Microsoft Entra Id ve PCI-DSS Gereksinimi 8
Gereksinim 8: Kullanıcıları Tanımlama ve Sistem Bileşenlerine
Erişimin Kimliğini Doğrulama Tanımlı yaklaşım gereksinimleri
8.1 Kullanıcıları tanımlamaya ve sistem bileşenlerine erişimin kimliğini doğrulamaya yönelik süreçler ve mekanizmalar tanımlanır ve anlaşılır.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 8.1.1 Gereksinim 8'de tanımlanan tüm güvenlik ilkeleri ve operasyonel yordamlar şunlardır: Belgelenmiş Güncel Tutuldu Etkilenen tüm taraflar tarafından bilinen kullanımda |
Ortam yapılandırmanıza göre gereksinimleri karşılamaya yönelik belgeleri oluşturmak için buradaki kılavuzu ve bağlantıları kullanın. |
| 8.1.2 Gereksinim 8'de etkinlik gerçekleştirmeye yönelik roller ve sorumluluklar belgelenir, atanır ve anlaşılır. | Ortam yapılandırmanıza göre gereksinimleri karşılamaya yönelik belgeleri oluşturmak için buradaki kılavuzu ve bağlantıları kullanın. |
8.2 Kullanıcılar ve yöneticiler için kullanıcı kimliği ve ilgili hesaplar, bir hesabın yaşam döngüsü boyunca kesinlikle yönetilir.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 8.2.1 Sistem bileşenlerine veya kart sahibi verilerine erişime izin verilmeden önce tüm kullanıcılara benzersiz bir kimlik atanır. | Microsoft Entra Id kullanan CDE uygulamaları için benzersiz kullanıcı kimliği, kullanıcı asıl adı (UPN) özniteliğidir. Microsoft Entra UserPrincipalName popülasyonu |
| 8.2.2 Grup, paylaşılan veya genel hesaplar ya da diğer paylaşılan kimlik doğrulama kimlik bilgileri yalnızca özel durum temelinde gerektiğinde kullanılır ve şu şekilde yönetilir: Olağanüstü bir durum için gerekmedikçe hesap kullanımı engellenir. Kullanım, istisnai durumlar için gereken süreyle sınırlıdır. Kullanım için iş gerekçesi belgelenmiştir. Kullanım, yönetim tarafından açıkça onaylanır Hesaba erişim verilmeden önce bireysel kullanıcı kimliği onaylanır. Gerçekleştirilen her eylem tek bir kullanıcıya attributa edilir. |
Uygulama erişimi için Microsoft Entra Id kullanan CDE'lerin paylaşılan hesapları önlemeye yönelik işlemlere sahip olduğundan emin olun. Bunları onay gerektiren bir özel durum olarak oluşturun. Azure'da dağıtılan CDE kaynakları için paylaşılan hizmet hesabı oluşturmak yerine iş yükü kimliğini temsil eden Azure kaynakları için yönetilen kimlikleri kullanın. Azure kaynakları için yönetilen kimlikler nedir? Yönetilen kimlikleri kullanamıyorsanız ve erişilen kaynaklar OAuth protokollerini kullanıyorsa, iş yükü kimliklerini temsil etmek için hizmet sorumlularını kullanın. Kimliklere OAuth kapsamları aracılığıyla en az ayrıcalıklı erişim verin. Yöneticiler erişimi kısıtlayabilir ve bunları oluşturmak için onay iş akışlarını tanımlayabilir. İş yükü kimlikleri nedir? |
| 8.2.3 Yalnızca hizmet sağlayıcıları için ek gereksinim: Müşteri şirketlerine uzaktan erişimi olan hizmet sağlayıcıları, her müşteri şirket için benzersiz kimlik doğrulama faktörleri kullanır. | Microsoft Entra ID,karma özellikleri etkinleştirmek için şirket içi bağlayıcılara sahiptir. Bağlayıcılar tanımlanabilir ve benzersiz olarak oluşturulan kimlik bilgilerini kullanır. Microsoft Entra Connect Sync: Eşitlemeyi anlama ve özelleştirme Bulut eşitleme derin bakış Microsoft Entra şirket içi uygulama sağlama mimarisi Bulut İk uygulamasını Microsoft Entra kullanıcı hazırlamaya planlama Microsoft Entra Connect Health aracılarını yükleme |
| 8.2.4 Kullanıcı kimliklerinin, kimlik doğrulama faktörlerinin ve diğer tanımlayıcı nesnelerin eklenmesi, silinmesi ve değiştirilmesi şu şekilde yönetilir: Uygun onayla yetkilendirilir. Yalnızca belgelenen onayda belirtilen ayrıcalıklarla uygulanır. |
Microsoft Entra ID, İk sistemlerinden otomatik kullanıcı hesabı sağlama olanağına sahiptir. Yaşam döngüsü oluşturmak için bu özelliği kullanın. İk temelli sağlama nedir? Microsoft Entra ID'de, birleştirici, taşıyıcı ve yalnız bırakma işlemleri için özelleştirilmiş mantık sağlayan yaşam döngüsü iş akışları vardır. Yaşam Döngüsü İş Akışları nedir? Microsoft Entra ID, Microsoft Graph ile kimlik doğrulama yöntemlerini yönetmek için programlı bir arabirime sahiptir. İş İçin Windows Hello ve FIDO2 anahtarları gibi bazı kimlik doğrulama yöntemleri, kaydolmak için kullanıcı müdahalesi gerektirir. Graph kimlik doğrulama yöntemlerini kullanmaya başlama API Yöneticileri ve/veya otomasyon, Graph API'sini kullanarak Geçici Erişim Geçişi kimlik bilgilerini oluşturur. Parolasız ekleme için bu kimlik bilgilerini kullanın. Parolasız kimlik doğrulama yöntemlerini kaydetmek için Microsoft Entra Id'de Geçici Erişim Geçişi yapılandırma |
| 8.2.5 Sonlandırılan kullanıcılar için erişim hemen iptal edilir. | Bir hesaba erişimi iptal etmek için Microsoft Entra Id'den eşitlenen karma hesaplar için şirket içi hesapları devre dışı bırakın, Microsoft Entra Id'deki hesapları devre dışı bırakın ve belirteçleri iptal edin. Microsoft Entra Id'de kullanıcı erişimini iptal etme Uyumlu uygulamaların Microsoft Entra Id ile iki yönlü bir konuşma yapmak için Sürekli Erişim Değerlendirmesi 'ni (CAE) kullanma. Uygulamalara hesap sonlandırma ve reddetme belirteçleri gibi olaylar bildirilebilir. Sürekli erişim değerlendirmesi |
| 8.2.6 Etkin olmayan kullanıcı hesapları, etkinlik dışı kaldığından sonraki 90 gün içinde kaldırılır veya devre dışı bırakılır. | Karma hesaplar için, yöneticiler 90 günde bir Active Directory ve Microsoft Entra'daki etkinlikleri denetler. Microsoft Entra Id için Microsoft Graph'ı kullanarak son oturum açma tarihini bulun. Nasıl yapılır: Microsoft Entra Id'de etkin olmayan kullanıcı hesaplarını yönetme |
| 8.2.7 Üçüncü taraflarca uzaktan erişim yoluyla sistem bileşenlerine erişmek, bunları desteklemek veya korumak için kullanılan hesaplar şu şekilde yönetilir: Yalnızca gerekli zaman aralığında etkinleştirilir ve kullanılmadığında devre dışı bırakılır. Beklenmeyen etkinlik için kullanım izlenir. |
Microsoft Entra Id, dış kimlik yönetimi özelliklerine sahiptir. Yetkilendirme yönetimiyle yönetilen konuk yaşam döngüsünü kullanın. Dış kullanıcılar, sınırlı bir süre için verebileceğiniz ve düzenli erişim gözden geçirmeleri gerektirebileceğiniz uygulamalar, kaynaklar ve erişim paketleri bağlamında eklenir. İncelemeler hesabın kaldırılmasına veya devre dışı bırakılmasına neden olabilir. Yetkilendirme yönetiminde dış kullanıcılar için erişimi idare etme Microsoft Entra ID, kullanıcı ve oturum düzeyinde risk olayları oluşturur. Beklenmeyen etkinlikleri korumayı, algılamayı ve yanıtlamayı öğrenin. Risk nedir? |
| 8.2.8 Bir kullanıcı oturumu 15 dakikadan uzun süredir boştaysa, kullanıcının terminali veya oturumu yeniden etkinleştirmek için yeniden kimlik doğrulamasından geçmesi gerekir. | Intune ve Microsoft Endpoint Manager ile uç nokta yönetimi ilkelerini kullanın. Ardından, uyumlu cihazlardan erişime izin vermek için Koşullu Erişim'i kullanın. Intune ile yönettiğiniz cihazlar için kurallar ayarlamak için uyumluluk ilkelerini kullanın CDE ortamınız grup ilkesi nesnelerine (GPO) bağlıysa, GPO'nun boşta kalma zaman aşımını ayarlamasını sağlayın. Microsoft Entra Id'yi Microsoft Entra karma katılmış cihazlardan erişime izin verecek şekilde yapılandırın. Microsoft Entra hibrite katılmış cihazlar |
8.3 Kullanıcılar ve yöneticiler için güçlü kimlik doğrulaması oluşturulur ve yönetilir.
PCI gereksinimlerini karşılayan Microsoft Entra kimlik doğrulama yöntemleri hakkında daha fazla bilgi için bkz. Bilgi Eki: Multi-Factor Authentication.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 8.3.1 Kullanıcılar ve yöneticiler için sistem bileşenlerine tüm kullanıcı erişimi, aşağıdaki kimlik doğrulama faktörlerinden en az biri aracılığıyla doğrulanır: Parola veya parola gibi bildiğiniz bir şey. Belirteç cihazı veya akıllı kart gibi sahip olduğunuz bir şey. Biyometrik öğe gibi bir şeysiniz. |
Microsoft Entra ID, PCI gereksinimlerini karşılamak için parolasız yöntemler gerektirir Bkz. bütünsel parolasız dağıtım. Microsoft Entra Id'de parolasız kimlik doğrulaması dağıtımı planlama |
| 8.3.2 Tüm sistem bileşenlerinde iletim ve depolama sırasında tüm kimlik doğrulama faktörlerini okunamaz hale getirmek için güçlü şifreleme kullanılır. | Microsoft Entra ID tarafından kullanılan şifreleme, Güçlü Şifreleme'nin PCI tanımıyla uyumludur. Microsoft Entra Data protection ile ilgili dikkat edilmesi gerekenler |
| 8.3.3 Herhangi bir kimlik doğrulama faktörü değiştirilmeden önce kullanıcı kimliği doğrulanır. | Microsoft Entra Id, kullanıcıların mysecurityinfo portalı ve self servis parola sıfırlama (SSPR) portalı gibi self servis kullanarak kimlik doğrulama yöntemlerini güncelleştirmek için kimlik doğrulaması yapmalarını gerektirir. Oturum açma sayfasından güvenlik bilgilerini ayarlama Ortak Koşullu Erişim ilkesi: Güvenlik bilgileri kaydının güvenliğini sağlama Microsoft Entra self servis parola sıfırlama Ayrıcalıklı rollere sahip yöneticiler kimlik doğrulama faktörlerini değiştirebilir: Genel, Parola, Kullanıcı, Kimlik Doğrulaması ve Ayrıcalıklı Kimlik Doğrulaması. Microsoft Entra Id'de göreve göre en az ayrıcalıklı roller. Microsoft, Microsoft Entra Privileged Identity Management kullanarak ayrıcalıklı erişim için JIT erişimini ve idaresini etkinleştirmenizi önerir |
| 8.3.4 Geçersiz kimlik doğrulama girişimleri şu şekilde sınırlandırılır: 10'dan fazla denemeden sonra kullanıcı kimliğini kilitleme. Kilitleme süresini en az 30 dakikaya veya kullanıcının kimliği onaylanana kadar ayarlama. |
Donanım Güvenilen Platform Modülleri (TPM) 2.0 veya üzerini destekleyen Windows cihazları için İş İçin Windows Hello dağıtın. İş İçin Windows Hello için kilitleme, cihazla ilgilidir. Hareket, PIN veya biyometrik, yerel TPM'ye erişimin kilidini açar. Yöneticiler, GPO veya Intune ilkeleriyle kilitleme davranışını yapılandırıyor. TPM Grup İlkesi ayarları Cihazlar Intune TPM temel bilgilerine kaydoldukları sırada cihazlarda İş İçin Windows Hello yönetin İş İçin Windows Hello Microsoft Entra Id'de Active Directory ve bulut kaynakları için şirket içi kimlik doğrulaması için çalışır. FIDO2 güvenlik anahtarları için deneme yanılma koruması anahtarla ilgilidir. Hareket, PIN veya biyometrik, yerel anahtar depolamaya erişimin kilidini açar. Yöneticiler, PCI gereksinimlerine uygun üreticilerin FIDO2 güvenlik anahtarlarının kaydına izin vermek için Microsoft Entra Id'yi yapılandırmaktadır. Parolasız güvenlik anahtarı oturumunu etkinleştirme Microsoft Authenticator Uygulaması Microsoft Authenticator uygulaması parolasız oturum açma özelliğini kullanarak deneme yanılma saldırılarını azaltmak için, sayı eşleştirmeyi ve daha fazla bağlamı etkinleştirin. Microsoft Entra Id, kimlik doğrulama akışında rastgele bir sayı oluşturur. Kullanıcı bunu kimlik doğrulayıcı uygulamasına oluşturur. Mobil uygulama kimlik doğrulama isteminde konum, istek IP adresi ve istek uygulaması gösterilir. MFA bildirimlerinde sayı eşleştirmeyi kullanma Microsoft Authenticator bildirimlerinde ek bağlam kullanma |
| 8.3.5 Gereksinim 8.3.1'i karşılamak için kimlik doğrulama faktörleri olarak parolalar/parolalar kullanılıyorsa, her kullanıcı için şu şekilde ayarlanır ve sıfırlanır: İlk kullanım ve sıfırlama sonrasında benzersiz bir değere ayarlayın. İlk kullanımdan hemen sonra değiştirilmeye zorlanır. |
Microsoft Entra Id için geçerli değildir. |
| 8.3.6 Parolalar/parolalar Gereksinim 8.3.1'i karşılamak için kimlik doğrulama faktörleri olarak kullanılıyorsa, şu minimum karmaşıklık düzeyini karşılar: En az 12 karakter uzunluğunda (veya sistem 12 karakteri desteklemiyorsa, en az sekiz karakter uzunluğunda). Hem sayısal hem de alfabetik karakterler içerir. |
Microsoft Entra Id için geçerli değildir. |
| 8.3.7 Kişilerin, kullanılan son dört parola/paroladan herhangi biri ile aynı olan yeni bir parola/parola göndermesine izin verilmez. | Microsoft Entra Id için geçerli değildir. |
| 8.3.8 Kimlik doğrulama ilkeleri ve yordamları belgelenir ve aşağıdakiler dahil olmak üzere tüm kullanıcılara iletilir: Güçlü kimlik doğrulama faktörlerini seçme yönergeleri. Kullanıcıların kimlik doğrulama faktörlerini nasıl korumaları gerektiğiyle ilgili yönergeler. Daha önce kullanılan parolaları/parolaları yeniden kullanmama yönergeleri. Parola/parolaların gizliliğinin ihlal edildiğinin ve olayın nasıl raporlandığının şüphesi veya bilgisi varsa parolaları/parolaları değiştirme yönergeleri. |
İlkeleri ve yordamları belgeleyin, ardından kullanıcılara bu gereksinime göre iletişim kurun. Microsoft, İndirme Merkezi'nde özelleştirilebilir şablonlar sağlar. |
| 8.3.9 Kullanıcı erişimi için tek kimlik doğrulama faktörü olarak parolalar/parolalar kullanılıyorsa (herhangi bir tek faktörlü kimlik doğrulama uygulamasında) şunlardan biri de kullanılır: Parolalar/parolalar en az 90 günde bir değiştirilir VEYA Hesapların güvenlik duruşu dinamik olarak analiz edilir ve kaynaklara gerçek zamanlı erişim buna göre otomatik olarak belirlenir. |
Microsoft Entra Id için geçerli değildir. |
| 8.3.10 Yalnızca hizmet sağlayıcıları için ek gereksinim: Parolalar/parolalar, müşteri kullanıcılarının kart sahibi verilerine erişimi için tek kimlik doğrulama faktörü olarak kullanılıyorsa (yani, tek faktörlü kimlik doğrulama uygulamalarında), müşteri kullanıcılarına şu yönergeler sağlanır: Müşterilerin kullanıcı parolalarını/parolalarını düzenli aralıklarla değiştirmeleri için rehberlik. Parolaların/parolaların ne zaman ve hangi koşullarda değiştirileceği konusunda rehberlik. |
Microsoft Entra Id için geçerli değildir. |
| 8.3.10.1 Yalnızca hizmet sağlayıcıları için ek gereksinim: Parolalar/parolalar müşteri kullanıcı erişimi için tek kimlik doğrulama faktörü olarak kullanılıyorsa (yani, tek faktörlü kimlik doğrulama uygulamalarında) şu durumlardan biri : Parolalar/parolalar 90 günde en az bir kez değiştirilir VEYA Hesapların güvenlik duruşu dinamik olarak analiz edilir ve kaynaklara gerçek zamanlı erişim otomatik olarak buna göre belirlenir. |
Microsoft Entra Id için geçerli değildir. |
| 8.3.11 Fiziksel veya mantıksal güvenlik belirteçleri, akıllı kartlar veya sertifikalar gibi kimlik doğrulama faktörlerinin kullanıldığı durumlar: Faktörler tek bir kullanıcıya atanır ve birden çok kullanıcı arasında paylaşılmaz. Fiziksel ve/veya mantıksal denetimler yalnızca hedeflenen kullanıcının erişim kazanmak için bu faktörü kullanabilmesini sağlar. |
Telefon oturumu açmak için İş İçin Windows Hello, FIDO2 güvenlik anahtarları ve Microsoft Authenticator uygulaması gibi parolasız kimlik doğrulama yöntemlerini kullanın. Yeniden kullanımı önlemek için kullanıcılarla ilişkilendirilmiş genel veya özel anahtar defterlerini temel alan akıllı kartlar kullanın. |
8.4 Kart sahibi veri ortamına (CDE) erişimin güvenliğini sağlamak için çok faktörlü kimlik doğrulaması (MFA) uygulanır
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 8.4.1 MFA, yönetici erişimi olan personel için CDE'ye tüm uygun olmayan erişim için uygulanır. | CDE kaynaklarına erişmek için güçlü kimlik doğrulaması gerektirmek için Koşullu Erişim'i kullanın. Bir yönetim rolünü veya bir uygulamaya yönetim erişimini temsil eden bir güvenlik grubunu hedeflemek için ilkeler tanımlayın. Yönetici erişimi için, ayrıcalıklı rollerin tam zamanında (JIT) etkinleştirilmesini etkinleştirmek için Microsoft Entra Privileged Identity Management (PIM) kullanın. Koşullu Erişim nedir? Koşullu Erişim şablonları PIM kullanmaya başlama |
| 8.4.2 MFA, CDE'ye tüm erişim için uygulanır. | Güçlü kimlik doğrulamasını desteklemeyen eski protokollere erişimi engelleyin. Koşullu Erişimle Microsoft Entra Kimlik'te eski kimlik doğrulama girişimlerini engelleme |
| 8.4.3 MFA, varlığın ağı dışından gelen ve CDE'ye şu şekilde erişebilen veya etkileyebilecek tüm uzak ağ erişimi için uygulanır: Hem kullanıcılar hem de yöneticiler tarafından, varlığın ağı dışından gelen tüm uzaktan erişim. Üçüncü tarafların ve satıcıların tüm uzaktan erişimi. |
Kimlik doğrulaması ve yetkilendirme için sanal özel ağ (VPN), uzak masaüstü ve ağ erişim noktaları gibi erişim teknolojilerini Microsoft Entra ID ile tümleştirin. Uzaktan erişim uygulamalarına erişmek için güçlü kimlik doğrulaması gerektirmek için Koşullu Erişim'i kullanın. Koşullu Erişim şablonları |
8.5 Çok faktörlü kimlik doğrulaması (MFA) sistemleri kötüye kullanımı önlemek için yapılandırılır.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 8.5.1 MFA sistemleri şu şekilde uygulanır: MFA sistemi yeniden yürütme saldırılarına karşı savunmasız değildir. MFA sistemleri, özel olarak belgelenmediği sürece yönetici kullanıcılar da dahil olmak üzere herhangi bir kullanıcı tarafından atlanamaz ve yönetim tarafından sınırlı bir süre için özel durum temelinde yetkilendirilemez. En az iki farklı kimlik doğrulama faktörü kullanılır. Erişim verilmeden önce tüm kimlik doğrulama faktörlerinin başarılı olması gerekir. |
Önerilen Microsoft Entra kimlik doğrulama yöntemleri nonce veya zorluklar kullanır. Microsoft Entra ID yeniden oynatılan kimlik doğrulama işlemlerini algıladığı için bu yöntemler yeniden yürütme saldırılarına karşı koyar. parolasız telefon oturum açma için İş İçin Windows Hello, FIDO2 ve Microsoft Authenticator uygulaması, isteği tanımlamak ve yeniden yürütme girişimlerini algılamak için bir nonce kullanır. CDE'deki kullanıcılar için parolasız kimlik bilgilerini kullanın. Sertifika tabanlı kimlik doğrulaması, yeniden yürütme girişimlerini algılamak için zorlukları kullanır. Microsoft Entra Id ile NIST kimlik doğrulayıcı güvence düzeyi 2 Microsoft Entra Id kullanarak NIST kimlik doğrulayıcı güvence düzeyi 3 |
8.6 Uygulama ve sistem hesaplarının kullanımı ve ilişkili kimlik doğrulama faktörleri kesinlikle yönetilir.
| PCI-DSS Tanımlı yaklaşım gereksinimleri | Microsoft Entra kılavuzu ve önerileri |
|---|---|
| 8.6.1 Sistemler veya uygulamalar tarafından kullanılan hesaplar etkileşimli oturum açma için kullanılabiliyorsa, bunlar şu şekilde yönetilir: Olağanüstü bir durum için gerekmedikçe etkileşimli kullanım engellenir. Etkileşimli kullanım, istisnai durumlar için gereken süreyle sınırlıdır. Etkileşimli kullanım için iş gerekçesi belgelenmiştir. Etkileşimli kullanım, yönetim tarafından açıkça onaylanır. Hesaba erişim verilmeden önce tek tek kullanıcı kimliği onaylanır. Gerçekleştirilen her eylem tek bir kullanıcıya attributa edilir. |
Modern kimlik doğrulamasına sahip CDE uygulamaları ve Azure'da dağıtılan ve modern kimlik doğrulaması kullanan CDE kaynakları için Microsoft Entra ID'nin uygulamalar için iki hizmet hesabı türü vardır: Yönetilen Kimlikler ve hizmet sorumluları. Microsoft Entra hizmet hesabı idaresi hakkında bilgi edinin: planlama, sağlama, yaşam döngüsü, izleme, erişim gözden geçirmeleri vb. Microsoft Entra hizmet hesaplarını yönetme Microsoft Entra hizmet hesaplarının güvenliğini sağlamak için. Microsoft Entra ID'de yönetilen kimliklerin güvenliğini sağlama Microsoft Entra ID'de hizmet sorumlularının güvenliğini sağlama Azure dışındaki kaynaklara sahip olan ve erişim gerektiren kaynaklara sahip OLAN CD'ler için, gizli dizileri yönetmeden veya etkileşimli oturum açma olmadan iş yükü kimlik federasyonlarını yapılandırın. İş yükü kimlik federasyonu Gereksinimleri karşılamak üzere onay ve izleme işlemlerini etkinleştirmek için BT Hizmet Yönetimi (ITSM) ve yapılandırma yönetimi veritabanlarını (CMDB) kullanarak iş akışlarını düzenleme Bu araçlar, Microsoft Entra ID ile etkileşimde bulunup hizmet hesabını yönetmek için MS Graph API'sini kullanır. şirket içi Active Directory ile uyumlu hizmet hesapları gerektiren CD'ler için Grup Yönetilen Hizmet Hesaplarını (GMSA' lar) ve tek başına yönetilen hizmet hesaplarını (sMSA), bilgisayar hesaplarını veya kullanıcı hesaplarını kullanın. Şirket içi hizmet hesaplarının güvenliğini sağlama |
| 8.6.2 Etkileşimli oturum açma için kullanılabilecek herhangi bir uygulama ve sistem hesabı için parolalar/parolalar betiklerde, yapılandırma/özellik dosyalarında veya ısmarlama ve özel kaynak kodunda sabit kodlanmamıştır. | Azure Yönetilen Kimlikleri ve parola gerektirmeyen hizmet sorumluları gibi modern hizmet hesaplarını kullanın. Microsoft Entra yönetilen kimlik bilgileri bulutta sağlanır ve döndürülür; bu da parolalar ve parolalar gibi paylaşılan gizli dizilerin kullanılmasını önler. Sistem tarafından atanan yönetilen kimlikler kullanılırken yaşam döngüsü, temel alınan Azure kaynak yaşam döngüsüne bağlıdır. Parolalar ve parolalar gibi paylaşılan gizli dizilerin kullanılmasını engelleyen kimlik bilgileri olarak sertifikaları kullanmak için hizmet sorumlularını kullanın. Sertifikalar uygun değilse hizmet sorumlusu istemci gizli dizilerini depolamak için Azure Key Vault kullanın. Erişim gerektiren Azure dışındaki kaynaklarla CDE'ler için Azure Key Vault kullanma, gizli dizileri yönetmeden iş yükü kimliği federasyonlarını yapılandırma veya etkileşimli oturum açma işlemleri için en iyi yöntemler. İş yükü kimliği federasyonu Konum ve/veya risk düzeyine göre yetkilendirmeyi denetlemek için iş yükü kimlikleri için Koşullu Erişim dağıtın. İş yükü kimlikleri için Koşullu Erişim Önceki yönergelere ek olarak, kod ve yapılandırma dosyalarında sabit kodlanmış gizli dizileri algılamak için kod çözümleme araçlarını kullanın. Kod güvenlik kurallarında kullanıma sunulan gizli dizileri algılama |
| 8.6.3 Herhangi bir uygulama ve sistem hesabı için parolalar/parolalar kötüye kullanıma karşı şu şekilde korunur: Parolalar/parolalar düzenli aralıklarla değiştirilir (varlığın hedeflenen risk analizinde tanımlanan sıklıkta, Gereksinim 12.3.1'de belirtilen tüm öğelere göre gerçekleştirilir) ve şüphe veya risk onayı üzerine. Parolalar/parolalar, varlığın parolaları/parolaları değiştirme sıklığına uygun yeterli karmaşıklığa sahip şekilde oluşturulur. |
Azure Yönetilen Kimlikleri ve parola gerektirmeyen hizmet sorumluları gibi modern hizmet hesaplarını kullanın. Gizli dizileri olan hizmet sorumluları gerektiren özel durumlar için, hizmet sorumlularına rastgele parolalar ayarlayan, bunları düzenli olarak döndüren ve risk olaylarına tepki veren iş akışları ve otomasyonlarla soyut gizli yaşam döngüsü. Güvenlik operasyonları ekipleri, Riskli iş yükü kimlikleri gibi Microsoft Entra tarafından oluşturulan raporları gözden geçirebilir ve düzeltebilir. Microsoft Entra Kimlik Koruması ile iş yükü kimliklerinin güvenliğini sağlama |
Sonraki adımlar
PCI-DSS gereksinimleri 3, 4, 9 ve 12 , Microsoft Entra Id için geçerli olmadığından ilgili makale yoktur. Tüm gereksinimleri görmek için pcisecuritystandards.org: Resmi PCI Güvenlik Standartları Konseyi Sitesi'ne gidin.
Microsoft Entra Id'yi PCI-DSS ile uyumlu olacak şekilde yapılandırmak için aşağıdaki makalelere bakın.
- Microsoft Entra PCI-DSS kılavuzu
- Gereksinim 1: Ağ Güvenlik Denetimlerini Yükleme ve Koruma
- Gereksinim 2: Tüm Sistem Bileşenlerine Güvenli Yapılandırmalar Uygulama
- Gereksinim 5: Tüm Sistemleri ve Ağları Kötü Amaçlı Yazılımlardan Koruma
- Gereksinim 6: Güvenli Sistemler ve Yazılımlar Geliştirme ve Koruma
- Gereksinim 7: Sistem Bileşenlerine ve Kart Sahibi Verilerine Erişimi İşletmelerin Bilmesi Gerekenlere Göre Kısıtlama
- Gereksinim 8: Kullanıcıları Tanımlama ve Sistem Bileşenlerine Erişimin Kimliğini Doğrulama (Buradasınız)
- Gereksinim 10: Sistem Bileşenlerine ve Kart Sahibi Verilerine Tüm Erişimi Günlüğe Kaydetme ve İzleme
- Gereksinim 11: Sistemlerin ve Ağların Güvenliğini Düzenli Olarak Test Edin
- Microsoft Entra PCI-DSS Multi-Factor Authentication kılavuzu