Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden Sicherheitsrichtlinienüberlegungen für einen Azure Kubernetes Service (AKS)-Cluster beschrieben, der gemäß dem Pci DSS 4.0.1 (Payment Card Industry Data Security Standard) konfiguriert ist.
Dieser Artikel ist Teil einer Serie. Die Einführung finden Sie hier.
Verwalten einer Informationssicherheitsrichtlinie
Anforderung 12: Verwalten einer Informationssicherheitsrichtlinie für alle Mitarbeiter
Microsoft lässt eine jährliche PCI-DSS-Bewertung durch einen zugelassenen Qualified Security Assessor (QSA) durchführen. Diese Bewertung umfasst alle Aspekte von Infrastruktur, Entwicklung, Betrieb, Management, Support und In-Scope Services. Weitere Informationen finden Sie unter Datensicherheitsstandard (DSS) der Zahlungskartenbranche (Payment Card Industry, PCI).
PCI DSS 4.0.1 erfordert, dass Organisationen eine umfassende Informationssicherheitsrichtlinie einrichten, pflegen und regelmäßig überprüfen. Diese Richtlinie muss Rollen, Verantwortlichkeiten, akzeptable Nutzungsziele und Sicherheitsziele für alle Mitarbeiter, einschließlich Drittanbietern und Cloudanbietern, die Kartenhalterdaten verarbeiten, behandeln. Die Richtlinie sollte mindestens jährlich überprüft und aktualisiert werden, wenn sich die Risiken weiterentwickeln.
Überlegungen zu Cloud und Containern:
- Definieren Sie die gemeinsame Verantwortung für die Sicherheit zwischen Ihrer Organisation und dem Cloud-/Containeranbieter in Ihrer Richtlinie.
- Stellen Sie sicher, dass Richtlinien die Bestandsnachverfolgung von Ressourcen und Diensten erzwingen, einschließlich kurzlebiger Ressourcen wie Containern und Clouddiensten.
- Kommunizieren Sie die Richtlinie an alle Mitarbeiter und relevanten Projektbeteiligten, einschließlich derJenigen, die Cloud- und Containerumgebungen verwalten.
Hier folgen einige allgemeine Vorschläge:
- Verwalten Sie gründliche und aktualisierte Dokumentation zu Prozessen und Richtlinien. Erwägen Sie die Verwendung von Microsoft Purview Compliance Manager für die Bewertung Ihres Risikos.
- Berücksichtigen Sie bei der jährlichen Überprüfung der Sicherheitsrichtlinie neue Anleitungen von Microsoft, Kubernetes und anderen Drittanbieterlösungen, die Teil Ihrer Datenumgebung für Karteninhaber (Cardholder Data Environment, CDE) sind. Verwenden Sie Ressourcen wie Microsoft Defender für Cloud, Azure Advisor, Azure Well-Architected Review, AKS Azure Security Baseline und CIS Azure Kubernetes Service Benchmark.
- Orientieren Sie sich bei der Erstellung Ihres Risikobewertungsprozesses nach Möglichkeit an einem veröffentlichten Standard, z. B. NIST SP 800-53. Ordnen Sie Veröffentlichungen aus der von Ihrem Anbieter veröffentlichten Sicherheitsliste, wie z. B. den Leitfaden für das Microsoft Security Response Center, Ihrem Risikobewertungsprozess zu.
- Bewahren Sie aktuelle Informationen über den Gerätebestand und die Dokumentation zum Mitarbeiterzugriff. Verwenden Sie Geräteermittlungsfunktionen, z. B. Microsoft Defender für Endpunkt, und cloudeigene Bestandstools. Verwenden Sie Zum Nachverfolgen des Zugriffs Microsoft Entra-Protokolle und Cloud-IAM-Protokolle.
- Verwalten Sie als Teil Ihrer Bestandsverwaltung eine Liste genehmigter Lösungen, die als Teil der PCI-Infrastruktur und -Workload bereitgestellt werden, einschließlich VM-Images, Datenbanken und Drittanbieterlösungen. Automatisieren Sie diesen Prozess mit einem Dienstkatalog für die Self-Service-Bereitstellung mithilfe genehmigter Lösungen in einer bestimmten Konfiguration. Weitere Informationen finden Sie unter Einrichten eines Dienstkatalogs.
- Stellen Sie sicher, dass ein Sicherheitskontakt Benachrichtigungen über Azure-Incidents von Microsoft empfängt. Diese Benachrichtigungen geben an, ob Ihre Ressource kompromittiert ist, und ermöglichen Es Ihrem Sicherheitsteam, schnell auf potenzielle Sicherheitsrisiken zu reagieren. Stellen Sie sicher, dass die Kontaktinformationen des Administrators im Azure-Registrierungsportal Kontaktinformationen enthalten, durch die das Team für Sicherheitsvorgänge direkt oder schnell über einen internen Prozess benachrichtigt werden kann. Weitere Informationen finden Sie unter Sicherheitsbetriebsmodell.
Weitere Informationen zur Planung der betrieblichen Compliance finden Sie in den folgenden Ressourcen:
- Cloudverwaltung im Framework für die Cloudeinführung
- Governance für die Einführung der Microsoft Cloud für Azure (Microsoft Cloud Adoption Framework)
Nächste Schritte
Implementieren Sie gezielte Risikoanalyseverfahren für benutzerdefinierte Ansätze und Sicherheitsbewertungen.