Den här artikeln beskriver övervägandena för ett AkS-kluster (Azure Kubernetes Service) som har konfigurerats i enlighet med Payment Card Industry Data Security Standard (PCI-DSS 3.2.1).
Underhålla en informationssäkerhetsprincip
Krav 12 – Upprätthålla en princip som hanterar informationssäkerhet för all personal
Microsoft slutförde en årlig PCI DSS-utvärdering med hjälp av en godkänd kvalificerad säkerhetsbedömare (QSA). Ta hänsyn till alla aspekter av infrastruktur, utveckling, drift, hantering, support och omfångstjänster. Mer information finns i Payment Card Industry (PCI) Data Security Standard (DSS).
Den här arkitekturen och implementeringen är inte utformade för att ge illustrativ vägledning för att dokumentera den officiella säkerhetsprincipen från slutpunkt till slutpunkt. Överväganden finns i vägledningen i den officiella PCI-DSS 3.2.1-standarden.
Här följer några allmänna förslag:
Underhåll noggrann och uppdaterad dokumentation om processen och principerna. Överväg att använda Microsoft Purview Compliance Manager för att bedöma din risk.
I den årliga granskningen av säkerhetspolicyn innehåller du ny vägledning från Microsoft, Kubernetes och andra lösningar från tredje part som ingår i din CDE. Vissa resurser inkluderar leverantörspublikationer i kombination med vägledning som härleds från Microsoft Defender för molnet, Azure Advisor, Azure Well-Architected Review och uppdateringar i AKS Azure Security Baseline och CIS Azure Kubernetes Service Benchmark och andra.
När du upprättar riskbedömningsprocessen följer du en publicerad standard där det är praktiskt, till exempel NIST SP 800-53. Mappa publikationer från leverantörens publicerade säkerhetslista, till exempel guiden Microsoft Security Response Center, till riskbedömningsprocessen.
Håll uppdaterad information om enhetsinventering och dokumentation om personalåtkomst. Överväg att använda funktionen för enhetsidentifiering som ingår i Microsoft Defender för Endpoint. För spårningsåtkomst kan du härleda den informationen från Microsoft Entra-loggar. Här följer några artiklar som hjälper dig att komma igång:
Som en del av inventeringshanteringen ska du ha en lista över godkända lösningar som distribuerats som en del av PCI-infrastrukturen och arbetsbelastningen. Detta inkluderar en lista över VM-avbildningar, databaser, lösningar från tredje part som du väljer att använda för CDE. Du kan till och med automatisera processen genom att skapa en tjänstkatalog. Den tillhandahåller självbetjäningsdistribution med hjälp av de godkända lösningarna i en specifik konfiguration, som följer pågående plattformsåtgärder. Mer information finns i Upprätta en tjänstkatalog.
Kontrollera att en säkerhetskontakt tar emot Azure-incidentmeddelanden från Microsoft.
De här meddelandena anger om resursen har komprometterats. På så sätt kan ditt säkerhetsteam snabbt reagera på potentiella säkerhetsrisker och åtgärda dem. Se till att administratörskontaktinformationen i Azure-registreringsportalen innehåller kontaktinformation som meddelar säkerhetsåtgärder direkt eller snabbt via en intern process. Mer information finns i Säkerhetsåtgärdsmodell.
Här är andra artiklar som hjälper dig att planera driftefterlevnad.