PCI DSS 4.0.1 的 AKS 管控群集的反钓鱼和社会工程

PCI DSS 4.0.1 扩展了对防钓鱼和社会工程保护的要求。 本文档提供有关实现 AKS 管理员和开发人员访问权限的这些控件的指导。

AKS 功能支持

AKS 提供了多种功能，可帮助你满足 PCI DSS 4.0.1 防钓鱼和社会工程要求：

• Microsoft Defender for Cloud：为 AKS 群集和集成的 Azure 资源提供威胁防护，包括防钓鱼和社会工程检测。
• Microsoft Entra ID （Azure AD） 条件访问：支持基于风险的访问策略，并通过强制实施强身份验证和会话控制来帮助缓解网络钓鱼尝试。
• Azure Policy：对 AKS 用户强制实施安全意识和防钓鱼培训要求。
• 与 Microsoft 365 Defender 集成：对于使用 Microsoft 365 的组织，反钓鱼和社会工程保护可以扩展到 AKS 管理员和开发人员使用的电子邮件和协作工具。

你的责任

• 确保所有 AKS 管理员和用户都完成常规的安全意识和防钓鱼培训。
• 配置并强制实施条件访问策略，以要求 MFA 并阻止有风险的登录。
• 将 AKS 与 Microsoft Defender for Cloud 集成，并确保为所有群集启用威胁检测。
• 记录和测试针对 AKS 资源的可疑网络钓鱼或社交工程尝试的事件响应过程。
• 随着新威胁的出现，定期查看和更新防钓鱼控制。

关键做法

• 为所有 AKS 用户强制实施安全意识培训。
• 在电子邮件和协作工具中实现防钓鱼保护。
• 对特权作使用实时访问和审批工作流。
• 记录可疑网络钓鱼或社交工程尝试的事件响应。

集成的 AKS 安全上下文

应实施防钓鱼和社会工程工作，作为更广泛的安全策略的一部分，其中包括：

• 用户培训的安全意识培训。
• 标识 和访问管理。
• 监视 和警报。

有关最新的 AKS 安全功能，请参阅 Azure Kubernetes 服务（AKS）文档。

后续步骤

实施全面的第三方和供应链安全控制，以防止供应商相关的风险。

相关资源

有关详细信息，请查看官方 PCI DSS 4.0.1 文档。