Microsoft Entra Id ve PCI-DSS Gereksinimi 1
Gereksinim 1: Ağ Güvenlik Denetimlerini
Yükleme ve Koruma Tanımlı yaklaşım gereksinimleri
1.1 Ağ güvenlik denetimlerini yüklemeye ve korumaya yönelik işlemler ve mekanizmalar tanımlanır ve anlaşılır.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 1.1.1 Gereksinim 1'de tanımlanan tüm güvenlik ilkeleri ve operasyonel yordamlar şunlardır: Belgelenmiş Güncel Tutuldu Etkilenen tüm taraflar tarafından bilinen kullanımda |
Ortam yapılandırmanıza göre gereksinimleri karşılamaya yönelik belgeleri oluşturmak için buradaki kılavuzu ve bağlantıları kullanın. |
| 1.1.2 Gereksinim 1'de etkinlik gerçekleştirmeye yönelik roller ve sorumluluklar belgelenir, atanır ve anlaşılır | Ortam yapılandırmanıza göre gereksinimleri karşılamaya yönelik belgeleri oluşturmak için buradaki kılavuzu ve bağlantıları kullanın. |
1.2 Ağ güvenlik denetimleri (NSC) yapılandırılır ve korunur.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 1.2.1 NSC kural kümeleri için yapılandırma standartları şunlardır: Tanımlı Uygulanan Bakım |
Erişim teknolojileri modern kimlik doğrulamasını destekliyorsa VPN, uzak masaüstü ve ağ erişim noktaları gibi erişim teknolojilerini kimlik doğrulaması ve yetkilendirme için Microsoft Entra ID ile tümleştirin. Kimlikle ilgili denetimlere ilişkin NSC standartlarının Koşullu Erişim ilkelerinin tanımını, uygulama atamasını, erişim gözden geçirmelerini, grup yönetimini, kimlik bilgileri ilkelerini vb. içerdiğinden emin olun. Microsoft Entra işlemleri başvuru kılavuzu |
| 1.2.2 NSC'lerin ağ bağlantılarında ve yapılandırmalarında yapılan tüm değişiklikler Gereksinim 6.5.1'de tanımlanan değişiklik denetimi sürecine uygun olarak onaylanıp yönetilir | Microsoft Entra Id için geçerli değildir. |
| 1.2.3 Kart sahibi veri ortamı (CDE) ile tüm kablosuz ağlar dahil diğer ağlar arasındaki tüm bağlantıları gösteren doğru bir ağ diyagramı korunur. | Microsoft Entra Id için geçerli değildir. |
| 1.2.4 Aşağıdakilere uyan doğru bir veri akışı diyagramı korunur: Sistemler ve ağlar arasındaki tüm hesap veri akışlarını gösterir. Ortamda yapılan değişikliklerde gerektiği gibi güncelleştirildi. |
Microsoft Entra Id için geçerli değildir. |
| 1.2.5 İzin verilen tüm hizmetler, protokoller ve bağlantı noktaları tanımlanır, onaylanmıştır ve tanımlanmış bir iş gereksinimi vardır | Microsoft Entra Id için geçerli değildir. |
| 1.2.6 Güvenlik özellikleri, kullanımdaki tüm hizmetler, protokoller ve bağlantı noktaları için tanımlanır ve uygulanır ve riskin azaltılması gibi güvensiz olarak kabul edilir. | Microsoft Entra Id için geçerli değildir. |
| 1.2.7 NSC'lerin yapılandırmaları, ilgili ve etkili olduklarını doğrulamak için en az altı ayda bir gözden geçirilir. | CDE'nizdeki ağ güvenlik denetimlerine uygun grup üyeliği gözden geçirmelerini ve VPN gereçleri gibi uygulamaları otomatikleştirmek için Microsoft Entra erişim gözden geçirmelerini kullanın. Erişim gözden geçirmeleri nedir? |
| 1.2.8 NSC'ler için yapılandırma dosyaları şunlardır: Yetkisiz erişimden güvenlidir Etkin ağ yapılandırmalarıyla tutarlı tutulur |
Microsoft Entra Id için geçerli değildir. |
1.3 Kart sahibi veri ortamına ve bu ortamdan ağ erişimi kısıtlanmıştır.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 1.3.1 CDE'ye gelen trafik şu şekilde kısıtlanmıştır: Yalnızca gerekli olan trafik için. Diğer tüm trafik özel olarak reddedilir |
Koşullu Erişim ilkeleri oluşturmak üzere adlandırılmış konumları yapılandırmak için Microsoft Entra Id kullanın. Kullanıcı ve oturum açma riskini hesaplayın. Microsoft, müşterilerin ağ konumlarını kullanarak CDE IP adreslerini doldurmalarını ve korumalarını önerir. Koşullu Erişim ilkesi gereksinimlerini tanımlamak için bunları kullanın. Koşullu Erişim ilkesinde konum koşulunu kullanma |
| 1.3.2 CDE'den giden trafik şu şekilde kısıtlanmıştır: Yalnızca gerekli olan trafik için. Diğer tüm trafik özel olarak reddedilir |
NSC tasarımı için, CDE IP adreslerine erişime izin vermek için uygulamalar için Koşullu Erişim ilkeleri ekleyin. Sanal özel ağ (VPN) gereçleri, tutsak portallar gibi CDE ile bağlantı kurmak için acil durum erişimi veya uzaktan erişim, istenmeyen kilitlenmeyi önlemek için ilkelere ihtiyaç duyabilir. Koşullu Erişim ilkesindeki konum koşulunu kullanma Microsoft Entra Id'de acil durum erişim hesaplarını yönetme |
| 1.3.3 NSC'ler, kablosuz ağın bir CDE olup olmadığına bakılmaksızın tüm kablosuz ağlar ile CDE arasında yüklenir, örneğin: Kablosuz ağlardan CDE'ye gelen tüm kablosuz trafik varsayılan olarak reddedilir. CDE'ye yalnızca yetkili bir iş amacı olan kablosuz trafiğe izin verilir. |
NSC tasarımı için, CDE IP adreslerine erişime izin vermek için uygulamalar için Koşullu Erişim ilkeleri ekleyin. Sanal özel ağ (VPN) gereçleri, tutsak portallar gibi CDE ile bağlantı kurmak için acil durum erişimi veya uzaktan erişim, istenmeyen kilitlenmeyi önlemek için ilkelere ihtiyaç duyabilir. Koşullu Erişim ilkesindeki konum koşulunu kullanma Microsoft Entra Id'de acil durum erişim hesaplarını yönetme |
1.4 Güvenilen ve güvenilmeyen ağlar arasındaki ağ bağlantıları denetlenmektedir.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 1.4.1 NSC'ler güvenilen ve güvenilmeyen ağlar arasında uygulanır. | Microsoft Entra Id için geçerli değildir. |
| 1.4.2 Güvenilmeyen ağlardan güvenilen ağlara gelen trafik şu şekilde sınırlandırılır: Genel olarak erişilebilir hizmetler, protokoller ve bağlantı noktaları sağlama yetkisine sahip sistem bileşenleriyle iletişim. Güvenilir bir ağdaki sistem bileşenleri tarafından başlatılan iletişimlere durum bilgisi olan yanıtlar. Diğer tüm trafik reddedilir. |
Microsoft Entra Id için geçerli değildir. |
| 1.4.3 Sahte kaynak IP adreslerinin güvenilir ağa girmesini algılamak ve engellemek için kimlik sahtekarlığına karşı koruma önlemleri uygulanır. | Microsoft Entra Id için geçerli değildir. |
| 1.4.4 Kart sahibi verilerini depolayan sistem bileşenlerine güvenilmeyen ağlardan doğrudan erişilemez. | Ağ katmanındaki denetimlere ek olarak, Microsoft Entra Id kullanan CDE'deki uygulamalar Koşullu Erişim ilkelerini kullanabilir. Uygulamalara erişimi konuma göre kısıtlayın. Koşullu Erişim ilkesinde ağ konumunu kullanma |
| 1.4.5 İç IP adreslerinin ve yönlendirme bilgilerinin açıklanması yalnızca yetkili taraflarla sınırlıdır. | Microsoft Entra Id için geçerli değildir. |
1.5 Hem güvenilmeyen ağlara hem de CDE'ye bağlanabilen bilgi işlem cihazlarından CDE'ye ilişkin riskler azaltılır.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 1.5.1 Güvenlik denetimleri, hem güvenilmeyen ağlara (İnternet dahil) hem de CDE'ye bağlanan şirkete ait ve çalışana ait cihazlar da dahil olmak üzere tüm bilgi işlem cihazlarında şu şekilde uygulanır: Varlığın ağına tehditlerin uygulanmasını önlemek için belirli yapılandırma ayarları tanımlanır. Güvenlik denetimleri etkin bir şekilde çalışıyor. Güvenlik denetimleri, sınırlı bir süre boyunca yönetim tarafından büyük/küçük harf temelinde özel olarak belgelenmediği ve yetkilendirilmediği sürece bilgi işlem cihazlarının kullanıcıları tarafından değiştirilemez. |
Cihaz uyumluluğu gerektiren Koşullu Erişim ilkelerini dağıtın. Intune ile yönettiğiniz cihazlar için kurallar ayarlamak için uyumluluk ilkelerini kullanın Cihaz uyumluluk durumunu kötü amaçlı yazılımdan koruma çözümleriyle tümleştirin. Intune Mobile Threat Defense ile Intune tümleştirmesinde Koşullu Erişim ile Uç Nokta için Microsoft Defender uyumluluğu zorlama |
Sonraki adımlar
PCI-DSS gereksinimleri 3, 4, 9 ve 12 , Microsoft Entra Id için geçerli olmadığından ilgili makale yoktur. Tüm gereksinimleri görmek için pcisecuritystandards.org: Resmi PCI Güvenlik Standartları Konseyi Sitesi'ne gidin.
Microsoft Entra Id'yi PCI-DSS ile uyumlu olacak şekilde yapılandırmak için aşağıdaki makalelere bakın.
- Microsoft Entra PCI-DSS kılavuzu
- Gereksinim 1: Ağ Güvenlik Denetimlerini Yükleme ve Koruma (Buradasınız)
- Gereksinim 2: Tüm Sistem Bileşenlerine Güvenli Yapılandırmalar Uygulama
- Gereksinim 5: Tüm Sistemleri ve Ağları Kötü Amaçlı Yazılımlardan Koruma
- Gereksinim 6: Güvenli Sistemler ve Yazılımlar Geliştirme ve Koruma
- Gereksinim 7: Sistem Bileşenlerine ve Kart Sahibi Verilerine Erişimi İşletmelerin Bilmesi Gerekenlere Göre Kısıtlama
- Gereksinim 8: Kullanıcıları Tanımlama ve Sistem Bileşenlerine Erişimin Kimliğini Doğrulama
- Gereksinim 10: Sistem Bileşenlerine ve Kart Sahibi Verilerine Tüm Erişimi Günlüğe Kaydetme ve İzleme
- Gereksinim 11: Sistemlerin ve Ağların Güvenliğini Düzenli Olarak Test Edin
- Microsoft Entra PCI-DSS Multi-Factor Authentication kılavuzu