PCI-DSS 3.2.1 için AKS tarafından düzenlenen kümenin güvenlik açıklarını algılama (Bölüm 5 /9)

Azure Kubernetes Service (AKS)
Azure Application Gateway
Microsoft Defender for Cloud

Bu makalede, Ödeme Kartı Endüstri Veri Güvenliği Standardı (PCI-DSS 3.2.1) uyarınca yapılandırılan bir Azure Kubernetes Service (AKS) kümesiyle ilgili dikkat edilmesi gerekenler açıklanmaktadır.

Bu makale, bir serinin bir parçasıdır. Tanıtımı okuyun.

Tüm bulut çözümlerinde olduğu gibi PCI iş yükü de ağ, kimlik ve veri tehditlerine tabidir. İş yükü ve sistem güvenlik açıklarından yararlanan kaynaklara örnek olarak istenmeyen sonuçlar üreten virüsler veya yazılım güncelleştirmeleri verilebilir. Tehditleri erken algılayın ve risk azaltma ile zamanında yanıt verin. İş yükü etkinlikleri için kritik uyarılar oluşturun ve bu uyarıları temel sistem işlemlerine genişletin. Virüsten koruma veya dosya bütünlüğü izleme (FIM) araçları her zaman çalışıyor olmalıdır . Sorumlu bir yanıt planı ve uyarıları araştıran ve eylemde bulunan bir ekibiniz olmalıdır.

Önemli

Kılavuz ve buna eşlik eden uygulama AKS temel mimarisini temel alır. Merkez-uç topolojisi temelinde bu mimari. Merkez sanal ağı çıkış trafiğini denetlemek için güvenlik duvarını, şirket içi ağlardan gelen ağ geçidi trafiğini ve bakım için üçüncü bir ağı içerir. Uç sanal ağı, kart sahibi veri ortamını (CDE) sağlayan VE PCI DSS iş yükünü barındıran AKS kümesini içerir.

GitHub logosuGitHub: Düzenlenmiş İş Yükleri için Azure Kubernetes Service (AKS) Temel Kümesi, düzenlenmiş bir altyapıyı gösterir. Uygulama, mimarinin ve geliştirme yaşam döngüsünün çeşitli aşamalarında güvenlik araçlarının kurulumunu gösterir. Buna, örneğin Bulut için Microsoft Defender gibi kendi küme içi güvenlik aracılarını getirme ve Azure tarafından sağlanan güvenlik araçları örnekleri dahildir.

güvenlik açığı yönetimi programı koruma

Gereksinim 5—Tüm sistemleri kötü amaçlı yazılımlara karşı koruyun ve virüsten koruma yazılımını veya programlarını düzenli olarak güncelleştirin

AKS özellik desteği

AKS, geleneksel bir uygulama konağı gibi davranmaz. AKS kümesindeki düğüm VM'leri sınırlı pozlamaya sahiptir ve doğrudan erişilmeyecek şekilde tasarlanmıştır. Düğüm VM'leri geleneksel VM'lerle eşitlenmediğinden, ortak VM araçlarını kullanamazsınız. Bu nedenle, bu bölümdeki öneriler yerel Kubernetes yapıları aracılığıyla uygulanır. Bu gereksinimleri doğrudan VM düzeyinde uygulamak, kümenizin destekten alınmasına neden olabilir.

Her düğümdeki bir podda çalıştırılacak DaemonSets'te istediğiniz kötü amaçlı yazılımdan koruma yazılımını dağıtmanız gerekir.

Sorumluluklarınız

Yazılımın Kubernetes ve kapsayıcılarda özel olduğundan emin olun. Birkaç üçüncü taraf yazılım seçeneği vardır. Popüler seçenekler arasında Prisma Cloud ve Aquasec yer alır. Falco gibi açık kaynak seçenekleri de vardır. Üçüncü taraf yazılımının güncel olduğundan emin olmak için süreçler olduğundan emin olmak sizin sorumluluğunuzdadır. Ayrıca çözümlerin izlenmesi ve uyarılması sizin sorumluluğunuzdadır.

Gereksinim Sorumluluk
Gereksinim 5.1 Kötü amaçlı yazılımlardan (özellikle kişisel bilgisayarlar ve sunucular) etkilenen tüm sistemlere virüsten koruma yazılımı dağıtın.
Gereksinim 5.2 Tüm virüsten koruma mekanizmalarının aşağıdaki gibi korundığından emin olun:
Gereksinim 5.3 Virüsten koruma mekanizmalarının etkin bir şekilde çalıştığından ve yönetim tarafından belirli bir süre boyunca büyük/küçük harfe göre yetkilendirilmediği sürece kullanıcılar tarafından devre dışı bırakılamadığından veya değiştirilemediğinden emin olun.
Gereksinim 5.4 Sistemleri kötü amaçlı yazılımlara karşı korumaya yönelik güvenlik ilkelerinin ve operasyonel yordamların belgelenmiş, kullanımda ve etkilenen tüm taraflar tarafından bilindiğinden emin olun.

Gereksinim 6—Güvenli sistemler ve uygulamalar geliştirme ve koruma

AKS özellik desteği

Diğer Azure hizmetleri gibi AKS de geliştirme sürecinin aşamaları boyunca güvenlik için Microsoft SDL (Güvenlik Geliştirme Yaşam Döngüsü) süreçlerini izler. Geliştirmenin ilk aşamalarından itibaren çeşitli bileşenler taranır ve güvenlik boşlukları mümkün olan en erken şekilde kapsanır.

AKS görüntüleri, görüntülerdeki güvenlik açıklarının 30 gün içinde düzeltilmesi gereken FedRAMP SLA yaklaşımını izler. Bu gereksinimi zorunlu kılmak için tüm görüntüler bir DevSecOps işlem hattı aracılığıyla içinde temizlenir.

Haftalık olarak AKS, düğüm havuzları için yeni görüntüler sağlar. Sanal Makine Ölçek Kümeleri çalışan düğümlerinin düzeltme eki uygulanmasını ve güncelleştirilmesini sağlamak sizin sorumluluğunuzdadır. Daha fazla bilgi için bkz . Azure Kubernetes Service (AKS) düğümü görüntü yükseltme.

AKS denetim düzlemi için AKS, güvenlik düzeltme eklerini yükler veya yükseltir. Her 24 saatte bir güncelleştirilir.

AKS denetim düzlemi ve çalışan düğümleri, özellikle AKS CIS, Ubuntu CIS ve Windows CIS gibi İnternet Güvenliği Merkezi (CIS) karşılaştırmaları kullanılarak güçlendirilir.

AKS, Azure Container Registry ile tümleşir. Çeşitli risk düzeylerinde güvenlik açığı olan görüntüleri ve uygulamaları belirlemek için Azure Container Registry'yi Bulut için Microsoft Defender sürekli tarama özellikleriyle kullanın. Görüntü taraması ve risk denetimi hakkında bilgi için bkz . Kapsayıcılar için Microsoft Defender.

Sorumluluklarınız

Gereksinim Sorumluluk
Gereksinim 6.1 Güvenlik açıklarını belirlemek için, güvenlik açığı bilgileri için saygın dış kaynakları kullanarak bir süreç oluşturun ve yeni bulunan güvenlik açıklarına bir risk derecelendirmesi (örneğin, "yüksek", "orta" veya "düşük") atayın.
Gereksinim 6.2 Satıcı tarafından sağlanan geçerli güvenlik düzeltme eklerini yükleyerek tüm sistem bileşenlerinin ve yazılımlarının bilinen güvenlik açıklarından korunduğundan emin olun. Kritik güvenlik düzeltme eklerini yayından sonra bir ay içinde yükleyin.
Gereksinim 6.3 İç ve dış yazılım uygulamalarını (uygulamalara web tabanlı yönetim erişimi dahil) güvenli bir şekilde geliştirin.
Gereksinim 6.4 Sistem bileşenlerinde yapılan tüm değişiklikler için değişiklik denetimi işlemlerini ve yordamlarını izleyin.
Gereksinim 6.5 Yazılım geliştirme süreçlerindeki yaygın kodlama güvenlik açıklarını giderin.
Gereksinim 6.6 Genel kullanıma yönelik web uygulamaları için, yeni tehditleri ve güvenlik açıklarını sürekli olarak ele alın ve bu uygulamaların bilinen saldırılara karşı korunduğundan emin olun.
Gereksinim 6.7 Güvenli sistemlerin ve uygulamaların geliştirilmesine ve korunmasına yönelik güvenlik ilkelerinin ve operasyonel yordamların belgelenmiş, kullanımda ve etkilenen tüm taraflar tarafından bilindiğinden emin olun.

Gereksinim 5.1

Kötü amaçlı yazılımlardan, özellikle kişisel bilgisayarlardan ve sunuculardan etkilenen tüm sistemlere virüsten koruma yazılımı dağıtın.

Sorumluluklarınız

Uygun bir kötü amaçlı yazılımdan koruma yazılımı seçerek iş yükünü, altyapıyı ve dağıtım işlem hatlarını korumak sizin sorumluluğunuzdadır.

AKS düğümü VM'lerine erişim kısıtlandığından, kötü amaçlı yazılımların düğüm VM'lerine eklenebileceği her katmanda sistemi koruyun. Kubernetes API sunucusuyla küme düğümlerinde, kapsayıcı görüntülerinde ve çalışma zamanı etkileşimlerinde algılama ve önlemeyi içerir. Kümeye ek olarak, kümeyle etkileşim kuran ve geleneksel bir şekilde yüklenmiş virüsten koruma yazılımına sahip olabilecek bu bileşenleri koruyun:

  • Atlama kutuları
  • Derleme aracıları

Tarama etkinliklerinizi Güvenlik Geliştirme Yaşam Döngüsü (SDL) ile uyumlu hale getirme. SDL'nin ardından, mimarinin çeşitli bileşenlerinin taranmasının geliştirmenin ilk aşamalarında başlamasını ve güvenlik boşluklarının mümkün olan en erken zamanda kapsanmasını sağlar.

Gereksinim 5.1.1

Virüsten koruma programlarının bilinen tüm kötü amaçlı yazılım türlerini algılama, kaldırma ve koruma özelliklerine sahip olduğundan emin olun.

Sorumluluklarınız

Her yazılım teklifinin özellik kümesi ve yapabilecekleri tarama derinliği hakkında bilgi edinin. Yazılım yaygın tehditleri engellemeli ve yeni tehditleri izlemelidir. Uygun bulunmadıysa yazılımın düzenli olarak güncelleştirildiğinden, testlendiğinden ve değiştirildiğinden emin olun. Saygın satıcılar tarafından geliştirilen yazılımları göz önünde bulundurun.

  • Küme güvenlik açıklarını algılayan izleme araçları.

    AKS'de, geleneksel aracı tabanlı VM çözümlerini doğrudan düğüm VM'lerinde çalıştıramazsınız. DaemonSets'te her düğümdeki bir podda çalışacak kötü amaçlı yazılımdan koruma yazılımı dağıtmanız gerekir.

    Kubernetes ve kapsayıcılı iş yükleri için özelleştirilmiş yazılımları seçin. Birkaç üçüncü taraf yazılım seçeneği vardır. Popüler seçenekler arasında Prisma Cloud ve Aquasec yer alır. Falco gibi açık kaynak seçenekleri de vardır.

    Dağıtıldığında, kümede tüm kullanıcı ve sistem düğümü havuzlarını taraan aracılar olarak çalışırlar. AKS, çalışma zamanı sistem ikili dosyaları için sistem düğümü havuzlarını kullansa da, temel işlem hala sizin sorumluluğunuzdadır.

    Aracıyı çalıştırmanın amacı, olağan dışı küme etkinliklerini algılamaktır. Örneğin, bir uygulama API sunucusunu çağırmaya mı çalışıyor? Bazı çözümler podlar arasında API çağrılarının günlüğünü oluşturur, raporlar oluşturur ve uyarılar oluşturur. Bu günlükleri gözden geçirdiğinizden ve gerekli eylemleri gerçekleştirdiğinizden emin olun.

    Küme ile AKS kaynak dağıtımı arasındaki izlenmeyen boşlukları en aza indirmek için küme önyüklemesinin hemen ardından güvenlik aracılarını yükleyin.

    Güvenlik aracıları yüksek ayrıcalıklarla çalışır ve yalnızca iş yükünde değil kümede çalışan her şeyi tarar. Veri sızdırma kaynağı olmamalıdır. Ayrıca kapsayıcılar için tedarik zinciri saldırıları yaygın olarak gerçekleştirilir. Derinlemesine savunma stratejilerini kullanın ve yazılımın ve tüm bağımlılıkların güvenilir olduğundan emin olun.

    Ayrıca, küme işlemlerine katılan dış varlıklarda virüsten koruma yazılımı çalıştırın. Bazı örnekler arasında kümeyle etkileşim kuran atlama kutuları, derleme aracıları ve kapsayıcı görüntüleri yer alır.

    Aracı tarama yaparken, dosyaları kilitleme gibi kümenin kritik işlemlerini engellememeli veya engellememelidir. Yanlış yapılandırma kararlılık sorunlarına neden olabilir ve kümenizi destekten alabilir.

    Önemli

    Başvuru uygulaması, kötü amaçlı yazılımdan koruma aracısını çalıştırmak için bir yer tutucu DaemonSet dağıtım sağlar. Aracı, kümedeki her düğüm VM'sinde çalışır. Bu dağıtıma kötü amaçlı yazılımdan koruma yazılımı seçiminizi yerleştirin.

  • Kapsayıcı güvenliğini koruma. Kapsayıcılar için Microsoft Defender'da CI/CD güvenlik açığı taraması gibi kapsayıcı görüntüleri aracılığıyla gelebilecek tehditleri algılamak için işlem hattında kapsayıcı tarama araçlarını çalıştırın. Üçüncü taraf seçenekleri arasında Trivy ve Clair yer alır. Görüntüler oluştururken, her zaman distroless görüntüler için çaba gösterin. Bu görüntüler yalnızca temel Linux görüntüsündeki temel ikili dosyaları içerir ve saldırılar için yüzey alanını azaltır. Depolarınızda bekleyen görüntüleri sürekli taramak için Kapsayıcılar için Microsoft Defender'da güvenlik açığı değerlendirmesi gibi sürekli bir tarama çözümü kullanın.

Gereksinim 5.1.2

Yaygın olarak hedef almayan veya kötü amaçlı yazılımlardan etkilenmeyen sistemler için, virüsten koruma yazılımı gerektirmeye devam edip etmediklerini doğrulamak üzere gelişen kötü amaçlı yazılım tehditlerini belirlemek ve değerlendirmek için düzenli değerlendirmeler yapın.

Sorumluluklarınız

Yaygın güvenlik açıkları küme dışındaki bileşenleri etkileyebilir. Azure platformundan CVE'leri ve diğer güvenlik uyarılarını izleyerek güvenlik açıklarını takip edin. Azure'da barındırılan hizmetlerde güvenlik açıklarını algılayıp virüsten koruma çözümleri çalıştırabilen yeni özellikler için Azure güncelleştirmelerini denetleyin.

Örneğin blob depolamada şüpheli karşıya yüklemeleri algılamak için kötü amaçlı yazılım itibar taraması olmalıdır. Depolama için Microsoft Defender, kötü amaçlı yazılım itibar taraması içerir. Ayrıca, böyle bir hizmet için bir virüsten koruma çözümü gerekip gerekmediğini de göz önünde bulundurun.

Gereksinim 5.2

Tüm virüsten koruma mekanizmalarının aşağıdaki gibi korundığından emin olun:

  • Güncel tutulur,
  • Düzenli taramalar gerçekleştirme
  • PCI DSS Gereksinimi 10.7'ye göre tutulan denetim günlükleri oluşturun.

Sorumluluklarınız

  • Virüsten koruma yazılımının en son sürümünü kullanarak kümenin yeni saldırılara karşı korunduğundan emin olun. Dikkate alınması gereken iki tür güncelleştirme vardır:
    • Virüsten koruma yazılımının en son özellik güncelleştirmelerini takip etmesi gerekir. Bunun bir yolu, platform güncelleştirmelerinizin bir parçası olarak güncelleştirmeleri zamanlamaktır.
    • Güvenlik bilgileri güncelleştirmeleri, en son tehditleri algılamak ve tanımlamak için kullanılabilir oldukları anda uygulanmalıdır. Otomatik güncelleştirmeleri tercih edin.
  • Zamanlandığı gibi güvenlik açığı taramalarının çalıştığını doğrulayın.
  • Tarama sonucunda oluşturulan ve iyi durumda olmayan bileşenleri gösteren günlükleri koruyun. Önerilen saklama süresi, bir yıl olan Gereksinim 10.7'de verilmiştir.
  • Algılanan sorunları önceliklendiren ve düzelten bir işlemi gerçekleştirmeniz gerekir.

Uç Nokta için Microsoft Defender virüsten koruma güncelleştirmelerinin nasıl uygulandığı hakkında bilgi için bkz. Microsoft Defender Virüsten Koruma güvenlik bilgileri ve ürün güncelleştirmeleri.

Gereksinim 5.3

Virüsten koruma özellikleri etkin bir şekilde çalışıyor olmalıdır ve kullanıcılar tarafından devre dışı bırakılamaz veya değiştirilemez. Yönetim tarafından sınırlı bir süre için büyük/küçük harf temelinde yetkilendirildiği durumlar dışında.

Sorumluluklarınız

Güvenlik aracısını izlemek ve uyarmak sizin sorumluluğundadır. Yalnızca iş yükü için değil, aynı zamanda temel sistem işlemleri için de kritik uyarılar oluşturun. Aracı her zaman çalışıyor olmalıdır . Kötü amaçlı yazılımdan koruma yazılımı tarafından tetiklenen uyarılara yanıt verin.

  • Tarama etkinliklerinin günlük kaydını tutun. Tarama işleminin diskten veya bellekten kazınmış kart sahibi verilerini günlüğe kaydetmediğinden emin olun.
  • Beklenmeyen bir uyumsuzluğa neden olabilecek etkinlikler için uyarılar ayarlayın. Uyarılar yanlışlıkla kapatılmamalıdır.
  • Aracının dağıtımını ve diğer tüm kritik güvenlik araçlarını değiştirme izinlerini kısıtlayın. Bu izinleri iş yükü dağıtım izinlerinden ayrı tutun.
  • Güvenlik aracıları beklendiği gibi çalışmıyorsa iş yüklerini dağıtmayın.

Gereksinim 5.4

Sistemleri kötü amaçlı yazılımlara karşı korumaya yönelik güvenlik ilkelerinin ve operasyonel yordamların belgelendiğini, kullanıldığını ve etkilenen tüm taraflara iletildiğini doğrulayın.

Sorumluluklarınız

Özellikle sistemi korumak için kullanılan virüsten koruma çözümü hakkındaki ayrıntılar olmak üzere süreç ve ilkeler hakkında ayrıntılı belgeler bulundurmanız kritik önem taşır. Ürün döngüsünde güvenlik bilgileri güncelleştirmelerinin nerede tutulacağı, taramaların sıklığı ve gerçek zamanlı tarama özellikleri hakkında bilgiler gibi bilgileri ekleyin.

Günlükleri depolamak için bekletme ilkelerine sahip olun. Uyumluluk amacıyla uzun süreli depolamaya sahip olmak isteyebilirsiniz.

Sorunları değerlendirmek ve düzeltmek için standart işletim yordamları hakkındaki belgeleri koruyun. Düzenlemeye tabi ortamları çalıştıran kişiler, güvenlik güvencelerini desteklemek için eğitilmeli, bilgilendirilmeli ve teşvik edilmelidir. Bu, ilke açısından onay sürecinin bir parçası olan kişiler için önemlidir.

Gereksinim 6.1

Güvenlik açıklarını belirlemek için, güvenlik açığı bilgileri için saygın dış kaynakları kullanarak bir süreç oluşturun ve yeni bulunan güvenlik açıklarına bir risk derecelendirmesi (örneğin , yüksek, orta veya düşük) atayın.

Sorumluluklarınız

Algılanan güvenlik açıklarını denetleyebilen ve uygun dereceye sahip işlemlere sahip olun. Bulut için Microsoft Defender, kaynak türüne, önem derecesine ve ortamına göre öneriler ve uyarılar gösterir. Çoğu uyarı, sonlandırma zinciri amacını anlamanıza yardımcı olabilecek MITRE ATT&CK® taktiklerine sahiptir. Sorunu araştırmak ve azaltmak için bir düzeltme planınız olduğundan emin olun.

AKS'de Azure Container Registry'yi çeşitli risk düzeylerindeki savunmasız görüntüleri ve uygulamaları belirlemek için sürekli tarama ile birlikte kullanabilirsiniz. Sonuçları Bulut için Microsoft Defender görüntüleyebilirsiniz.

Daha fazla bilgi için bkz. Bulut için Defender'de kapsayıcı koruması.

Gereksinim 6.2

Satıcı tarafından sağlanan geçerli güvenlik düzeltme eklerini yükleyerek tüm sistem bileşenlerinin ve yazılımlarının bilinen güvenlik açıklarından korunduğundan emin olun. Kritik güvenlik düzeltme eklerini yayından sonra bir ay içinde yükleyin.

Sorumluluklarınız

  • Üçüncü taraf satıcıların tedarik zinciri saldırılarını önlemek için tüm bağımlılıklara güvenildiğinden emin olun. Saygın ve güvenilir satıcıları seçmeniz önemlidir.

  • Haftalık olarak AKS, düğüm havuzları için yeni görüntüler sağlar. Bu görüntüler otomatik olarak uygulanmaz. Uygun oldukları anda uygulayın. Düğüm Görüntüsü Güncelleştirmesi aracılığıyla el ile veya otomatik olarak güncelleştirebilirsiniz. Daha fazla bilgi için bkz. Azure Kubernetes Service (AKS) düğümü görüntü yükseltmesi

    AKS denetim düzlemi için AKS, güvenlik düzeltme eklerini yükler veya yükseltir.

  • AKS düğümleri her 24 saatte bir işletim sistemi ve güvenlik düzeltme eklerini tek tek otomatik olarak indirir ve yükler. Bu güncelleştirmeleri almak istiyorsanız güvenlik duvarınız bu trafiği engellememelidir.

    Uygulanan güncelleştirmeler hakkında bilgi almak için güvenlik aracısının raporlama özelliklerini etkinleştirmeyi göz önünde bulundurun. Bazı güvenlik güncelleştirmeleri yeniden başlatma gerektirir. Uyarıları gözden geçirmeyi ve bu yeniden başlatmalarla uygulama kapalı kalma süresinin en düşük veya sıfır olmasını sağlamak için işlem yapmaya dikkat edin. Yeniden başlatmaları denetimli bir şekilde gerçekleştirmek için açık kaynaklı bir seçenek Kured'dir (Kubernetes yeniden başlatma daemon'ı).

  • Düzeltme eki uygulama işlemini, sağladığınız küme dışındaki atlama kutuları ve derleme aracıları gibi kaynaklara genişletin.

  • Desteklenen AKS sürümleriyle güncel kalın. Tasarımınız ömrünün sonuna ulaşmış bir sürüm kullanıyorsa, geçerli bir sürüme yükseltin. Daha fazla bilgi için bkz . Desteklenen AKS sürümleri.

Gereksinim 6.3

İç ve dış yazılım uygulamalarını (uygulamalara web tabanlı yönetim erişimi dahil) aşağıdaki gibi güvenli bir şekilde geliştirin:

  • PCI DSS'ye uygun olarak (örneğin, güvenli kimlik doğrulaması ve günlüğe kaydetme)
  • Endüstri standartlarına ve/veya en iyi yöntemlere göre.
  • Bir üçüncü taraf tarafından geliştirilen ısmarlama veya özel yazılım dahil olmak üzere dahili olarak geliştirilen tüm yazılımlar için geçerli olan yazılım geliştirme yaşam döngüsü boyunca bilgi güvenliğinin bir arada kullanılması.

Sorumluluklarınız

İş yükü yaşam döngüsünün ve işlemlerinin bir parçası olarak güvenlik seçimlerini tümleştirin ve önceliklerini belirleyin.

NiST çerçevesi gibi çeşitli sektör çerçeveleri yaşam döngüsüyle eşlenir. NIST işlevleri (Tanımla, Koru, Algıla, Yanıtla ve Kurtar) her aşamada önleyici denetimler için stratejiler sağlar.

Microsoft SDL (Güvenlik Geliştirme Yaşam Döngüsü), geliştirme sürecinin aşamaları boyunca güvenlik için en iyi yöntemleri, araçları ve süreçleri sağlar. AKS de dahil olmak üzere tüm Azure hizmetleri için Microsoft SDL uygulamaları izlenir. Ayrıca, işletim bulut hizmetleri için operasyonel güvenlik güvencesi (OSA) çerçevesini de takip ediyoruz. Benzer bir işleme sahip olduğunuzdan emin olun. Bu uygulamalar, uygulamalarınızın güvenliğini sağlamaya yardımcı olmak için yayımlanır.

Gereksinim 6.3.1

Uygulamalar etkin hale gelmeden veya müşterilere sunulmadan önce geliştirme, test ve/veya özel uygulama hesaplarını, kullanıcı kimliklerini ve parolaları kaldırın.

Sorumluluklarınız

Küme oluşturma işlemi kapsamında varsayılan olarak birden çok yerel Kubernetes kullanıcısı oluşturulur. Bu kullanıcılar benzersiz bir kimliği temsil etmediğinden denetlenemez. Bazıları yüksek ayrıcalıklara sahiptir. AKS'nin Yerel hesapları devre dışı bırak özelliğini kullanarak bu kullanıcıları devre dışı bırakın.

Diğer konular için resmi PCI-DSS 3.2.1 standardındaki yönergelere bakın.

Gereksinim 6.3.2

Olası kodlama güvenlik açıklarını (el ile veya otomatikleştirilmiş işlemleri kullanarak) belirlemek için üretime veya müşterilere yayınlanmadan önce özel kodu gözden geçirin:

  • Kod değişiklikleri, kaynak kod yazarı dışındaki kişiler tarafından ve kod gözden geçirme teknikleri ve güvenli kodlama uygulamaları hakkında bilgi sahibi olan kişiler tarafından gözden geçirilir.
  • Kod incelemeleri, kodun güvenli kodlama yönergelerine göre geliştirildiğinden emin olun
  • Uygun düzeltmeler yayından önce uygulanır.
  • Kod gözden geçirme sonuçları yayımlanmadan önce yönetim tarafından gözden geçirilir ve onaylanır.
Sorumluluklarınız

Kümede yüklü olan tüm yazılımlar kapsayıcı kayıt defterinizden alınır. Uygulama koduna benzer şekilde, işlemlerin ve kişilerin Azure'ı ve üçüncü taraf görüntüleri (Dockerfile ve OCI) incelemesini sağlayın. Ayrıca:

  • Küme oluşturulduğunda kapsayıcı görüntülerini ilk aşamalardan taramaya başlayın. Tarama işlemini sürekli tümleştirme/sürekli dağıtım işlem hatlarınızın bir parçası yapın.

    Dağıtım işlem hatlarınızın hem küme önyükleme görüntülerinin hem de iş yükünüzün bir gözden geçirme ve/veya karantina geçidinden geçtiği şekilde geçitli olduğundan emin olun. Kümeye çekilmeden önce hangi işlemlerin nasıl ve hangi işlemlerin kullanıldığına ilişkin geçmişi koruyun.

  • Görüntü boyutunu küçültün. Görüntüler genellikle ihtiyaç duyduklarından daha fazla ikili dosya içerir. Görüntü boyutunu küçültmenin yalnızca performans avantajları yoktur, aynı zamanda saldırı yüzeyini de sınırlar. Örneğin, distroless görüntülerin kullanılması temel Linux görüntülerinin saldırı yüzeyini en aza indirir.

  • Dockerfile ve bildirimlerin bütünlüğünü doğrulayan statik analiz araçlarını kullanın. Üçüncü taraf seçenekleri Arasında Dockle ve Trivy yer alır.

  • Yalnızca imzalı görüntüleri kullanın.

  • Azure tarafından sağlanan temel görüntüyü ve CIS karşılaştırmalarıyla nasıl uyumlu olduğunu anlayın (ve kabul edin). Daha fazla bilgi için bkz . Internet Güvenliği Merkezi (CIS) Karşılaştırmaları.

Bulut için Microsoft Defender'da sürekli tarama özelliğine sahip Azure Container Registry, güvenlik açığı bulunan görüntüleri ve iş yükünde oluşturabileceği çeşitli riskleri belirlemeye yardımcı olur. Görüntü taraması ve risk denetimi hakkında daha fazla bilgi için bkz . Kapsayıcı güvenliği.

Gereksinim 6.4

Sistem bileşenlerinde yapılan tüm değişiklikler için değişiklik denetimi işlemlerini ve yordamlarını izleyin.

Sorumluluklarınız

Değişiklik denetimi işlemlerini belgelediğinizden ve dağıtım işlem hatlarını bu işlemlere göre tasarladığınızdan emin olun. İşlemlerin ve gerçek işlem hatlarının hizalanmadığı durumları algılamak için diğer işlemleri dahil edin.

Gereksinim 6.4.1, 6.4.2

  • Geliştirme/test ortamlarını üretim ortamlarından ayırın ve erişim denetimleriyle ayrımı zorunlu kılın.
  • Geliştirme/test ve üretim ortamları arasındaki görevlerin ayrılması.
Sorumluluklarınız

Bu ortamlarda çalışan ayrı üretim ve üretim öncesi ortamları ve rolleri koruyun.

  • Geliştirme/test amacıyla üretim kümenizi kullanmayın. Örneğin, üretim kümelerinizde Kubernetes'e Köprü yüklemeyin. Üretim dışı iş yükleri için ayrılmış kümeler kullanın.

  • Üretim ortamlarınızın üretim öncesi ortamlara ağ erişimine izin vermediğinden emin olun (veya tam tersi).

  • Üretim öncesi ve üretim ortamlarında sistem kimliklerini yeniden kullanma.

    Küme yöneticileri veya işlem hattı sorumluları gibi gruplar için Microsoft Entra gruplarını kullanın. Erişim denetimleri olarak genelleştirilmiş veya ortak grupları kullanmayın. Bu grupları üretim öncesi ve üretim kümeleri arasında yeniden kullanma. Bunun bir yolu, üyeliklerde açık olmak üzere grup adında küme adını (veya başka bir opak tanımlayıcıyı) kullanmaktır.

    Azure rol tabanlı erişim denetimi (RBAC) rollerini ortamlar arasında uygun şekilde kullanın. Genellikle üretim öncesi ortamlarda daha fazla rol ve hak atanır.

    Yalnızca üretim öncesi kimliklere (işlem hatlarına veya yazılım mühendisliği ekiplerine verilir) üretim ortamında erişim verilmemelidir. Buna karşılık, üretim öncesi kümelerde yalnızca üretim kimliklerine (işlem hatları gibi) erişim verilmemelidir.

    Üretim öncesi ve üretim ortamındaki herhangi bir kaynak için aynı kullanıcı tarafından atanan yönetilen kimliği kullanmayın. Bu öneri yalnızca kümenizde dağıtılan kaynak için değil, kullanıcı tarafından atanan yönetilen kimlikleri destekleyen tüm kaynaklar için geçerlidir. Kural olarak, kimlik gerektiren Azure kaynaklarının diğer kaynaklarla paylaşmak yerine kendi benzersiz kimlikleri olmalıdır.

  • Mümkünse üretim öncesi kümeler de dahil olmak üzere yüksek ayrıcalıklı erişim için tam zamanında (JIT) erişimi kullanın. Hem üretim öncesi hem de üretim öncesi kümelerde koşullu erişim ilkelerini kullanın.

Gereksinim 6.4.3

Üretim verileri (canlı PAN'lar) test veya geliştirme için kullanılmaz.

Sorumluluklarınız

CHD verilerinin geliştirme/test ortamına akmadığından emin olun. Verileri üretimden geliştirme/test aşamasına taşıma yordamını sağlayan net belgelere sahip olun. Gerçek verilerin kaldırılması bu yordama dahil edilmeli ve sorumlu taraflar tarafından onaylanmalıdır.

Gereksinim 6.4.4

Sistem etkin hale gelmeden / üretime geçmeden önce test verilerinin ve hesaplarının sistem bileşenlerinden kaldırılması.

Sorumluluklarınız

Üretime dağıtmadan önce sistemdeki varsayılan yapılandırma verilerini, örnek verileri ve iyi bilinen test verilerini kaldırın. Kart sahibi verilerini test amacıyla kullanmayın.

Gereksinim 6.4.5

Güvenlik düzeltme eklerinin ve yazılım değişikliklerinin uygulanmasına yönelik değişiklik denetimi yordamları şunları içermelidir:

  • 6.4.5.1 Etki belgeleri.
  • 6.4.5.2 Yetkili taraflarca belgelenen değişiklik onayı.
  • 6.4.5.3 Değişikliğin sistemin güvenliğini olumsuz etkilemediğini doğrulamak için işlevsellik testi.
  • 6.4.5.4 Geri çıkarma prosedürleri.
Sorumluluklarınız

Bu kılavuz noktaları önceki gereksinimlerle eşleniyor:

  • Güvenlik düzeltme ekleri ve yazılım değişiklikleri sonucunda beklenen altyapı değişikliklerini belgele. Kod olarak altyapı (IaC) yaklaşımıyla bu işlem daha kolaydır. Örneğin, bir Bicep dosyası veya Azure Resource Manager şablonu (ARM şablonu) ile durum işlemini kullanarak dağıtımın değişikliklerini önizleyebilirsiniz. Daha fazla bilgi için bkz . Altyapı değişiklikleriniz için Bicep dağıtımı durum işlemi .

  • Normal dağıtımlar için değişikliklerin onayını doğrulayan dağıtım işlem hatlarınıza geçitler uygulayın. Geçitlerin atlanmış olabileceği acil durum dağıtımlarının gerekçesini belgeleyin.

    Değişikliklerin düzeylerini ve derinliğini tanımlayın. Ekibin küçük değişiklikler yerine önemli değişikliklerin tanımı üzerinde anlaştığından emin olun. Pratikse, bu değişikliklerin bazılarını bulmayı otomatikleştirin. İş yükü, altyapı ve işlem hattı için gözden geçirenlerin düzeyleri net bir şekilde anlayıp bu ölçütlere göre doğrulamaları gerekir.

  • Güvenlik bütçelerini test edin. Yapay işlemlerin güvenlik (izin verme ve reddetme) sorunlarını test etme olduğundan emin olun. Ayrıca bu sentetik testlerin üretim öncesi ortamlarda çalıştığından emin olun.

  • Güvenlik düzeltmesinde beklenmeyen sonuçlar olması durumunda geri alma işlemi gerçekleştirin. Yaygın bir strateji, mavi-yeşil dağıtımları kullanarak önceki durumu korurken dağıtmaktır. Veritabanları dahil olmak üzere iş yükleri için, belirli topolojiniz için çalışan ve kapsamı dağıtım birimlerinize göre belirlenmiş bir stratejiye sahiptir.

Gereksinim 6.5

Yazılım geliştirme süreçlerindeki yaygın kodlama güvenlik açıklarını şu şekilde giderin:

  • Yaygın kodlama güvenlik açıklarını önleme de dahil olmak üzere geliştiricileri en az yıllık olarak güncel güvenli kodlama teknikleriyle eğitin.
  • Güvenli kodlama yönergelerini temel alan uygulamalar geliştirin.

Sorumluluklarınız

Uygulama ekiplerinin ve operasyon ekiplerinin iş yükü ve altyapı tarama etkinliklerini destekleyecek şekilde eğitilmiş, bilgilendirilmiş ve teşvik edilmiş olması kritik önem taşır. Bazı kaynaklar şunlardır:

Gereksinim 6.6

Genel kullanıma yönelik web uygulamaları için, yeni tehditleri ve güvenlik açıklarını sürekli olarak ele alın. Bu uygulamaların aşağıdaki yöntemlerden biri tarafından bilinen saldırılara karşı korunduğundan emin olun:

  • El ile veya otomatik uygulama güvenlik açığı güvenlik değerlendirmesi araçlarını veya yöntemlerini kullanarak genel kullanıma yönelik web uygulamalarını gözden geçirin. Herhangi bir değişiklik yaptıktan sonra en az yıllık olarak bir güvenlik açığı değerlendirmesi gerçekleştirin.

    Not

    Bu değerlendirme, Gereksinim 11.2 kapsamında gerçekleştirilen güvenlik açığı taramalarıyla aynı değildir.

  • Web tabanlı saldırıları algılayan ve engelleyen otomatik bir çözüm yükleyin. Örneğin, bir web uygulaması güvenlik duvarı. Genel kullanıma yönelik web uygulamalarının önüne dağıtın ve tüm trafiği etkin bir şekilde değerlendirin.

Sorumluluklarınız

Web uygulaması güvenlik duvarı (WAF) kullanarak genel İnternet'ten gelen trafiği algılamak için denetimler yapın. Bu mimaride, Azure Uygulaması lication Gateway tüm gelen trafiği tümleşik WAF kullanarak denetler. WAF, Open Web Application Security Project'ten (OWASP) Temel Kural Kümesi'ni (CRS) temel alır. Teknik denetimler yerinde değilse telafi denetimlerine sahip olun. Bunun bir yolu, el ile kod denetiminden geçmektir.

Kural kümesinin en son sürümlerini kullandığınızdan emin olun ve iş yükünüzle ilgili kuralları uygulayın. Kurallar Önleme modunda çalıştırılmalıdır. WAF'nin etkin olup olmadığını ve bu modda çalıştığını denetleen bir Azure İlkesi örneği ekleyerek bu gereksinimi uygulayabilirsiniz.

Algılanan tehditlerle ilgili ayrıntıları almak için Application Gateway WAF tarafından oluşturulan günlükleri tutun. Kuralları gerektiği gibi ayarlayın.

Uygulama koduna odaklanan sızma testi gerçekleştirin. Bu şekilde, uygulama ekibinin parçası olmayan uygulayıcılar bilgi toplayarak, güvenlik açıklarını analiz ederek ve raporlayarak güvenlik açıkları (SQL ekleme ve dizin geçişi gibi) bulur. Bu alıştırmada uygulayıcıların hassas verilere erişmesi gerekebilir. Amacın kötüye kullanılmadığından emin olmak için Sızma Testi Katılım Kuralları bölümünde verilen yönergeleri izleyin.

Gereksinim 6.7

Güvenli sistemlerin ve uygulamaların geliştirilmesine ve korunmasına yönelik güvenlik ilkelerinin ve operasyonel yordamların belgelenmiş, kullanımda ve etkilenen tüm taraflar tarafından bilindiğinden emin olun.

Sorumluluklarınız

İşlemler ve ilkeler hakkında kapsamlı belgeler bulundurmanız kritik önem taşır. Ekipleriniz, iş yükü yaşam döngüsü ve işlemlerinin bir parçası olarak güvenlik seçimlerine öncelik vermek için eğitilmelidir.

Microsoft SDL, geliştirme sürecinin aşamaları boyunca güvenlik için en iyi yöntemleri, araçları ve süreçleri sağlar. Microsoft'ta yazılım oluştururken Microsoft SDL uygulamaları kesinlikle izlenir. Ayrıca, işletim bulut hizmetleri için operasyonel güvenlik güvencesi (OSA) çerçevesini de takip ediyoruz. Bu uygulamalar, uygulamalarınızın güvenliğini sağlamaya yardımcı olmak için yayımlanır.

Algılanan sorunlar için testin kapsamını, önceliklendirme işlemlerini ve düzeltme stratejisini açıklayan sızma testi için kapsamlı belgeler tutun. Bir olay meydana gelirse, Kök neden analizinin bir parçası olarak Gereksinim 6'nın değerlendirmesini ekleyin. Boşluklar algılanırsa (örneğin, bir OWASP kuralı ihlali algılanırsa), bu boşlukları kapatın.

Belgelerde, beklenen WAF koruma durumu hakkında net yönergelere sahip olun.

Düzenlemeye tabi ortamlar çalıştıran kişiler, güvenlik güvencelerini desteklemek için eğitilmeli, bilgilendirilmeli ve teşvik edilmelidir. İlke açısından onay sürecinin bir parçası olan kişiler için önemlidir.

Sonraki adımlar

kart sahibi verilerine erişimi, işletmenin bilmesi gerekenlere göre kısıtlayın. Sistem bileşenlerine erişimi tanımlama ve kimlik doğrulaması. Kart sahibi verilerine fiziksel erişimi kısıtlayın.

Güçlü erişim denetimi ölçüleri uygulama