本文說明根據支付卡產業數據安全性標準 (PCI-DSS 3.2.1) 所設定的 Azure Kubernetes Service (AKS) 叢集的考慮。
本文是一系列文章的一部分。 閱讀簡介。
如同任何雲端解決方案,PCI 工作負載受限於網路、身分識別和數據威脅。 利用工作負載和系統弱點的來源常見範例是產生不想要結果的病毒或軟體更新。 儘早偵測威脅,並及時回應風險降低。 建置工作負載活動的重要警示,並將這些警示延伸至核心系統進程。 防病毒軟體或檔案完整性監視 (FIM) 工具 必須 一律執行。 擁有負責的回應計劃,以及調查警示並採取動作的小組。
重要
指導方針和隨附的實作建置在 AKS 基準架構上。 以中樞和輪輻拓撲為基礎的架構。 中樞虛擬網路包含用來控制輸出流量的防火牆、來自內部部署網路的閘道流量,以及維護的第三個網路。 輪輻虛擬網路包含 AKS 叢集,可提供持卡人數據環境 (CDE) 並裝載 PCI DSS 工作負載。
GitHub:適用於受管制工作負載的 Azure Kubernetes Service (AKS) 基準叢集示範受管制的基礎結構。 實作說明在架構和開發生命週期的各個階段設定安全性工具。 這包括自備叢集內安全性代理程式和 Azure 提供的安全性工具範例,例如 適用於雲端的 Microsoft Defender。
維護弱點管理計劃
需求 5 — 保護所有系統抵禦惡意代碼,並定期更新防病毒軟體或程式
AKS 功能支援
AKS 的行為不像傳統應用程式主機。 AKS 叢集中的節點 VM 暴露程度有限,且設計為無法直接存取。 因為節點 VM 不等於傳統 VM,因此您無法使用一般 VM 工具。 因此,本節中的建議會透過原生 Kubernetes 建構來套用。 直接在 VM 層級套用這些需求可能會導致您的叢集無法支援。
您必須在 DaemonSets 中部署您選擇的反惡意程式碼軟體,以在每個節點上的 Pod 中執行。
您的責任
請確定軟體是專用於 Kubernetes 和容器。 有數個第三方軟體選項。 熱門選擇包括 Prisma Cloud 和 Aquasec。 也有開放原始碼選項,例如 Falco。 您必須負責確定有程式可供使用,以確保第三方軟體是最新的。 此外,監視和警示解決方案是您的責任。
| 需求 | 責任 |
|---|---|
| 需求5.1 | 在所有通常受到惡意軟體(特別是個人計算機和伺服器)影響的系統上部署防病毒軟體。 |
| 需求5.2 | 請確定所有防毒機制都維持如下: |
| 需求5.3 | 請確定防病毒軟體機制正在主動執行,且使用者無法停用或改變,除非在有限時間內由管理特別授權。 |
| 需求5.4 | 請確定保護系統免受惡意代碼攻擊的安全策略和操作程序記載、使用中,以及所有受影響的合作物件都知道。 |
需求 6 — 開發和維護安全系統和應用程式
AKS 功能支援
與其他 Azure 服務一樣,AKS 會遵循 Microsoft SDL(安全性開發生命週期)程式,在整個開發程式階段提供安全性。 從開發初期開始掃描各種元件,並儘早涵蓋安全性缺口。
AKS 映像遵循 FedRAMP SLA 方法,這需要在 30 天內修補映像中的弱點。 若要強制執行這項需求,所有映像都會透過DevSecOps管線進行清理。
每周,AKS 會提供節點集區的新映像。 您必須負責套用它們,以確保修補和更新 虛擬機器擴展集 背景工作節點。 如需詳細資訊,請參閱 Azure Kubernetes Service (AKS) 節點映射升級。
針對 AKS 控制平面,AKS 會安裝或升級安全性修補程式。 每24小時更新一次。
AKS 控制平面和背景工作節點會針對因特網安全性中心 (CIS) 強化。 特別是 AKS CIS、Ubuntu CIS 和 Windows CIS。
AKS 與 Azure Container Registry (ACR) 整合。 在 適用於雲端的 Microsoft Defender 中使用 ACR 搭配連續掃描功能,以識別各種風險層級的易受攻擊的影像和應用程式。 如需映像掃描和風險控制的相關信息,請參閱 適用於容器的 Microsoft Defender。
您的責任
| 需求 | 責任 |
|---|---|
| 需求 6.1 | 建立程式以識別安全性弱點,使用信譽良好的外部來源提供安全性弱點資訊,並將風險排名指派給新探索到的安全性弱點,例如「高」、「中」或「低」。 |
| 需求 6.2 | 安裝適用的廠商提供的安全性修補程式,以確保所有系統元件和軟體都受到保護,以免遭受已知的弱點。 在發行一個月內安裝重要的安全性修補程式。 |
| 需求 6.3 | 安全地開發內部和外部軟體應用程式(包括 Web 型應用程式的系統管理存取權)。 |
| 需求 6.4 | 請遵循變更控制程式和程式,以取得系統元件的所有變更。 |
| 需求 6.5 | 解決軟體開發程式中常見的編碼弱點。 |
| 需求 6.6 | 針對公開的 Web 應用程式,請持續解決新的威脅和弱點,並確保這些應用程式受到保護,以免遭受已知的攻擊。 |
| 需求 6.7 | 請確定開發和維護安全系統和應用程式的安全策略和作業程式已記錄、使用中,以及所有受影響的合作物件都知道。 |
需求5.1
在所有通常受到惡意軟體影響的系統上部署防病毒軟體,特別是個人計算機和伺服器。
您的責任
您有責任選擇適當的反惡意代碼軟體來保護工作負載、基礎結構和部署管線。
由於 AKS 節點 VM 的存取受到限制,因此請在可將惡意代碼插入節點 VM 的層級保護系統。 在叢集節點、容器映像和運行時間互動中包含偵測和預防,以及與 Kubernetes API 伺服器互動。 除了叢集之外,保護這些與叢集互動的元件,而且可以透過傳統方式安裝防病毒軟體:
- 跳躍方塊
- 組建代理程式
將您的掃描活動與 安全性開發週期 (SDL) 對齊。 遵循SDL可確保在開發初期開始掃描架構的各種元件,並儘早涵蓋安全性缺口。
需求5.1.1
讓防病毒軟體程式能夠偵測、移除和保護所有已知類型的惡意軟體。
您的責任
瞭解每個軟體供應專案的功能集,以及其可執行的掃描深度。 軟體應封鎖常見的威脅並監視新的威脅。 確定軟體已定期更新、測試及取代,如果發現該軟體不適合的話。 請考慮由信譽良好的廠商所開發的軟體。
偵測叢集弱點的監視工具。
在 AKS 中,您無法直接在節點 VM 上執行傳統代理程式型 VM 解決方案。 您必須在 DaemonSets 中部署反惡意程式碼軟體,以在每個節點上的 Pod 中執行。
選擇在 Kubernetes 和容器中特製化的軟體。 有數個第三方軟體選項。 熱門選擇包括 Prisma Cloud 和 Aquasec。 也有開放原始碼選項,例如 Falco。
部署時,他們會在叢集中以代理程式的形式執行,以掃描所有使用者和系統節點集區。 雖然 AKS 會為其運行時間系統二進位檔使用系統節點集區,但基礎計算仍是您的責任。
執行代理程式的目的是偵測不尋常的叢集活動。 例如,應用程式是否嘗試呼叫 API 伺服器? 某些解決方案會產生 Pod 之間的 API 呼叫記錄、產生報告,以及產生警示。 請務必檢閱這些記錄,並採取必要的動作。
在啟動叢集之後立即安裝安全性代理程式,以將叢集與 AKS 資源部署之間的未受監視差距降到最低。
安全性代理程式會以高許可權執行,而且會掃描叢集上執行的所有專案,而不只是工作負載。 它們不得成為數據外洩來源。 此外,容器常見的供應鏈攻擊。 使用深度防禦策略,並確定軟體與所有相依性都受信任。
也請在參與叢集作業的外部資產上執行防病毒軟體。 一些範例包括跳躍方塊、建置代理程式和與叢集互動的容器映像。
當代理程序掃描時,它不應該封鎖或干擾叢集的重要作業,例如鎖定檔案。 設定錯誤可能會導致穩定性問題,而且可能會使叢集無法支援。
重要
參考實作提供佔位元
DaemonSet部署來執行反惡意代碼代理程式。 代理程式會在叢集中的每個節點 VM 上執行。 在此部署中,選擇反惡意代碼軟體。維護容器安全性。 在管線中執行容器掃描工具,以偵測可能通過容器映像的威脅,例如 適用於容器的 Microsoft Defender 中的 CI/CD 弱點掃描。 第三方選擇包括特裡維和克雷爾。 當您建置映射時,請一律努力尋找無散發影像。 這些映射只會包含基底 Linux 映射中的基本二進位檔,並減少攻擊的介面區。 使用持續掃描解決方案,例如 適用於容器 的 Microsoft Defender 中的弱點評估,以持續掃描存放庫中已待用的映像。
需求5.1.2
對於通常不是以惡意軟體為目標或受惡意軟體影響的系統,請執行定期評估來識別和評估不斷演變的惡意代碼威脅,以確認它們是否繼續不需要防病毒軟體。
您的責任
常見的弱點可能會影響叢集外部的元件。 從 Azure 平台監看 CVE 和其他安全性警示,以追蹤安全性弱點。 檢查 Azure 更新是否有可偵測弱點的新功能,並在 Azure 裝載的服務上執行防毒解決方案。
例如,Blob 記憶體應該有惡意代碼信譽檢測,以偵測可疑上傳。 適用於 儲存體 的 Microsoft Defender 新功能包括惡意代碼信譽檢測。 此外,請考慮這類服務是否需要防毒解決方案。
需求5.2
請確定所有防毒機制都維持如下:
- 保持最新狀態,
- 執行定期掃描
- 產生稽核記錄,這些記錄會根據PCI DSS需求10.7保留。
您的責任
- 使用最新版本的防病毒軟體,確定叢集受到保護,以防止新的攻擊。 有兩種類型的更新需要考慮:
- 防病毒軟體必須跟上最新的功能更新。 其中一種方式是將更新排程為平臺更新的一部分。
- 必須儘快套用安全性情報更新,才能偵測及識別最新的威脅。 選擇自動更新。
- 驗證弱點掃描是否如排程執行。
- 保留掃描所產生的記錄,指出狀況良好且狀況不良的元件。 建議的保留期限是在需求 10.7 中提供,也就是一年。
- 有一個程式可分級並補救偵測到的問題。
如需如何套用 Microsoft Defender 防病毒軟體更新的資訊,請參閱 管理 Microsoft Defender 防病毒軟體更新和套用基準。
需求5.3
防病毒軟體功能應該正在主動執行,且使用者無法停用或改變。 除非在有限時間內逐案授權管理。
您的責任
您必須負責設定安全性代理程式的監視和警示。 針對工作負載,以及核心系統進程建置重大警示。 代理程序 必須 一律執行。 回應反惡意代碼軟體所引發的警示。
- 保留掃描活動的記錄檔記錄。 請確定掃描程式不會記錄從磁碟或記憶體中擷取的任何持卡人數據。
- 設定可能導致合規性意外失效之活動的警示。 不應該不小心關閉警示。
- 限制修改代理程式部署的許可權(以及其他重要的安全性工具)。 將這些許可權與工作負載部署許可權分開。
- 如果安全性代理程式未如預期般執行,請勿部署工作負載。
需求5.4
確認保護系統防範惡意代碼的安全策略和操作程式已記載、使用及傳達給所有受影響的合作物件。
您的責任
請務必維護有關程式與原則的徹底檔,特別是用來保護系統之防毒解決方案的詳細數據。 包含資訊,例如在產品週期中維護安全性智慧更新的位置、掃描的頻率,以及實時掃描功能的相關信息。
具有儲存記錄的保留原則。 基於合規性目的,您可能想要有長期記憶體。
維護標準作業程序的相關文件,以評估及補救問題。 人員 管理環境的人員必須接受教育、通知和激勵,以支援安全性保證。 對於從原則觀點而言,屬於核准程式一部分的人員而言,這很重要。
需求 6.1
建立程式以識別安全性弱點,使用信譽良好的外部來源提供安全性弱點資訊,並將風險排名(例如,高、中或低)指派給新探索到的安全性弱點。
您的責任
讓行程檢查偵測到的弱點,並適當地排名。 適用於雲端的 Microsoft Defender 會顯示建議和警示、以資源類型和其嚴重性為基礎、環境。 大部分的警示都有 MITRE ATT&CK® 策略 ,可協助您了解終止鏈結意圖。 請確定您有補救計劃來調查並減輕問題。
在 AKS 中,您可以使用 Azure Container Registry 搭配連續掃描來識別各種風險層級的易受攻擊的映像和應用程式。 您可以在 適用於雲端的 Microsoft Defender 中檢視結果。
如需詳細資訊,請參閱 Container Registry。
需求 6.2
安裝適用的廠商提供的安全性修補程式,以確保所有系統元件和軟體都受到保護,以免遭受已知的弱點。 在發行一個月內安裝重要的安全性修補程式。
您的責任
若要防止來自第三方廠商的供應鏈攻擊,請確定所有相依性都受信任。 請務必選擇信譽良好且受信任的廠商。
每周,AKS 會提供節點集區的新映像。 這些影像不會自動套用。 一旦可供使用,請立即套用它們。 您可以透過節點映像更新手動或自動更新。 如需詳細資訊,請參閱 Azure Kubernetes Service (AKS) 節點映射升級
針對 AKS 控制平面,AKS 會安裝或升級安全性修補程式。
每 24 小時,AKS 節點會自動個別下載並安裝作業系統和安全性修補程式。 如果您想要接收這些更新,您的防火牆不得封鎖此流量。
請考慮在安全性代理程式上啟用報告功能,以取得已套用更新的相關信息。 某些安全性更新需要重新啟動。 請務必檢閱警示,並採取動作,以確保重新啟動應用程式的最低或零停機時間。 以受控方式執行重新啟動的開放原始碼選項是 Kured (Kubernetes 重新啟動精靈)。
將修補程式延伸至您布建的叢集外部資源,例如跳躍方塊和建置代理程式。
隨時掌握支援的 AKS 版本。 如果您的設計使用已達到生命周期結束的版本,請升級至目前的版本。 如需詳細資訊,請參閱 支援的 AKS 版本。
需求 6.3
安全地開發內部和外部軟體應用程式(包括 Web 型應用程式的系統管理存取權),如下所示:
- 根據 PCI DSS (例如,安全驗證和記錄)
- 根據業界標準和/或最佳做法。
- 在整個軟體開發生命週期中納入資訊安全性,適用於內部開發的所有軟體,包括第三方開發的定製或自定義軟體。
您的責任
在工作負載生命週期和作業中整合並排定安全性選擇的優先順序。
數個產業架構會對應至生命週期,例如 NIST 架構。 NIST 函式—識別、保護、偵測、回應和復原—為每個階段的預防性控制提供策略。
Microsoft SDL(安全性開發生命週期)在開發程式的各個階段提供安全性的最佳做法、工具和程式。 所有 Azure 服務都會遵循 Microsoft SDL 做法,包括 AKS。 我們也遵循操作雲端服務的作業安全性保證 (OSA) 架構。 請確定您有類似的程式。 這些做法會發佈,以協助您保護應用程式的安全。
需求 6.3.1
先移除開發、測試和/或自定義應用程式帳戶、使用者標識符和密碼,再讓應用程式變成作用中或發行給客戶。
您的責任
在叢集建立時,預設會建立多個本機 Kubernetes 使用者。 這些用戶無法稽核,因為它們不代表唯一的身分識別。 其中有些具有很高的許可權。 使用 AKS 的 [停用本機帳戶 ] 功能來停用這些使用者。
如需其他考慮,請參閱官方PCI-DSS 3.2.1標準中的指引。
需求 6.3.2
在發行至生產環境或客戶之前檢閱自定義程式代碼,以識別任何潛在的編碼弱點(使用手動或自動化程式),以包含下列專案:
- 程式代碼變更是由原始程式代碼作者以外的個人所檢閱,以及個人對於程式代碼檢閱技術和安全程式代碼撰寫做法的知識。
- 程式代碼檢閱可確保程式代碼是根據安全的程式代碼撰寫指導方針所開發
- 在發行之前會實作適當的更正。
- 程式代碼檢閱結果會在發行前由管理檢閱和核准。
您的責任
叢集中安裝的所有軟體都是從您的容器登錄來源。 類似於應用程式程式代碼,讓流程和人員仔細檢查 Azure 和第三方映射 (DockerFile 和 OCI)。 也:
開始從建立叢集的初始階段掃描容器映像。 讓掃描程式成為持續整合/持續部署管線的一部分。
請確定您的部署管線受到隔離,讓叢集啟動載入映像和工作負載都通過檢閱和/或隔離網關。 在將進程提取至叢集之前,保留其使用方式和使用方式的歷程記錄。
減少影像大小。 映像通常包含比所需專案更多的二進位檔。 減少影像大小不僅具有效能優點,也會限制受攻擊面。 例如,使用散發套件會將基底 Linux 映射降到最低。
使用靜態分析工具來驗證 Dockerfile 和指令清單的完整性。 第三方選項包括 Dockle 和 Trivy。
僅使用已簽署的映像。
瞭解 Azure 所提供的基底映射,以及其如何符合 CIS 基準檢驗。 如需詳細資訊,請參閱 因特網安全性中心 (CIS) 基準檢驗。
適用於雲端的 Microsoft Defender 中持續掃描的 Azure Container Registry 可協助識別易受攻擊的映射,以及它可能對工作負載構成的各種風險。 如需映像掃描和風險控制的詳細資訊,請參閱 容器安全性。
需求 6.4
請遵循變更控制程式和程式,以取得系統元件的所有變更。
您的責任
請確定您記錄變更控制程式,並根據這些程式設計部署管線。 包含其他程式,以偵測進程和實際管線未對齊的情況。
需求 6.4.1、6.4.2
- 將開發/測試環境與生產環境分開,並使用訪問控制來強制執行分隔。
- 區分開發/測試和生產環境之間的職責。
您的責任
維護個別的生產前環境和在這些環境中運作的角色。
請勿使用生產叢集進行開發/測試。 例如,請勿在生產叢集中安裝 Kubernetes 的網橋。 針對非生產工作負載使用專用叢集。
請確定您的生產環境不允許網路存取生產前環境,反之亦然。
請勿在生產階段前和生產環境中重複使用系統身分識別。
針對叢集管理員或管線主體等群組使用 Microsoft Entra 群組。 請勿使用一般化或通用群組作為訪問控制。 請勿在生產前和生產叢集之間重複使用這些群組。 其中一種方式是使用組名中的叢集名稱(或其他不透明標識符),以明確表示成員資格。
在環境之間適當地使用 Azure 角色型存取控制 (RBAC) 角色。 一般而言,在生產階段前環境指派更多角色和許可權。
僅限生產階段前身分識別(授與管線或軟體工程小組)不應在生產環境中獲得存取權。 相反地,任何僅限生產環境的身分識別(例如管線)不應該在生產階段前叢集中獲得存取權。
請勿針對生產階段前和生產環境中的任何資源使用相同的使用者受控識別。 此建議適用於支持使用者受控識別的所有資源,而不只是部署在叢集中的資源。 一般來說,需要身分識別的 Azure 資源應該有自己的不同身分識別,而不是與其他資源分享。
使用 Just-In-Time (JIT) 存取進行高許可權存取,包括盡可能在生產前叢集上使用。 在生產前和生產叢集上使用條件式存取原則。
需求 6.4.3
生產數據(即時 PAN)不會用於測試或開發。
您的責任
請確定 CHD 資料不會流入開發/測試環境。 有清楚的檔,提供將數據從生產環境移至開發/測試的程式。 拿掉實際數據必須包含在該程式中,並由責任方核准。
需求 6.4.4
在系統變成作用中/進入生產環境之前,從系統元件移除測試數據和帳戶。
您的責任
在部署到生產環境之前,請先移除系統中的預設組態數據、範例數據和已知測試數據。 請勿將持卡人數據用於測試目的。
需求 6.4.5
實作安全性修補程式和軟體修改的變更控制程式必須包含下列各項:
- 6.4.5.1 影響檔。
- 6.4.5.2 已記載授權各方的變更核准。
- 6.4.5.3 功能測試,以確認變更不會影響系統的安全性。
- 6.4.5.4 退出程式。
您的責任
這些指引點會對應至上述需求:
記錄因安全性修補程式和軟體修改而預期的基礎結構變更。 使用基礎結構即程序代碼 (IaC) 方法,該程式更容易。 例如,使用 Azure Resource Manager 範本(ARM 範本)進行部署,您可以使用假設作業預覽變更。 如需詳細資訊,請參閱 ARM範本部署基礎結構變更的假設作業 。
在您的部署管線中實作網關,以驗證對一般部署的變更核准。 記錄可能已略過閘道的緊急部署理由。
定義變更的層級和深度。 請確定小組同意重大變更的定義,而不是次要變更。 如果可行,請自動探索其中一些變更。 工作負載、基礎結構和管線的檢閱者必須清楚瞭解層級,並針對這些準則進行驗證。
測試安全性能供性。 請確定綜合交易正在測試安全性(允許和拒絕)考慮。 也請確定這些綜合測試是在生產前環境中執行。
如果安全性修正有非預期的結果,請進行備份程式。 常見的策略是使用藍色-綠色部署來部署先前的狀態。 針對工作負載,包括資料庫,具有適用於您特定拓撲的策略,且範圍限定於您的部署單位。
需求 6.5
解決軟體開發程式中常見的編碼弱點,如下所示:
- 至少每年訓練開發人員使用最新的安全編碼技術,包括如何避免常見的編碼弱點。
- 根據安全編碼指導方針開發應用程式。
您的責任
應用程式小組和作業小組必須接受教育、通知及激勵,以支援工作負載和基礎結構的掃描活動。 以下是一些資源:
需求 6.6
針對公開的 Web 應用程式,請持續解決新的威脅和弱點。 請確定這些應用程式受到下列任一方法的已知攻擊保護:
使用手動或自動化應用程式弱點安全性評估工具或方法,檢閱公開的Web應用程式。 至少每年及在任何變更之後執行弱點評估。
注意
此評估與作為需求 11.2 一部分執行的弱點掃描不同。
安裝可偵測並防止 Web 型攻擊的自動化解決方案。 例如,Web 應用程式防火牆。 在公開 Web 應用程式前面部署,並主動評估所有流量。
您的責任
請進行檢查,以偵測來自公用因特網的流量,方法是使用 Web 應用程式防火牆 (WAF)。 在此架構中,Azure 應用程式閘道 使用整合式 WAF 檢查所有連入流量。 WAF 是以 Open Web Application Security Project (OWASP) 的核心規則集 (CRS) 為基礎。 如果技術控件未就緒,請設定補償控件。 其中一種方式是透過手動程式代碼檢查。
請確定您使用的是最新版的規則集,並套用與您工作負載相關的規則。 規則應在預防模式中執行。 您可以新增 Azure 原則 實例來強制執行該需求,該實例會檢查 WAF 是否已啟用且正在該模式中運作。
保留 應用程式閘道 WAF 所產生的記錄,以取得所偵測到威脅的詳細數據。 視需要微調規則。
進行著重於應用程式程式代碼的滲透測試。 如此一來,不屬於應用程式小組的從業者會藉由收集資訊、分析弱點和報告,找出安全性缺口(例如 SQL 插入式和目錄周遊)。 在此練習中,從業者可能需要存取敏感數據。 若要確定意圖不會誤用,請遵循滲透測試參與規則中提供的指引。
需求 6.7
請確定開發和維護安全系統和應用程式的安全策略和操作程式已記載、使用中,以及所有受影響的合作物件都知道。
您的責任
請務必維護有關程序與原則的徹底檔。 您的小組應經過訓練,以在工作負載生命週期和作業中排定安全性選擇的優先順序。
Microsoft SDL 提供整個開發程式階段安全性的最佳做法、工具和程式。 在 Microsoft 建置軟體的方式中,嚴格遵循 Microsoft SDL 做法。 我們也遵循操作雲端服務的作業安全性保證 (OSA) 架構。 這些做法會發佈,以協助您保護應用程式的安全。
請保留完整的滲透測試檔,以描述所偵測問題的測試、分級程式和補救策略的範圍。 如果發生事件,請將需求 6 的評估納入根本原因分析的一部分。 如果偵測到間距(例如偵測到 OWASP 規則違規),請關閉這些間距。
在檔中,有關於預期 WAF 保護狀態的明確指導方針。
人員 誰是受監管的環境,必須接受教育、通知和激勵,以支援安全性保證。 對於從原則觀點而言,屬於核准程式一部分的人員而言,這很重要。
下一步
限制商務需要知道的持卡人數據存取。 識別並驗證系統元件的存取權。 限制持卡人數據的實體存取。