【Azure上云项目实战】 合规性的身份验证与访问控制:在 Azure 中实现符合 PCI DSS 要求的架构设计

这篇具有很好参考价值的文章主要介绍了【Azure上云项目实战】 合规性的身份验证与访问控制:在 Azure 中实现符合 PCI DSS 要求的架构设计。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

【Azure上云项目实战】 合规性的身份验证与访问控制:在 Azure 中实现符合 PCI DSS 要求的架构设计,# Azure探秘:构建云计算世界,# 云计算解决方案与架构(FY23H2~FY24),azure,microsoft,云平台,云计算,架构,原力计划

一、开篇写在前面

各位博客阅读者们以及对云计算感兴趣的小伙伴们,微软 Azure 云的基础部分更新已经接近了尾声,从上周末到这周三,我一直没有更文,最近主要 focus 在后续如何更新以及博客内容梳理上,接下来的一小段时间我会将 Azure 基础的后续零散更新完毕,这主要包括剩余的两个部分:

  • 用于管理和部署 Azure 资源的功能和工具
  • Azure 中的监视工具

接下来的这几周我会准备好上面的剩余两个部分文章稿件的同时,从这周开始会更新企业内应用 Azure 云的真实案例进行讲解。

前几天和朋友聊,我说现在更新博文时间很紧张,但是依然保持一周至少更新一篇的节奏,后来有不止一次听说关于有些博主直接照搬别人的资料或者文章出来,比如从某某某复制到某某某等等,或者买本书籍,直接把书的内容弄到 CSDN博客上来。讲实话我有点小难过,难过的是类似一直肝原创,并且非常努力的一些博主的辛苦有可能被淹没在这卷卷的大浪中,另一方面是别人的成果得不到尊重,就比如我写的 Azure 系列的文章,绝大部分,我可以说 99% 的图都是我自己一点点画出来的,但是有的站外的人可能一个爬虫不到1分钟就给爬走了。

此处省略一百万字用来你懂的。

二、项目背景及介绍

该项目是关于支付卡行业 (PCI) 数据安全标准 (DSS)的一个 Azure 云项目,之所以拿这个举例,是因为一方面微软 Azure 云的安全标准通过了该标准的审计,另一个方面是以该标准为例子的项目在微软官方也有提到过。

这里简单提一下什么是 PCI DSS

PCI DSS是Payment Card Industry Data Security Standard(付款卡行业数据安全标准)的缩写,通常简称为PCI DSS。

PCI DSS是一组由支付卡产业安全标准理事会(Payment Card Industry Security Standards Council,PCI SSC)制定的安全标准,旨在保护持有者信息(Cardholder Data)和支付卡数据的安全性。该标准适用于所有处理、存储或传输持有者信息的组织,包括商户、支付处理服务提供商、银行和其他涉及支付卡交易的机构。

想必一些做国企或者银行项目的同学对这个协议应该并不陌生。

本文是 #云计算解决方案与架构 专栏中的一部分。我们以 PCI DSS 要求为例,详细介绍每个要求及其在 Azure 中的实现。

本文将介绍在 PCI DSS 项目中,如何构建符合 Azure 云平台要求的 PCI DSS 兼容架构。

三、Azure PCI DSS 项目架构及组件

该系统的配置如下。事实上我们构建的实际站点具有更复杂的配置,包括与公司网络的 ExpressRoute 连接,但基本思想是相同的。

【Azure上云项目实战】 合规性的身份验证与访问控制:在 Azure 中实现符合 PCI DSS 要求的架构设计,# Azure探秘:构建云计算世界,# 云计算解决方案与架构(FY23H2~FY24),azure,microsoft,云平台,云计算,架构,原力计划

首先,整个系统部署在虚拟网络中。从左前方看,公共端点受到应用网关 + WAF 的保护,并通过内部LB连接到应用服务环境(ASE)。

该应用程序部署在 ASE 上并将数据存储在后端 SQL 数据库中。与数据库的通信通过虚拟网络服务端点进行加密和保护。它通过 Express Route 连接到公司网络,并允许与特定系统(系统联动伙伴)进行通信以进行系统联动。另外,还安装了堡垒(跳板机)服务器(Bastion)进行运营管理,通过 Express Route 限制特定终端对堡垒服务器的访问。日志和指标聚合在 Azure Monitor 中。

该系统按组件部署在虚拟网络内的网络安全组 (NSG) 保护的子网内。该架构还包括应用程序网关、Azure DNS 和负载均衡器。

NSG 仅允许组件之间进行必要的通信。这种分离政策比 PCI DSS 的要求更严格,但我们积极使用它,因为它很容易通过 Azure 以较低的额外成本实施。

在解决方案中使用了 Azure 存储帐户,客户可以配置使用存储服务加密来保持数据在静态状态下的机密性。Azure 会在客户选择的数据中心中存储三份数据以增强韧性。地理冗余存储确保数据会被复制到距离数百英里之外的辅助数据中心,并在该数据中心内再次存储三份数据,以防止客户主要数据中心发生不良事件导致数据丢失。

此外,Application Insights 通过 Azure 监视日志提供实时的应用程序性能管理和分析。

此架构解决方案使用以下的 Azure 服务:

  • 应用服务环境 v2
  • 应用程序网关
    • Web 应用程序防火墙
    • 防火墙模式:防护
    • 规则集:OWASP 3.0
    • 侦听器端口:443
  • Application Insights
  • Azure Active Directory
  • Azure 自动化
  • Azure DNS
  • Azure Key Vault
  • Azure 负载均衡器
  • Azure Monitor
  • Azure 资源管理器
  • Azure 安全中心
  • Azure SQL 数据库
  • Azure 存储
  • Azure 虚拟网络
    • 16 网络
    • 24 网络
    • 网络安全组
  • Azure Web 应用

四、身份验证、访问控制

Azure 与传统本地安全模型不同的最重要一点是,基本安全是零信任、基于身份的安全验证,关于零信任模型,可以参考我以前的文章《构建安全架构的 Azure 云:深入了解零信任体系结构》。

4.1 三层防御控制

在这个系统中,Azure本身就是 Id Based Security,整个应用架构都受到 Id Based Security 的保护。另外,基本思想是一切都不能信任(零信任)。这个想法甚至不信任内部网络,而是进行身份验证并仅允许预定义的访问。

该系统不仅对外方向而且对企业网络侧都采用相同的策略,并通过认证和访问控制来保护对系统的所有访问。

Azure 资源如何受到保护?当服务部署在Azure上时,将如下图所示进行配置。最底层是 Azure 基础层中间层是 Azure 资源层最上面是用户创建的应用程序

通常所说的基础设施部分是最底层的两层,最上面的一层是应用程序。

【Azure上云项目实战】 合规性的身份验证与访问控制:在 Azure 中实现符合 PCI DSS 要求的架构设计,# Azure探秘:构建云计算世界,# 云计算解决方案与架构(FY23H2~FY24),azure,microsoft,云平台,云计算,架构,原力计划

4.2 三层部署结构

在 Azure 中,经过 Azure AD 身份验证的操作员通过 Azure 资源管理器执行对资源的操作。这些操作由基于 RBAC(Role-Based Access Control)的权限判断来控制,同时操作历史记录会被记录在 Activity Log 中。RBAC 允许你定义资源操作权限以控制对资源的访问。此外,你还可以通过 API 来执行这些操作,并编写脚本来自动化这些过程。

【Azure上云项目实战】 合规性的身份验证与访问控制:在 Azure 中实现符合 PCI DSS 要求的架构设计,# Azure探秘:构建云计算世界,# 云计算解决方案与架构(FY23H2~FY24),azure,microsoft,云平台,云计算,架构,原力计划

这里重要的是,网络设置和服务器设置等基础设施工作是基于身份验证和访问控制来执行的。操作历史可以保存为审核日志,并且可以通过自动化(编码)来实现。这些功能有助于满足 PCI DSS 的要求

五、跳板机

我们在系统中引入了跳板机服务器来管理对公司网络的操作访问。所有运营操作都必须通过跳板机服务器进行认证和访问控制,以确保运营管理员的安全访问。如果需要,可以通过堡垒服务器连接到数据库,但即使在这种情况下,我们也会限制操作员的权限,以防止他们访问不应引用的表和列。这些权限限制是根据操作要求确定的。另外,我们结合了 SQL 数据库审计,以实现对操作的广泛审计。这些措施有助于满足 PCI DSS 的要求。

【Azure上云项目实战】 合规性的身份验证与访问控制:在 Azure 中实现符合 PCI DSS 要求的架构设计,# Azure探秘:构建云计算世界,# 云计算解决方案与架构(FY23H2~FY24),azure,microsoft,云平台,云计算,架构,原力计划

对于什么是跳板机,这里做个简短说明(已经了解的同学这个解释可以跳过):

跳板机是一种用于安全访问和管理其他计算设备的中间服务器。它是在网络架构中作为安全防护措施的一部分,用于提供受限访问权限,从而增强网络安全。

跳板机通常位于内部网络和外部网络之间,也可以在内部网络的子网中。它是一台独立的服务器,经过高度保护和配置,仅允许经过授权的用户访问。用户需要先连接到跳板机,通过身份验证后,才能进一步连接到其他受保护的服务器或网络设备。

跳板机在 Azure 中,英文是:Bastion,你也可能在其他的云厂商或者文档中看见Jump Box字样,也同样代表跳板机。

六、与 PCI DSS 要求的关系

PCI DSS 中相当于身份验证和访问控制的是要求 7 和 8。它需要最低限度的必要访问权限、无共享帐户、始终分配个人帐户以及正确管理 ID 密码。

该系统使用 Azure AD 作为企业帐户。通过向每个人发放个人账户并使用 RBAC 限制对基本要素的访问来满足要求。

要求 9 与物理访问控制有关。Azure 中不允许物理访问,资源操作是通过 Azure REST API 进行的。API 受到身份验证和访问控制。这是一个共同责任的例子,身份管理是客户的责任,API 访问控制是云提供商的责任。

通过在 Log Analytics 中的企业帐户中存储审核所需期间的活动日志和操作历史记录,可以满足要求 10 中与持卡人数据审核日志管理相关的要求。

【Azure上云项目实战】 合规性的身份验证与访问控制:在 Azure 中实现符合 PCI DSS 要求的架构设计,# Azure探秘:构建云计算世界,# 云计算解决方案与架构(FY23H2~FY24),azure,microsoft,云平台,云计算,架构,原力计划

(图片为 PCI DSS 数据安全标准)

七、该篇总结(重要)

注意:此处的文末总结不同于我其他的文章,以前的文章大部分是总结或者说是一种回顾文章,此处的总结是针对 架构以及一些最佳实践总结而出,建议对云架构有兴趣的同学要知晓此处要点。

在身份验证、访问控制等合规性上,要遵循:

  • 资源配置和设置在 AAD 认证下完成
  • 访问控制 (RBAC) 与 AAD 身份验证结合使用
  • 资源操作可以在代码中完成
  • 操作存储在 Log Analytics 中

通过采用这样的机制,PCI DSS 要求的以下项目的操作难度将显着降低。

  • 审核未经授权的配置更改
  • 成分标准的澄清
  • 定期配置检查的实际执行

此外,Azure 资源没有固定的默认密码,并且不受 PCI DSS 要求 2 禁止使用默认密码的约束。这可以说是基于业界最新安全理念的服务设计,可以轻松构建符合 PCI DSS 的环境。

【Azure上云项目实战】 合规性的身份验证与访问控制:在 Azure 中实现符合 PCI DSS 要求的架构设计,# Azure探秘:构建云计算世界,# 云计算解决方案与架构(FY23H2~FY24),azure,microsoft,云平台,云计算,架构,原力计划

(图片为 PCI DSS 数据安全标准)

写在文末

该篇是 【Azure上云项目实战】PCI DSS 项目的第一篇,主要讲解了其项目架构,特别针对身份验证与访问控制这块,对于如何符合 PCI DSS 的要求进行了总结,试想如果你做了 PCI DSS 类似的项目,一定会有相关的法规,在你设计云架构的时候,或者给客户讲解的时候,如何能保证其符合要求,本文做了详细的解答和讲解,希望对这方面的阅读者们有所帮助。文章来源地址https://www.toymoban.com/news/detail-624390.html

[ 本文作者 ]   bluetata
[ 原文链接 ]   https://bluetata.blog.csdn.net/article/details/132068024
[ 最后更新 ]   08/02/2023 22:41
[ 版权声明 ]   如果您在非 CSDN 网站内看到这一行,
说明网络爬虫可能在本人还没有完整发布的时候就抓走了我的文章,
可能导致内容不完整,请去上述的原文链接查看原文。

到了这里,关于【Azure上云项目实战】 合规性的身份验证与访问控制:在 Azure 中实现符合 PCI DSS 要求的架构设计的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 外汇监管牌照解析:确保交易安全与合规性

    外汇交易中,资金安全与平台监管是大家最关心的话题。监管是评估外汇经纪商是否值得信赖、是否具备相关资质的关键依据,因此选择一家拥有海外合法监管的经济商至关重要。 那么,今天我们就来聊聊全球权威的几大监管机构 —nbsp; FCA、ASIC、NFA、FSA、CIMA。 FCA(英国金

    2024年02月20日
    浏览(45)
  • 如何校验 MySQL&Oracle 时间字段合规性?

    作者:余振兴 爱可生 DBA 团队成员,热衷技术分享、编写技术文档。 本文来源:原创投稿 爱可生开源社区出品,原创内容未经授权不得随意使用,转载请联系小编并注明来源。 在数据迁移或者数据库低版本升级到高版本过程中,经常会遇到一些由于低版本数据库参数设置过

    2024年02月11日
    浏览(45)
  • 第三十二章:CRM平台的安全与合规性

    客户关系管理(CRM)平台是企业与客户之间的关键沟通和交流桥梁。CRM平台存储了大量客户信息,包括个人信息、交易记录、客户需求等。因此,CRM平台的安全与合规性至关重要。 本章将深入探讨CRM平台的安全与合规性,涉及到的核心概念、算法原理、最佳实践、应用场景和工

    2024年02月22日
    浏览(53)
  • 未通过OVF规范⼀致性或虚拟硬件合规性检查

    当在导入vulnhub靶场的时候,会出现:未通过OVF规范⼀致性或虚拟硬件合规性检查 按照网上大佬的建议,重新下载另一个ovf将原来的文件内的全部替换具体操作参考: https://blog.csdn.net/qq_53634424/article/details/127459384 但是,替换以后重新导入靶场文件,还是显示:未通过OVF规范⼀

    2024年02月04日
    浏览(38)
  • 合规性问题:策略未符合最新的安全标准或法规要求

    在企业中制定和管理网络与信息安全政策是至关重要的任务之一。然而,有时候企业中的防火墙策略并未完全符合现有的网络安全标准和法规的要求。本文将对这一问题进行剖析并给出相应的解决措施。 问题描述 企业的防火墙策略可能因为以下原因不符合最新的安全和法规要

    2024年01月17日
    浏览(43)
  • 读高性能MySQL(第4版)笔记19_云端和合规性

    5.2.2.1. (CPU核的数量×95%CPU总使用量)×2 5.2.2.2. 建议将50%作为常规的使用率目标,最高可达到65%~70% 5.2.2.3. 如果维持在70%或更高的CPU使用率,将可能会看到延迟增加,此时应该考虑添加更多的CPU 5.6.1.1. 被视为仅用于短暂数据的磁盘 5.6.2.1. 网络连接的磁盘可能会遇到本地

    2024年02月08日
    浏览(47)
  • 【容器化应用程序设计和开发】2.5 容器化应用程序的安全性和合规性考虑

    往期回顾: 第一章:【云原生概念和技术】 第二章:2.1 容器化基础知识和Docker容器 第二章:2.2 Dockerfile 的编写和最佳实践 第二章:2.3 容器编排和Kubernetes调度 第二章:2.4 容器网络和存储 容器化应用程序是将应用程序和其依赖项打包到一个独立的、可移植的容器中,以便在

    2024年02月15日
    浏览(52)
  • 【Microsoft Azure 的1024种玩法】 二十.Azure Multi-Factor Authentication多因素验证最佳实战

    Multi-Factor Authentication (MFA) 是一种多因素认证的安全实践方法,它能够在用户名和密码之外再额外增加一层安全保护。启用 MFA 后,用户登录Azure门户时,系统将要求输入用户名和密码(第一安全要素),然后要求输入来自其 MFA 设备的动态验证码(第二安全要素),多因素的安

    2024年02月07日
    浏览(35)
  • PHP项目&变量覆盖&反序列化&未授权访问&身份验证

    此种漏洞由于没有什么关键函数,所以需要通过功能点去进行测试。 CNVD官网上搜索Bosscms未授权访问漏洞。 根据描述,影响的是1.0版本。看到发送时间为21年12月29好,收录时间为22年1月18号。再去官网看版本更新的时间点,V1.0版本和V1.1版本都是21年12月29号之前推出的,都存

    2024年02月19日
    浏览(38)
  • 解决:Hbuilder工具点击发行打包,一直报尚未完成社区身份验证,请点击链接xxxxx,项目xxx发布H5失败的错误。[Error]尚未完成社区身份验证

    全世界任何漂亮有魅力的女生,都不会因为你送她汉堡或奶茶而对你说我爱你,明白吗?你应该带她做一些特别的事情,让她感动。 [Error]尚未完成社区身份验证,请点击链接 https://ask.dcloud.net.cn/account/setting/profile 验证后再重新打包。如果验证后仍然提示此信息,请检查HBui

    2024年02月12日
    浏览(107)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包