Blueprint de Segurança e Conformidade do Azure: Análise para PCI DSS

Visão geral

Este Blueprint de Segurança e Conformidade do Azure fornece diretrizes para a implantação de uma arquitetura de análise de dados no Azure que auxilia nos requisitos de Padrões de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS 3.2). Ele mostra uma arquitetura de referência comum e demonstra a manipulação adequada de dados de cartão de crédito (incluindo número de cartão, expiração e dados de verificação) em um ambiente seguro, compatível e de várias camadas. Esse blueprint demonstra maneiras pelas quais os clientes podem atender a requisitos específicos de segurança e conformidade e serve como base para os clientes criarem e configurarem suas próprias soluções de análise de dados no Azure.

Essa arquitetura de referência, o guia de implementação e o modelo de ameaças fornecem uma base para os clientes cumprirem os requisitos do PCI DSS 3.2. Essa solução fornece uma linha de base para ajudar os clientes a implantar cargas de trabalho no Azure de maneira compatível com o PCI DSS 3.2; no entanto, essa solução não deve ser usada as-is em um ambiente de produção porque a configuração adicional é necessária.

Alcançar a conformidade do PCI DSS requer que um QSA (Assistente de Segurança Qualificada) credenciado certifique uma solução de cliente de produção. Os clientes são responsáveis por realizar avaliações apropriadas de segurança e conformidade de qualquer solução criada usando essa arquitetura, pois os requisitos podem variar de acordo com as especificidades da implementação de cada cliente.

Diagrama de arquitetura e componentes

Este Blueprint de Segurança e Conformidade do Azure fornece uma plataforma de análise na qual os clientes podem criar suas próprias ferramentas de análise. A arquitetura de referência descreve um caso de uso genérico em que os clientes inserem dados por meio de importações de dados em massa pelo Administrador de DADOS/SQL ou por meio de atualizações de dados operacionais por meio de um Usuário Operacional. Ambos os fluxos de trabalho incorporam o Azure Functions para importar dados para o Banco de Dados SQL do Azure. O Azure Functions deve ser configurado pelo cliente por meio do portal do Azure para lidar com as tarefas de importação exclusivas para os requisitos de análise de cada cliente.

O Azure oferece uma variedade de relatórios e serviços de análise para os clientes. Essa solução incorpora o Azure Machine Learning em conjunto com o Banco de Dados SQL do Azure para navegar rapidamente pelos dados e fornecer resultados mais rápidos por meio de modelagem mais inteligente. O Azure Machine Learning aumenta as velocidades de consulta ao descobrir novas relações entre conjuntos de dados. Depois que os dados tiverem sido treinados por meio de várias funções estatísticas, até sete pools de consultas adicionais (8 no total, incluindo o servidor cliente) poderão ser sincronizados com os mesmos modelos tabulares para espalhar cargas de trabalho de consulta e reduzir os tempos de resposta.

Para análise e relatórios aprimorados, os bancos de dados SQL do Azure podem ser configurados com índices columnstore. Tanto o Azure Machine Learning quanto os bancos de dados SQL do Azure podem ser escalados para cima ou para baixo ou desligados por completo em resposta ao uso por parte do cliente. Todo o tráfego SQL é criptografado com SSL por meio da inclusão de certificados autoassinados. Como prática recomendada, o Azure recomenda o uso de uma autoridade de certificação confiável para segurança aprimorada.

Depois que os dados são carregados no Banco de Dados SQL do Azure e treinados pelo Azure Machine Learning, eles são digeridos pelo Usuário Operacional e pelo Administrador de SQL/Dados com o Power BI. O Power BI exibe dados intuitivamente e reúne informações em vários conjuntos de dados para obter informações maiores. Seu alto grau de adaptabilidade e fácil integração com o Banco de Dados SQL do Azure garante que os clientes possam configurá-lo para lidar com uma ampla variedade de cenários, conforme exigido por suas necessidades comerciais.

A solução usa contas de Armazenamento do Azure, que os clientes podem configurar para usar a Criptografia do Serviço de Armazenamento para manter a confidencialidade dos dados em repouso. O Azure armazena três cópias de dados dentro do datacenter selecionado de um cliente para resiliência. O armazenamento com redundância geográfica garante que os dados sejam replicados para um datacenter secundário a centenas de quilômetros de distância e novamente armazenados como três cópias dentro desse datacenter, impedindo que um evento adverso no data center primário do cliente resulte em uma perda de dados.

Para segurança aprimorada, todos os recursos nessa solução são gerenciados como um grupo de recursos por meio do Azure Resource Manager. O controle de acesso baseado em função do Azure Active Directory é usado para controlar o acesso aos recursos implantados, incluindo suas chaves no Azure Key Vault. A integridade do sistema é monitorada por meio da Central de Segurança do Azure e do Azure Monitor. Os clientes configuram os serviços de monitoramento para capturar logs e exibir a integridade do sistema em um único painel facilmente navegável.

O Banco de Dados SQL do Azure é normalmente gerenciado por meio do SSMS (SQL Server Management Studio), que é executado a partir de um computador local configurado para acessar o Banco de Dados SQL do Azure por meio de uma conexão VPN ou ExpressRoute segura. A Microsoft recomenda configurar uma conexão VPN ou ExpressRoute para gerenciamento e importação de dados para o grupo de recursos de arquitetura de referência.

Essa solução usa os seguintes serviços do Azure. Os detalhes da arquitetura de implantação estão na seção Arquitetura de Implantação .

• Application Insights
• Azure Active Directory
• Catálogo de Dados do Azure
• Criptografia de Disco do Azure
• Grade de Eventos do Azure
• Funções do Azure
• Azure Key Vault
• Azure Machine Learning
• Azure Monitor
• Central de Segurança do Azure
• Banco de Dados SQL do Azure
• Armazenamento do Azure
• Rede Virtual do Azure
  • (1) /16 Rede
  • (2) /24 Redes
  • (2) Grupos de Segurança de Rede
• Painel do Power BI

Arquitetura de implantação

A seção a seguir detalha os elementos de implantação e implementação.

Grade de Eventos do Azure: a Grade de Eventos do Azure permite que os clientes criem aplicativos facilmente com arquiteturas baseadas em eventos. Os usuários selecionam o recurso do Azure ao qual gostariam de assinar e dão ao manipulador de eventos ou ao webhook um ponto de extremidade para o qual enviar o evento. Os clientes podem proteger endpoints de webhook adicionando parâmetros de consulta à URL do webhook ao criar uma Assinatura de Evento. A Grade de Eventos do Azure suporta apenas endpoints de webhook HTTPS. A Grade de Eventos do Azure permite que os clientes controlem o nível de acesso dado a diferentes usuários para fazer várias operações de gerenciamento, como listar assinaturas de eventos, criar novas e gerar chaves. A Grade de Eventos utiliza o controle de acesso baseado em funções do Azure.

Azure Functions: o Azure Functions é um serviço de computação sem servidor que permite que os usuários executem código sob demanda sem precisar provisionar ou gerenciar explicitamente a infraestrutura. Use o Azure Functions para executar um script ou um código em resposta a uma variedade de eventos.

Azure Machine Learning: O Azure Machine Learning é uma técnica de ciência de dados que permite que os computadores usem dados existentes para prever comportamentos futuros, resultados e tendências.

Catálogo de Dados do Azure: o Catálogo de Dados torna as fontes de dados facilmente detectáveis e compreensíveis pelos usuários que gerenciam os dados. Fontes de dados comuns podem ser registradas, marcadas e pesquisadas por dados financeiros. Os dados permanecem em seu local existente, mas uma cópia de seus metadados é adicionada ao Catálogo de Dados, juntamente com uma referência ao local da fonte de dados. Os metadados também são indexados para tornar cada fonte de dados fácil de descobrir por meio de pesquisa e compreensível para os usuários que os descobrirem.

Rede virtual

A arquitetura define uma rede virtual privada com um espaço de endereço 10.200.0.0/16.

Grupos de segurança de rede: os grupos de segurança de rede contêm listas de controle de acesso que permitem ou negam o tráfego em uma rede virtual. Grupos de segurança de rede podem ser usados para proteger o tráfego em uma sub-rede ou nível de VM individual. Os seguintes grupos de segurança de rede existem:

• Um grupo de segurança de rede para o Active Directory
• Um grupo de segurança de rede para a carga de trabalho

Cada um dos grupos de segurança de rede tem portas e protocolos específicos abertos para que a solução possa funcionar de forma segura e correta. Além disso, as seguintes configurações são habilitadas para cada grupo de segurança de rede:

• Os logs e eventos de diagnóstico são habilitados e armazenados em uma conta de armazenamento
• Os logs do Azure Monitor estão vinculados aos logs de diagnóstico do grupo de segurança de rede

Sub-redes: cada sub-rede está associada ao grupo de segurança de rede correspondente.

Dados em trânsito

O Azure criptografa todas as comunicações de e para datacenters do Azure por padrão. Todas as transações no Armazenamento do Azure por meio do portal do Azure ocorrem via HTTPS.

Dados em repouso

A arquitetura protege os dados em repouso por meio de criptografia, auditoria de banco de dados e outras medidas.

Armazenamento do Azure: para atender aos dados criptografados em requisitos inativos, todo o Armazenamento do Azure usa a Criptografia do Serviço de Armazenamento. Isso ajuda a proteger e proteger os dados do titular do cartão em suporte a compromissos de segurança organizacional e requisitos de conformidade definidos pelo PCI DSS 3.2.

Criptografia de Disco do Azure: o Azure Disk Encryption aproveita o recurso BitLocker do Windows para fornecer criptografia de volume para discos de dados. A solução se integra ao Azure Key Vault para ajudar a controlar e gerenciar as chaves de criptografia de disco.

Banco de Dados SQL do Azure: a instância do Banco de Dados SQL do Azure usa as seguintes medidas de segurança de banco de dados:

• A autenticação e a autorização do Active Directory permitem o gerenciamento de identidade de usuários de banco de dados e outros serviços da Microsoft em um local central.
• A auditoria do banco de dados SQL rastreia eventos de banco de dados e os grava em um log de auditoria em uma conta de armazenamento do Azure.
• O Banco de Dados SQL do Azure está configurado para usar a criptografia de dados transparente, que executa criptografia e descriptografia em tempo real do banco de dados, backups associados e arquivos de log de transações para proteger as informações em repouso. A criptografia de dados transparente fornece garantia de que os dados armazenados não estão sujeitos a acesso não autorizado.
• As regras de firewall impedem todo o acesso aos servidores de banco de dados até que as permissões adequadas sejam concedidas. O firewall concede acesso aos bancos de dados com base no endereço IP de origem de cada solicitação.
• A Detecção de Ameaças sql permite a detecção e a resposta a possíveis ameaças à medida que ocorrem, fornecendo alertas de segurança para atividades suspeitas de banco de dados, vulnerabilidades potenciais, ataques de injeção de SQL e padrões anômalos de acesso ao banco de dados.
• As Colunas Criptografadas garantem que os dados confidenciais nunca sejam exibidos como texto sem formatação dentro do sistema de banco de dados. Depois de habilitar a criptografia de dados, somente aplicativos cliente ou servidores de aplicativos com acesso às chaves podem acessar dados de texto não criptografado.
• As Propriedades Estendidas podem ser usadas para descontinuar o processamento de titulares de dados, pois permitem que os usuários adicionem propriedades personalizadas a objetos de banco de dados e marquem dados como "Descontinuados" para dar suporte à lógica do aplicativo para impedir o processamento de dados financeiros associados.
• Row-Level Segurança permite que os usuários definam políticas para restringir o acesso aos dados para interromper o processamento.
• O mascaramento de dados dinâmicos do Banco de Dados SQL limita a exposição de dados confidenciais mascarando os dados para usuários ou aplicativos não privilegiados. O mascaramento dinâmico de dados pode descobrir automaticamente dados potencialmente confidenciais e sugerir as máscaras apropriadas a serem aplicadas. Isso ajuda a identificar e reduzir o acesso aos dados de modo que ele não saia do banco de dados por meio de acesso não autorizado. Os clientes são responsáveis por ajustar as configurações de mascaramento de dados dinâmicos para aderir ao esquema de banco de dados.

Gerenciamento de identidades

As tecnologias a seguir fornecem recursos para gerenciar o acesso aos dados no ambiente do Azure:

• O Azure Active Directory é o serviço de gerenciamento de identidade e diretório baseado em nuvem multilocatário da Microsoft. Todos os usuários dessa solução são criados no Azure Active Directory, incluindo usuários que acessam o Banco de Dados SQL do Azure.
• A autenticação para o aplicativo é executada usando o Azure Active Directory. Para obter mais informações, consulte a integração de aplicativos com o Azure Active Directory. Além disso, a criptografia de coluna de banco de dados usa o Azure Active Directory para autenticar o aplicativo no Banco de Dados SQL do Azure. Para obter mais informações, confira como proteger dados confidenciais no Banco de Dados SQL do Azure.
• O controle de acesso baseado em função do Azure permite que os administradores definam permissões de acesso refinado para conceder apenas a quantidade de acesso que os usuários precisam para executar seus trabalhos. Em vez de conceder a cada usuário permissão irrestrita para recursos do Azure, os administradores podem permitir apenas determinadas ações para acessar dados. O acesso à assinatura é limitado ao administrador da assinatura.
• O Azure Active Directory Privileged Identity Management permite que os clientes minimizem o número de usuários que têm acesso a determinadas informações. Os administradores podem usar o Azure Active Directory Privileged Identity Management para descobrir, restringir e monitorar identidades privilegiadas e seu acesso aos recursos. Esta funcionalidade também pode ser usada para garantir acesso administrativo sob demanda e just-in-time, quando necessário.
• O Azure Active Directory Identity Protection detecta possíveis vulnerabilidades que afetam as identidades de uma organização, configura respostas automatizadas para ações suspeitas detectadas relacionadas às identidades de uma organização e investiga incidentes suspeitos para tomar as medidas apropriadas para resolvê-las.

Segurança

Gerenciamento de segredos: a solução usa o Azure Key Vault para o gerenciamento de chaves e segredos. O Azure Key Vault ajuda a proteger segredos e chaves criptográficas usados por serviços de aplicações de nuvem. Os seguintes recursos do Azure Key Vault ajudam os clientes a proteger e acessar esses dados:

• As políticas de acesso avançadas são configuradas com base na necessidade.
• As políticas de acesso do Key Vault são definidas com permissões mínimas necessárias para chaves e segredos.
• Todas as chaves e segredos no Key Vault têm datas de validade.
• Todas as chaves no Key Vault são protegidas por módulos especializados de segurança de hardware. O tipo de chave é uma chave RSA de 2048 bits protegida por HSM.
• Todos os usuários e identidades recebem permissões mínimas necessárias usando o controle de acesso baseado em função.
• Os logs de diagnóstico do Key Vault estão habilitados com um período de retenção de pelo menos 365 dias.
• As operações criptográficas permitidas para chaves são restritas às necessárias.

Central de Segurança do Azure: com a Central de Segurança do Azure, os clientes podem aplicar e gerenciar centralmente políticas de segurança entre cargas de trabalho, limitar a exposição a ameaças e detectar e responder a ataques. Além disso, a Central de Segurança do Azure acessa as configurações existentes dos serviços do Azure para fornecer recomendações de configuração e serviço para ajudar a melhorar a postura de segurança e proteger os dados.

A Central de Segurança do Azure usa uma variedade de recursos de detecção para alertar os clientes sobre possíveis ataques direcionados a seus ambientes. Esses alertas contêm informações valiosas sobre o que disparou o alerta, os recursos direcionados e a origem do ataque. A Central de Segurança do Azure tem um conjunto de alertas de segurança predefinidos, que são disparados quando uma ameaça ou atividade suspeita ocorre. As regras de alerta personalizadas na Central de Segurança do Azure permitem que os clientes definam novos alertas de segurança com base nos dados que já são coletados de seu ambiente.

A Central de Segurança do Azure fornece alertas e incidentes de segurança priorizados, tornando mais simples para os clientes descobrirem e resolverem possíveis problemas de segurança. Um relatório de inteligência contra ameaças é gerado para cada ameaça detectada para ajudar as equipes de resposta a incidentes a investigar e corrigir ameaças.

Registro e auditoria

Os serviços do Azure registram extensivamente o sistema e a atividade do usuário, bem como a integridade do sistema:

• Logs de atividades: os logs de atividade fornecem insights sobre as operações executadas em recursos em uma assinatura. Os logs de atividades podem ajudar a determinar o iniciador, o tempo de ocorrência e o status de uma operação.
• Logs de diagnóstico: os logs de diagnóstico incluem todos os logs emitidos por cada recurso. Esses logs incluem logs de sistema de eventos do Windows, logs de Armazenamento do Azure, logs de auditoria do Key Vault e logs de acesso e firewall do Gateway de Aplicação. Todos os logs de diagnóstico são gravados em uma conta de armazenamento centralizada e criptografada do Azure para arquivamento. A retenção é configurável pelo usuário, até 730 dias, para atender aos requisitos de retenção específicos da organização.

Logs do Azure Monitor: esses logs são consolidados nos logs do Azure Monitor para processamento, armazenamento e relatórios de dashboard. Depois de coletados, os dados são organizados em tabelas separadas para cada tipo de dados nos workspaces do Log Analytics, o que permite que todos os dados sejam analisados juntos, independentemente de sua fonte original. Além disso, a Central de Segurança do Azure se integra aos logs do Azure Monitor, permitindo que os clientes usem consultas Kusto para acessar seus dados de eventos de segurança e combiná-los com dados de outros serviços.

As seguintes soluções de monitoramento do Azure são incluídas como parte dessa arquitetura:

• Avaliação do Active Directory: a solução Verificação de Integridade do Active Directory avalia o risco e a integridade dos ambientes do servidor em um intervalo regular e fornece uma lista priorizada de recomendações específicas à infraestrutura de servidor implantada.
• Avaliação do SQL: a solução de Verificação de Integridade do SQL avalia o risco e a integridade dos ambientes do servidor em um intervalo regular e fornece aos clientes uma lista priorizada de recomendações específicas à infraestrutura de servidor implantada.
• Agent Health: A solução Agent Health fornece relatórios sobre o número de agentes implantados, sua distribuição geográfica, quantos agentes não estão respondendo e o número de agentes que estão enviando dados operacionais.
• Log de Análise de Atividades: a solução de análise dos logs de atividades do Azure em todas as assinaturas do Azure para o cliente.

Automação do Azure: a Automação do Azure armazena, executa e gerencia runbooks. Nesta solução, os runbooks ajudam a coletar logs do Banco de Dados SQL do Azure. A solução controle de alterações de automação permite que os clientes identifiquem facilmente as alterações no ambiente.

Azure Monitor: O Azure Monitor ajuda os usuários a acompanhar o desempenho, manter a segurança e identificar tendências, permitindo que as organizações auditem, criem alertas e arquivem dados, incluindo o acompanhamento de chamadas à API em seus recursos do Azure.

Application Insights: O Application Insights é um serviço extensível de Gerenciamento de Desempenho de Aplicativos (APM) para desenvolvedores Web em várias plataformas. Ele detecta anomalias de desempenho e inclui ferramentas de análise avançadas para ajudar a diagnosticar problemas e entender o que os usuários realmente fazem com o aplicativo. Ele foi projetado para ajudar os usuários a melhorar continuamente o desempenho e a usabilidade.

Modelo de ameaça

O diagrama de fluxo de dados para essa arquitetura de referência está disponível para download ou pode ser acessado a seguir. Esse modelo pode ajudar os clientes a entender os pontos de risco potencial na infraestrutura do sistema ao fazer modificações.

Documentação de conformidade

O Blueprint de Segurança e Conformidade do Azure – Matriz de Responsabilidade do Cliente PCI DSS lista as responsabilidades de todos os requisitos do PCI DSS 3.2.

O Blueprint de Conformidade e Segurança do Azure – Matriz de Implementação de Análise de Dados do PCI DSS fornece informações sobre quais requisitos do PCI DSS 3.2 são abordados pela arquitetura de análise de dados, incluindo descrições detalhadas de como a implementação atende aos requisitos de cada controle coberto.

Diretrizes e recomendações

VPN e ExpressRoute

Um túnel VPN seguro ou ExpressRoute precisa ser configurado para estabelecer com segurança uma conexão com os recursos implantados como parte dessa arquitetura de referência de análise de dados. Ao configurar adequadamente uma VPN ou ExpressRoute, os clientes podem adicionar uma camada de proteção para dados em trânsito.

Ao implementar um túnel VPN seguro com o Azure, é possível criar uma conexão virtual privada entre uma rede local e uma Rede Virtual do Azure. Essa conexão ocorre pela Internet e permite que os clientes tunelarem informações com segurança através de um link criptografado entre a rede do cliente e o Azure. A VPN site a site é uma tecnologia segura e madura implantada por empresas de todos os tamanhos há décadas. O modo de túnel IPsec é usado nesta opção como um mecanismo de criptografia.

Como o tráfego dentro do túnel VPN atravessa a Internet em uma VPN de site a site, a Microsoft oferece outra opção de conexão ainda mais segura. O Azure ExpressRoute é um link WAN dedicado entre o Azure e um local físico ou um provedor de hospedagem do Exchange. Como as conexões do ExpressRoute não passam pela Internet, essas conexões oferecem mais confiabilidade, velocidades mais rápidas, latências mais baixas e maior segurança do que as conexões típicas pela Internet. Além disso, como essa é uma conexão direta do provedor de telecomunicações do cliente, os dados não viajam pela Internet e, portanto, não são expostos a ele.

As práticas recomendadas para implementar uma rede híbrida segura que estende uma rede local para o Azure estão disponíveis.

Extração - processoTransform-Load

O PolyBase pode carregar dados no Banco de Dados SQL do Azure sem a necessidade de uma ferramenta de extração, transformação, carregamento ou importação separada. O PolyBase permite o acesso aos dados por meio de consultas T-SQL. A inteligência de negócios e análise da Microsoft, bem como ferramentas de terceiros compatíveis com o SQL Server, podem ser usadas com o PolyBase.

Configuração do Azure Active Directory

O Azure Active Directory é essencial para gerenciar a implantação e provisionar o acesso à equipe que interage com o ambiente. Um Active Directory do Windows Server existente pode ser integrado ao Azure Active Directory em quatro cliques. Os clientes também podem vincular a infraestrutura do Active Directory implantada (controladores de domínio) a um Azure Active Directory existente, tornando a infraestrutura do Active Directory implantada um subdomínio de uma floresta do Azure Active Directory.

Aviso de isenção

• Este documento é somente para fins informativos. A MICROSOFT NÃO OFERECE GARANTIAS, EXPRESSAS, IMPLÍCITAS OU ESTATUTÁRIAS, QUANTO ÀS INFORMAÇÕES DESTE DOCUMENTO. Este documento é fornecido "as-is". Informações e opiniões expressas neste documento, incluindo URLs e outras referências a sites na Internet, podem ser alteradas sem aviso prévio. Os clientes que lêem este documento correm o risco de usá-lo.
• Este documento não fornece aos clientes direitos legais a qualquer propriedade intelectual em qualquer produto ou soluções da Microsoft.
• Os clientes podem copiar e usar este documento para fins de referência internas.
• Determinadas recomendações neste documento podem resultar em aumento do uso de dados, rede ou recursos de computação no Azure e podem aumentar os custos de licença ou assinatura do Azure de um cliente.
• Essa arquitetura destina-se a servir como base para que os clientes ajustem seus requisitos específicos e não deve ser usada as-is em um ambiente de produção.
• Este documento é desenvolvido como uma referência e não deve ser usado para definir todos os meios pelos quais um cliente pode atender a requisitos e regulamentos de conformidade específicos. Os clientes devem buscar suporte legal de sua organização em implementações de clientes aprovadas.