Microsoft Entra Id ve PCI-DSS Gereksinimi 7
Gereksinim 7: sistem bileşenlerine ve kart sahibi verilerine erişimi işletmenin bilmesine
göre kısıtlama tanımlı yaklaşım gereksinimleri
7.1 İşletmelerin bilmesi gereken sistem bileşenlerine ve kart sahibi verilerine erişimi kısıtlamaya yönelik süreçler ve mekanizmalar tanımlanır ve anlaşılır.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 7.1.1 Gereksinim 7'de tanımlanan tüm güvenlik ilkeleri ve operasyonel yordamlar şunlardır: Belgelenmiş Kullanımda Tutuldu Etkilenen tüm taraflar tarafından bilinir |
Kimlik doğrulaması ve yetkilendirme için kart sahibi veri ortamı (CDE) uygulamalarına erişimi Microsoft Entra Id ile tümleştirin. Uzaktan erişim teknolojileri için Koşullu Erişim ilkelerini belgeleyin. Microsoft Graph API ve PowerShell ile otomatikleştirme. Koşullu Erişim: Programlı erişim Güvenlik ilkesi değişikliklerini ve Microsoft Entra kiracı yapılandırmasını kaydetmek için Microsoft Entra denetim günlüklerini arşivleyin. Kullanımı kaydetmek için Microsoft Entra oturum açma günlüklerini bir güvenlik bilgileri ve olay yönetimi (SIEM) sisteminde arşivleyin. Azure İzleyici'de Microsoft Entra etkinlik günlükleri |
| 7.1.2 Gereksinim 7'de etkinlik gerçekleştirmeye yönelik roller ve sorumluluklar belgelenir, atanır ve anlaşılır. | Kimlik doğrulaması ve yetkilendirme için CDE uygulamalarına erişimi Microsoft Entra Id ile tümleştirin. - Uygulamalara veya grup üyeliğiyle kullanıcı rolleri atama - Uygulama atamalarını listelemek için Microsoft Graph'ı kullanın - Atama değişikliklerini izlemek için Microsoft Entra denetim günlüklerini kullanın. Kullanıcıya verilen appRoleAssignments listesini oluşturma Get-MgServicePrincipalAppRoleAssignedTo Ayrıcalıklı erişim Dizin rolü atamalarını izlemek için Microsoft Entra denetim günlüklerini kullanın. Bu PCI gereksinimiyle ilgili yönetici rolleri: - Genel - Uygulama - Kimlik Doğrulaması - Kimlik Doğrulama İlkesi - Karma Kimlik En az ayrıcalık erişimi uygulamak için Microsoft Entra Id kullanarak özel dizin rolleri oluşturun. Azure'da CDE'nin bazı bölümlerini oluşturuyorsanız Sahip, Katkıda Bulunan, kullanıcı Erişim Yöneticisi vb. gibi ayrıcalıklı rol atamalarını ve CDE kaynaklarının dağıtıldığı abonelik özel rollerini belgeleyin. Microsoft, Privileged Identity Management (PIM) kullanarak rollere Tam Zamanında (JIT) erişimi etkinleştirmenizi önerir. PIM, grup üyeliğinin CDE uygulamalarına veya kaynaklarına ayrıcalıklı erişimi temsil ettiği senaryolar için Microsoft Entra güvenlik gruplarına JIT erişimi sağlar. Microsoft Entra yerleşik rolleri Microsoft Entra kimlik ve erişim yönetimi işlemleri başvuru kılavuzu Microsoft Entra Id'de özel rol oluşturma ve atamaMicrosoft Entra ID'de karma ve bulut dağıtımları için ayrıcalıklı erişimin güvenliğini sağlama Microsoft Entra Privileged Identity Management nedir? Gruplar için tüm yalıtım mimarileri PIM için en iyi yöntemler |
7.2 Sistem bileşenlerine ve verilere erişim uygun şekilde tanımlanır ve atanır.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 7.2.1 Erişim denetimi modeli tanımlanır ve şu şekilde erişim verilmesini içerir: Varlığın iş ve erişim gereksinimlerine bağlı olarak uygun erişim. Kullanıcıların iş sınıflandırmasını ve işlevlerini temel alan sistem bileşenlerine ve veri kaynaklarına erişim. bir iş işlevini gerçekleştirmek için gereken en düşük ayrıcalıklar (örneğin, kullanıcı, yönetici). |
Uygulamalarındaki rollere kullanıcıları doğrudan veya grup üyelikleri aracılığıyla atamak için Microsoft Entra Id kullanın. Öznitelik olarak uygulanan standart taksonomisi olan kuruluşlar, kullanıcı işi sınıflandırmasına ve işlevine göre erişim vermeleri otomatikleştirebilir. Grup üyeliğiyle Microsoft Entra gruplarını ve dinamik atama ilkeleriyle Microsoft Entra yetkilendirme yönetimi erişim paketlerini kullanın. En az ayrıcalığı belirlemek üzere görev ayrımını tanımlamak için yetkilendirme yönetimini kullanın. PIM, grup üyeliğinin CDE uygulamalarına veya kaynaklarına ayrıcalıklı erişimi temsil ettiği özel senaryolar için Microsoft Entra güvenlik gruplarına JIT erişimi sağlar. Dinamik üyelik grupları için kuralları yönetme Yetkilendirme yönetiminde erişim paketi için otomatik atama ilkesi yapılandırma Gruplar için yetkilendirme yönetimi PIM'sinde erişim paketi için görev ayrımını yapılandırma |
| 7.2.2 Access, ayrıcalıklı kullanıcılar da dahil olmak üzere kullanıcılara şu şekilde atanır: İş sınıflandırması ve işlevi. İş sorumluluklarını gerçekleştirmek için gereken en düşük ayrıcalıklar. |
Uygulamalarındaki rollere kullanıcıları doğrudan veya grup üyeliği aracılığıyla atamak için Microsoft Entra Id kullanın. Öznitelik olarak uygulanan standart taksonomisi olan kuruluşlar, kullanıcı işi sınıflandırmasına ve işlevine göre erişim vermeleri otomatikleştirebilir. Grup üyeliğiyle Microsoft Entra gruplarını ve dinamik atama ilkeleriyle Microsoft Entra yetkilendirme yönetimi erişim paketlerini kullanın. En az ayrıcalığı belirlemek üzere görev ayrımını tanımlamak için yetkilendirme yönetimini kullanın. PIM, grup üyeliğinin CDE uygulamalarına veya kaynaklarına ayrıcalıklı erişimi temsil ettiği özel senaryolar için Microsoft Entra güvenlik gruplarına JIT erişimi sağlar. Dinamik üyelik grupları için kuralları yönetme Yetkilendirme yönetiminde erişim paketi için otomatik atama ilkesi yapılandırma Gruplar için yetkilendirme yönetimi PIM'sinde erişim paketi için görev ayrımını yapılandırma |
| 7.2.3 Gerekli ayrıcalıklar yetkili personel tarafından onaylanır. | Yetkilendirme yönetimi, kaynaklara erişim izni vermek için onay iş akışlarını ve düzenli erişim gözden geçirmelerini destekler. Yetkilendirme yönetiminde erişim isteklerini onaylama veya reddetme Yetkilendirme yönetiminde erişim paketinin erişimini gözden geçirin PIM, Microsoft Entra dizin rollerini, Azure rollerini ve bulut gruplarını etkinleştirmek için onay iş akışlarını destekler. PIM'de Microsoft Entra rolleri için istekleri onaylama veya reddetme Grup üyeleri ve sahipleri için etkinleştirme isteklerini onaylama |
| 7.2.4 Üçüncü taraf/satıcı hesapları dahil olmak üzere tüm kullanıcı hesapları ve ilgili erişim ayrıcalıkları şu şekilde gözden geçirilir: En az altı ayda bir. kullanıcı hesaplarının ve erişimin iş işlevine göre uygun kalmasını sağlamak için. Uygunsuz erişim ele alındı. Yönetim, erişimin uygun kaldığını kabul eder. |
Doğrudan atama kullanarak veya grup üyeliğiyle uygulamalara erişim izni verirseniz, Microsoft Entra erişim gözden geçirmelerini yapılandırın. Yetkilendirme yönetimini kullanarak uygulamalara erişim izni verirseniz erişim paketi düzeyinde erişim gözden geçirmelerini etkinleştirin. Yetkilendirme yönetiminde erişim paketinin erişim gözden geçirmesini oluşturma Üçüncü taraf ve satıcı hesapları için Microsoft Entra Dış Kimlik kullanın. Üçüncü taraf veya satıcı hesapları gibi dış kimlikleri hedefleyen erişim gözden geçirmeleri gerçekleştirebilirsiniz. Erişim gözden geçirmeleriyle konuk erişimini yönetme |
| 7.2.5 Tüm uygulama ve sistem hesapları ile ilgili erişim ayrıcalıkları şu şekilde atanır ve yönetilir: Sistemin veya uygulamanın çalışabilirliği için gereken en düşük ayrıcalıklara göre. Erişim, özellikle kullanılmasını gerektiren sistem, uygulama veya işlemlerle sınırlıdır. |
Uygulamalarındaki rollere kullanıcıları doğrudan veya grup üyeliği aracılığıyla atamak için Microsoft Entra Id kullanın. Öznitelik olarak uygulanan standart taksonomisi olan kuruluşlar, kullanıcı işi sınıflandırmasına ve işlevine göre erişim vermeleri otomatikleştirebilir. Grup üyeliğiyle Microsoft Entra gruplarını ve dinamik atama ilkeleriyle Microsoft Entra yetkilendirme yönetimi erişim paketlerini kullanın. En az ayrıcalığı belirlemek üzere görev ayrımını tanımlamak için yetkilendirme yönetimini kullanın. PIM, grup üyeliğinin CDE uygulamalarına veya kaynaklarına ayrıcalıklı erişimi temsil ettiği özel senaryolar için Microsoft Entra güvenlik gruplarına JIT erişimi sağlar. Dinamik üyelik grupları için kuralları yönetme Yetkilendirme yönetiminde erişim paketi için otomatik atama ilkesi yapılandırma Gruplar için yetkilendirme yönetimi PIM'sinde erişim paketi için görev ayrımını yapılandırma |
| 7.2.5.1 Uygulama ve sistem hesaplarına ve ilgili erişim ayrıcalıklarına göre tüm erişimler düzenli aralıklarla gözden geçirilir: (Varlığın hedeflenen risk analizinde tanımlanan sıklıkta, Gereksinim 12.3.1'de belirtilen tüm öğelere göre gerçekleştirilir). Uygulama/sistem erişimi, gerçekleştirilen işlev için uygun olmaya devam eder. Uygunsuz erişim ele alındı. Yönetim, erişimin uygun kaldığını kabul eder. |
Hizmet hesabı izinlerini gözden geçirirken en iyi yöntemler. Microsoft Entra hizmet hesaplarını yönetme Şirket içi hizmet hesaplarını idare etme |
| 7.2.6 Depolanan kart sahibi verilerinin sorgu depolarına tüm kullanıcı erişimi şu şekilde kısıtlanır: Uygulamalar veya diğer programlı yöntemler aracılığıyla, kullanıcı rollerine ve en düşük ayrıcalıklara dayalı erişim ve izin verilen eylemler. Yalnızca sorumlu yöneticiler depolanan kart tutucu verileri (CHD) depolarına doğrudan erişebilir veya depolayabilir. |
Modern uygulamalar, veri depolarına erişimi kısıtlayan programlı yöntemleri etkinleştirir. OAuth ve OpenID connect (OIDC) gibi modern kimlik doğrulama protokollerini kullanarak uygulamaları Microsoft Entra ID ile tümleştirin. Microsoft kimlik platformu üzerinde OAuth 2.0 ve OIDC protokolleri Ayrıcalıklı ve ayrıcalıksız kullanıcı erişimini modellemek için uygulamaya özgü roller tanımlayın. Rollere kullanıcı veya grup atama. Uygulamanıza uygulama rolleri ekleyin ve bunları belirteçte alın Uygulamanız tarafından kullanıma sunulan API'ler için kullanıcı ve yönetici onayını etkinleştirmek için OAuth kapsamları tanımlayın. Microsoft kimlik platformu Modelindeki kapsamlar ve izinler, aşağıdaki yaklaşımla depolara ayrıcalıklı ve ayrıcalıklı olmayan erişim sağlar ve doğrudan depo erişiminden kaçının. Yöneticiler ve işleçler erişim gerektiriyorsa, bunu temel alınan platforma göre verin. Örneğin, Azure'da ARM IAM atamaları, Erişim Denetim Listeleri (ACL) pencereleri vb. Azure'da hizmet olarak uygulama platformu (PaaS) ve hizmet olarak altyapı (IaaS) güvenliğini sağlamayı içeren mimari kılavuzuna bakın. Azure Mimari Merkezi |
7.3 Sistem bileşenlerine ve verilere erişim, erişim denetim sistemleri aracılığıyla yönetilir.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 7.3.1 Bir kullanıcının bilmesi gerekenlere göre erişimi kısıtlayan ve tüm sistem bileşenlerini kapsayan bir erişim denetimi sistemi(ler) vardır. | Erişim denetimi sistemi kimlik doğrulaması ve yetkilendirmesi olarak CDE'deki uygulamalara erişimi Microsoft Entra ID ile tümleştirin. Koşullu Erişim ilkeleri, uygulama atamaları ile uygulamalara erişimi denetler. Koşullu Erişim nedir? Uygulamaya kullanıcı ve grup atama |
| 7.3.2 Erişim denetim sistemleri, iş sınıflandırmasına ve işlevine göre kişilere, uygulamalara ve sistemlere atanan izinleri zorunlu kacak şekilde yapılandırılır. | Erişim denetimi sistemi kimlik doğrulaması ve yetkilendirmesi olarak CDE'deki uygulamalara erişimi Microsoft Entra ID ile tümleştirin. Koşullu Erişim ilkeleri, uygulama atamaları ile uygulamalara erişimi denetler. Koşullu Erişim nedir? Uygulamaya kullanıcı ve grup atama |
| 7.3.3 Erişim denetim sistemleri varsayılan olarak "tümünü reddet" olarak ayarlanır. | Grup üyeliği, uygulamalar, ağ konumu, kimlik bilgisi gücü gibi erişim isteği koşullarına göre erişimi engellemek için Koşullu Erişim'i kullanın. Koşullu Erişim: Erişimi engelle Yanlış yapılandırılmış engelleme ilkesi yanlışlıkla kilitlenmelere neden olabilir. Acil durum erişim stratejisi tasarlama. Microsoft Entra Id'de acil durum erişimi yönetici hesaplarını yönetme |
Sonraki adımlar
PCI-DSS gereksinimleri 3, 4, 9 ve 12 , Microsoft Entra Id için geçerli olmadığından ilgili makale yoktur. Tüm gereksinimleri görmek için pcisecuritystandards.org: Resmi PCI Güvenlik Standartları Konseyi Sitesi'ne gidin.
Microsoft Entra Id'yi PCI-DSS ile uyumlu olacak şekilde yapılandırmak için aşağıdaki makalelere bakın.
- Microsoft Entra PCI-DSS kılavuzu
- Gereksinim 1: Ağ Güvenlik Denetimlerini Yükleme ve Koruma
- Gereksinim 2: Tüm Sistem Bileşenlerine Güvenli Yapılandırmalar Uygulama
- Gereksinim 5: Tüm Sistemleri ve Ağları Kötü Amaçlı Yazılımlardan Koruma
- Gereksinim 6: Güvenli Sistemler ve Yazılımlar Geliştirme ve Koruma
- Gereksinim 7: Sistem Bileşenlerine ve Kart Sahibi Verilerine erişimi İş Bilme gereğine göre kısıtlama (Buradasınız)
- Gereksinim 8: Kullanıcıları Tanımlama ve Sistem Bileşenlerine Erişimin Kimliğini Doğrulama
- Gereksinim 10: Sistem Bileşenlerine ve Kart Sahibi Verilerine Tüm Erişimi Günlüğe Kaydetme ve İzleme
- Gereksinim 11: Sistemlerin ve Ağların Güvenliğini Düzenli Olarak Test Edin
- Microsoft Entra PCI-DSS Multi-Factor Authentication kılavuzu