Freigeben über

Erweiterte mehrstufige Authentifizierung (MFA) für einen AKS-regulierten Cluster für PCI DSS 4.0.1

In diesem Artikel werden überlegungen zur erweiterten mehrstufigen Authentifizierung (MFA) für einen Azure Kubernetes Service (AKS)-Cluster beschrieben, der gemäß dem Payment Card Industry Data Security Standard (PCI DSS 4.0.1) konfiguriert ist.

Dieser Artikel ist Teil einer Serie. Die Einführung finden Sie hier.

PCI DSS 4.0.1 erweitert die MFA-Anforderungen für den gesamten Zugriff auf die Kartenhalterdatenumgebung (CDE) und den Cloud-Administratorzugriff erheblich. Bei dieser Architektur und Implementierung liegt der Schwerpunkt nicht auf der Workload, sondern auf der Infrastruktur. In diesem Artikel werden die allgemeinen Aspekte und die bewährten Methoden beschrieben, die Ihnen das Treffen von Entwurfsentscheidungen erleichtern. Befolgen Sie die Anforderungen in der offiziellen PCI-DSS 4.0.1 Standard, und verwenden Sie diesen Artikel gegebenenfalls als zusätzliche Informationen.

Von Bedeutung

Die Anleitungen und die begleitende Implementierung basieren auf der AKS-Basisarchitektur, die auf einer Hub-Spoke-Netzwerktopologie basiert. Das virtuelle Hub-Netzwerk umfasst die Firewall zum Steuern des ausgehenden Datenverkehrs, den Gatewaydatenverkehr aus lokalen Netzwerken und ein drittes Netzwerk für Wartungszwecke. Das virtuelle Spoke-Netzwerk enthält den AKS-Cluster, von dem die Karteninhaberumgebung (CDE) bereitgestellt und die PCI-DSS-Workload gehostet wird.

GitHub-Logoreferenzimplementierung in Kürze verfügbar: Der Azure Kubernetes Service (AKS)-Basiscluster für regulierte Workloads-Referenzimplementierung für PCI DSS 4.0.1 wird derzeit aktualisiert und wird in Kürze verfügbar sein. Diese Implementierung veranschaulicht eine regulierte Infrastruktur, die die Verwendung verschiedener Netzwerk- und Sicherheitskontrollen innerhalb Ihres CDE veranschaulicht. Dies umfasst sowohl native Netzwerksteuerungen von Azure als auch native Steuerungen von Kubernetes. Sie enthält auch eine Anwendung, um die Interaktionen zwischen der Umgebung und einer Beispielarbeitsauslastung zu veranschaulichen. In diesem Artikel liegt der Schwerpunkt auf der Infrastruktur. Die Stichprobe wird nicht auf einen tatsächlichen PCI-DSS 4.0.1-Workload hinweisen.

Einschränken des Zugriffs auf Kartenhalterdaten nach Geschäftsinformationen

Hinweis

Dieser Artikel wurde für PCI DSS 4.0.1 aktualisiert. Zu den wichtigsten Änderungen gehören erweiterte MFA-Anforderungen für den gesamten Zugriff auf das CDE, die erweiterte Authentifizierung für den Cloudadministratorzugriff und stärkere Kontrollen für privilegierten Zugriff. Stellen Sie sicher, dass Sie die offizielle PCI DSS 4.0.1-Dokumentation auf vollständige Details und zukünftige Anforderungen überprüfen.

Anforderung 8: Identifizieren und Authentifizieren des Zugriffs auf Systemkomponenten

Unterstützung von AKS-Features

AKS bietet mehrere Funktionen, die Ihnen dabei helfen, PCI DSS 4.0.1 MFA-Anforderungen zu erfüllen:

  • Microsoft Entra ID (Azure AD)-Integration: Ermöglicht die zentrale Identitätsverwaltung und MFA-Erzwingung für den AKS-Clusterzugriff über Azure AD RBAC.
  • Richtlinien für bedingten Zugriff: Sie können MFA für alle privilegierten Rollen und Zugriffspfade zu AKS-Ressourcen, einschließlich API, CLI und Portalzugriff, anfordern.
  • Azure-Richtlinie: Kann verwendet werden, um MFA-Anforderungen für AKS-Administratoren zu überwachen und zu erzwingen und die Compliance sicherzustellen.
  • Just-in-Time-Zugriff (JIT): Unterstützt über Microsoft Entra Privileged Identity Management (PIM) für zeitlich begrenzten privilegierten Zugriff.
  • Workload-Identität: Ermöglicht die sichere Authentifizierung für Anwendungen, die in AKS ausgeführt werden, ohne Anmeldeinformationen zu speichern.

Anforderung 8.4

Die mehrstufige Authentifizierung (Multifactor Authentication, MFA) wird für den gesamten Zugriff auf das CDE implementiert.

Ihre Zuständigkeiten

Anforderung Verantwortung
Anforderung 8.4.1 MFA wird für alle Nicht-Konsolenzugriffe auf das CDE für Mitarbeiter mit Administratorzugriff implementiert.
Anforderung 8.4.2 MFA wird für den gesamten Zugriff auf das CDE implementiert.
Anforderung 8.4.3 MFA wird für alle Remotezugriffe implementiert, die von außerhalb des Netzwerks der Entität stammen und auf das CDE zugreifen oder sich darauf auswirken können.

Anforderung 8.4.1

MFA wird für alle Nicht-Konsolenzugriffe auf das CDE für Mitarbeiter mit Administratorzugriff implementiert.

Ihre Zuständigkeiten

Implementieren Sie MFA für den gesamten administrativen Zugriff auf Ihre AKS-Cluster:

  • Aktivieren Der Integration von Microsoft Entra-ID: Konfigurieren von AKS-Clustern für die Verwendung von Azure AD für Authentifizierung und Autorisierung. Ausführliche Anweisungen finden Sie unter Verwenden von Azure AD in AKS.
  • Konfigurieren von Richtlinien für bedingten Zugriff: Erstellen Sie Richtlinien, die MFA für alle administrativen Rollen benötigen, die auf AKS-Ressourcen zugreifen. Siehe allgemeine Richtlinien für bedingten Zugriff.
  • Implementieren sie Azure RBAC: Verwenden Sie die rollenbasierte Azure-Zugriffssteuerung, um den Zugriff auf AKS-Ressourcen mit integrierten Rollen wie "Azure Kubernetes Service Cluster Admin Role" und "Azure Kubernetes Service RBAC Cluster Admin Admin" zu verwalten. Weitere Informationen finden Sie unter Verwenden von Azure RBAC für die Kubernetes-Autorisierung.
  • Überwachen des administrativen Zugriffs: Verwenden Sie Azure Monitor- und Azure AD-Protokolle, um den gesamten administratortechnischen Zugriff auf AKS-Cluster nachzuverfolgen.

Implementierungsschritte:

  1. Aktivieren Sie die Azure AD-Integration für Ihren AKS-Cluster:

    az aks update --resource-group myResourceGroup --name myAKSCluster --enable-aad --aad-admin-group-object-ids <admin-group-object-id>

  2. Erstellen Sie eine Richtlinie für bedingten Zugriff, die MFA für AKS-Administratoren erfordert:

    • Navigieren Sie zu azure AD>Security>Conditional Access.
    • Erstellen Sie eine neue Richtlinie für Benutzer mit AKS-Administratorrollen.
    • Festlegen von Bedingungen für Cloud-Apps (Azure Kubernetes Service).
    • MFA als Zugriffssteuerung erforderlich.

  3. Weisen Sie Benutzern und Gruppen geeignete Azure RBAC-Rollen für den AKS-Zugriff zu.

Anforderung 8.4.2

MFA wird für den gesamten Zugriff auf das CDE implementiert.

Ihre Zuständigkeiten

Erweitern Sie die MFA-Anforderungen für alle Benutzer, die auf das CDE zugreifen, nicht nur auf Administratoren:

  • Konfigurieren Sie umfassende Richtlinien für den bedingten Zugriff: Erstellen Sie Richtlinien, die MFA für alle Benutzer benötigen, die auf AKS-Ressourcen zugreifen, einschließlich Entwicklern und Betriebsmitarbeitern.
  • Implementieren sie die Workloadidentität: Verwenden Sie die Workloadidentität für Anwendungen, die in AKS ausgeführt werden, um die Notwendigkeit gespeicherter Anmeldeinformationen zu vermeiden und gleichzeitig die sichere Authentifizierung aufrechtzuerhalten.
  • Verwenden Sie Azure AD-Gruppen: Organisieren Sie Benutzer in geeignete Azure AD-Gruppen, und wenden Sie MFA-Anforderungen auf Gruppenebene an.
  • Dokumentzugriffsmuster: Verwalten Sie die Dokumentation aller Zugriffsmuster, und stellen Sie sicher, dass MFA für jede erzwungen wird.

Implementierungsschritte:

  1. Erstellen von Richtlinien für bedingten Zugriff für den gesamten CDE-Zugriff:

    # Example PowerShell script to create a Conditional Access policy
$policy = @{
    displayName = "Require MFA for AKS CDE Access"
    state = "enabled"
    conditions = @{
        applications = @{
            includeApplications = @("6dae42f8-4368-4678-94ff-3960e28e3630") # Azure Kubernetes Service
        }
        users = @{
            includeGroups = @("your-cde-access-group-id")
        }
    }
    grantControls = @{
        operator = "AND"
        builtInControls = @("mfa")
    }
}

  2. Konfigurieren der Workloadidentität für AKS-Anwendungen:

    # Enable workload identity on AKS cluster
az aks update -g myResourceGroup -n myAKSCluster --enable-workload-identity

# Create service account with workload identity
kubectl create serviceaccount myserviceaccount
kubectl annotate serviceaccount myserviceaccount azure.workload.identity/client-id="your-client-id"

Anforderung 8.4.3

MFA wird für alle Remotezugriffe implementiert, die von außerhalb des Netzwerks der Entität stammen und auf das CDE zugreifen oder sich darauf auswirken können.

Ihre Zuständigkeiten

Stellen Sie sicher, dass MFA für den gesamten Remotezugriff auf AKS-Ressourcen erzwungen wird:

  • Konfigurieren von standortbasierten Richtlinien: Verwenden Sie bedingten Zugriff, um MFA für den Zugriff von außerhalb vertrauenswürdiger Netzwerkspeicherorte zu verlangen.
  • Implementieren der Gerätekompatibilität: Erfordern von verwalteten Geräten für den Remotezugriff auf AKS-Ressourcen.
  • Verwenden Sie azure Private Link: Konfigurieren sie private Endpunkte für den AKS-API-Serverzugriff, um Remotezugriffsvektoren einzuschränken.
  • Überwachen des Remotezugriffs: Implementieren der Protokollierung und Überwachung für alle Remotezugriffsversuche.

Implementierungsschritte:

  1. Konfigurieren von standortbasierten Richtlinien für bedingten Zugriff:

    • Definieren Sie benannte Speicherorte in Azure AD für vertrauenswürdige Netzwerkbereiche.
    • Erstellen Sie Richtlinien, die MFA für den Zugriff von nicht vertrauenswürdigen Speicherorten erfordern.
    • Wenden Sie Richtlinien auf alle AKS-bezogenen Cloudanwendungen an.

  2. Implementieren sie die Private Cluster-Konfiguration für erhöhte Sicherheit:

    # Create private AKS cluster
az aks create \
  --resource-group myResourceGroup \
  --name myPrivateCluster \
  --enable-private-cluster \
  --enable-aad \
  --aad-admin-group-object-ids <admin-group-object-id>

  3. Konfigurieren von Azure Private Link für sicheren Remotezugriff:

    # Enable private endpoint for AKS
az aks update \
  --resource-group myResourceGroup \
  --name myPrivateCluster \
  --enable-private-cluster \
  --private-dns-zone system

Anforderung 8.5

Mehrstufige Authentifizierungssysteme (Multifactor Authentication, MFA) sind so konfiguriert, dass Missbrauch verhindert wird.

Ihre Zuständigkeiten

Anforderung Verantwortung
Anforderung 8.5.1 MFA-Systeme werden so implementiert, dass der MFA-Prozess abgeschlossen werden muss, bevor der Zugriff gewährt wird.

Anforderung 8.5.1

MFA-Systeme werden so implementiert, dass der MFA-Prozess abgeschlossen werden muss, bevor der Zugriff gewährt wird.

Ihre Zuständigkeiten

Stellen Sie sicher, dass MFA nicht umgangen werden kann und vor dem Gewähren des Zugriffs erzwungen wird:

  • Konfigurieren von Sitzungssteuerelementen: Verwenden Sie Azure AD-Sitzungssteuerelemente, um sicherzustellen, dass MFA für jede Sitzung erforderlich ist.
  • Implementieren Sie Anmeldehäufigkeitssteuerelemente: Konfigurieren Sie Richtlinien für die erneute Authentifizierung in entsprechenden Intervallen.
  • Verwenden Sie persistente Browsersitzungen sorgfältig: Beschränken Sie persistente Browsersitzungen und erfordern MFA für vertrauliche Vorgänge.
  • Überwachen von Umgehungsversuchen: Implementieren Sie die Überwachung für alle Versuche, MFA-Anforderungen zu umgehen.

Implementierungsschritte:

  1. Konfigurieren von Sitzungssteuerelementen im bedingten Zugriff:

    {
  "sessionControls": {
    "signInFrequency": {
      "value": 1,
      "type": "hours",
      "isEnabled": true
    },
    "persistentBrowser": {
      "mode": "never",
      "isEnabled": true
    }
  }
}

  2. Verwenden Sie Azure AD Identity Protection, um anomale Zugriffsmuster zu erkennen und darauf zu reagieren.

  3. Implementieren Sie eine kontinuierliche Zugriffsauswertung für die Durchsetzung von Echtzeitrichtlinien.

Zusätzliche MFA-Überlegungen für AKS

Dienstkonto- und Workloadauthentifizierung

Während der Fokus auf der Benutzerauthentifizierung liegt, sollten Sie berücksichtigen, wie Arbeitsauslastungen authentifiziert werden:

  • Verwenden Sie die Workloadidentität: Implementieren Sie die Azure AD-Workloadidentität für Anwendungen, die in AKS ausgeführt werden, um gespeicherte Anmeldeinformationen zu beseitigen.
  • Vermeiden Sie Dienstkontoschlüssel: Verwenden Sie keine langlebigen Dienstkontoschlüssel für die Workloadauthentifizierung.
  • Implementieren sie die Tokenrotation: Stellen Sie sicher, dass Arbeitsauslastungstoken regelmäßig und automatisch gedreht werden.

Verfahren für den Notfallzugriff

Verwalten von Notfallzugriffsverfahren bei gleichzeitiger Sicherstellung der MFA-Compliance:

  • Break-Glass-Konten: Konfigurieren Sie Notfallzugriffskonten mit entsprechenden Überwachungs- und Genehmigungsprozessen.
  • Dokumentemergency procedures: Maintain clear documentation for emergency access scenarios.
  • Testen Sie Notfallverfahren: Testen Sie regelmäßig Notfallzugriffsverfahren, um sicherzustellen, dass sie bei Bedarf funktionieren.

Überwachung und Compliance

Implementieren Sie umfassende Überwachung für die MFA-Compliance:

  • Verwenden Sie Azure Monitor: Überwachen der MFA-Erfolgs- und Fehlerraten für den gesamten AKS-Zugriff.
  • Implementieren von Warnungen: Einrichten von Warnungen für MFA-Umgehungsversuche oder -fehler.
  • Regelmäßige Zugriffsüberprüfungen: Führen Sie regelmäßige Überprüfungen des Benutzerzugriffs und der MFA-Compliance durch.
  • Überwachungsprotokolle: Verwalten sie umfassende Überwachungsprotokolle aller Authentifizierungsereignisse.

Implementierungsschritte für die Überwachung:

  1. Konfigurieren von Azure Monitor-Arbeitsmappen für MFA-Berichte:

    SigninLogs
| where TimeGenerated > ago(30d)
| where AppDisplayName contains "Azure Kubernetes Service"
| where AuthenticationRequirement == "multiFactorAuthentication"
| summarize MFAAttempts = count(), MFASuccesses = countif(ResultType == 0), MFAFailures = countif(ResultType != 0) by UserPrincipalName
| extend MFASuccessRate = (MFASuccesses * 100.0) / MFAAttempts

  2. Einrichten von Azure Monitor-Warnungen für die MFA-Compliance:

    {
  "criteria": {
    "allOf": [
      {
        "query": "SigninLogs | where AppDisplayName contains \"Azure Kubernetes Service\" | where AuthenticationRequirement == \"multiFactorAuthentication\" | where ResultType != 0",
        "timeAggregation": "Count",
        "operator": "GreaterThan",
        "threshold": 5
      }
    ]
  },
  "actions": {
    "actionGroups": ["your-action-group-id"]
  }
}

Nächste Schritte

Implementieren Sie umfassende Schadsoftwareschutzkontrollen für alle Systeme und aktualisieren Sie antivirensoftware oder -programme regelmäßig.

Implementieren des Schadsoftwareschutzes

Weitere Informationen zur Implementierung von MFA in AKS-Umgebungen finden Sie unter:

Weitere Informationen zu PCI DSS 4.0.1-Anforderungen, lesen Sie die offizielle PCI DSS 4.0.1-Dokumentation.

  • Last updated on