[ This article was originally published here ]
Bu, PCI DSS hakkında danışmanlar tarafından yazılan bir dizi blogun ilkidir.
Birçok kuruluş, PCI DSS gibi sağlam bir uyumluluk çerçevesi söz konusu olduğunda unuttukları birden çok IAM şemasına sahiptir.
Gözden geçirilmesi gereken en az iki şema vardır, ancak bu potansiyel ve muhtemelen eksik listeden daha fazlasına sahip olup olmadığınızı düşünün:
- Bulut hizmeti ana hesap yönetimi AWS (Amazon Web Services), Microsoft Azure, Google Cloud Platform (GCP), Oracle Cloud Architecture (OCA),
- Ad Hizmeti Kayıt Kuruluşları (Örn. GoDaddy, Ağ Çözümleri)
- DNS hizmeti (Örn. Akamai, CloudFront)
- Sertifika sağlayıcıları (Örn. Entrust, DigiCert)
- IaaS (Infrastructure as a Service) ve SaaS (Software as a Service)) hesapları (Örn: Digital Realty, Equinix, Splunk, USM Anywhere (), Rapid7)
- Sunucular ve ağ donanımı idari hesap yönetimi (Güvenlik duvarları, yönlendiriciler, VPN, WAF, yük dengeleyici, DDoS önleme, SIEM, veritabanı, Wi-Fi)
- Dahili kullanıcı hesabı yönetimi, (Active Directory, LDAP veya eşdeğeri ve personel artırma veya bakım onarım hizmetleri, API erişimleri olarak hareket edebilecek üçüncü taraflar)
- Tüketici hesabı yönetimi (genellikle farklı bir şifreleme seti, araçlar ve ayrıcalıklar veya personel girişlerinden gelen yetenekler kullanılarak ayrı bir veritabanında kendi kendini yönetir).
- PCI DSS v4.0, gereksinimi tüm sistem, otomatik erişim, kimlik bilgili test ve API arabirimlerine genişletir, dolayısıyla bunların da dikkate alınması gerekir.
Sonuç olarak, birisi veya bir şey, cihazı, hizmeti veya uygulamayı kullanma yetkisini ne şekilde doğrularsa doğrulasın, bu yetkilendirme, o aktöre tanınan rol ve ayrıcalıklarla eşleştirilmelidir. Amaç, her birine, amaçlanan işlev(ler)ini tamamlayabilmesi için gereken en az ayrıcalıkla donatılmasını ve eylemlerinden sorumlu tutulabilmesini sağlamaktır.
Yalnızca yerel yönetici hesaplarına sahip birden fazla aygıta sahip olmak felaket için bir reçete olduğundan, mümkün olduğu kadar çok aygıt ortak bir şemaya entegre edilmelidir.
Halihazırda kimliği doğrulanmış bir hesaptan ayrıcalık yükseltme mümkünse, bunun gerçekleştiği mekanizma da kapsamlı bir şekilde belgelenmeli ve izlenmelidir (günlüğe kaydedilmelidir).
PCI DSS Gereksinimi 7, değerlendiriciden, kişilerin atanabileceği rolleri ve erişim ayrıcalıklarını ve grupları gözden geçirmesini ve bu kişilerin bu erişim haklarına ve rollere sahip olmak için özel olarak yetkilendirildiğini sorar. Bu, hem fiziksel hem de mantıksal erişimi kapsar.
Gereksinim 9, hassas alanlara fiziksel erişim elde eden ziyaretçiler için özellikle iş tabanlı ihtiyaç ve yetkilendirme hakkında sorular sorar. Politika ve prosedürler yazılırken ve fiziksel erişim için erişim hakları verilirken kapıcılar ve HVAC bakımı gibi sık ziyaretçiler hatırlanmalıdır.
Gereksinim 8 daha sonra değerlendiriciden mevcut mevcut personel üyeleriyle rolleri, ayrıcalıkları ve atamaları bir araya getirmesini ve bu personelin halihazırda sahip olduğu ayrıcalıkların yetkili olduğunu ve yetkili ayrıcalıklarla eşleştiğini doğrulamasını ister. Bu, PCI DSS’nin sonsuza dek sürecek birkaç gereksiniminden biridir, bu nedenle, herhangi bir kişi veya otomasyon için erişim sağlama ve yetkilendirme evrakları kaybolursa, geçerli erişim hakları ve ayrıcalıklarının yetkilendirmesini göstermek için yeniden oluşturulması gerekir.
PCI DSS v4.0, uygulama programlamanın büyüyen bir yönü olan API’lerin çok daha fazla incelenmesini gerektirir. Tasarım mühendislerinin, API’lere ve otomatikleştirilmiş süreçlere kendi özel, benzersiz yetkilendirme kimlik bilgilerinin verildiğinden veya edinildiğinden ve arayüzün, Gereksinim için oluşturulan aynı şema kullanılarak iyi planlanmış, belgelenmiş ve yönetilen oturum kontrol özelliklerine sahip olduğundan emin olması gerekir. 7. Oturumlar arası veri kirliliği ve/veya yakalanması önlenmelidir. API ticari bir kullanıma hazır (COTS) ürün olarak dağıtılırsa, programlanmış varsayılan kimlik bilgilerine sahip olamaz, ancak yükleme işlemi, yönetim ve kullanım için güçlü kimlik bilgilerini istemeli veya uygun şekilde oluşturmalı ve saklamalıdır.
Gereksinim 1 ve 6’nın her ikisi de, hem ağ oluşturma hem de kod dağıtımında geliştirme ve üretim arasındaki görev ayrımının günümüzün çevik dünyasında bulanıklaştığı rol ve ayrıcalık atamalarını da etkiler. Bununla birlikte, PCI’nin standardı katı olmaya devam ediyor ve çok küçük operasyonlara meydan okuyan bu tür ayrımlar gerektiriyor. Amaç, hiç kimsenin (veya oturum açma kimliğinin) herhangi bir şey üzerinde uçtan uca kontrole sahip olmaması ve hiç kimsenin kendi çalışmalarını gözden geçirmemesi veya KG’lememesi ve yetkilendirmemesidir. Bu, küçük bir kuruluşun bir veya daha fazla gözden geçirenle sözleşme yapması gerektiği anlamına gelebilir.1 geliştirme yapan bir kişi ve dağıtım yapan diğeri varsa.
Geliştiricilerin bazen belirli arızaları teşhis etmek için canlı üretim ortamlarına erişmesi gereken daha büyük kuruluşlarda bile, geliştirme için kullandıkları oturum açma kimliğinin aynısını kullanmamaları gerekir. Kuruluşlar seçebilir demirci geliştirici rolü olarak ve Andy’ler ayrıcalık yükseltmelerinin kasıtlı olarak sınırlandırılmasını ve kolayca izlenebilir olmasını sağlamak için aynı kişi için yönetici oturum açma kimliği olarak (gereksinim 10’a göre). Ayrıca, hiç kimse günlük işlerini gerçekleştirmek için yükseltilmiş ayrıcalıklar kullanmamalıdır; Yükseltiler her zaman nokta görevleri için kullanılmalı ve artık ihtiyaç duyulmadığında bırakılmalıdır.
Daha sonra, kart sahibi verileri ortamınıza (CDE) – örneğin bakım amaçlarıyla – girmesine izin verilen üçüncü tarafların orada bulunmaları (fiziksel veya mantıksal olarak) için her zaman özel olarak yetkilendirilmeleri ve oradayken izlenmeleri gerekir. Bugünlerde çoğu SIEM aracı her şeyi gelişigüzel izliyor, ancak PCI ayrıca artık ihtiyaç duyulmaz erişimlerinin kesilmesi gerektiğini söylüyor.
Bu, mantıksal erişimlerinin zaman sınırlaması anlamına gelebilir ve bu, orada oldukları sürece onlara eşlik etmek anlamına gelebilir. Personel ayrıca, rozeti olmayan veya refakatçisi olmayan kişilere meydan okuma ve refakatçileri onlarla yeniden bir araya gelene kadar herhangi bir hassas alanın dışına kadar onlara eşlik etme konusunda yetkilendirilmeli ve teşvik edilmelidir. Personelinizin PCI’ye duyarlı verilerin bulunduğu (fiziksel veya mantıksal olarak) müşteri tesislerine erişimi varsa, benzer şekilde davranmalıdırlar.
PCI DSS v4.0 ayrıca, etkileşimli olarak kullanılabilen (örneğin hata ayıklama için) normal olarak otomatikleştirilmiş herhangi bir işlemin, uygun kişinin atıfıyla gerçekleşen herhangi bir etkileşimli kullanımı günlüğe kaydetmesi gerekliliğini de ekler.
Son olarak, PCI DSS 4.0, gereksinim 11 için yüksek erişim ayrıcalıkları kullanarak (yönetici ayrıcalığı olmasa da) kimlik bilgilerinin genel gereksinim 7 şemasına göre tasarlanmasını ve gereksinim 8 kısıtlamalarına ve kısıtlamalarına tabi olmasını gerektiren kimlik bilgili testler ekler.
1Gözden geçirenler, güvenli kod gözden geçirenler ve güvenlik eğitimi almış fonksiyonel KG personelidir.
reklam