共用方式為


Azure Stack HCI 和 PCI DSS

本文說明 Microsoft Azure Stack HCI 安全性功能如何協助付款卡產業的組織達到 PCI DSS 的安全性控制需求,同時在雲端和其內部部署環境中。

PCI DSS

付款卡產業 (PCI) Data Security Standard (DSS) 是一種全域資訊安全性標準,其設計目的是透過提高信用卡數據的控制權來防止詐騙。 PCI DSS是由付款卡品牌所授權,並由付款卡產業安全性標準委員會管理。

儲存、處理或傳輸持卡人數據 (CHD) 的任何組織都需要符合 PCI DSS。 受PCI DSS合規性約束的組織包括 (,但不限於) 商家、付款處理器、簽發者、取得者和服務提供者。

PCI安全性標準委員會文檔庫深入了解標準。

共同責任

請務必瞭解PCI DSS不只是技術和產品標準,也涵蓋人員和程式的安全性需求。 合規性的責任會以涵蓋的實體與您 Microsoft 作為服務提供者共用。

Microsoft 客戶

身為涵蓋的實體,您必須負責達成和管理您自己的PCI DSS 憑證。 組織需要評估其不同的環境,特別是裝載服務付款或付款相關工作負載的元件,其中持卡人數據會儲存、處理和/或傳輸。 這稱為 (CDE) 的持卡人數據環境。 之後,組織必須規劃並實作適當的安全性控制、原則和程式,才能完成所有指定的需求,再進行官方測試程式。 組織最終會與合格安全性評估人員 (QSA) 合約,以驗證環境是否符合所有需求。

Microsoft

雖然您必須負責維護PCI DSS標準的合規性,但您並非單獨在旅程中。 Microsoft 提供混合式環境的補充數據和安全性功能,以協助您減少完成PCI DSS驗證的相關工作和成本。 例如,您的評估人員可以使用 Azure 中部署的持卡人數據環境部分,使用合規性 (AOC) Azure 證明,而不是從頭開始測試所有專案。 深入瞭解下列內容。

Azure Stack HCI 合規性

在設計和建置 Azure Stack HCI 時,Microsoft 會考慮 Microsoft 雲端和客戶內部部署環境的安全性需求。

連線的雲端服務

Azure Stack HCI 提供與各種 Azure 服務的深入整合,例如 Azure 監視器、Azure 備份 和 Azure Site Recovery,將新功能帶入混合式設定。 這些雲端服務在服務提供者層級 1 的 PCI DSS 4.0 版下認證為符合規範。 在 PCI DSS – Azure 合規性中深入瞭解 Azure 雲端服務的合規性計劃。

重要

請務必注意,Azure PCI DSS 合規性狀態不會自動轉譯為組織在 Azure 平臺上建置或裝載之服務的 PCI DSS 驗證。 客戶須負責確保其組織符合PCI DSS需求。

內部部署解決方案

作為內部部署解決方案,Azure Stack HCI 提供一系列功能,可協助組織符合PCI DSS和其他金融服務的安全性標準。

與 PCI DSS 相關的 Azure Stack HCI 功能

本節簡要說明組織如何使用 Azure Stack HCI 功能來符合 PCI DSS 的需求。 請務必注意,PCI DSS 需求適用於包含在或連線到持卡人數據環境的所有系統元件, (CDE) 。 下列內容著重於 Azure Stack HCI 平臺層級,其中裝載包含持卡人數據的服務付款或付款相關工作負載。

需求 1:安裝和維護網路安全性控制

透過 Azure Stack HCI,您可以套用網路安全性控制,以保護您的平臺和其上執行的工作負載,避免外部和內部的網路威脅。 平臺也保證主機上的公平網路配置,並透過負載平衡功能改善工作負載效能和可用性。 在下列文章中深入瞭解 Azure Stack HCI 中的網路安全性。

需求 2:將安全設定套用至所有系統元件

依默認保護

根據預設,Azure Stack HCI 會使用安全性工具和技術安全地設定,以防範新式威脅,並符合 Azure 計算安全性基準。 如需詳細資訊 ,請參閱 Azure Stack HCI 的安全性基準設定

漂移保護

平臺的預設安全性組態和安全核心設定會在部署和運行時間受到保護,並受到 漂移控制 保護。 啟用時,漂移控制保護會每隔 90 分鐘定期重新整理安全性設定,以確保已修復來自指定狀態的任何變更。 此持續監視和自動修復可讓您在整個裝置生命週期中擁有一致且可靠的安全性設定。 當您設定安全性設定時,您可以在部署期間停用漂移保護。

工作負載的安全性基準

針對在 Azure Stack HCI 平臺上執行的工作負載,您可以使用 適用於 WindowsLinux) 的 Azure 建議操作系統基準 (作為基準,以定義計算資源設定基準。

需求3:保護預存帳戶數據

使用 BitLocker 加密數據

在 Azure Stack HCI 叢集上,所有待用數據都可以透過 BitLocker XTS-AES 256 位加密進行加密。 根據預設,系統會建議您啟用 BitLocker,以加密 Azure Stack HCI 部署中所有操作系統 (操作系統) 磁碟區和叢集共用磁碟區 (CSV) 。 針對部署之後新增的任何新記憶體磁碟區,您必須手動開啟 BitLocker 來加密新的記憶體磁碟區。 使用 BitLocker 來保護數據可協助組織符合 ISO/IEC 27001 的規範。 若要深入瞭解,請參閱 使用 BitLocker 搭配叢集共用磁碟區 (CSV)

需求 4:透過開放式公用網路在傳輸期間使用強式密碼編譯來保護持卡人數據

使用 TLS/DTLS 保護外部網路流量

根據預設,所有本機和遠端端點的主機通訊都會使用 TLS1.2、TLS1.3 和 DTLS 1.2 進行加密。 平臺會停用舊版通訊協定/哈希的使用,例如 TLS/DTLS 1.1 SMB1。 Azure Stack HCI 也支持強式加密套件,例如只限於 NIST 曲線 P-256 和 P-384 的 SDL 相容橢圓曲線。

需求 5:保護所有系統和網路免於惡意軟體

Windows Defender 防毒軟體

Windows Defender 防病毒軟體是一種公用程式應用程式,可強制執行即時系統掃描和定期掃描,以保護平臺和工作負載免於病毒、惡意代碼、間諜軟體和其他威脅。 根據預設,Microsoft Defender Azure Stack HCI 上啟用防病毒軟體。 Microsoft 建議搭配 Azure Stack HCI 使用 Microsoft Defender 防病毒軟體,而不是第三方防病毒軟體和惡意代碼偵測軟體和服務,因為它們可能會影響操作系統接收更新的能力。 若要深入瞭解,請參閱 Windows Server 上的 Microsoft Defender 防病毒軟體

Windows Defender 應用程式控制 (WDAC)

Windows Defender 應用程控 (WDAC) 預設會在 Azure Stack HCI 上啟用,以控制允許在每部伺服器上直接執行哪些驅動程式和應用程式,協助防止惡意代碼存取系統。 深入瞭解 Azure Stack HCI 中包含的基底原則,以及如何在 Azure Stack HCI 的應用程式控制 Windows Defender 建立補充原則。

適用於雲端的 Microsoft Defender

Microsoft Defender 透過伺服器方案啟用 Endpoint Protection 的雲端 (,) 提供具有進階威脅防護功能的安全性狀態管理解決方案。 它提供您工具來評估基礎結構的安全性狀態、保護工作負載、引發安全性警示,並遵循特定建議來補救攻擊並解決未來的威脅。 它會透過使用 Azure 服務自動布建和保護,以高速在雲端中執行所有這些服務,而不需要部署額外負荷。 如需詳細資訊,請參閱雲端 Microsoft Defender

需求 6:開發和維護安全系統和軟體

平台更新

Azure Stack HCI 平臺的所有元件,包括作業系統、核心代理程式和服務,以及解決方案擴充功能,都可以使用生命週期管理員輕鬆維護。 這項功能可讓您將不同的元件組合到更新版本,並驗證版本的組合,以確保互操作性。 如需詳細資訊 ,請參閱 Azure Stack HCI 解決方案更新的生命週期管理員

工作負載更新

針對在 Azure Stack HCI 平臺之上執行的工作負載,包括 Azure Kubernetes Service (AKS) 混合式、Azure Arc 和基礎結構虛擬機 (VM) 未整合到生命週期管理員中,請遵循使用生命週期管理員中說明的方法進行更新,使其保持更新並符合 PCI DSS 需求。

需求 7:依業務需求限制系統元件和持卡人數據的存取權

您必須根據組織的商務需求來識別角色及其存取需求,然後根據工作責任指派許可權,確保只有授權的人員可以存取敏感數據和數據。 使用 需求 8:識別使用者及驗證系統元件的存取 權,以實作您的原則和程式中所述的功能。

需求 8:識別使用者並驗證系統元件的存取權

Azure Stack HCI 平臺透過多個介面,透過 Azure Arc 和 Windows PowerShell 等介面,提供對叢集節點上執行的基礎系統完整且直接的存取權。 您可以在本機環境或雲端式解決方案中使用傳統 Windows 工具,例如先前 Microsoft Entra ID (Azure Active Directory) 來管理身分識別和存取平臺。 在這兩種情況下,您可以利用內建的安全性功能,例如多重要素驗證 (MFA) 、條件式存取、角色型訪問控制 (RBAC) ,以及特殊許可權身分識別管理 (PIM) ,以確保您的環境安全且符合規範。

如需深入瞭解本機身分識別和存取管理,請參閱 Microsoft Identity ManagerPrivileged Access Management for Active Directory 網域服務。 在 Microsoft Entra ID 深入瞭解雲端式身分識別和存取管理。

需求9:限制持卡人數據的實體存取

針對內部部署環境,請確定實體安全性與 Azure Stack HCI 平臺的值及其所包含的數據相符合。

需求 10:記錄和監視系統元件和持卡人數據的所有存取權

本機系統記錄

根據預設,系統會記錄在 Azure Stack HCI 平臺內執行的所有作業,以便追蹤在平臺上執行什麼、時間和位置的人員。 也包含 Windows Defender 所建立的記錄和警示,以協助您防止、偵測及最小化數據入侵的可能性和影響。 不過,由於系統記錄檔通常包含大量的資訊,因此大部分資訊都與資訊安全性監視無關,因此您必須識別哪些事件與收集及用於安全性監視用途相關。 Azure 監視功能有助於收集、儲存、警示和分析這些記錄。 若要深入瞭解,請參閱 Azure Stack HCI 的安全性基準

本機活動記錄

Azure Stack HCI 生命週期管理員會針對執行的任何動作計劃建立及儲存活動記錄。 這些記錄支援更深入的調查和合規性監視。

雲端活動記錄

藉由向 Azure 註冊您的叢集,您可以使用 Azure 監視器活動記錄 來記錄訂用帳戶層每個資源上的作業,以判斷 (放置、張貼或刪除) 訂用帳戶中資源所採取之任何寫入作業、對象和時間。

雲端身分識別記錄

如果您使用 Microsoft Entra ID 來管理身分識別和存取平臺,您可以在 Azure AD 報告中檢視記錄,或將它們與 Azure 監視器、Microsoft Sentinel 或其他 SIEM/監視工具整合,以取得複雜的監視和分析使用案例。 如果您使用 內部部署的 Active Directory,請使用 適用於身分識別的 Microsoft Defender 解決方案來取用您的 內部部署的 Active Directory 訊號,以識別、偵測及調查貴組織的進階威脅、遭入侵的身分識別和惡意內部動作.

SIEM 整合

適用於雲端和 Microsoft Sentinel 的 Microsoft Defender 與已啟用 Arc 的 Azure Stack HCI 節點原生整合。 您可以啟用記錄並將其上線至 Microsoft Sentinel,其提供安全性資訊事件管理 (SIEM) 和安全性協調流程自動化回應 (SOAR) 功能。 Microsoft Sentinel 與其他 Azure 雲端服務一樣,符合許多妥善建立的安全性標準,例如 PCI DSS、HITRUST 和 FedRAMP 授權,可協助您進行認證程式。 此外,Azure Stack HCI 提供原生 syslog 事件轉寄站,以將系統事件傳送給第三方 SIEM 解決方案。

Azure Stack HCI Insights

Azure Stack HCI Insights 可讓您監視連線至 Azure 且已註冊監視之叢集的健康情況、效能和使用方式資訊。 在 Insights 設定期間,會建立數據收集規則,以指定要收集的數據。 此數據會儲存在Log Analytics工作區中,然後匯總、篩選和分析,以使用 Azure 活頁簿提供預先建置的監視儀錶板。 您可以從 Azure Stack HCI 資源頁面或 Azure 監視器檢視單一叢集或多個叢集的監視數據。 若要深入瞭解,請參閱 使用深入解析監視 Azure Stack HCI

Azure Stack HCI 計量

計量會將受監視資源的數值數據儲存到時間序列資料庫。 您可以使用 Azure 監視器計量總 管,以互動方式分析計量資料庫中的數據,並在一段時間內繪製多個計量的值。 您可以使用計量,從計量值建立圖表,並以可視化方式將趨勢相互關聯。

記錄警示

若要即時指出問題,您可以使用現有的範例記錄查詢來設定 Azure Stack HCI 系統的警示,例如平均伺服器 CPU、可用的記憶體、可用的磁碟區容量等等。 若要深入瞭解,請參閱 設定 Azure Stack HCI 系統的警示

度量警示

計量警示規則會定期評估資源計量的條件,以監視資源。 如果符合條件,即會引發警示。 計量時間序列是一段時間內所擷取的一系列計量值。 您可以使用這些計量來建立警示規則。 深入瞭解如何在 計量警示中建立計量警示

服務和裝置警示

Azure Stack HCI 提供連線能力、OS 更新、Azure 設定等服務型警示。 叢集健康情況錯誤的裝置型警示也可供使用。 您也可以使用 PowerShell健全狀況服務來監視 Azure Stack HCI 叢集及其基礎元件。

需求 11:定期測試系統和網路的安全性

除了自行執行頻繁的安全性評估和滲透測試之外,您也可以使用 Microsoft Defender for Cloud 來評估雲端和內部部署中混合式工作負載的安全性狀態,包括已啟用 Arc 的虛擬機、容器映像和 SQL Server。

需求 12:支援組織原則和計劃的資訊安全性

您必須負責維護資訊安全策略和活動,以建立組織安全性計劃並保護您的持卡人數據環境。 Azure 服務所提供的自動化功能,例如 Microsoft Entra ID,以及 PCI DSS 法規合規性內建方案詳細數據中共用的資訊,可協助您減少管理這些原則和程式的麻煩。