Este artigo descreve as considerações para um cluster do AKS (Serviço de Kubernetes do Azure) configurado de acordo com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS 3.2.1).
Este artigo faz parte de uma série. Leia a introdução.
Manter uma política de segurança de informações
Requisito 12–Manter uma política direcionada à segurança de informações para todos os funcionários
A Microsoft conclui uma avaliação anual do PCI DSS com um QSA (Assistente de Segurança Qualificada) aprovado. Considere todos os aspectos de infraestrutura, desenvolvimento, operações, gerenciamento, suporte e serviços no escopo. Para saber mais, confira DSS (Padrão de Segurança de Dados) do PCI (Setor de Cartões de Pagamento).
Essa arquitetura e a implementação não foram projetadas para fornecer diretrizes ilustrativas de documentação da política de segurança oficial de ponta a ponta. Para ver outras considerações, confira as diretrizes no padrão oficial PCI-DSS 3.2.1.
Estas são algumas sugestões gerais:
Mantenha a documentação completa e atualizada sobre o processo e as políticas. Considere usar o Gerenciador de Conformidade do Microsoft Purview para avaliar o risco.
Na revisão anual da política de segurança, incorpore novas diretrizes fornecidas pela Microsoft, pelo Kubernetes e por outras soluções de terceiros que fazem parte do seu CDE. Alguns recursos incluem publicações de fornecedores combinadas com diretrizes extraídas do Microsoft Defender para Nuvem, do Assistente do Azure, do Azure Well-Architected Review e das atualizações na Linha de Base de Segurança do Azure para AKS, no CIS Benchmark do Serviço de Kubernetes do Azure, entre outros.
Ao estabelecer seu processo de avaliação de risco, alinhe-se com um padrão publicado que seja prático, por exemplo, NIST SP 800-53. Mapeie publicações da lista de segurança publicada do fornecedor, como o guia do Microsoft Security Response Center, para o processo de avaliação de risco.
Mantenha as informações atualizadas sobre o inventário de dispositivos e a documentação de acesso dos funcionários. Considere usar a funcionalidade de descoberta de dispositivo incluída no Microsoft Defender para Ponto de Extremidade. Para rastrear o acesso, você pode obter essas informações dos logs do Microsoft Entra. Aqui estão alguns artigos para você começar:
Como parte do gerenciamento de inventário, mantenha uma lista de soluções aprovadas que são implantadas como parte da infraestrutura e da carga de trabalho do PCI. Isso inclui uma lista de imagens de VM, bancos de dados e soluções de terceiros de sua escolha que você traz para o CDE. Você pode até automatizar esse processo criando um catálogo de serviços que oferece implantação por autoatendimento com o uso dessas soluções aprovadas em uma configuração específica, que segue as operações de plataforma em andamento. Para saber mais, confira Estabelecer um catálogo de serviços.
Verifique se um contato de segurança recebe notificações de incidentes da Microsoft sobre o Azure.
Essas notificações indicam se o recurso está comprometido. Isso permite que sua equipe de operações de segurança responda rapidamente e corrija possíveis riscos de segurança. Verifique se as informações de contato do administrador no portal de inscrição do Azure incluem informações de contato que notificarão as operações de segurança (direta ou rapidamente por meio de um processo interno). Para saber mais detalhes, confira Modelo de operações de segurança.
Aqui estão outros artigos para ajudar você a planejar a conformidade operacional.
- Gerenciamento de nuvem na Cloud Adoption Framework
- Governança na Microsoft Cloud Adoption Framework para o Azure