Azure Stack HCI a PCI DSS
Tento článek vysvětluje, jak funkce zabezpečení Microsoft Azure Stack HCI můžou organizacím v odvětví platebních karet pomoct dosáhnout požadavků na kontrolu zabezpečení PCI DSS v cloudu i v místních prostředích.
PCI DSS
Standard DSS (Payment Card Industry) Data Security Standard (DSS) je globální standard zabezpečení informací navržený tak, aby se zabránilo podvodům prostřednictvím zvýšené kontroly nad daty platebních karet. PCI DSS je pověřena značkami platebních karet a spravována Radou bezpečnostních standardů odvětví platebních karet.
Dodržování předpisů PCI DSS je vyžadováno pro všechny organizace, které ukládají, zpracovávají nebo přenášejí data držitelů karet (CHD). Organizace, které podléhají dodržování předpisů PCI DSS, zahrnují (ale nejsou omezené na) obchodníky, zpracovatele plateb, vystavitele, získatele a poskytovatele služeb.
Další informace o standardu najdete v knihovně dokumentace Rady standardů zabezpečení PCI.
Sdílená odpovědnost
Je důležité si uvědomit, že PCI DSS není jenom technologie a produktový standard, ale že také pokrývá požadavky na zabezpečení pro lidi a procesy. Odpovědnost za dodržování předpisů se sdílí mezi vámi jako pokrytou entitou a Microsoftem jako poskytovatelem služeb.
Zákazníci Microsoftu
Jako pokrytá entita je vaší zodpovědností k dosažení a správě vlastního certifikátu PCI DSS. Organizace musí vyhodnotit své jedinečné prostředí, zejména části, které hostují platby za služby nebo úlohy související s platbami, ve kterých se ukládají, zpracovávají a/nebo přenášejí data držitelů karet. Tomu se říká datové prostředí držitelů karet (CDE). Potom musí organizace naplánovat a implementovat správné kontrolní mechanismy zabezpečení, zásady a postupy, aby splnily všechny zadané požadavky, než projdou oficiálním procesem testování. Organizace nakonec uzavřely smlouvu s kvalifikovaným posouzením zabezpečení (QSA), který ověřuje, jestli prostředí splňuje všechny požadavky.
Microsoft
I když je vaší zodpovědností udržovat dodržování standardu PCI DSS, nejste na cestě sami. Microsoft poskytuje doplňkové materiály a funkce zabezpečení v hybridním prostředí, které vám pomůžou snížit související úsilí a náklady na dokončení ověřování PCI DSS. Například místo testování všeho od začátku můžou vaši hodnotitelé použít Ověření dodržování předpisů (AOC) Azure pro část datového prostředí držitelů karet nasazené v Azure. Další informace najdete v následujícím obsahu.
Dodržování předpisů azure Stack HCI
Při navrhování a sestavování Azure Stack HCI bere Microsoft v úvahu požadavky na zabezpečení pro místní prostředí Microsoftu i zákazníka.
Připojení cloudové služby
Azure Stack HCI nabízí hlubokou integraci s různými službami Azure, jako je Azure Monitor, Azure Backup a Azure Site Recovery, a přináší tak nové možnosti do hybridního nastavení. Tyto cloudové služby jsou certifikované jako kompatibilní v rámci PCI DSS verze 4.0 na úrovni poskytovatele služeb 1. Přečtěte si další informace o programu dodržování předpisů cloudových služeb Azure v PCI DSS – Dodržování předpisů Azure.
Důležité
Je důležité si uvědomit, že stav dodržování předpisů Azure PCI DSS se automaticky nepřekládá na ověřování PCI DSS pro služby, které organizace sestavují nebo hostují na platformě Azure. Zákazníci zodpovídají za zajištění toho, aby organizace dosáhly souladu s požadavky PCI DSS.
Místní řešení
Jako místní řešení poskytuje Azure Stack HCI řadu funkcí, které organizacím pomáhají splňovat dodržování předpisů PCI DSS a další standardy zabezpečení pro finanční služby.
Funkce Azure Stack HCI relevantní pro PCI DSS
Tato část stručně popisuje, jak můžou organizace používat funkce Azure Stack HCI ke splnění požadavků PCI DSS. Je důležité si uvědomit, že požadavky PCI DSS se vztahují na všechny systémové komponenty, které jsou součástí datového prostředí držitelů karet (CDE) nebo připojené k němu. Následující obsah se zaměřuje na úroveň platformy Azure Stack HCI, která hostuje platby za služby nebo úlohy související s platbami, které zahrnují data o držitelích karet.
Požadavek 1: Instalace a údržba ovládacích prvků zabezpečení sítě
Pomocí Azure Stack HCI můžete použít kontrolní mechanismy zabezpečení sítě k ochraně platformy a úloh, které na ní běží před síťovými hrozbami mimo ni i uvnitř. Platforma také zaručuje spravedlivé přidělování sítě na hostiteli a zlepšuje výkon a dostupnost úloh pomocí funkcí vyrovnávání zatížení. Další informace o zabezpečení sítě v Azure Stack HCI najdete v následujících článcích.
- Přehled brány firewall datacentra
- Software Load Balancer (SLB) pro softwarově definované sítě (SDN)
- Brána služby vzdáleného přístupu (RAS) pro SDN
- Zásady kvality služeb pro vaše úlohy hostované v Azure Stack HCI
Požadavek 2: Použití zabezpečených konfigurací u všech systémových komponent
Zabezpečení ve výchozím nastavení
Azure Stack HCI je ve výchozím nastavení nakonfigurovaný bezpečně pomocí nástrojů a technologií zabezpečení, které chrání před moderními hrozbami a odpovídají standardním hodnotám zabezpečení služby Azure Compute. Další informace najdete v nastavení standardních hodnot zabezpečení pro Azure Stack HCI.
Ochrana proti posunu
Výchozí konfigurace zabezpečení a zabezpečená základní nastavení platformy jsou chráněna během nasazení i modulu runtime s ochranou proti posunu . Pokud je tato možnost povolená, aktualizuje ochrana proti posunu nastavení zabezpečení pravidelně každých 90 minut, aby se zajistilo, že se opraví všechny změny ze zadaného stavu. Toto nepřetržité monitorování a autoremediace umožňuje mít konzistentní a spolehlivou konfiguraci zabezpečení v průběhu životního cyklu zařízení. Ochranu odchylek můžete během nasazení zakázat při konfiguraci nastavení zabezpečení.
Standardní hodnoty zabezpečení pro úlohy
Pro úlohy spuštěné na platformě Azure Stack HCI můžete jako srovnávací test definovat standardní hodnoty výpočetních prostředků doporučené standardní hodnoty operačního systému Azure (pro Windows i Linux).
Požadavek 3: Ochrana uložených dat účtu
Šifrování dat pomocí nástroje BitLocker
V clusterech Azure Stack HCI je možné šifrovat všechna neaktivní uložená data prostřednictvím 256bitového šifrování BitLockerU XTS-AES. Ve výchozím nastavení systém doporučí nástroj BitLocker k šifrování všech svazků operačního systému a sdílených svazků clusteru (CSV) ve vašem nasazení Azure Stack HCI. U všech nových svazků úložiště přidaných po nasazení musíte bitLocker ručně zapnout, aby se nový svazek úložiště zašifruje. Ochrana dat pomocí BitLockeru může organizacím pomoct zůstat v souladu se standardem ISO/IEC 27001. Přečtěte si další informace o použití BitLockeru se sdílenými svazky clusteru (CSV).
Požadavek 4: Ochrana dat držitelů karet pomocí silné kryptografie během přenosu přes otevřené veřejné sítě
Ochrana externího síťového provozu protokolem TLS/DTLS
Ve výchozím nastavení se veškerá komunikace hostitele s místními a vzdálenými koncovými body šifruje pomocí protokolu TLS1.2, TLS1.3 a DTLS 1.2. Platforma zakáže použití starších protokolů nebo hodnot hash, jako je TLS/DTLS 1.1 SMB1. Azure Stack HCI také podporuje silné šifrovací sady, jako jsou tři tečky kompatibilní s SDL, omezené pouze na křivky NIST P-256 a P-384.
Požadavek 5: Ochrana všech systémů a sítí před škodlivým softwarem
Antivirová ochrana v programu Windows Defender
Antivirová ochrana v programu Windows Defender je utility aplikace, která umožňuje vynucování kontroly systému v reálném čase a pravidelné kontroly za účelem ochrany platforem a úloh před viry, malwarem, spywarem a dalšími hrozbami. Ve výchozím nastavení je ve službě Azure Stack HCI povolená Antivirová ochrana v programu Microsoft Defender. Microsoft doporučuje používat Antivirová ochrana v programu Microsoft Defender se službou Azure Stack HCI místo antivirového softwaru a softwaru pro detekci malwaru a služeb třetích stran, protože můžou mít vliv na schopnost operačního systému přijímat aktualizace. Další informace najdete v Antivirová ochrana v programu Microsoft Defender na Windows Serveru.
Řízení aplikací v programu Windows Defender (WDAC)
Řízení aplikací v programu Windows Defender (WDAC) je ve výchozím nastavení v Azure Stack HCI povoleno řídit, které ovladače a aplikace se můžou spouštět přímo na každém serveru, což pomáhá zabránit malwaru v přístupu k systémům. Přečtěte si další informace o základních zásadách zahrnutých ve službě Azure Stack HCI a o tom, jak vytvořit doplňkové zásady v řízení aplikací v programu Windows Defender pro Azure Stack HCI.
Microsoft Defender for Cloud
Microsoft Defender pro cloud se službou Endpoint Protection (povolený prostřednictvím plánů serverů) poskytuje řešení správy stavu zabezpečení s pokročilými možnostmi ochrany před hrozbami. Poskytuje vám nástroje pro posouzení stavu zabezpečení vaší infrastruktury, ochranu úloh, vyvolání výstrah zabezpečení a sledování konkrétních doporučení k nápravě útoků a řešení budoucích hrozeb. Všechny tyto služby provádí vysokorychlostním způsobem v cloudu bez režijních nákladů na nasazení prostřednictvím automatického zřizování a ochrany se službami Azure. Další informace najdete v programu Microsoft Defender for Cloud.
Požadavek 6: Vývoj a údržba zabezpečených systémů a softwaru
Aktualizace platformy
Všechny komponenty platformy Azure Stack HCI, včetně operačního systému, základních agentů a služeb a rozšíření řešení, je možné snadno udržovat pomocí Správce životního cyklu. Tato funkce umožňuje seskupit různé komponenty do verze aktualizace a ověřit kombinaci verzí, aby byla zajištěna interoperabilita. Další informace najdete v nástroji Lifecycle Manager pro aktualizace řešení Azure Stack HCI.
Aktualizace úloh
U úloh běžících na platformě Azure Stack HCI, včetně hybridních virtuálních počítačů Azure Kubernetes Service (AKS), Azure Arc a virtuálních počítačů infrastruktury, které nejsou integrované do Správce životního cyklu, postupujte podle metod vysvětlených ve Správci životního cyklu a aktualizujte je a v souladu s požadavky PCI DSS.
Požadavek 7: Omezení přístupu k systémovým komponentám a datům držitelů karet podle obchodních potřeb
Je vaší zodpovědností identifikovat role a jejich potřeby přístupu na základě obchodních požadavků vaší organizace a pak zajistit, aby k citlivým systémům a datům měli přístup jenom autorizovaní pracovníci tím, že přiřazují oprávnění na základě povinností práce. Použijte možnosti popsané v požadavku 8: Identifikujte uživatele a ověřte přístup k systémovým komponentám za účelem implementace zásad a postupů.
Požadavek 8: Identifikace uživatelů a ověření přístupu k systémovým komponentám
Platforma Azure Stack HCI poskytuje úplný a přímý přístup k základnímu systému běžícímu na uzlech clusteru prostřednictvím několika rozhraní, jako je Azure Arc a Windows PowerShell. Ke správě identity a přístupu k platformě můžete použít buď běžné nástroje Windows v místních prostředích, nebo cloudová řešení, jako je Microsoft Entra ID (dříve Azure Active Directory). V obou případech můžete využít integrované funkce zabezpečení, jako je vícefaktorové ověřování (MFA), podmíněný přístup, řízení přístupu na základě role (RBAC) a správa privilegovaných identit (PIM), abyste zajistili, že vaše prostředí bude zabezpečené a vyhovující.
Další informace o místní správě identit a přístupu najdete v Microsoft Identity Manageru a Privileged Access Management pro Doména služby Active Directory Services. Další informace o cloudové správě identit a přístupu najdete v Microsoft Entra ID.
Požadavek 9: Omezení fyzického přístupu k datům držitelů karet
V případě místních prostředí se ujistěte, že fyzické zabezpečení odpovídá hodnotě platformy Azure Stack HCI a dat, která obsahuje.
Požadavek 10: Protokolování a monitorování veškerého přístupu k systémovým komponentám a datům držitelů karet
Místní systémové protokoly
Ve výchozím nastavení se zaznamenávají všechny operace prováděné na platformě Azure Stack HCI, abyste mohli sledovat, kdo co udělal, kdy a kde na platformě. Součástí jsou také protokoly a výstrahy vytvořené programem Windows Defender, které vám pomůžou předcházet, zjišťovat a minimalizovat pravděpodobnost a dopad ohrožení dat. Vzhledem k tomu, že systémový protokol často obsahuje velký objem informací, velká část z nich je nadbytečná k monitorování zabezpečení informací, musíte zjistit, které události se mají shromažďovat a využívat pro účely monitorování zabezpečení. Funkce monitorování Azure pomáhají shromažďovat, ukládat, upozorňovat a analyzovat tyto protokoly. Další informace najdete ve standardních hodnotách zabezpečení pro Azure Stack HCI .
Protokoly místních aktivit
Azure Stack HCI Lifecycle Manager vytvoří a uloží protokoly aktivit pro všechny spuštěné akční plány. Tyto protokoly podporují hlubší šetření a monitorování dodržování předpisů.
Protokoly aktivit cloudu
Registrací clusterů v Azure můžete pomocí protokolů aktivit služby Azure Monitor zaznamenávat operace jednotlivých prostředků ve vrstvě předplatného a určit, kdo a kdy pro všechny operace zápisu (put, post nebo delete) pořízené s prostředky ve vašem předplatném.
Protokoly cloudových identit
Pokud ke správě identit a přístupu k platformě používáte Microsoft Entra ID, můžete zobrazit protokoly v sestavách Azure AD nebo je integrovat se službou Azure Monitor, Microsoft Sentinel nebo jinými nástroji pro monitorování a monitorování pro sofistikované případy použití monitorování a analýz. Pokud používáte místní Active Directory, použijte řešení Microsoft Defenderu for Identity ke zpracování místní Active Directory signálů k identifikaci, zjišťování a zkoumání pokročilých hrozeb, ohrožených identit a škodlivých akcí insiderů zaměřených na vaši organizaci.
Integrace SIEM
Microsoft Defender pro cloud a Microsoft Sentinel je nativně integrovaný s uzly Azure Stack HCI s podporou Arc. Protokoly můžete povolit a připojit ke službě Microsoft Sentinel, která poskytuje správu událostí zabezpečení (SIEM) a funkci automatické orchestrace zabezpečení (SOAR). Microsoft Sentinel, stejně jako jiné cloudové služby Azure, splňuje řadu dobře zavedených standardů zabezpečení, jako jsou PCI DSS, HITRUST a FedRAMP Authorization, které vám můžou pomoct s vaším procesem akreditace. Kromě toho Azure Stack HCI poskytuje nativní předávání událostí syslog pro odesílání systémových událostí do řešení SIEM třetích stran.
Přehledy Azure Stack HCI
Azure Stack HCI Přehledy umožňuje monitorovat stav, výkon a informace o využití pro clustery připojené k Azure a jsou zaregistrované v monitorování. Během konfigurace Přehledy se vytvoří pravidlo shromažďování dat, které určuje data, která se mají shromažďovat. Tato data se ukládají v pracovním prostoru služby Log Analytics, který se pak agreguje, filtruje a analyzuje, aby poskytoval předem připravené řídicí panely monitorování pomocí sešitů Azure. Data monitorování pro jeden cluster nebo více clusterů můžete zobrazit na stránce prostředků Azure Stack HCI nebo azure Monitoru. Další informace najdete v nástroji Monitor Azure Stack HCI s využitím Přehledy.
Metriky Azure Stack HCI
Metriky ukládají číselná data z monitorovaných prostředků do databáze časových řad. Pomocí Průzkumníka metrik služby Azure Monitor můžete interaktivně analyzovat data v databázi metrik a vymapovat hodnoty více metrik v průběhu času. Pomocí metrik můžete vytvářet grafy z hodnot metrik a vizuálně korelovat trendy.
Upozornění protokolu
Pokud chcete indikovat problémy v reálném čase, můžete nastavit výstrahy pro systémy Azure Stack HCI pomocí předem existujících ukázkových dotazů protokolu, jako jsou průměrné využití procesoru serveru, dostupná paměť, dostupná kapacita svazku a další. Další informace najdete v informacích o nastavení upozornění pro systémy Azure Stack HCI.
Upozornění na metriky
Pravidlo upozornění metriky monitoruje prostředek vyhodnocením podmínek na metrikách prostředků v pravidelných intervalech. Pokud jsou splněné podmínky, aktivuje se upozornění. Časová řada metrik je řada hodnot metrik zachycených v určitém časovém období. Tyto metriky můžete použít k vytvoření pravidel upozornění. Přečtěte si další informace o vytváření upozornění metrik v upozorněních metrik.
Upozornění služby a zařízení
Azure Stack HCI poskytuje upozornění založená na službách pro připojení, aktualizace operačního systému, konfiguraci Azure a další. K dispozici jsou také výstrahy na základě zařízení pro chyby stavu clusteru. Clustery Azure Stack HCI a jejich základní komponenty můžete monitorovat také pomocí PowerShellu nebo služby Health Service.
Požadavek 11: Pravidelné testování zabezpečení systémů a sítí
Kromě provádění častých posouzení zabezpečení a penetračních testů můžete také použít Microsoft Defender for Cloud k posouzení stavu zabezpečení napříč hybridními úlohami v cloudu a v místním prostředí, včetně virtuálních počítačů, imagí kontejnerů a SQL serverů s podporou Arc.
Požadavek 12: Podpora zabezpečení informací pomocí zásad a programů organizace
Je vaší zodpovědností udržovat zásady zabezpečení informací a aktivity, které vytvářejí program zabezpečení vaší organizace a chrání vaše datové prostředí držitelů karet. Funkce automatizace nabízené službami Azure, jako je Microsoft Entra ID a informace sdílené v podrobnostech integrované iniciativy dodržování právních předpisů PCI DSS, vám můžou pomoct snížit množství potíží se správou těchto zásad a programů.