Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano zagadnienia dotyczące zasad zabezpieczeń dla klastra usługi Azure Kubernetes Service (AKS) skonfigurowanego zgodnie ze standardem Payment Card Industry Data Security Standard (PCI DSS 4.0.1).
Obsługa zasad zabezpieczeń informacji
Wymaganie 12: Zachowanie zasad zabezpieczeń informacji dla wszystkich pracowników
Firma Microsoft kończy roczną ocenę PCI DSS przy użyciu zatwierdzonego kwalifikowanego oceniania zabezpieczeń (QSA). Ta ocena obejmuje wszystkie aspekty infrastruktury, rozwoju, operacji, zarządzania, pomocy technicznej i usług objętych zakresem. Aby uzyskać więcej informacji, zobacz Payment Card Industry (PCI) Data Security Standard (DSS).
PCI DSS 4.0.1 wymaga od organizacji ustanowienia, utrzymania i regularnego przeglądania kompleksowych zasad zabezpieczeń informacji. Te zasady muszą dotyczyć ról, obowiązków, akceptowalnego użycia i celów zabezpieczeń dla wszystkich pracowników, w tym osób trzecich i dostawców usług w chmurze obsługujących dane posiadaczy kart. Zasady powinny być przeglądane co najmniej co roku i aktualizowane w miarę rozwoju ryzyka.
Zagadnienia dotyczące chmury i kontenera:
- Zdefiniuj wspólną odpowiedzialność za zabezpieczenia między organizacją a dostawcą chmury/kontenera w zasadach.
- Upewnij się, że zasady wymuszają śledzenie spisu zasobów i usług, w tym efemeryczne zasoby, takie jak kontenery i usługi w chmurze.
- Przekaż zasady wszystkim pracownikom i odpowiednim uczestnikom projektu, w tym osobom zarządzającym środowiskami chmury i kontenerów.
Poniżej przedstawiono kilka ogólnych sugestii:
- Zachowaj szczegółową i zaktualizowaną dokumentację dotyczącą procesów i zasad. Rozważ użycie Menedżera zgodności usługi Microsoft Purview w celu oceny ryzyka.
- W rocznym przeglądzie zasad zabezpieczeń uwzględnij nowe wskazówki dostarczone przez firmę Microsoft, Kubernetes i inne rozwiązania innych firm, które są częścią twojego rozwiązania CDE. Użyj zasobów, takich jak Microsoft Defender for Cloud, Azure Advisor, Azure Well-Architected Review, AKS Azure Security Baseline i CIS Azure Kubernetes Service Benchmark.
- Podczas ustanawiania procesu oceny ryzyka należy dostosować do opublikowanego standardu, w którym jest to praktyczne, na przykład NIST SP 800-53. Zamapuj publikacje z opublikowanej listy zabezpieczeń dostawcy, takiej jak przewodnik Centrum zabezpieczeń firmy Microsoft, do procesu oceny ryzyka.
- Aktualizuj aktualne informacje o spisie urządzeń i dokumentacji dotyczącej dostępu do personelu. Korzystanie z funkcji odnajdywania urządzeń, takich jak usługa Microsoft Defender dla punktu końcowego i natywnych dla chmury narzędzi spisu. Aby śledzić dostęp, użyj dzienników usługi Microsoft Entra i dzienników IAM w chmurze.
- W ramach zarządzania zasobami zachowaj listę zatwierdzonych rozwiązań wdrożonych w ramach infrastruktury PCI i środowiska, w tym obrazów maszyn wirtualnych, baz danych i rozwiązań innych firm. Zautomatyzuj ten proces za pomocą katalogu usług na potrzeby samoobsługowego wdrażania przy użyciu zatwierdzonych rozwiązań w określonej konfiguracji. Aby uzyskać więcej informacji, zobacz Ustanawianie wykazu usług.
- Upewnij się, że kontakt zabezpieczeń odbiera powiadomienia o zdarzeniach platformy Azure od firmy Microsoft. Te powiadomienia wskazują, czy zasób został naruszony i umożliwi zespołowi ds. operacji zabezpieczeń szybkie reagowanie na potencjalne zagrożenia bezpieczeństwa. Upewnij się, że informacje kontaktowe administratora w portalu rejestracji platformy Azure zawierają informacje kontaktowe, które będą powiadamiać operacje zabezpieczeń bezpośrednio lub szybko za pośrednictwem procesu wewnętrznego. Aby uzyskać szczegółowe informacje, zobacz Model operacji zabezpieczeń.
Aby uzyskać więcej informacji na temat planowania zgodności operacyjnej, zobacz następujące zasoby:
- Zarządzanie chmurą w przewodniku Cloud Adoption Framework
- Ład w przewodniku Microsoft Cloud Adoption Framework dla platformy Azure
Dalsze kroki
Zaimplementuj ukierunkowane procedury analizy ryzyka dla niestandardowych podejść i ocen zabezpieczeń.