Udostępnij przez

Ulepszone uwierzytelnianie wieloskładnikowe (MFA) dla klastra regulowanego usługi AKS dla pci DSS 4.0.1

W tym artykule opisano ulepszone zagadnienia dotyczące uwierzytelniania wieloskładnikowego (MFA) dla klastra usługi Azure Kubernetes Service (AKS), który jest skonfigurowany zgodnie ze standardem PCI DSS 4.0.1 (Payment Card Industry Data Security Standard).

Ten artykuł jest częścią serii. Przeczytaj wprowadzenie .

PCI DSS 4.0.1 znacznie rozszerza wymagania uwierzytelniania wieloskładnikowego dla wszystkich dostępu do środowiska danych karty (CDE) i dostępu administracyjnego do chmury. Ta architektura i implementacja koncentrują się na infrastrukturze, a nie na obciążeniu. Ten artykuł zawiera ogólne zagadnienia i najlepsze rozwiązania ułatwiające podejmowanie decyzji projektowych. Postępuj zgodnie z wymaganiami w oficjalnym standardzie PCI-DSS 4.0.1 i skorzystaj z tego artykułu jako dodatkowych informacji, jeśli ma to zastosowanie.

Ważne

Wskazówki i towarzysząca implementacja opiera się na architekturze linii bazowej usługi AKS, która jest oparta na topologii sieci piasty i szprych. Sieć wirtualna piasty zawiera zaporę do kontrolowania ruchu wychodzącego, ruchu bramy z sieci lokalnych i trzeciej sieci na potrzeby konserwacji. Sieć wirtualna szprych zawiera klaster AKS, który zapewnia środowisko posiadacza kart (CDE) i hostuje obciążenie PCI DSS.

Implementacja referencyjnalogo usługi GitHub dostępna wkrótce: klaster odniesienia usługi Azure Kubernetes Service (AKS) na potrzeby implementacji referencyjnej obciążeń regulowanych dla standardu PCI DSS 4.0.1 jest obecnie aktualizowany i będzie dostępny wkrótce. Ta implementacja pokaże uregulowaną infrastrukturę, która ilustruje użycie różnych mechanizmów kontroli sieci i zabezpieczeń w ramach usługi CDE. Dotyczy to zarówno kontrolek sieci natywnych dla platformy Azure, jak i kontrolek natywnych dla platformy Kubernetes. Będzie ona również zawierać aplikację do zademonstrowania interakcji między środowiskiem a przykładowym obciążeniem. Celem tego artykułu jest infrastruktura. Próbka nie będzie wskazywać na rzeczywiste obciążenie PCI-DSS 4.0.1.

Ograniczanie dostępu do danych posiadaczy kart przez firmę, aby wiedzieć

Uwaga / Notatka

Ten artykuł został zaktualizowany dla pci DSS 4.0.1. Główne zmiany obejmują rozszerzone wymagania uwierzytelniania wieloskładnikowego dla całego dostępu do usługi CDE, rozszerzone uwierzytelnianie dostępu administracyjnego do chmury i silniejsze mechanizmy kontroli dostępu uprzywilejowanego. Zapoznaj się z oficjalną dokumentacją PCI DSS 4.0.1 , aby uzyskać szczegółowe informacje i przyszłe wymagania.

Wymaganie 8. Identyfikowanie i uwierzytelnianie dostępu do składników systemowych

Obsługa funkcji usługi AKS

Usługa AKS udostępnia kilka funkcji, które ułatwiają spełnienie wymagań uwierzytelniania wieloskładnikowego PCI DSS 4.0.1:

  • Integracja usługi Microsoft Entra ID (Azure AD): umożliwia scentralizowane zarządzanie tożsamościami i wymuszanie uwierzytelniania wieloskładnikowego na potrzeby dostępu do klastra usługi AKS za pośrednictwem kontroli dostępu opartej na rolach usługi Azure AD.
  • Zasady dostępu warunkowego: umożliwia wymaganie uwierzytelniania wieloskładnikowego dla wszystkich ról uprzywilejowanych i ścieżek dostępu do zasobów usługi AKS, w tym interfejsu API, interfejsu wiersza polecenia i dostępu do portalu.
  • Azure Policy: może służyć do inspekcji i wymuszania wymagań uwierzytelniania wieloskładnikowego dla administratorów usługi AKS i zapewnienia zgodności.
  • Dostęp just in time (JIT): obsługiwany za pośrednictwem usługi Microsoft Entra Privileged Identity Management (PIM) na potrzeby ograniczonego czasowo dostępu uprzywilejowanego.
  • Tożsamość obciążenia: umożliwia bezpieczne uwierzytelnianie aplikacji działających w usłudze AKS bez przechowywania poświadczeń.

Wymaganie 8.4

Uwierzytelnianie wieloskładnikowe (MFA) jest implementowane dla całego dostępu do usługi CDE.

Twoje obowiązki

Wymaganie Odpowiedzialność
Wymaganie 8.4.1 Uwierzytelnianie wieloskładnikowe jest implementowane dla wszystkich nienależących do konsoli dostępu do usługi CDE dla personelu z dostępem administracyjnym.
Wymaganie 8.4.2 Uwierzytelnianie wieloskładnikowe jest implementowane dla całego dostępu do usługi CDE.
Wymaganie 8.4.3 Uwierzytelnianie wieloskładnikowe jest implementowane dla całego dostępu zdalnego pochodzącego z sieci spoza sieci jednostki, która może uzyskiwać dostęp do usługi CDE lub wpływać na nie.

Wymaganie 8.4.1

Uwierzytelnianie wieloskładnikowe jest implementowane dla wszystkich nienależących do konsoli dostępu do usługi CDE dla personelu z dostępem administracyjnym.

Twoje obowiązki

Zaimplementuj uwierzytelnianie wieloskładnikowe dla wszystkich dostępu administracyjnego do klastrów usługi AKS:

  • Włącz integrację identyfikatora entra firmy Microsoft: skonfiguruj klastry usługi AKS do korzystania z usługi Azure AD na potrzeby uwierzytelniania i autoryzacji. Aby uzyskać szczegółowe instrukcje, zobacz Używanie usługi Azure AD w usłudze AKS.
  • Konfigurowanie zasad dostępu warunkowego: utwórz zasady wymagające uwierzytelniania wieloskładnikowego dla wszystkich ról administracyjnych, które uzyskują dostęp do zasobów usługi AKS. Zobacz Typowe zasady dostępu warunkowego.
  • Zaimplementuj kontrolę dostępu opartą na rolach platformy Azure, aby zarządzać dostępem do zasobów usługi AKS za pomocą wbudowanych ról, takich jak "Rola administratora klastra usługi Azure Kubernetes Service" i "Administrator klastra RBAC usługi Azure Kubernetes Service". Aby uzyskać więcej informacji, zobacz Use Azure RBAC for Kubernetes Authorization (Używanie kontroli dostępu opartej na rolach platformy Azure na potrzeby autoryzacji na platformie Kubernetes).
  • Monitorowanie dostępu administracyjnego: użyj dzienników usług Azure Monitor i Azure AD, aby śledzić cały dostęp administracyjny do klastrów usługi AKS.

Kroki implementacji:

  1. Włącz integrację usługi Azure AD dla klastra usługi AKS:

    az aks update --resource-group myResourceGroup --name myAKSCluster --enable-aad --aad-admin-group-object-ids <admin-group-object-id>

  2. Utwórz zasady dostępu warunkowego wymagające uwierzytelniania wieloskładnikowego dla administratorów usługi AKS:

    • Przejdź dopozycji Dostęp warunkowyzabezpieczeń>usługi Azure AD>.
    • Utwórz nowe zasady przeznaczone dla użytkowników z rolami administracyjnymi usługi AKS.
    • Ustawianie warunków dla aplikacji w chmurze (Azure Kubernetes Service).
    • Wymagaj uwierzytelniania wieloskładnikowego jako kontroli dostępu.

  3. Przypisz odpowiednie role RBAC platformy Azure do użytkowników i grup na potrzeby dostępu do usługi AKS.

Wymaganie 8.4.2

Uwierzytelnianie wieloskładnikowe jest implementowane dla całego dostępu do usługi CDE.

Twoje obowiązki

Rozszerzanie wymagań uwierzytelniania wieloskładnikowego na wszystkich użytkowników korzystających z usługi CDE, a nie tylko administratorów:

  • Konfigurowanie kompleksowych zasad dostępu warunkowego: utwórz zasady wymagające uwierzytelniania wieloskładnikowego dla wszystkich użytkowników, którzy uzyskują dostęp do zasobów usługi AKS, w tym deweloperów i pracowników operacyjnych.
  • Implementowanie tożsamości obciążenia: użyj tożsamości obciążenia dla aplikacji działających w usłudze AKS, aby wyeliminować potrzebę przechowywania poświadczeń przy zachowaniu bezpiecznego uwierzytelniania.
  • Użyj grup usługi Azure AD: organizowanie użytkowników w odpowiednich grupach usługi Azure AD i stosowanie wymagań uwierzytelniania wieloskładnikowego na poziomie grupy.
  • Wzorce dostępu do dokumentów: zachowaj dokumentację wszystkich wzorców dostępu i upewnij się, że uwierzytelnianie wieloskładnikowe jest wymuszane dla każdego z nich.

Kroki implementacji:

  1. Utwórz zasady dostępu warunkowego dla całego dostępu do usługi CDE:

    # Example PowerShell script to create a Conditional Access policy
$policy = @{
    displayName = "Require MFA for AKS CDE Access"
    state = "enabled"
    conditions = @{
        applications = @{
            includeApplications = @("6dae42f8-4368-4678-94ff-3960e28e3630") # Azure Kubernetes Service
        }
        users = @{
            includeGroups = @("your-cde-access-group-id")
        }
    }
    grantControls = @{
        operator = "AND"
        builtInControls = @("mfa")
    }
}

  2. Konfigurowanie tożsamości obciążenia dla aplikacji usługi AKS:

    # Enable workload identity on AKS cluster
az aks update -g myResourceGroup -n myAKSCluster --enable-workload-identity

# Create service account with workload identity
kubectl create serviceaccount myserviceaccount
kubectl annotate serviceaccount myserviceaccount azure.workload.identity/client-id="your-client-id"

Wymaganie 8.4.3

Uwierzytelnianie wieloskładnikowe jest implementowane dla całego dostępu zdalnego pochodzącego z sieci spoza sieci jednostki, która może uzyskiwać dostęp do usługi CDE lub wpływać na nie.

Twoje obowiązki

Upewnij się, że uwierzytelnianie wieloskładnikowe jest wymuszane dla całego dostępu zdalnego do zasobów usługi AKS:

  • Konfigurowanie zasad opartych na lokalizacji: użyj dostępu warunkowego, aby wymagać uwierzytelniania wieloskładnikowego na potrzeby dostępu spoza zaufanych lokalizacji sieciowych.
  • Implementowanie zgodności urządzeń: wymagaj urządzeń zarządzanych na potrzeby dostępu zdalnego do zasobów usługi AKS.
  • Użyj usługi Azure Private Link: skonfiguruj prywatne punkty końcowe dla dostępu serwera interfejsu API usługi AKS, aby ograniczyć wektory dostępu zdalnego.
  • Monitorowanie dostępu zdalnego: zaimplementuj rejestrowanie i monitorowanie dla wszystkich prób dostępu zdalnego.

Kroki implementacji:

  1. Skonfiguruj zasady dostępu warunkowego opartego na lokalizacji:

    • Zdefiniuj nazwane lokalizacje w usłudze Azure AD dla zaufanych zakresów sieci.
    • Utwórz zasady, które wymagają uwierzytelniania wieloskładnikowego na potrzeby dostępu z niezaufanych lokalizacji.
    • Zastosuj zasady do wszystkich aplikacji w chmurze związanych z usługą AKS.

  2. Zaimplementuj konfigurację klastra prywatnego w celu zapewnienia zwiększonych zabezpieczeń:

    # Create private AKS cluster
az aks create \
  --resource-group myResourceGroup \
  --name myPrivateCluster \
  --enable-private-cluster \
  --enable-aad \
  --aad-admin-group-object-ids <admin-group-object-id>

  3. Skonfiguruj usługę Azure Private Link pod kątem bezpiecznego dostępu zdalnego:

    # Enable private endpoint for AKS
az aks update \
  --resource-group myResourceGroup \
  --name myPrivateCluster \
  --enable-private-cluster \
  --private-dns-zone system

Wymaganie 8.5

Systemy uwierzytelniania wieloskładnikowego (MFA) są skonfigurowane w celu zapobiegania niewłaściwemu używaniu.

Twoje obowiązki

Wymaganie Odpowiedzialność
Wymaganie 8.5.1 Systemy uwierzytelniania wieloskładnikowego są implementowane tak, aby proces uwierzytelniania wieloskładnikowego został ukończony przed udzieleniem dostępu.

Wymaganie 8.5.1

Systemy uwierzytelniania wieloskładnikowego są implementowane tak, aby proces uwierzytelniania wieloskładnikowego został ukończony przed udzieleniem dostępu.

Twoje obowiązki

Upewnij się, że nie można pominąć uwierzytelniania wieloskładnikowego i jest wymuszana przed udzieleniem dostępu:

  • Konfigurowanie kontrolek sesji: użyj kontrolek sesji usługi Azure AD, aby upewnić się, że uwierzytelnianie wieloskładnikowe jest wymagane dla każdej sesji.
  • Implementowanie kontrolek częstotliwości logowania: skonfiguruj zasady, aby wymagać ponownego uwierzytelniania w odpowiednich odstępach czasu.
  • Ostrożnie używaj trwałych sesji przeglądarki: ogranicz trwałe sesje przeglądarki i wymagaj uwierzytelniania wieloskładnikowego na potrzeby operacji poufnych.
  • Monitorowanie prób obejścia: zaimplementuj monitorowanie wszelkich prób obejścia wymagań uwierzytelniania wieloskładnikowego.

Kroki implementacji:

  1. Konfigurowanie kontrolek sesji w dostępie warunkowym:

    {
  "sessionControls": {
    "signInFrequency": {
      "value": 1,
      "type": "hours",
      "isEnabled": true
    },
    "persistentBrowser": {
      "mode": "never",
      "isEnabled": true
    }
  }
}

  2. Użyj usługi Azure AD Identity Protection, aby wykrywać nietypowe wzorce dostępu i reagować na nietypowe wzorce dostępu.

  3. Zaimplementuj ciągłą ocenę dostępu na potrzeby wymuszania zasad w czasie rzeczywistym.

Dodatkowe zagadnienia dotyczące uwierzytelniania wieloskładnikowego dla usługi AKS

Uwierzytelnianie konta usługi i obciążenia

Chociaż koncentrujesz się na uwierzytelnianiu użytkowników, rozważ sposób uwierzytelniania obciążeń:

  • Użyj tożsamości obciążenia: zaimplementuj tożsamość obciążenia usługi Azure AD dla aplikacji działających w usłudze AKS, aby wyeliminować przechowywane poświadczenia.
  • Unikaj kluczy konta usługi: nie używaj długoterminowych kluczy konta usługi na potrzeby uwierzytelniania obciążenia.
  • Implementowanie rotacji tokenów: upewnij się, że tokeny obciążenia są regularnie i automatycznie obracane.

Procedury dostępu awaryjnego

Zachowaj procedury dostępu awaryjnego przy jednoczesnym zapewnieniu zgodności z uwierzytelnianiem wieloskładnikowym:

  • Konta ze szkła awaryjnego: skonfiguruj konta dostępu awaryjnego przy użyciu odpowiednich procesów monitorowania i zatwierdzania.
  • Procedury awaryjne dokumentu: zachowaj wyraźną dokumentację dla scenariuszy dostępu awaryjnego.
  • Przetestuj procedury awaryjne: Regularnie testuj procedury dostępu awaryjnego, aby upewnić się, że działają w razie potrzeby.

Monitorowanie i zgodność

Zaimplementuj kompleksowe monitorowanie pod kątem zgodności usługi MFA:

  • Korzystanie z usługi Azure Monitor: monitorowanie współczynników powodzenia i niepowodzeń uwierzytelniania wieloskładnikowego we wszystkich dostępach do usługi AKS.
  • Implementowanie alertów: konfigurowanie alertów dotyczących prób lub niepowodzeń obejścia uwierzytelniania wieloskładnikowego.
  • Regularne przeglądy dostępu: przeprowadzanie regularnych przeglądów dostępu użytkowników i zgodności usługi MFA.
  • Dzienniki inspekcji: zachowaj kompleksowe dzienniki inspekcji wszystkich zdarzeń uwierzytelniania.

Kroki implementacji monitorowania:

  1. Konfigurowanie skoroszytów usługi Azure Monitor na potrzeby raportowania uwierzytelniania wieloskładnikowego:

    SigninLogs
| where TimeGenerated > ago(30d)
| where AppDisplayName contains "Azure Kubernetes Service"
| where AuthenticationRequirement == "multiFactorAuthentication"
| summarize MFAAttempts = count(), MFASuccesses = countif(ResultType == 0), MFAFailures = countif(ResultType != 0) by UserPrincipalName
| extend MFASuccessRate = (MFASuccesses * 100.0) / MFAAttempts

  2. Konfigurowanie alertów usługi Azure Monitor pod kątem zgodności usługi MFA:

    {
  "criteria": {
    "allOf": [
      {
        "query": "SigninLogs | where AppDisplayName contains \"Azure Kubernetes Service\" | where AuthenticationRequirement == \"multiFactorAuthentication\" | where ResultType != 0",
        "timeAggregation": "Count",
        "operator": "GreaterThan",
        "threshold": 5
      }
    ]
  },
  "actions": {
    "actionGroups": ["your-action-group-id"]
  }
}

Dalsze kroki

Zaimplementuj kompleksowe mechanizmy kontroli ochrony przed złośliwym oprogramowaniem dla wszystkich systemów i regularnie aktualizuj oprogramowanie antywirusowe lub programy.

Implementowanie ochrony przed złośliwym oprogramowaniem

Aby uzyskać więcej informacji na temat implementowania uwierzytelniania wieloskładnikowego w środowiskach usługi AKS, zobacz:

Aby uzyskać więcej informacji na temat wymagań PCI DSS 4.0.1, zapoznaj się z oficjalną dokumentacją PCI DSS 4.0.1.

  • Last updated on