Microsoft Entra Id ve PCI-DSS Gereksinimi 11
Gereksinim 11: Sistemlerin ve Ağların Güvenliğini Düzenli Olarak
Tanımlanan Yaklaşım Gereksinimlerini Test Edin
11.1 Sistemlerin ve ağların güvenliğini düzenli olarak test etme süreçleri ve mekanizmaları tanımlanır ve anlaşılır.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 11.1.1 Gereksinim 11'de tanımlanan tüm güvenlik ilkeleri ve işletimsel yordamlar şunlardır: Belgelenmiş Güncel Tutuldu Etkilenen tüm taraflar tarafından bilinir |
Ortam yapılandırmanıza göre gereksinimleri karşılamaya yönelik belgeleri oluşturmak için buradaki kılavuzu ve bağlantıları kullanın. |
| 11.1.2 Gereksinim 11'deki etkinlikleri gerçekleştirmeye yönelik roller ve sorumluluklar belgelenir, atanır ve anlaşılır. | Ortam yapılandırmanıza göre gereksinimleri karşılamaya yönelik belgeleri oluşturmak için buradaki kılavuzu ve bağlantıları kullanın. |
11.2 Kablosuz erişim noktaları tanımlanır ve izlenir ve yetkisiz kablosuz erişim noktaları ele alınır.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 11.2.1 Yetkili ve yetkisiz kablosuz erişim noktaları şu şekilde yönetilir: Kablosuz (Wi-Fi) erişim noktalarının varlığı için test edilmiştir. Tüm yetkili ve yetkisiz kablosuz erişim noktaları algılanır ve tanımlanır. Test, algılama ve tanımlama işlemi en az üç ayda bir gerçekleşir. Otomatik izleme kullanılırsa, çalışanlara oluşturulan uyarılar aracılığıyla bildirim gönderilir. |
Kuruluşunuz kimlik doğrulaması için ağ erişim noktalarını Microsoft Entra ID ile tümleştirirse bkz . Gereksinim 1: Ağ Güvenlik Denetimlerini Yükleme ve Koruma |
| 11.2.2 Belgelenmiş iş gerekçesi dahil olmak üzere yetkili kablosuz erişim noktalarının envanteri tutulur. | Microsoft Entra Id için geçerli değildir. |
11.3 Dış ve iç güvenlik açıkları düzenli olarak tanımlanır, önceliklendirilir ve giderilir.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 11.3.1 İç güvenlik açığı taramaları şu şekilde gerçekleştirilir: En az üç ayda bir. Yüksek riskli ve kritik güvenlik açıkları (varlığın Gereksinim 6.3.1'de tanımlanan güvenlik açığı risk derecelendirmeleri başına) çözülür. Tüm yüksek riskli ve kritik güvenlik açıklarının (belirtildiği gibi) çözüldüğünü onaylayan yeniden taramalar gerçekleştirilir. Tarama aracı en son güvenlik açığı bilgileriyle güncel tutulur. Taramalar nitelikli personel tarafından gerçekleştirilir ve test edenin kuruluş bağımsızlığı vardır. |
Microsoft Entra karma özelliklerini destekleyen sunucuları dahil edin. Örneğin, iç güvenlik açığı taramalarının bir parçası olarak Microsoft Entra Connect, Uygulama ara sunucusu bağlayıcıları vb. Federasyon kimlik doğrulaması kullanan kuruluşlar: Federasyon sistemi altyapısı güvenlik açıklarını gözden geçirin ve giderin. Microsoft Entra Id ile federasyon nedir? Microsoft Entra Kimlik Koruması tarafından bildirilen risk algılamalarını gözden geçirin ve azaltın. Düzeltme iş akışları veya otomasyon ile daha fazlasını tümleştirmek için sinyalleri bir SIEM çözümüyle tümleştirin. Risk türleri ve algılama Microsoft Entra değerlendirme aracını düzenli olarak çalıştırın ve bulguları ele alın. AzureADAssessmentAltyapı için güvenlik işlemleri Microsoft Entra günlüklerini Azure İzleyici günlükleriyle tümleştirme |
| 11.3.1.1 Diğer tüm geçerli güvenlik açıkları (Gereksinim 6.3.1'de tanımlanan varlığın güvenlik açığı risk derecelendirmelerine göre yüksek riskli veya kritik olarak derecelendirilmeyenler) şu şekilde yönetilir: Varlığın hedeflenen risk analizinde tanımlanan risk temelinde ele alınır ve Gereksinim 12.3.1'de belirtilen tüm öğelere göre gerçekleştirilir. Yeniden taramalar gerektiği gibi yapılır. |
Microsoft Entra karma özelliklerini destekleyen sunucuları dahil edin. Örneğin, iç güvenlik açığı taramalarının bir parçası olarak Microsoft Entra Connect, Uygulama ara sunucusu bağlayıcıları vb. Federasyon kimlik doğrulaması kullanan kuruluşlar: Federasyon sistemi altyapısı güvenlik açıklarını gözden geçirin ve giderin. Microsoft Entra Id ile federasyon nedir? Microsoft Entra Kimlik Koruması tarafından bildirilen risk algılamalarını gözden geçirin ve azaltın. Düzeltme iş akışları veya otomasyon ile daha fazlasını tümleştirmek için sinyalleri bir SIEM çözümüyle tümleştirin. Risk türleri ve algılama Microsoft Entra değerlendirme aracını düzenli olarak çalıştırın ve bulguları ele alın. AzureAD/AzureADAssessmentAltyapı için güvenlik işlemleri Microsoft Entra günlüklerini Azure İzleyici günlükleriyle tümleştirme |
| 11.3.1.2 İç güvenlik açığı taramaları, kimliği doğrulanmış tarama yoluyla şu şekilde gerçekleştirilir: Kimliği doğrulanmış tarama için kimlik bilgilerini kabul edemeyen sistemler belgelenir. Tarama için kimlik bilgilerini kabul eden sistemler için yeterli ayrıcalıklar kullanılır. Kimliği doğrulanmış tarama için kullanılan hesaplar etkileşimli oturum açma için kullanılabiliyorsa Gereksinim 8.2.2'ye uygun olarak yönetilir. |
Microsoft Entra karma özelliklerini destekleyen sunucuları dahil edin. Örneğin, iç güvenlik açığı taramalarının bir parçası olarak Microsoft Entra Connect, Uygulama ara sunucusu bağlayıcıları vb. Federasyon kimlik doğrulaması kullanan kuruluşlar: Federasyon sistemi altyapısı güvenlik açıklarını gözden geçirin ve giderin. Microsoft Entra Id ile federasyon nedir? Microsoft Entra Kimlik Koruması tarafından bildirilen risk algılamalarını gözden geçirin ve azaltın. Düzeltme iş akışları veya otomasyon ile daha fazlasını tümleştirmek için sinyalleri bir SIEM çözümüyle tümleştirin. Risk türleri ve algılama Microsoft Entra değerlendirme aracını düzenli olarak çalıştırın ve bulguları ele alın. AzureADAssessmentAltyapı için güvenlik işlemleri Microsoft Entra günlüklerini Azure İzleyici günlükleriyle tümleştirme |
| 11.3.1.3 İç güvenlik açığı taramaları, aşağıdaki önemli değişikliklerden sonra gerçekleştirilir: Yüksek riskli ve kritik güvenlik açıkları (varlığın Gereksinim 6.3.1'de tanımlanan güvenlik açığı risk derecelendirmelerine göre) çözülür. Yeniden taramalar gerektiği gibi yapılır. Taramalar nitelikli personel tarafından gerçekleştirilir ve test edicinin var olan kuruluş bağımsızlığı (Nitelikli Güvenlik Değerlendiricisi (QSA) veya Onaylı Tarama Satıcısı (ASV) olması gerekmez). |
Microsoft Entra karma özelliklerini destekleyen sunucuları dahil edin. Örneğin, iç güvenlik açığı taramalarının bir parçası olarak Microsoft Entra Connect, Uygulama ara sunucusu bağlayıcıları vb. Federasyon kimlik doğrulaması kullanan kuruluşlar: Federasyon sistemi altyapısı güvenlik açıklarını gözden geçirin ve giderin. Microsoft Entra Id ile federasyon nedir? Microsoft Entra Kimlik Koruması tarafından bildirilen risk algılamalarını gözden geçirin ve azaltın. Düzeltme iş akışları veya otomasyon ile daha fazlasını tümleştirmek için sinyalleri bir SIEM çözümüyle tümleştirin. Risk türleri ve algılama Microsoft Entra değerlendirme aracını düzenli olarak çalıştırın ve bulguları ele alın. AzureADAssessmentAltyapı için güvenlik işlemleri Microsoft Entra günlüklerini Azure İzleyici günlükleriyle tümleştirme |
| 11.3.2 Dış güvenlik açığı taramaları şu şekilde gerçekleştirilir: En az üç ayda bir. Bir PCI SSC ASV tarafından. Güvenlik açıkları giderilir ve geçiş taraması için ASV Program Kılavuzu gereksinimleri karşılanmaktadır. Yeniden taramalar, geçiş taraması için ASV Program Kılavuzu gereksinimlerine göre güvenlik açıklarının çözümlendiğini onaylamak için gerektiğinde gerçekleştirilir. |
Microsoft Entra Id için geçerli değildir. |
| 11.3.2.1 Dış güvenlik açığı taramaları aşağıdaki gibi önemli bir değişiklik yapıldıktan sonra gerçekleştirilir: CVSS tarafından 4.0 veya üzeri puanlanan güvenlik açıkları çözülür. Yeniden taramalar gerektiği gibi yapılır. Taramalar nitelikli personel tarafından gerçekleştirilir ve test edenin kuruluş bağımsızlığı vardır (QSA veya ASV olması gerekmez). |
Microsoft Entra Id için geçerli değildir. |
11.4 Dış ve iç sızma testleri düzenli olarak gerçekleştirilir ve kötüye kullanılabilir güvenlik açıkları ve güvenlik zayıflıkları düzeltilir.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 11.4.1 Sızma testi metodolojisi varlık tarafından tanımlanır, belgelenir ve uygulanır ve şunları içerir: Endüstri tarafından kabul edilen sızma testi yaklaşımları. Kart sahibi veri ortamının (CDE) tamamının çevresi ve kritik sistemlerin kapsamı. Hem ağ içinden hem de ağ dışından test etme. Segmentasyon ve kapsam azaltma denetimlerini doğrulamak için test etme. Gereksinim 6.2.4'te listelenen güvenlik açıklarını en azından belirlemek için uygulama katmanı sızma testi. Ağ işlevlerini ve işletim sistemlerini destekleyen tüm bileşenleri kapsayan ağ katmanı sızma testleri. Son 12 ayda karşılaşılan tehditleri ve güvenlik açıklarını gözden geçirin ve dikkate alın. Sızma testi sırasında bulunan güvenlik açıklarının ve güvenlik zayıflıklarının neden olduğu riski değerlendirmek ve ele almak için belgelenmiş yaklaşım. Sızma testi sonuçlarının ve düzeltme etkinliklerinin en az 12 ay boyunca elde tutulması. |
Sızma Testi Katılım Kuralları, Microsoft Cloud |
| 11.4.2 İç sızma testi gerçekleştirilir: Varlığın tanımlı metodolojisine göre. En az 12 ayda bir. Önemli bir altyapı veya uygulama yükseltmesi veya değişikliği sonrasında. Nitelikli bir iç kaynak veya nitelikli dış üçüncü taraf tarafından. Test edenin kuruluş bağımsızlığı vardır (QSA veya ASV olması gerekmez). |
Sızma Testi Katılım Kuralları, Microsoft Cloud |
| 11.4.3 Dış sızma testi gerçekleştirilir: Varlığın tanımlı metodolojisine göre. En az 12 ayda bir. Önemli bir altyapı veya uygulama yükseltmesi veya değişikliği sonrasında. Nitelikli bir iç kaynak veya nitelikli dış üçüncü taraf tarafından. Test edenin kuruluş bağımsızlığı vardır (QSA veya ASV olması gerekmez). |
Sızma Testi Katılım Kuralları, Microsoft Cloud |
| 11.4.4 Sızma testi sırasında bulunan açıklardan yararlanılabilir güvenlik açıkları ve güvenlik zayıflıkları şu şekilde düzeltilir: Varlığın Gereksinim 6.3.1'de tanımlandığı şekilde güvenlik sorununun neden olduğu riski değerlendirmesine uygun olarak. Düzeltmeleri doğrulamak için sızma testi tekrarlanır. |
Sızma Testi Katılım Kuralları, Microsoft Cloud |
| 11.4.5 CDE'yi diğer ağlardan yalıtmak için kesimleme kullanılıyorsa, segmentasyon denetimleri üzerinde sızma testleri şu şekilde gerçekleştirilir: Segmentasyon denetimlerinde/yöntemlerinde yapılan değişikliklerden sonra en az 12 ayda bir. Kullanımdaki tüm segmentasyon denetimlerini/yöntemlerini kapsar. Varlığın tanımlı sızma testi metodolojisine göre. Segmentasyon denetimlerinin/yöntemlerinin çalışır durumda ve etkili olduğunu onaylama ve CDE'yi tüm kapsam dışı sistemlerden yalıtma. Farklı güvenlik düzeylerine sahip sistemleri ayırmak için yalıtım kullanımının etkinliğini onaylama (bkz. Gereksinim 2.2.3). Nitelikli bir iç kaynak veya nitelikli dış üçüncü taraf tarafından gerçekleştirilir. Test edenin kuruluş bağımsızlığı vardır (QSA veya ASV olması gerekmez). |
Microsoft Entra Id için geçerli değildir. |
| 11.4.6 Yalnızca hizmet sağlayıcıları için ek gereksinim: CDE'yi diğer ağlardan yalıtmak için kesimleme kullanılıyorsa, kesimleme denetimleri üzerinde sızma testleri şu şekilde gerçekleştirilir: En az altı ayda bir ve segmentasyon denetimlerinde/yöntemlerinde yapılan değişikliklerden sonra. Kullanımdaki tüm segmentasyon denetimlerini/yöntemlerini kapsar. Varlığın tanımlı sızma testi metodolojisine göre. Segmentasyon denetimlerinin/yöntemlerinin çalışır durumda ve etkili olduğunu onaylama ve CDE'yi tüm kapsam dışı sistemlerden yalıtma. Farklı güvenlik düzeylerine sahip sistemleri ayırmak için yalıtım kullanımının etkinliğini onaylama (bkz. Gereksinim 2.2.3). Nitelikli bir iç kaynak veya nitelikli dış üçüncü taraf tarafından gerçekleştirilir. Test edenin kuruluş bağımsızlığı vardır (QSA veya ASV olması gerekmez). |
Microsoft Entra Id için geçerli değildir. |
| 11.4.7 Yalnızca çok kiracılı hizmet sağlayıcıları için ek gereksinim: Çok kiracılı hizmet sağlayıcıları, Gereksinim 11.4.3 ve 11.4.4'e göre dış sızma testi için müşterilerini destekler. | Sızma Testi Katılım Kuralları, Microsoft Cloud |
11.5 Ağ yetkisiz erişimleri ve beklenmeyen dosya değişiklikleri algılanır ve yanıtlanır.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 11.5.1 İzinsiz giriş algılama ve/veya izinsiz girişi önleme teknikleri aşağıdaki gibi ağa izinsiz girişi algılamak ve/veya önlemek için kullanılır: Tüm trafik CDE'nin çevresinde izlenir. Tüm trafik CDE'nin kritik noktalarında izlenir. Personel şüpheli riskler konusunda uyarıldı. Tüm yetkisiz erişim algılama ve önleme altyapıları, taban çizgileri ve imzalar güncel tutulur. |
Microsoft Entra Id için geçerli değildir. |
| 11.5.1.1 Yalnızca hizmet sağlayıcıları için ek gereksinim: İzinsiz giriş algılama ve/veya izinsiz girişi önleme teknikleri gizli kötü amaçlı yazılım iletişim kanallarını algılar, uyarır/engeller ve adresler. | Microsoft Entra Id için geçerli değildir. |
| 11.5.2 Değişiklik algılama mekanizması (örneğin, dosya bütünlüğü izleme araçları) şu şekilde dağıtılır: Kritik dosyaların yetkisiz değiştirilmesi (değişiklikler, eklemeler ve silmeler dahil) için personeli uyarmak için. Kritik dosya karşılaştırmalarını haftada en az bir kez gerçekleştirmek için. |
Microsoft Entra Id için geçerli değildir. |
11.6 Ödeme sayfalarında yetkisiz değişiklikler algılanır ve yanıtlanır.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 11.6.1 Değişiklik ve kurcalama algılama mekanizması şu şekilde dağıtılır: Http üst bilgilerine ve tüketici tarayıcısı tarafından alınan ödeme sayfalarının içeriğine yetkisiz değişiklikler (risk, değişiklikler, eklemeler ve silme göstergeleri dahil) konusunda personeli uyarmak için. Mekanizma, alınan HTTP üst bilgisini ve ödeme sayfasını değerlendirecek şekilde yapılandırılır. Mekanizma işlevleri şu şekilde gerçekleştirilir: En az yedi günde bir VEYA Varlığın hedeflenen risk analizinde tanımlanan sıklıkta düzenli aralıklarla, tüm öğelere göre gerçekleştirilir |
Microsoft Entra Id için geçerli değildir. |
Sonraki adımlar
PCI-DSS gereksinimleri 3, 4, 9 ve 12 , Microsoft Entra Id için geçerli olmadığından ilgili makale yoktur. Tüm gereksinimleri görmek için pcisecuritystandards.org: Resmi PCI Güvenlik Standartları Konseyi Sitesi'ne gidin.
Microsoft Entra Id'yi PCI-DSS ile uyumlu olacak şekilde yapılandırmak için aşağıdaki makalelere bakın.
- Microsoft Entra PCI-DSS kılavuzu
- Gereksinim 1: Ağ Güvenlik Denetimlerini Yükleme ve Koruma
- Gereksinim 2: Tüm Sistem Bileşenlerine Güvenli Yapılandırmalar Uygulama
- Gereksinim 5: Tüm Sistemleri ve Ağları Kötü Amaçlı Yazılımlardan Koruma
- Gereksinim 6: Güvenli Sistemler ve Yazılımlar Geliştirme ve Koruma
- Gereksinim 7: Sistem Bileşenlerine ve Kart Sahibi Verilerine Erişimi İşletmelerin Bilmesi Gerekenlere Göre Kısıtlama
- Gereksinim 8: Kullanıcıları Tanımlama ve Sistem Bileşenlerine Erişimin Kimliğini Doğrulama
- Gereksinim 10: Sistem Bileşenlerine ve Kart Sahibi Verilerine Tüm Erişimi Günlüğe Kaydetme ve İzleme
- Gereksinim 11: Sistemlerin ve Ağların Güvenliğini Düzenli Olarak Test Edin (Buradasınız)
- Microsoft Entra PCI-DSS Multi-Factor Authentication kılavuzu
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin