Локальный и PCI DSS Azure
Область применения: Azure Local 2311.2 и более поздних версий
В этой статье объясняется, как функции локальной безопасности Microsoft Azure помогают организациям в отрасли оплаты достичь требований к управлению безопасностью PCI DSS, как в облаке, так и в локальных средах.
PCI DSS
Стандарт безопасности данных (PCI) (DSS) — это глобальный стандарт информационной безопасности, предназначенный для предотвращения мошенничества с помощью повышенного контроля над данными кредитной карты. PCI DSS требуется брендами платежных карт и управляется Советом по безопасности индустрии оплаты карт.
Соответствие требованиям PCI DSS требуется для любой организации, которая хранит, обрабатывает или передает данные заполнителей карт (CHD). Организации, которые соответствуют требованиям PCI DSS, включают (но не ограничиваются) торговцами, обработчиками платежей, издателями, получателями и поставщиками услуг.
Дополнительные сведения о стандарте см. в библиотеке документации совета по стандартам безопасности PCI.
Совместная ответственность
Важно понимать, что PCI DSS не только является технологией и стандартом продукта, но и охватывает требования к безопасности для людей и процессов. Ответственность за соответствие распространяется между вами как охваченной сущностью и корпорацией Майкрософт в качестве поставщика услуг.
Клиенты Майкрософт
В качестве охваченной сущности вы несете ответственность за достижение собственного сертификата PCI DSS и управление им. Организациям необходимо оценить свою отдельную среду, особенно части, в которых размещаются платежи службы или связанные с платежами рабочие нагрузки, в которых хранятся, обрабатываются и/или передаются данные заполнителей карт. Это называется средой данных заполнителей карт (CDE). После этого организации должны планировать и реализовывать надлежащие средства управления безопасностью, политики и процедуры для выполнения всех указанных требований перед прохождением официального процесса тестирования. Организации в конечном счете контракт с квалифицированным специалистом по оценке безопасности (QSA), который проверяет, соответствует ли среда всем требованиям.
Microsoft
Хотя вы несете ответственность за обеспечение соответствия стандарту PCI DSS, вы не одиноки в пути. Корпорация Майкрософт предоставляет дополнительные материалы и функции безопасности в гибридной среде, чтобы сократить связанные усилия и затраты на завершение проверки PCI DSS. Например, вместо тестирования всего с нуля проверяющие могут использовать Аттестация Azure соответствия (AOC) для части среды данных заполнителей карт, развернутой в Azure. Дополнительные сведения см. в следующем содержимом.
Соответствие локальным требованиям Azure
При разработке и создании локальной среды Azure корпорация Майкрософт учитывает требования к безопасности как для облачных, так и для локальных сред Майкрософт.
Подключенные облачные службы
Локальная служба Azure обеспечивает глубокую интеграцию с различными службами Azure, такими как Azure Monitor, Azure Backup и Azure Site Recovery, чтобы обеспечить новые возможности гибридного параметра. Эти облачные службы сертифицированы в соответствии с стандартом PCI DSS версии 4.0 на уровне поставщика услуг 1. Дополнительные сведения о программе соответствия облачных служб Azure в PCI DSS — соответствие Требованиям Azure.
Внимание
Важно отметить, что состояние соответствия требованиям AZURE PCI DSS не преобразуется в проверку PCI DSS для служб, которые организации создают или размещают на платформе Azure. Клиенты отвечают за обеспечение соответствия требованиям PCI DSS в своих организациях.
Локальные решения
В качестве локального решения Azure Local предоставляет множество функций, которые помогают организациям удовлетворять требованиям PCI DSS и другим стандартам безопасности для финансовых услуг.
Локальные возможности Azure, относящиеся к PCI DSS
В этом разделе кратко описывается, как организации могут использовать локальные функции Azure для удовлетворения требований PCI DSS. Важно отметить, что требования PCI DSS применимы ко всем системным компонентам, включенным или подключенным к среде данных заполнителей карт (CDE).
Следующее содержимое посвящено уровню локальной платформы Azure, в котором размещаются платежи служб или связанные с платежами рабочие нагрузки, включающие данные заполнителя карт.
Требование 1. Установка и обслуживание элементов управления безопасностью сети
С помощью Azure Local вы можете применить средства управления безопасностью сети для защиты платформы и рабочих нагрузок, выполняемых на ней, от сетевых угроз вне и внутри. Платформа также гарантирует справедливое распределение сети на узле и повышает производительность рабочей нагрузки и доступность с помощью возможностей балансировки нагрузки. Дополнительные сведения о безопасности сети в локальной среде Azure см. в следующих статьях.
- Обзор брандмауэра центра обработки данных
- Software Load Balancer (SLB) для программного определения сети (SDN)
- Шлюз службы удаленного доступа (RAS) для SDN
- Политики качества обслуживания для рабочих нагрузок, размещенных в локальной среде Azure
Требование 2. Применение безопасных конфигураций ко всем системным компонентам
Защита по умолчанию
Локальный azure настроен безопасно с помощью средств безопасности и технологий для защиты от современных угроз и соответствия базовым планам безопасности вычислений Azure. Дополнительные сведения см. в разделе "Базовые параметры безопасности" для локальной службы Azure.
Защита от смещения
Конфигурация безопасности по умолчанию и параметры защищенного ядра платформы защищены как во время развертывания, так и во время выполнения с помощью защиты от смещения. При включении защита от смещения регулярно обновляет параметры безопасности каждые 90 минут, чтобы обеспечить исправление любых изменений из указанного состояния. Это непрерывное мониторинг и автоматическое отслеживание позволяет иметь согласованную и надежную конфигурацию безопасности на протяжении всего жизненного цикла устройства. Вы можете отключить защиту смещения во время развертывания при настройке параметров безопасности.
Базовые показатели безопасности для рабочей нагрузки
Для рабочих нагрузок, работающих в локальной среде Azure, можно использовать рекомендуемые базовые показатели операционной системы Azure (как для Windows, так и Для Linux) для определения базовой конфигурации вычислительных ресурсов.
Требование 3. Защита данных хранимой учетной записи
Шифрование данных с помощью BitLocker
В локальных экземплярах Azure все неактивных данных можно шифровать с помощью шифрования BitLocker XTS-AES 256-разрядного шифрования. По умолчанию система рекомендует включить BitLocker для шифрования всех томов операционной системы и общих томов кластера (CSV) в локальном развертывании Azure. Для всех новых томов хранилища, добавленных после развертывания, необходимо вручную включить BitLocker, чтобы зашифровать новый том хранилища. Использование BitLocker для защиты данных может помочь организациям оставаться в соответствии с ISO/IEC 27001. Дополнительные сведения об использовании BitLocker с общими томами кластера (CSV).
Требование 4. Защита данных заполнителей карт с помощью строгой криптографии во время передачи через открытые, общедоступные сети
Защита внешнего сетевого трафика с помощью TLS/DTLS
По умолчанию все подключения узла к локальным и удаленным конечным точкам шифруются с помощью TLS1.2, TLS1.3 и DTLS 1.2. Платформа отключает использование старых протоколов и хэшей, таких как TLS/DTLS 1.1 SMB1. Azure Local также поддерживает надежные наборы шифров, такие как эллиптические кривые, совместимые с SDL, ограничены только кривыми NIST P-256 и P-384.
Требование 5. Защита всех систем и сетей от вредоносного программного обеспечения
Антивирусная программа "Защитник Windows"
Антивирусная программа Защитника Windows — это приложение, которое позволяет применять проверку системы в режиме реального времени и периодическое сканирование для защиты платформы и рабочих нагрузок от вирусов, вредоносных программ, шпионских программ и других угроз. По умолчанию антивирусная программа в Microsoft Defender включен в локальной среде Azure. Корпорация Майкрософт рекомендует использовать антивирусная программа в Microsoft Defender с локальной средой Azure, а не сторонними антивирусными программами и службами обнаружения вредоносных программ, так как они могут повлиять на способность операционной системы получать обновления. Дополнительные сведения см. в антивирусная программа в Microsoft Defender в Windows Server.
Управление приложениями
Управление приложениями по умолчанию в Azure Local позволяет управлять тем, какие драйверы и приложения разрешены выполнять непосредственно на каждом сервере, что помогает предотвратить доступ к системам вредоносных программ. Узнайте больше о базовых политиках, включенных в Azure Local, и о создании дополнительных политик в управлении приложениями для Azure Local.
Microsoft Defender для облака
Microsoft Defender для облака с Endpoint Protection (включено с помощью плана Defender для серверов) предоставляет решение для управления безопасностью с расширенными возможностями защиты от угроз. Он предоставляет средства для оценки состояния безопасности инфраструктуры, защиты рабочих нагрузок, повышения оповещений системы безопасности и выполнения конкретных рекомендаций по устранению атак и устранению будущих угроз. Она выполняет все эти службы с высокой скоростью в облаке без затрат на развертывание с помощью автоматической подготовки и защиты с помощью служб Azure. Дополнительные сведения см. в Microsoft Defender для облака.
Требование 6. Разработка и обслуживание безопасных систем и программного обеспечения
Обновление платформы
Все компоненты Azure Local, включая операционную систему, основные агенты и службы, а также расширение решения, можно легко поддерживать с помощью диспетчера жизненного цикла. Эта функция позволяет упаковать различные компоненты в выпуск обновления и проверить сочетание версий, чтобы обеспечить взаимодействие. Дополнительные сведения см. в документации по диспетчеру жизненного цикла для обновлений локального решения Azure.
Обновление рабочей нагрузки
Для рабочих нагрузок, работающих поверх локальной среды Azure, включая гибридные Служба Azure Kubernetes (AKS), Azure Arc и виртуальные машины инфраструктуры, которые не интегрированы в диспетчер жизненного цикла, следуйте методам, описанным в статье "Использование диспетчера жизненного цикла" для обновления, чтобы обеспечить их обновление и соответствие требованиям PCI DSS.
Требование 7. Ограничение доступа к системным компонентам и данным заполнителей карт по бизнесу необходимо знать
Вы несете ответственность за определение ролей и их потребностей в доступе на основе бизнес-требований вашей организации, а затем убедитесь, что только авторизованный персонал имеет доступ к конфиденциальным системам и данным, назначив привилегии на основе обязанностей работы. Используйте возможности, описанные в требованиях 8. Определение пользователей и проверка подлинности доступа к системным компонентам для реализации политик и процедур.
Требование 8. Определение пользователей и проверка подлинности доступа к системным компонентам
Локальный azure предоставляет полный и прямой доступ к базовой системе, работающей на компьютерах с помощью нескольких интерфейсов, таких как Azure Arc и Windows PowerShell. Вы можете использовать обычные средства Windows в локальных средах или облачных решениях, таких как Идентификатор Microsoft Entra (ранее Azure Active Directory), для управления удостоверениями и доступом к платформе. В обоих случаях вы можете воспользоваться встроенными функциями безопасности, такими как многофакторная проверка подлинности (MFA), условный доступ, управление доступом на основе ролей (RBAC) и управление привилегированными удостоверениями (PIM), чтобы обеспечить безопасность и соответствие вашей среде.
Дополнительные сведения об управлении локальными удостоверениями и доступом см. в Microsoft Identity Manager и управлении привилегированным доступом для служб домен Active Directory. Дополнительные сведения об облачном управлении удостоверениями и доступом см. в идентификаторе Microsoft Entra.
Требование 9. Ограничение физического доступа к данным заполнителей карт
Для локальных сред убедитесь, что физическая безопасность соответствует значению Azure Local и содержащимся в нем данным.
Требование 10. Журнал и мониторинг доступа ко всем компонентам системы и данным заполнителей карт
Журналы локальной системы
По умолчанию все операции, выполняемые в локальной среде Azure, записываются таким образом, чтобы отслеживать, кто сделал что, когда и где на платформе. Журналы и оповещения, созданные Защитником Windows, также включаются для предотвращения, обнаружения и минимизации вероятности и влияния компрометации данных. Тем не менее, поскольку системный журнал часто содержит большой объем информации, большую часть которой он не является дополнительным для мониторинга информационной безопасности, необходимо определить, какие события относятся к сбору и использованию для мониторинга безопасности. Возможности мониторинга Azure помогают собирать, хранить, оповещать и анализировать эти журналы. Дополнительные сведения см. в базовой конфигурации безопасности для локальной службы Azure.
Локальные журналы действий
Azure Local Lifecycle Manager создает и сохраняет журналы действий для любого плана действий, выполняемого. Эти журналы поддерживают более глубокое исследование и мониторинг соответствия требованиям.
Журналы действий в облаке
Зарегистрируя системы в Azure, вы можете использовать журналы действий Azure Monitor для записи операций на каждом ресурсе на уровне подписки, чтобы определить, кто и когда для любых операций записи (put, post или delete), принятых на ресурсы в вашей подписке.
Журналы удостоверений облака
Если вы используете идентификатор Microsoft Entra для управления удостоверениями и доступом к платформе, вы можете просматривать журналы в отчетах Azure AD или интегрировать их с Azure Monitor, Microsoft Sentinel или другими средствами SIEM/monitoring для сложных вариантов мониторинга и анализа. Если вы используете локальная служба Active Directory, используйте решение Microsoft Defender для удостоверений для использования локальная служба Active Directory сигналы для выявления, обнаружения и исследования расширенных угроз, скомпрометированных удостоверений и вредоносных действий предварительной оценки, направленных на вашу организацию.
Интеграция SIEM
Microsoft Defender для облака и Microsoft Sentinel изначально интегрированы с локальными компьютерами Azure с поддержкой Arc. Вы можете включить и подключить журналы к Microsoft Sentinel, который обеспечивает управление событиями безопасности (SIEM) и автоматическое реагирование системы безопасности (SOAR). Microsoft Sentinel, как и другие облачные службы Azure, соответствует многим хорошо установленным стандартам безопасности, таким как PCI DSS, HITRUST и Авторизация FedRAMP, которые помогут вам в процессе аккредитации. Кроме того, Azure Local предоставляет собственный средство пересылки событий системного журнала для отправки системных событий сторонним решениям SIEM.
Локальная аналитика Azure
Azure Local Insights позволяет отслеживать сведения о работоспособности, производительности и использовании для систем, подключенных к Azure и зарегистрированных в мониторинге. Во время настройки Аналитики создается правило сбора данных, указывающее собираемые данные. Эти данные хранятся в рабочей области Log Analytics, которая затем агрегируется, фильтруется и анализируется для предоставления предварительно созданных панелей мониторинга с помощью книг Azure. Данные мониторинга можно просматривать как для систем с одним узлом, так и с несколькими узлами на странице локальных ресурсов Azure или Azure Monitor. Дополнительные сведения см. в справочнике по Azure Local с помощью Аналитики.
Локальные метрики Azure
Метрики хранят числовые данные из отслеживаемых ресурсов в базу данных временных рядов. Обозреватель метрик Azure Monitor можно использовать для интерактивного анализа данных в базе данных метрик и диаграммы значений нескольких метрик с течением времени. С помощью метрик можно создавать диаграммы из значений метрик и визуально сопоставлять тенденции.
Оповещения журнала в Azure Monitor
Чтобы указать проблемы в режиме реального времени, можно настроить оповещения для локальных экземпляров Azure, используя предварительно существующие запросы журнала, такие как средний ЦП сервера, доступная память, доступная емкость тома и многое другое. Узнайте больше о настройке оповещений для локальных экземпляров Azure.
Оповещения метрики
Правило генерации оповещений по метрике отслеживает ресурс, оценивая условия для метрик ресурсов через регулярные интервалы. При соблюдении условий создается оповещение. Временные ряды метрик — это ряд значений метрик, зарегистрированных за определенный период времени. Эти метрики можно использовать для создания правил генерации оповещений. Дополнительные сведения о создании оповещений метрик см. в оповещениях метрик.
Оповещения службы и устройства
Локальная служба Azure предоставляет оповещения на основе служб для подключения, обновлений ОС, конфигурации Azure и т. д. Кроме того, доступны оповещения на основе устройств для сбоев работоспособности кластера. Вы также можете отслеживать локальные экземпляры Azure и их базовые компоненты с помощью PowerShell или служба работоспособности.
Требование 11. Регулярное тестирование безопасности систем и сетей
Помимо проведения частых проверок безопасности и тестов на проникновение, вы также можете использовать Microsoft Defender для облака для оценки состояния безопасности в гибридных рабочих нагрузках в облаке и локальной среде, включая виртуальные машины, образы контейнеров и серверы SQL с поддержкой Arc.
Требование 12. Поддержка информационной безопасности с помощью политик и программ организации
Вы несете ответственность за поддержание политик и действий информационной безопасности, которые устанавливают программу безопасности организации и защищают среду данных заполнителей карт. Функции автоматизации, предоставляемые службами Azure, такими как Идентификатор Microsoft Entra, и сведения, общие сведения о встроенной инициативе по соответствию нормативным требованиям PCI DSS, могут помочь снизить нагрузку на управление этими политиками и программами.