Este artigo descreve as considerações para um cluster do Serviço Kubernetes do Azure (AKS) configurado de acordo com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS 3.2.1).
Este artigo faz parte de uma série. Leia a introdução.
O Kubernetes tem RBAC (controle de acesso baseado em função) nativo que gerencia permissões para a API do Kubernetes. Há várias funções internas com permissões ou ações específicas nos recursos do Kubernetes. O Serviço Kubernetes do Azure (AKS) dá suporte a essas funções internas e funções personalizadas para controle granular. Essas ações podem ser autorizadas (ou negadas) a um usuário por meio do Kubernetes RBAC.
Essa arquitetura e a implementação não foram projetadas para fornecer controles sobre o acesso físico a recursos locais ou datacenters. Um benefício de hospedar seu CDE no Azure, em oposição à sua plataforma na borda ou em seu datacenter, é que a restrição de acesso físico já é principalmente tratada por meio da segurança do datacenter do Azure. Não há quaisquer responsabilidades para a organização na gestão de hardware físico.
Importante
Esta orientação e a implementação que a acompanha baseiam-se na arquitetura de base do AKS. Essa arquitetura é baseada em uma topologia hub-and-spoke. A rede virtual do hub contém o firewall para controlar o tráfego de saída, o tráfego de gateway de redes locais e uma terceira rede para manutenção. A rede virtual spoke contém o cluster AKS que fornece o ambiente de dados do titular do cartão (CDE) e hospeda a carga de trabalho do PCI DSS.
GitHub: O Cluster de Linha de Base do Serviço Kubernetes do Azure (AKS) para Cargas de Trabalho Regulamentadas demonstra a infraestrutura regulamentada com controles de gerenciamento de identidade e acesso. Esta implementação fornece um cluster privado apoiado pelo Microsoft Entra ID que suporta acesso just-in-time (JIT) e modelos de acesso condicional para fins ilustrativos.
Implementar fortes medidas de controlo de acesso
Requisito 7 — Restringir o acesso aos dados do titular do cartão por necessidade de conhecimento da empresa
Suporte ao recurso AKS
O AKS está totalmente integrado com o Microsoft Entra ID como provedor de identidade.
Você não precisa gerenciar identidades de usuário e credenciais separadas para o Kubernetes. Você pode adicionar usuários do Microsoft Entra para o Kubernetes RBAC. Essa integração torna possível fazer atribuições de função para usuários do Microsoft Entra. O Microsoft Entra RBAC suporta definições de função, como visualizador, gravador, administrador de serviço, administrador de cluster como funções internas. Além disso, você pode criar funções personalizadas para um controle mais granular.
Por padrão, o RBAC do Azure é definido para negar tudo, portanto, um recurso não pode ser acessado sem permissões concedidas. O AKS limita o acesso SSH aos nós de trabalho do AKS e usa a política de rede AKS para controlar o acesso a cargas de trabalho nos pods.
Para obter mais informações, consulte Usar o RBAC do Azure para Autorização do Kubernetes e Proteger seu cluster com a Política do Azure.
As suas responsabilidades
| Necessidade | Responsabilidade |
|---|---|
| Requisito 7.1 | Limitar o acesso aos componentes do sistema e aos dados do titular do cartão apenas às pessoas cujo trabalho exija esse acesso. |
| Requisito 7.2 | Estabeleça um sistema de controle de acesso para componentes de sistemas que restrinja o acesso com base na necessidade de conhecimento do usuário e seja definido para "negar tudo", a menos que especificamente permitido. |
| Requisito 7.3 | Garantir que as políticas de segurança e os procedimentos operacionais para restringir o acesso aos dados do titular do cartão estejam documentados, em uso e conhecidos por todas as partes afetadas. |
Requisito 7.1
Limitar o acesso aos componentes do sistema e aos dados do titular do cartão apenas às pessoas cujo trabalho exija esse acesso.
As suas responsabilidades
Aqui estão algumas considerações:
- Certifique-se de que sua implementação esteja alinhada com os requisitos da organização e com os requisitos de conformidade sobre gerenciamento de identidade.
- Minimize as permissões permanentes, especialmente para contas de impacto crítico.
- Siga o princípio do acesso com privilégios mínimos. Forneça apenas acesso suficiente para concluir a tarefa.
Requisito 7.1.1
Defina as necessidades de acesso para cada função, incluindo:
- Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho
- Nível de privilégio necessário (por exemplo, usuário, administrador, etc.) para acessar recursos.
As suas responsabilidades
Defina funções com base nas tarefas e responsabilidades necessárias para os componentes no escopo e sua interação com os recursos do Azure. Você pode começar com categorias amplas, como:
- Âmbito por grupos de gestão, subscrições ou grupos de recursos do Azure
- Política do Azure para a carga de trabalho ou subscrição
- Operações de contentores
- Gestão de segredos
- Pipelines de compilação e implantação
Embora a definição de funções e responsabilidades em torno dessas áreas possa estar associada à estrutura da sua equipe, concentre-se no requisito da carga de trabalho. Por exemplo, quem é responsável por manter a segurança, isolamento, implantação e observabilidade. Seguem-se alguns exemplos:
- Decisões sobre segurança de aplicativos, Kubernetes RBAC, políticas de rede, políticas do Azure e comunicação com outros serviços.
- Configuração e manutenção do Firewall do Azure, firewall de aplicativos Web (WAF), grupos de segurança de rede (NSGs) e configuração de DNS.
- Monitore e corrija a segurança do servidor, a aplicação de patches, a configuração e a segurança do ponto final.
- Defina a direção de uso do RBAC, do Microsoft Defender for Cloud, da estratégia de proteção do administrador e da Política do Azure para governar os recursos do Azure.
- Equipa de monitorização e resposta a incidentes. Investigue e corrija incidentes de segurança no gerenciamento de eventos e informações de segurança (SIEM) ou no Microsoft Defender for Cloud.
Em seguida, formalize a definição determinando qual nível de acesso é necessário para a função em relação à carga de trabalho e à infraestrutura. Aqui está uma definição simples para fins ilustrativos.
| Função | Responsabilidades | Níveis de acesso |
|---|---|---|
| Proprietários de aplicativos | Defina e priorize recursos alinhados com os resultados de negócios. Eles entendem como os recursos afetam o escopo de conformidade da carga de trabalho e equilibram a proteção e a propriedade dos dados do cliente com os objetivos de negócios. | Acesso de leitura a logs e métricas emitidos pelo aplicativo. Eles não precisam de permissões para acessar a carga de trabalho ou o cluster. |
| Programadores de aplicações | Desenvolva a aplicação. Todo o código do aplicativo está sujeito a treinamentos e portões de qualidade que garantem a conformidade, o atestado e os processos de gerenciamento de liberação. Pode gerenciar os pipelines de compilação, mas geralmente não os pipelines de implantação. | Acesso de leitura a namespaces do Kubernetes e recursos do Azure que estão no escopo da carga de trabalho. Nenhum acesso de gravação para implantar ou modificar qualquer estado do sistema. |
| Operadores de aplicação (ou SRE) | Ter uma compreensão profunda da base de código, observabilidade e operações. Faça a triagem ao vivo e a solução de problemas. Junto com os desenvolvedores de aplicativos, melhore a disponibilidade, a escalabilidade e o desempenho do aplicativo. Gerencie o pipeline de implantação de "última milha" e ajude a gerenciar os pipelines de compilação. | Altamente privilegiado dentro do escopo do aplicativo que inclui namespaces Kubernetes relacionados e recursos do Azure. Provavelmente têm acesso permanente a partes do cluster Kubernetes. |
| Proprietários de infraestruturas | Projete uma arquitetura econômica, incluindo sua conectividade e a funcionalidade dos componentes. O escopo pode incluir serviços na nuvem e no local. Decida recursos, retenção de dados, recursos de continuidade de negócios e outros. | Acesso a logs da plataforma e dados do centro de custo. Nenhum acesso é necessário dentro do cluster. |
| Operadores de infraestrutura (ou SRE) | Operações relacionadas ao cluster e serviços dependentes. Crie, implante e inicialize o pipeline para o cluster no qual a carga de trabalho é implantada. Defina os pools de nós de destino e os requisitos esperados de dimensionamento e dimensionamento. Monitore a integridade da infraestrutura de hospedagem de contêiner e dos serviços dependentes. | Acesso de leitura a namespaces de carga de trabalho. Acesso altamente privilegiado para o cluster. |
| Política, proprietários de segurança | Ter experiência em segurança ou conformidade com regulamentos. Definir políticas que protejam a segurança e a conformidade regulatória dos funcionários da empresa, seus ativos e os dos clientes da empresa. Trabalha com todas as outras funções para garantir que a política seja aplicada e auditável em todas as fases. | Acesso de leitura à carga de trabalho e ao cluster. Também acesso a dados de log e auditoria. |
| Operadores de rede | Alocação de redes virtuais e sub-redes em toda a empresa. Configuração e manutenção do Firewall do Azure, WAF, NSGs e configuração de DNS. | Altamente privilegiado na camada de rede. Nenhuma permissão de gravação dentro do cluster. |
Requisito 7.1.2
Restrinja o acesso a IDs de usuário privilegiados aos privilégios mínimos necessários para executar responsabilidades de trabalho.
As suas responsabilidades
Com base nas funções do trabalho, esforce-se para minimizar o acesso sem causar interrupções. Aqui estão algumas melhores práticas:
- A identidade deve ter acesso suficiente para concluir uma tarefa.
- Minimize as permissões permanentes, especialmente em identidades de impacto crítico que têm acesso a componentes no escopo.
- Adicione restrições adicionais sempre que possível. Uma forma é fornecer acesso condicional com base em critérios de acesso.
- Realize uma revisão e auditoria regulares de usuários e grupos que têm acesso em suas assinaturas, mesmo para acesso de leitura. Evite convidar identidades externas.
Requisito 7.1.3
Atribua acesso com base na classificação de trabalho e função de cada pessoal.
As suas responsabilidades
Determine as permissões com base nas tarefas de trabalho claramente atribuídas pelo indivíduo. Evite parâmetros como o sistema ou a permanência do funcionário. Conceda direitos de acesso a um único utilizador ou a um grupo.
Seguem-se alguns exemplos.
| Classificação das funções | Função |
|---|---|
| Um proprietário de produto define o escopo da carga de trabalho e prioriza os recursos. Equilibra a proteção e a propriedade dos dados dos clientes com os objetivos de negócios. Precisa de acesso a relatórios, ao centro de custo ou aos painéis do Azure. Nenhum acesso é necessário para permissões no cluster ou no nível do cluster. | Proprietários de aplicativos |
| Um engenheiro de software projeta, desenvolve e conteineriza o código do aplicativo. Um grupo com permissões de leitura permanentes dentro de escopos definidos no Azure (como Application Insights) e os namespaces de carga de trabalho. Esses escopos e permissões podem ser diferentes entre ambientes de pré-produção e produção. | Desenvolvedor de aplicativos |
| Um engenheiro de confiabilidade do local faz a triagem do local ao vivo, gerencia pipelines e configura a infraestrutura de aplicativos. Grupo A com controle total dentro do(s) seu(s) namespace(s) alocado(s). Não são necessárias permissões permanentes. Grupo B para operações diárias sobre a carga de trabalho. Ele pode ter permissões permanentes dentro do(s) seu(s) namespace(s) alocado(s), mas não são altamente privilegiados. |
Operadores de aplicação |
| Um operador de cluster projeta e implanta um cluster AKS confiável e seguro na plataforma. Responsável por manter o tempo de funcionamento do cluster. Grupo A com controle total dentro do(s) seu(s) namespace(s) alocado(s). Não são necessárias permissões permanentes. Grupo B para operações diárias sobre a carga de trabalho. Ele pode ter permissões permanentes dentro do(s) seu(s) namespace(s) alocado(s), mas não são altamente privilegiados. |
Operadores de infraestruturas |
| Um engenheiro de rede aloca rede virtual e sub-redes em toda a empresa, conectividade local para nuvem e segurança de rede. | Operadores de infraestruturas |
Requisito 7.1.4
Requer aprovação documentada por partes autorizadas especificando os privilégios necessários.
As suas responsabilidades
Ter um processo fechado para aprovar alterações em funções e permissões, incluindo a atribuição inicial de privilégios. Certifique-se de que essas aprovações estejam documentadas e disponíveis para inspeção.
Requisito 7.2
Estabeleça um sistema de controle de acesso para componentes de sistemas que restrinja o acesso com base na necessidade de conhecimento do usuário e seja definido para "negar tudo", a menos que especificamente permitido.
As suas responsabilidades
Depois de seguir o Requisito 7.1, você deve ter avaliado as funções e responsabilidades aplicáveis à sua organização e à carga de trabalho. Todos os componentes da arquitetura que estão no escopo devem ter acesso restrito. Isso inclui os nós AKS que executam a carga de trabalho, o armazenamento de dados, o acesso à rede e todos os outros serviços que participam do processamento dos dados do titular do cartão (CHD).
Com base em funções e responsabilidades, atribua funções ao RBAC (controle de acesso baseado em funções) da infraestrutura. Esse mecanismo pode ser:
- O RBAC do Kubernetes é um modelo de autorização nativo do Kubernetes que controla o acesso ao plano de controle do Kubernetes, exposto através do servidor de API do Kubernetes. Esse conjunto de permissões define o que você pode fazer com o servidor de API. Por exemplo, você pode negar a um usuário as permissões para criar ou até mesmo listar pods.
- O RBAC do Azure é um modelo de autorização baseado em ID do Microsoft Entra que controla o acesso ao plano de controle do Azure. Esta é uma associação do seu locatário do Microsoft Entra com sua assinatura do Azure. Com o RBAC do Azure, você pode conceder permissões para criar recursos do Azure, como redes, um cluster AKS e identidades gerenciadas.
Suponha que você precise conceder permissões aos operadores de cluster (mapeados para a função de operador de infraestrutura). Todas as pessoas às quais são atribuídas as responsabilidades de operador de infraestrutura pertencem a um grupo do Microsoft Entra. Conforme estabelecido na versão 7.1.1, essa função requer o privilégio mais alto no cluster. O Kubernetes tem funções RBAC integradas, como cluster-admin, que atende a esses requisitos. Você precisará vincular o grupo Microsoft Entra para operador de infraestrutura criando cluster-admin associações de função. Existem duas abordagens. Você pode escolher as funções internas. Ou, se as funções internas não atenderem aos seus requisitos (por exemplo, elas podem ser excessivamente permissivas), crie funções personalizadas para suas associações.
A implementação de referência demonstra o exemplo anterior usando o RBAC nativo do Kubernetes. A mesma associação pode ser realizada com o Azure RBAC. Para obter mais informações, consulte Controlar o acesso a recursos de cluster usando o controle de acesso baseado em função do Kubernetes e identidades do Microsoft Entra no Serviço Kubernetes do Azure.
Você pode escolher o escopo da permissão no nível do cluster ou no nível do namespace. Para funções que têm responsabilidades com escopo, como operadores de aplicativos, as permissões são atribuídas no nível de namespace para a carga de trabalho.
Além disso, as funções também precisam de permissões do RBAC do Azure para que possam executar suas tarefas. Por exemplo, o operador de cluster precisa acessar o Azure Monitor por meio do portal. Assim, a função de operador de infraestrutura deve ter a atribuição RBAC apropriada.
Além das pessoas e suas funções, os recursos do Azure e até mesmo os pods dentro do cluster gerenciaram identidades. Essas identidades precisam de um conjunto de permissões por meio do RBAC do Azure e devem ter um escopo rigoroso com base nas tarefas esperadas. Por exemplo, o Gateway de Aplicativo do Azure deve ter permissões para obter segredos (certificados TLS) do Cofre de Chaves do Azure. Ele não deve ter permissões para modificar segredos.
Aqui estão algumas melhores práticas:
Mantenha uma documentação meticulosa sobre cada função e as permissões atribuídas. Mantenha uma distinção clara sobre quais permissões são JIT e quais estão em pé.
Monitore as funções em busca de alterações, como em alterações de atribuição ou definições de função. Crie alertas sobre alterações, mesmo que se espere que elas ganhem visibilidade das intenções por trás das alterações.
Requisito 7.2.1
Cobertura de todos os componentes do sistema
As suas responsabilidades
Aqui estão algumas práticas recomendadas para manter as medidas de controle de acesso:
Não tem acesso permanente. Considere usar a associação de grupo do AD Just-In-Time. Esse recurso requer o Microsoft Entra Privileged Identity Management.
Configure as Políticas de Acesso Condicional na ID do Microsoft Entra para o cluster. Isso coloca ainda mais restrições no acesso ao plano de controle do Kubernetes. Com as políticas de acesso condicional, pode exigir autenticação multifator, restringir a autenticação a dispositivos geridos pelo inquilino do Microsoft Entra ou bloquear tentativas de início de sessão atípicas. Aplique essas políticas a grupos do Microsoft Entra mapeados para funções do Kubernetes com alto privilégio.
Nota
As opções de tecnologia JIT e de acesso condicional requerem o Microsoft Entra ID P1 ou P2.
Idealmente, desative o acesso SSH aos nós do cluster. Esta implementação de referência não gera detalhes de conexão SSH para essa finalidade.
Qualquer computação adicional, como caixas de salto, deve ser acessada por usuários autorizados. Não crie logins genéricos disponíveis para toda a equipa.
Requisito 7.2.2
Atribuição de privilégios a indivíduos com base na classificação do cargo e função.
As suas responsabilidades
Com base na versão 7.1.3, haverá muitas funções envolvidas nas operações de cluster. Além das funções de recurso padrão do Azure, você precisará definir a extensão e o processo de acesso.
Por exemplo, considere a função de operador de cluster. Devem ter um manual claramente definido para as atividades de triagem de agrupamentos. Qual é a diferença entre esse acesso e a equipe de carga de trabalho? Dependendo da sua organização, eles podem ser os mesmos. Aqui estão alguns pontos a considerar:
- Como eles devem acessar o cluster?
- Que fontes são permitidas para acesso?
- Que permissões eles devem ter no cluster?
- Quando essas permissões são atribuídas?
Certifique-se de que as definições estejam documentadas na documentação de governança, na política e nos materiais de treinamento em torno do operador de carga de trabalho e do operador de cluster.
Requisito 7.2.3
Configuração padrão "negar tudo".
As suas responsabilidades
Ao iniciar a configuração, comece com políticas de confiança zero. Faça exceções conforme necessário e documente-as em detalhes.
O RBAC do Kubernetes implementa negar tudo por padrão. Não substitua adicionando associações de função de cluster altamente permissivas que inversam a configuração negar tudo.
O RBAC do Azure também implementa negar tudo por padrão. Não substitua adicionando atribuições RBAC que inversam a configuração negar tudo.
Todos os serviços do Azure, o Cofre da Chave do Azure e o Registro de Contêiner do Azure, negaram todo o conjunto de permissões por padrão.
Qualquer ponto de acesso administrativo, como uma caixa de salto, deve negar todo o acesso na configuração inicial. Todas as permissões elevadas devem ser definidas explicitamente para negar toda a regra.
Nota
Lembre-se de que, para acesso à rede, os NSGs permitem toda a comunicação por padrão. Altere isso para definir negar tudo como a regra inicial com alta prioridade. Em seguida, adicione exceções que serão aplicadas antes da regra negar tudo , conforme necessário. Seja consistente na nomenclatura, para que seja mais fácil de auditar.
O Firewall do Azure implementa negar tudo por padrão.
Requisito 7.3
Garantir que as políticas de segurança e os procedimentos operacionais para restringir o acesso aos dados do titular do cartão estejam documentados, em uso e conhecidos por todas as partes afetadas.
As suas responsabilidades
É fundamental que você mantenha uma documentação completa sobre os processos e políticas. Isso inclui políticas RBAC do Azure e do Kubernetes e políticas de governança organizacional. As pessoas que operam ambientes regulamentados devem ser educadas, informadas e incentivadas a apoiar as garantias de segurança. Isto é particularmente importante para as pessoas que fazem parte do processo de aprovação do ponto de vista político.
Requisito 8 — Identificar e autenticar o acesso aos componentes do sistema
Suporte ao recurso AKS
Devido à integração do AKS e do Microsoft Entra, você pode aproveitar os recursos de gerenciamento e autorização de ID, incluindo gerenciamento de acesso, gerenciamento de objetos de identificador e outros. Para obter mais informações, consulte Integração do Microsoft Entra gerenciada pelo AKS.
As suas responsabilidades
| Necessidade | Responsabilidade |
|---|---|
| Requisito 8.1 | Defina e implemente políticas e procedimentos para garantir o gerenciamento adequado da identificação de usuários e administradores não consumidores em todos os componentes do sistema, da seguinte maneira: |
| Requisito 8.2 | Além de atribuir uma ID exclusiva, garanta o gerenciamento adequado de autenticação de usuário para usuários não consumidores e administradores em todos os componentes do sistema, empregando pelo menos um dos seguintes métodos para autenticar todos os usuários: |
| Requisito 8.3 | Proteja todo o acesso administrativo individual não console e todo o acesso remoto ao CDE usando autenticação multifator. |
| Requisito 8.4 | Documentar e comunicar procedimentos e políticas e procedimentos de autenticação a todos os utilizadores, incluindo: |
| Requisito 8.5 | Não use IDs de grupo, compartilhadas ou genéricas, senhas ou outros métodos de autenticação da seguinte maneira: |
| Requisito 8.6 | Quando forem utilizados outros mecanismos de autenticação (por exemplo, fichas de segurança físicas ou lógicas, cartões inteligentes, certificados, etc.), a utilização desses mecanismos deve ser atribuída do seguinte modo: |
| Requisito 8.7 | Todo o acesso a qualquer banco de dados que contenha dados do titular do cartão (incluindo o acesso por aplicativos, administradores e todos os outros usuários) é restrito da seguinte forma: |
| Requisito 8.8 | Certifique-se de que as políticas de segurança e os procedimentos operacionais para identificação e autenticação estejam documentados, em uso e conhecidos por todas as partes afetadas. |
Requisito 8.1
Defina e implemente políticas e procedimentos para garantir o gerenciamento adequado da identificação de usuários e administradores não consumidores em todos os componentes do sistema, da seguinte maneira:
- 8.1.1 Atribua a todos os utilizadores um ID único antes de lhes permitir aceder aos componentes do sistema ou aos dados do titular do cartão.
- 8.1.2 Controle a adição, exclusão e modificação de IDs de usuário, credenciais e outros objetos identificadores.
- 8.1.3 Revogar imediatamente o acesso de quaisquer utilizadores terminados.
- 8.1.4 Remover/desativar contas de utilizador inativas no prazo de 90 dias.
- 8.1.5 Gerir IDs utilizados por terceiros para aceder, suportar ou manter componentes do sistema através de acesso remoto da seguinte forma:
- Ativado apenas durante o período de tempo necessário e desativado quando não está em uso.
- Monitorizado quando em utilização.
- 8.1.6 Limitar tentativas de acesso repetidas bloqueando o ID do usuário após não mais de seis tentativas.
- 8.1.7 Defina a duração do bloqueio para um mínimo de 30 minutos ou até que um administrador ative o ID do usuário.
- 8.1.8 Se uma sessão estiver ociosa por mais de 15 minutos, exija que o usuário se autentique novamente para reativar o terminal ou a sessão.
As suas responsabilidades
Aqui estão as considerações gerais para este requisito:
APLICA-SE A: 8.1.1, 8.1.2, 8.1.3
Não compartilhe ou reutilize identidades para partes funcionalmente diferentes do CDE. Por exemplo, não use uma conta de equipe para acessar dados ou recursos de cluster. Verifique se a documentação de identidade é clara sobre não usar contas compartilhadas.
Estenda essa entidade de identidade para atribuições de identidade gerenciadas no Azure. Não partilhe identidades geridas pelo utilizador entre recursos do Azure. Atribua a cada recurso do Azure sua própria identidade gerenciada. Da mesma forma, quando você estiver usando o ID de carga de trabalho do Microsoft Entra no cluster AKS, certifique-se de que cada componente em sua carga de trabalho receba sua própria identidade em vez de usar uma identidade de amplo escopo. Nunca utilize a mesma identidade gerida na pré-produção e produção.
Access and identity options for Azure Kubernetes Service (AKS) (Opções de acesso e de identidade do Azure Kubernetes Service (AKS))
APLICA-SE A: 8.1.2, 8.1.3, 8.1.4
Use o Microsoft Entra ID como o armazenamento de identidade. Como o cluster e todos os recursos do Azure usam a ID do Microsoft Entra, desabilitar ou revogar o acesso à ID do Microsoft Entra é aplicado a todos os recursos automaticamente. Se houver algum componente que não é apoiado diretamente pelo ID do Microsoft Entra, certifique-se de ter um processo para remover o acesso. Por exemplo, as credenciais SSH para acessar uma caixa de salto podem precisar de remoção explícita se o usuário não for mais válido.
APLICA-SE A: 8.1.5
Aproveite o Microsoft Entra business-to-business (B2B), projetado para hospedar contas de terceiros, como fornecedores, parceiros, como usuários convidados. Conceda o nível apropriado de acesso usando políticas condicionais para proteger dados corporativos. Essas contas devem ter permissões permanentes mínimas e datas de expiração obrigatórias. Para obter mais informações, consulte O que é acesso de usuário convidado no Microsoft Entra B2B.
Sua organização deve ter um padrão claro e documentado de fornecedor e acesso semelhante.
APLICA-SE EM: 8.1.6, 8.1.7, 8.1.8
As suas responsabilidades
O Microsoft Entra ID fornece um recurso de bloqueio inteligente para bloquear usuários após tentativas de entrada fracassadas. A maneira recomendada de implementar bloqueios é com as políticas de Acesso Condicional do Microsoft Entra.
Implemente o bloqueio para componentes que suportam recursos semelhantes, mas não são apoiados com o Microsoft Entra ID (por exemplo, máquinas habilitadas para SSH, como uma caixa de salto). Isso garante que os bloqueios estejam habilitados para evitar ou retardar o abuso de tentativas de acesso.
Os nós AKS não são projetados para serem acessados rotineiramente. Bloqueie SSH direto ou Área de Trabalho Remota para nós de cluster. O acesso SSH só deve ser considerado como parte dos esforços avançados de solução de problemas. O acesso deve ser acompanhado de perto e prontamente revertido após a conclusão do evento específico. Se você fizer isso, esteja ciente de que quaisquer alterações no nível do nó podem fazer com que seu cluster fique sem suporte.
Requisito 8.2
Além de atribuir uma ID exclusiva, garanta o gerenciamento adequado de autenticação de usuário para usuários não consumidores e administradores em todos os componentes do sistema, empregando pelo menos um dos seguintes métodos para autenticar todos os usuários: Algo que você sabe, como uma senha ou frase secreta, Algo que você tem, como um dispositivo de token ou cartão inteligente, Algo que você é, como uma biometria.
- 8.2.1 Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema.
- 8.2.2 Verifique a identidade do usuário antes de modificar qualquer credencial de autenticação — por exemplo, executar redefinições de senha, provisionar novos tokens ou gerar novas chaves.
- 8.2.3 As senhas/frases devem atender aos seguintes requisitos:
- Requer um comprimento mínimo de pelo menos sete caracteres.
- Contêm caracteres numéricos e alfabéticos.
- 8.2.4 Alterar senhas/frases secretas do usuário pelo menos uma vez a cada 90 dias.
- 8.2.5 Não permita que um indivíduo envie uma nova senha/frase que seja igual a qualquer uma das últimas quatro senhas/frases que ele ou ela usou.
- 8.2.6 Defina senhas/frases para uso pela primeira vez e após a redefinição para um valor exclusivo para cada usuário, e altere imediatamente após o primeiro uso.
As suas responsabilidades
Configure as Políticas de Acesso Condicional na ID do Microsoft Entra para o cluster. Isso coloca ainda mais restrições no acesso ao plano de controle do Kubernetes.
Vários dos requisitos anteriores são tratados automaticamente pelo Microsoft Entra ID. Seguem-se alguns exemplos:
Segurança da palavra-passe
O Microsoft Entra ID fornece recursos que impõem o uso de senhas fortes. Por exemplo, senhas fracas que pertencem à lista global de senhas proibidas são bloqueadas. Esta proteção não é suficiente. Considere adicionar o recurso Proteção por Senha do Microsoft Entra para criar uma lista de banimento específica da organização. Uma política de senha é aplicada por padrão. Algumas apólices não podem ser modificadas e abrangem alguns dos requisitos anteriores. Estes incluem a expiração da palavra-passe e os caracteres permitidos. Para obter a lista completa, consulte Políticas de senha do Microsoft Entra. Considere o uso de recursos avançados que podem ser aplicados com políticas de acesso condicional, como aquelas baseadas no risco do usuário, que detetam pares de nome de usuário e senha vazados. Para obter mais informações, consulte Acesso condicional: acesso condicional baseado em risco do usuário.
Nota
Recomendamos vivamente que considere opções sem palavra-passe. Para obter mais informações, consulte Planejar uma implantação de autenticação sem senha no Microsoft Entra ID.
Verificação de identidade do usuário
Você pode aplicar a política de acesso condicional de risco de entrada para detetar se a solicitação de autenticação foi emitida pela identidade solicitante. O pedido é validado contra fontes de informações sobre ameaças. Estes incluem spray de senha e anomalias de endereço IP. Para obter mais informações, consulte Acesso condicional: acesso condicional baseado em risco de entrada.
Você pode ter componentes que não usam o Microsoft Entra ID, como acesso a caixas de salto com SSH. Para esses casos, use criptografia de chave pública com pelo menos o tamanho de chave RSA 2048. Especifique sempre uma frase secreta. Tenha um processo de validação que rastreie chaves públicas aprovadas conhecidas. Os sistemas que utilizam o acesso à chave pública não devem ser expostos à Internet. Em vez disso, todo o acesso SSH deve ser permitido por meio de um intermediário, como o Azure Bastion, para reduzir o impacto de um vazamento de chave privada. Desative o acesso direto à senha e use uma solução alternativa sem senha.
Requisito 8.3
Proteja todo o acesso administrativo individual não console e todo o acesso remoto ao CDE usando autenticação multifator. Nota: A autenticação multifator requer que pelo menos dois dos três métodos de autenticação (consulte o Requisito 8.2 para obter descrições dos métodos de autenticação) sejam usados para autenticação. Usar um fator duas vezes (por exemplo, usar duas senhas separadas) não é considerado autenticação multifator.
As suas responsabilidades
Use políticas de acesso condicional para impor a autenticação multifator, especificamente em contas administrativas. Essas políticas são recomendadas em várias funções internas. Aplique essas políticas a grupos do Microsoft Entra mapeados para funções do Kubernetes com alto privilégio.
Esta política pode ser reforçada com políticas adicionais. Seguem-se alguns exemplos:
- Você pode restringir a autenticação a dispositivos gerenciados pelo locatário do Microsoft Entra.
- Se o acesso for originado de uma rede fora da rede de cluster, você poderá impor a autenticação multifator.
Para obter mais informações, consulte:
- Acesso Condicional: Exigir a MFA aos administradores
- Como: Exigir dispositivos gerenciados para acesso a aplicativos na nuvem com acesso condicional
- Como: Exigir MFA para acesso de redes não confiáveis com acesso condicional
Requisito 8.4
Documentar e comunicar procedimentos e políticas e procedimentos de autenticação a todos os utilizadores, incluindo:
- Orientação sobre como selecionar credenciais de autenticação forte
- Orientações sobre como os usuários devem proteger suas credenciais de autenticação
- Instruções para não reutilizar palavras-passe utilizadas anteriormente
- Instruções para alterar senhas se houver alguma suspeita de que a senha pode ser comprometida.
As suas responsabilidades
Manter a documentação sobre as políticas aplicadas. Como parte de seu treinamento de integração de identidade, forneça orientação para procedimentos de redefinição de senha e práticas recomendadas organizacionais sobre proteção de ativos.
Requisito 8.5
Não use IDs de grupo, compartilhadas ou genéricas, senhas ou outros métodos de autenticação da seguinte maneira:
- Os IDs de utilizador genéricos são desativados ou removidos.
- IDs de usuário compartilhados não existem para administração do sistema e outras funções críticas.
- IDs de usuário compartilhados e genéricos não são usados para administrar nenhum componente do sistema.
As suas responsabilidades
Não compartilhe ou reutilize identidades para partes funcionalmente diferentes do cluster ou pods. Por exemplo, não use uma conta de equipe para acessar dados ou recursos de cluster. Verifique se a documentação de identidade é clara sobre não usar contas compartilhadas.
Desative os usuários raiz no CDE. Desative o uso de contas locais do Kubernetes para que os usuários não possam usar o acesso interno --admin a clusters dentro do CDE.
Requisito 8.6
Quando forem utilizados outros mecanismos de autenticação (por exemplo, fichas de segurança físicas ou lógicas, cartões inteligentes, certificados, etc.), a utilização desses mecanismos deve ser atribuída do seguinte modo:
- Os mecanismos de autenticação devem ser atribuídos a uma conta individual e não compartilhados entre várias contas.
- Devem existir controlos físicos e/ou lógicos para garantir que apenas a conta pretendida pode utilizar esse mecanismo para obter acesso.
As suas responsabilidades
Certifique-se de que todo o acesso ao CDE seja fornecido em identidades por usuário, e isso seja estendido a quaisquer tokens físicos ou virtuais. Isso inclui qualquer acesso VPN à rede CDE, garantindo que o acesso corporativo ponto a site (se houver) use certificados por usuário como parte desse fluxo de autenticação.
Requisito 8.7
Todo o acesso a qualquer banco de dados que contenha dados do titular do cartão (incluindo o acesso por aplicativos, administradores e todos os outros usuários) é restrito da seguinte forma:
- Todos os acessos, consultas de usuários e ações de usuários em bancos de dados são feitos por meio de métodos programáticos.
- Somente os administradores de banco de dados têm a capacidade de acessar ou consultar bancos de dados diretamente.
- As IDs de aplicativo para aplicativos de banco de dados só podem ser usadas pelos aplicativos (e não por usuários individuais ou outros processos que não sejam aplicativos).
As suas responsabilidades
Forneça acesso com base em funções e responsabilidades. As pessoas podem usar a sua identidade, mas o acesso deve ser restringido com base na necessidade de conhecimento, com permissões permanentes mínimas. As pessoas nunca devem usar identidades de aplicativos e as identidades de acesso ao banco de dados nunca devem ser compartilhadas.
Se possível, acesse o banco de dados de aplicativos por meio da identidade gerenciada. Caso contrário, limite a exposição a cadeias de conexão e credenciais. Use segredos do Kubernetes para armazenar informações confidenciais em vez de mantê-las em locais onde elas são facilmente descobertas, como a definição de pod. Outra maneira é armazenar e carregar segredos de e para um repositório gerenciado, como o Azure Key Vault. Com as identidades gerenciadas habilitadas em um cluster AKS, ele precisa se autenticar no Cofre da Chave para obter acesso.
Requisito 8.8
Certifique-se de que as políticas de segurança e os procedimentos operacionais para identificação e autenticação estejam documentados, em uso e conhecidos por todas as partes afetadas.
As suas responsabilidades
É fundamental que você mantenha uma documentação completa sobre os processos e políticas. Manter a documentação sobre as políticas aplicadas. Como parte de seu treinamento de integração de identidade, forneça orientação para procedimentos de redefinição de senha e práticas recomendadas organizacionais sobre proteção de ativos. As pessoas que operam ambientes regulamentados devem ser educadas, informadas e incentivadas a apoiar as garantias de segurança. Isto é particularmente importante para as pessoas que fazem parte do processo de aprovação do ponto de vista político.
Requisito 9 — Restringir o acesso físico aos dados do titular do cartão
Suporte ao recurso AKS
Não existem quaisquer funcionalidades AKS aplicáveis a este requisito.
As suas responsabilidades
Essa arquitetura e a implementação não foram projetadas para fornecer controles sobre o acesso físico a recursos locais ou datacenters. Para obter considerações, consulte as orientações no padrão oficial PCI-DSS 3.2.1.
Aqui estão algumas sugestões para a aplicação de controles técnicos:
Ajuste os tempos limite da sessão em qualquer acesso ao console administrativo, como caixas de salto no CDE, para minimizar o acesso.
Ajuste as políticas de acesso condicional para minimizar o TTL nos tokens de acesso do Azure a partir de pontos de acesso, como o portal do Azure. Para obter informações, consulte estes artigos:
Para CDE hospedado na nuvem, não há responsabilidades pelo gerenciamento de acesso físico e hardware. Confie nos controles físicos e lógicos da rede corporativa.
Minimize a exportação de backups CHD para destinos locais. Use soluções hospedadas no Azure para limitar o acesso físico a backups.
Minimize os backups no local. Se isso for necessário, esteja ciente de que o destino local estará no escopo da auditoria.
Próximos passos
Rastreie e monitore todo o acesso aos recursos da rede e aos dados do titular do cartão. Testar regularmente sistemas e processos de segurança.