本文介绍根据支付卡行业数据安全标准(PCI DSS 4.0.1)配置的 Azure Kubernetes 服务(AKS)群集的安全策略注意事项。
本文是一系列文章的其中一篇。 阅读 简介。
维护信息安全策略
要求 12:为所有人员维护信息安全策略
Microsoft使用批准的合格安全评估程序(QSA)完成年度 PCI DSS 评估。 此评估涵盖基础结构、开发、运营、管理、支持和范围服务的各个方面。
PCI DSS 4.0.1 要求组织建立、维护和定期审查全面的信息安全策略。 此策略必须解决所有人员的角色、职责、可接受的使用和安全目标,包括处理持卡人数据的第三方和云提供商。 随着风险的发展,应至少每年审查一次策略并更新一次。
云和容器注意事项:
- 在策略中定义组织与云/容器提供商之间的安全共同责任。
- 确保策略强制对资产和服务(包括容器和云服务等临时资源)进行库存跟踪。
- 向所有人员和相关利益干系人(包括管理云和容器环境的人员)传达策略。
下面是一些常规建议:
- 维护有关流程和策略的彻底和更新的文档。
- 在对安全策略的年度评审中,包含由MICROSOFT、Kubernetes 和其他属于 CDE 的第三方解决方案提供的新指南。 使用 Microsoft Defender for Cloud、Azure 顾问等资源。
- 建立风险评估过程时,请与已发布的标准保持一致,例如 NIST SP 800-53。 将供应商发布的安全列表(例如 Microsoft安全响应中心指南)中的发布映射到风险评估过程。
- 保留有关设备清单和人员访问文档的 up-to日期信息。 使用设备发现功能,例如Microsoft Defender for Endpoint 和云原生清单工具。 若要跟踪访问,请使用 Microsoft Entra 日志和云 IAM 日志。
- 作为清单管理的一部分,维护作为 PCI 基础结构和工作负载一部分部署的已批准解决方案的列表,包括 VM 映像、数据库和第三方解决方案。 使用特定配置中已批准的解决方案通过自助服务部署的服务目录自动执行此过程。
- 确保安全联系人从Microsoft接收 Azure 事件通知。 这些通知指示资源是否遭到入侵,并使安全运营团队能够快速响应潜在的安全风险。 确保 Azure 注册门户中的管理员联系信息包括联系人信息,这些信息将直接或通过内部过程快速通知安全作。
后续步骤
为自定义方法和安全评估实施有针对性的风险分析过程。