Tengo algunos cuadros de Azure para los que estoy considerando algunas ramificaciones de PCI. Las cajas en sí están en buen estado, pero me preocupa el portal. Puede usarse para restablecer contraseñas, administrar firewalls, etc.
Desde mi lectura, la consola de administración de Azure califica como 'acceso de administrador sin consola' y, por lo tanto, debe restringirse mediante la autenticación multifactor.
¿Mi lectura es correcta?
Aunque no soy un auditor PCI, me parece razonable. Sin embargo, no estoy seguro de que sea importante, porque el buen sentido dicta que si los recursos de Azure son parte de su entorno de producción, y particularmente si están almacenando datos confidenciales como datos de tarjeta o PII, acceso al portal Debe ser protegido con MFA. Yo diría que esta es una decisión que usted toma basándose en el hecho de que es claramente lo que hay que hacer, y si resulta ser importante para su certificación PCI, entonces ya está listo.
Además, si es útil, Microsoft publica una Matriz de Reponsistencia de Azure PCI DSS que puede ayudarlo a comprender mejor qué proporcionan los recursos de Azure en términos de cumplimiento de PCI y qué responsabilidades son aún suyas.
Azure (al menos algunos de los DC, debe comprobar cuáles son compatibles con PCI DSS (están certificados con PCI DSS). ¿Pero qué significa realmente? Que cumpla con algunos requisitos y algunos de ellos debes cumplir.
La autenticación multifactor es solo uno de los requisitos que debe cumplir cuando está iniciando sesión en el entorno PCI DSS (como administrador, por supuesto). Esto incluiría el acceso al Azure portal o todas las VPN que tenga. cree y cualquier otro acceso que permita al entorno (como SSH / RDP / lo que sea).
Si accede a sus máquinas virtuales utilizando la consola (como SSH o RDP), también es posible configurarlo para autenticación de múltiples factores .
Si accede a estas máquinas directamente desde Internet, prepárese para rediseñarlas (es decir, mediante el uso del servidor Hop, VPN, cualquier otra cosa que no sea el acceso directo a las interfaces de administración desde Internet).
Créeme, estoy bastante seguro de que sus cajas no están en "buena forma" desde el punto de vista de PCI DSS;) Mejor dicho, el entorno. ¿Monitorea, registra, escanea, analiza ... y otras x miles de cosas? :)
Si planea pasar la certificación de PCI DSS, le recomendaría que estudie los documentos de seguridad de Azure, el cumplimiento de PCI, las matrices de responsabilidad ... luego pregunte al Soporte de Azure. Necesitará estudiar muchos documentos sobre qué es responsabilidad de MS, cuál es el suyo y qué deberá cumplir. También le recomendaría que se ponga en contacto con una empresa de consultoría que se encarga de PCI DSS para obtener ayuda con él. Lo creas o no, es realmente difícil poner todo en forma.
Lea otras preguntas en las etiquetas pci-dss