ale odpowiadasz za dodatkowy klucz szyfrowania klucza (KEK), aby chronić ten klucz szyfrowania danych. Odpowiadasz również za zapewnienie, że klucz KEK jest przechowywany na urządzeniu kryptograficznym.

Za pomocą usługi Azure Key Vault możesz przechowywać klucz szyfrowania danych i przechowywać klucz szyfrowania kluczy przy użyciu dedykowanego modułu HSM platformy Azure. Aby uzyskać informacje na temat zarządzania kluczami HSM, zobacz Co to jest dedykowany moduł HSM platformy Azure?.

Wymaganie 3.6

W pełni udokumentować i wdrożyć wszystkie procesy i procedury zarządzania kluczami kryptograficznymi używane do szyfrowania danych posiadaczy kart, w tym następujące:

Twoje obowiązki

(DOTYCZY: Wymaganie 3.6.1, Wymaganie 3.6.2, Wymaganie 3.6.3, Wymaganie 3.2.4)

Jeśli używasz usługi Azure Key Vault do przechowywania wpisów tajnych, takich jak klucze, certyfikaty i parametry połączenia, chroń je przed nieautoryzowanym dostępem. Usługa Microsoft Defender for Key Vault wykrywa podejrzane próby dostępu i generuje alerty. Te alerty można wyświetlić w Microsoft Defender dla Chmury. Aby uzyskać więcej informacji, zobacz Microsoft Defender for Key Vault.

Postępuj zgodnie ze wskazówkami NIST dotyczącymi zarządzania kluczami. Aby uzyskać szczegółowe informacje, zobacz:

• Zarządzanie kluczami kryptograficznymi.
• SP 800-133 rev. 2, zalecenie dotyczące generowania kluczy kryptograficznych
• SP 800-57 Część 1 rev. 5, zalecenie dotyczące zarządzania kluczami

Zobacz również usługę Microsoft Defender dla usługi Key Vault.

Wymaganie 3.6.7

Zapobieganie nieautoryzowanemu zastępowaniu kluczy kryptograficznych.

Twoje obowiązki

• Włącz diagnostykę we wszystkich magazynach kluczy. Użyj usługi Azure Monitor dla usługi Key Vault. Zbiera dzienniki i metryki i wysyła je do usługi Azure Monitor. Aby uzyskać więcej informacji, zobacz Monitorowanie usługi magazynu kluczy za pomocą usługi Azure Monitor dla usługi Key Vault.
• Przyznaj wszystkim użytkownikom uprawnienia tylko do odczytu.
• Nie masz stałych uprawnień dla wszystkich jednostek usługi zarządzania. Zamiast tego należy używać przypisań ról just in time (JIT), aktywacji ról opartych na czasie i aktywacji roli opartej na zatwierdzeniu.
• Utwórz scentralizowany widok , integrując dzienniki i alerty z rozwiązaniami do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takimi jak Microsoft Sentinel.
• Podejmij działania dotyczące alertów i powiadomień, szczególnie w przypadku nieoczekiwanych zmian.

Wymaganie 3.6.8

Wymaganie, aby opiekunowie kluczy kryptograficznych formalnie potwierdzili, że rozumieją i akceptują swoje obowiązki opiekunów kluczy.

Twoje obowiązki

Zachowaj dokumentację, która opisuje konta stron odpowiedzialnych w operacjach zarządzania kluczami.

Wymaganie 3.7

Upewnij się, że zasady zabezpieczeń i procedury operacyjne dotyczące ochrony przechowywanych danych posiadaczy kart są udokumentowane, używane i znane wszystkim stronom, których dotyczy problem.

Twoje obowiązki

Utwórz dokumentację jako ogólną instrukcję oraz szereg aktualnych przewodników dotyczących ról dla wszystkich osób. Przeprowadź szkolenie w zakresie nowych pracowników i bieżące szkolenie.

Ważne jest, aby zachować szczegółową dokumentację procesów i zasad. Kilka zespołów uczestniczy w upewnieniu się, że dane są chronione w spoczynku i podczas przesyłania. W dokumentacji podaj wskazówki dotyczące ról dla wszystkich osób. Role powinny obejmować inżynierię SRE, obsługę klienta, sprzedaż, operacje sieciowe, operacje zabezpieczeń, inżynierów oprogramowania, administratorów baz danych i innych. Personel powinien być przeszkolony w wskazówkach NIST i strategiach przechowywania danych, aby zapewnić aktualność zestawu umiejętności. Wymagania szkoleniowe zostały rozwiązane w wymaganiach 6.5 i Wymaganiach 12.6.

Wymaganie 4.1

Użyj silnych protokołów kryptograficznych i zabezpieczeń (na przykład TLS, IPSEC, SSH itd.), aby chronić poufne dane posiadaczy kart podczas transmisji przez otwarte sieci publiczne, w tym następujące:

Twoje obowiązki

Dane posiadacza karty (CHD), które przesyłane przez publiczny Internet muszą być szyfrowane. Dane muszą być szyfrowane przy użyciu protokołu TLS 1.2 (lub nowszego), z ograniczoną obsługą szyfrowania dla wszystkich transmisji. Nie należy obsługiwać przekierowań tls do protokołu TLS w żadnych usługach transmisji danych.

Projekt powinien mieć strategiczny łańcuch punktów zakończenia protokołu TLS. Gdy dane są przesyłane przez przeskoki sieciowe, należy zachować protokół TLS na przeskokach, które wymagają inspekcji pakietów. Co najmniej, mają końcowy punkt zakończenia protokołu TLS w zasobie ruchu przychodzącego klastra. Rozważ dalsze podjęcie tej czynności w ramach zasobów klastra.

Użyj usługi Azure Policy, aby zarządzać tworzeniem zasobów:

• Odmów utworzenia dowolnego zasobu ruchu przychodzącego innego niż HTTPS.
• Odmów utworzenia dowolnego publicznego adresu IP lub publicznych modułów równoważenia obciążenia w klastrze, aby upewnić się, że ruch internetowy jest tunelowany przez bramę.

Aby uzyskać więcej informacji, zobacz Omówienie usługi Azure Encryption.

Wymaganie 4.1.1

Upewnij się, że sieci bezprzewodowe przesyłające dane karty lub podłączone do środowiska danych posiadaczy kart, należy użyć najlepszych rozwiązań branżowych (na przykład IEEE 802.11i) w celu zaimplementowania silnego szyfrowania na potrzeby uwierzytelniania i transmisji.

Twoje obowiązki

Ta architektura i implementacja nie są przeznaczone do wykonywania transakcji lokalnych ani firmowych sieci do chmury za pośrednictwem połączeń bezprzewodowych. Aby wziąć pod uwagę uwagi, zapoznaj się ze wskazówkami w oficjalnym standardzie PCI-DSS 3.2.1.

Wymaganie 4.2

Nigdy nie wysyłaj niechronionych numerów PAN przez technologie obsługi wiadomości przez użytkowników końcowych (na przykład wiadomości e-mail, wiadomości błyskawiczne, wiadomości SMS, czat itp.).

Twoje obowiązki

Jeśli obciążenie wymaga wysyłania wiadomości e-mail, rozważ utworzenie bramy kwarantanny poczty e-mail. Ta walidacja umożliwia skanowanie wszystkich komunikatów wychodzących pod kątem zgodności i sprawdzanie, czy poufne dane nie są uwzględniane. W idealnym przypadku należy również rozważyć takie podejście w przypadku komunikatów pomocy technicznej klienta.

Należy przeprowadzić walidację na poziomie obciążenia i procesie kontroli zmian. Bramy zatwierdzania powinny zrozumieć wymaganie.

Aby wziąć pod uwagę uwagi, zapoznaj się ze wskazówkami w oficjalnym standardzie PCI-DSS 3.2.1.

Wymaganie 4.3

Upewnij się, że zasady zabezpieczeń i procedury operacyjne dotyczące szyfrowania transmisji danych posiadaczy kart są udokumentowane, używane i znane wszystkim stronom, których dotyczy problem.

Twoje obowiązki

Ważne jest, aby zachować szczegółową dokumentację procesów i zasad. Jest to szczególnie istotne w przypadku zarządzania zasadami dotyczącymi protokołu Transport Layer Security (TLS). Oto kilka obszarów:

• Publiczne punkty ruchu przychodzącego internetu. Przykładem jest obsługa bramy aplikacja systemu Azure dla szyfrów TLS.
• Przeskoki sieciowe między siecią obwodową a zasobnikami obciążenia.
• Szyfrowanie zasobnik-zasobnik (jeśli zostało zaimplementowane). Może to obejmować szczegółowe informacje o konfiguracji siatki usług.
• Zasobnik do magazynu (jeśli część architektury).
• Zasobnik do usług zewnętrznych, usług PaaS platformy Azure korzystających z protokołu TLS, bramy płatności lub systemu wykrywania oszustw.

Osoby, które obsługują regulowane środowiska, muszą być wykształcone, poinformowane i motywowane do wspierania gwarancji bezpieczeństwa. Jest to szczególnie ważne dla osób, które są częścią procesu zatwierdzania z perspektywy zasad.

Następne kroki

Chronić wszystkie systemy przed złośliwym oprogramowaniem i regularnie aktualizować oprogramowanie antywirusowe lub programy. Opracowywanie i utrzymywanie bezpiecznych systemów i aplikacji.