Ho alcune caselle di Azure su cui sto considerando alcune ramificazioni PCI. Le scatole stesse sono in buone condizioni ma sono preoccupato per il portale. Può essere utilizzato per reimpostare le password, gestire i firewall, ecc.
Dalla mia lettura la console di gestione di Azure si qualifica come "accesso non amministratore della console" e pertanto dovrebbe essere limitata tramite l'autenticazione a più fattori.
La mia lettura è corretta?
Anche se non sono un auditor PCI, mi sembra ragionevole. Non sono sicuro che ciò sia importante, perché il buon senso impone che le risorse di Azure siano parte dell'ambiente di produzione e in particolare se memorizzano dati sensibili come dati di scheda o PII, accesso al portale dovrebbe essere protetto con MFA. Direi che questa è una decisione che prendi in base al fatto che è chiaramente la cosa giusta da fare, e se risulta essere importante per la tua certificazione PCI, allora sei già pronto.
Inoltre, se è utile, Microsoft pubblica una matrice di Reponsiblity PCI DSS di Azure che può aiutarti a comprendere meglio quali risorse di Azure forniscono in termini di conformità PCI e quali sono le tue responsabilità.
Azure (almeno alcune DC - è necessario verificare quali) sono conformi PCI DSS (sono certificate PCI DSS). Ma cosa significa veramente? Che soddisfi alcuni requisiti e alcuni di essi devono essere conformi.
L'autenticazione a più fattori è solo uno dei requisiti che devi rispettare quando esegui l'accesso all'ambiente PCI DSS (come amministratore, ovviamente). Ciò include l'accesso al portale di Azure o a tutte le VPN che crea e qualsiasi altro accesso che permetti all'ambiente (come SSH / RDP / qualunque altro).
Se si accede alle macchine virtuali tramite console (come SSH o RDP) è anche possibile configurarlo per autenticazione a più fattori .
Se accedete a queste macchine direttamente da Internet preparatevi, vi verrà chiesto di riprogettarlo (vale a dire utilizzando server hop, VPN, qualunque cosa che non sia l'accesso diretto alle interfacce di gestione da Internet).
Credimi, sono abbastanza sicuro che i tuoi box non siano in "buona forma" da perpective PCI DSS;) Meglio detto, l'ambiente. Monitorate, registrate, scandite, analizzate ... e altre migliaia di cose? :)
Se si prevede di passare la certificazione PCI DSS, raccomanderei di studiare i documenti di sicurezza di Azure, la conformità PCI, le matrici delle responsabilità ... quindi chiedere il supporto di Azure. Avrai bisogno di studiare molti documenti quali sono le responsabilità della MS, quali sono le tue e di cosa avrai bisogno per conformarti. Inoltre, ti consiglio di metterti in contatto con una società di consulenza che si occupa di PCI DSS per ottenere assistenza. Credi o no, è davvero difficile ottenere tutto in forma.
Leggi altre domande sui tag pci-dss