Aracısız MFA'nın PCI DSS 3 Zorluklarının Üstesinden Gelmesinin 8.3.1 Yolu

Müşterilerden aldığımız en yaygın sorulardan biri, PCI DSSv8.3.1'nin 3.2 gereksinimiyle ilgili:

En son revizyonunda, PCI genişliyor MFA Kart Sahibi Veri Ortamına (CDE) uzaktan erişimi olan personele ek olarak yönetici erişimi olan tüm personel (konsol ve konsol dışı) için bir gereklilik olarak.

MFA ile CDE'ye tüm yönetim erişimini güvence altına alma gerekliliği şaşırtıcı gelmemelidir. Ne de olsa, perakende sektöründeki veri ihlallerinin çoğu, kart sahibi veri ortamına yetkisiz erişimi içerir.

PCI, parolaların bir kimlik doğrulama mekanizması olarak etkinliğinin sorgulanabilir olduğunu, bu nedenle ek güvenlik önlemlerinin gerekli olduğunu açıklıyor. Aslında, bir röportaj PCI Güvenlik Standartları Konseyi Baş Teknoloji Sorumlusu Troy Leach ile şunları açıklıyor:

“En önemli nokta, gereklilikteki değişikliğin, bir şirketin kendi ağından bile olsa, kart sahibi verileri ortamına tüm idari erişime yönelik olmasıdır. Bu, ortamın güvenliğini potansiyel olarak tehlikeye atacak şekilde o ağ içindeki sistemleri ve diğer kimlik bilgilerini değiştirme yeteneğine sahip üçüncü taraf veya şirket içi herhangi bir yönetici için geçerlidir.

Bu nedenle, gereksinimin mantıklı olduğuna şüphe yok. Ancak, kapsam dahilindeki sistemlerin ve araçların doğası gereği çoğu CDE ortamında bu gereksinimi ele almak önemsiz değildir.

Meydan okuma nerede?

CDE ortamının kapsamı, kart sahibi ve ödeme verilerini işleyen, depolayan ve/veya ileten tüm sistemlerin yanı sıra bu ortama doğrudan bağlanan veya bu ortamı destekleyen her şeyi içerir.
Bu, genellikle CDE'lerde bulunan aşağıdaki sistem ve araçlar listesinde MFA'yı uygulamanız gerektiği anlamına gelir:

• • Kredi kartı ve ödeme verilerini işleyen, depolayan veya ileten herhangi bir yerel sistem
  • İlgili tüm üretim sunucuları – Windows ve Linux
  • Kritik BT altyapısı – Hipervizörler, V-Center, Ağ cihazları, Dosya Paylaşımları, Veritabanları dahil
  • Sanal Özel Ağ (VPN)
  • Sanal Masaüstü Altyapısı (VDI)
  • PAM çözümleri (örneğin CYBERARK)
  • Uzak Masaüstü (RDP)
  • Secure Shell (SSH)
  • İşlemenin bir parçası olabilecek herhangi bir bulut hizmeti

Gördüğünüz gibi, CDE ortamınızdaki sistemlerin ve araçların karışımına bağlı olarak, yalnızca birden çok uygulama yapmanız gerekmeyecek. MFA çözümleri veya karmaşık ağ segmentasyonları - kendi başına zor bir görev - bu sistemlerin çoğu için uygulanamaz. Neden? Kullanıma hazır bir destek bulunmadığından veya bunların hassas ve kritik yapıları, herhangi bir yazılım aracısını veya proxy'yi dağıtmanıza veya herhangi bir yapılandırma değişikliği yapmanıza izin vermeyeceği için. Ne de olsa hiç kimse herhangi bir kritik üretim sisteminin kullanılabilirliğini ve kararlılığını riske atmak istemez.

Tüm CDE Erişimlerini Güvenli Hale Getirmek SilverfortAracısız MFA

Silverfort'ın bütünsel kimlik doğrulama platformu, kuruluşların herhangi bir sisteme - bugüne kadar korumasız olarak kabul edilen sistemler dahil - herhangi bir yazılım aracısı dağıtmadan, proxy uygulamadan veya herhangi bir yapılandırma değişikliği gerektirmeden MFA eklemesine olanak tanır. Bu, müşterilerimizin tüm CDE sistemlerini ve bu sistemlere herhangi bir erişimi kolayca korumasını ve PCI DSS gereksinimi 8.3.1'i karşılamasını sağlar. İşte nasıl:

Nasıl Çalışır?

1) Silverfort kimlik doğrulama protokollerine bakarak tüm sistem ve ortamlardaki tüm kullanıcı erişim isteklerini izler ve analiz eder. Bu, herhangi bir CDE sistemiyle entegre olması veya herhangi bir yazılım aracısının kullanılmasını gerektirmediği anlamına gelir.

2) MFA'yı sistem başına değil, kimlik doğrulama protokollerinin üstüne ekleyerek, Silverfort yerel uygulamalar, hassas üretim sunucuları dahil olmak üzere herhangi bir sistemi koruyabilir, PAM çözümler ve yönetici erişimi (RDP, SSH), BT altyapısı ve daha fazlası.

3) Silverfort gelişmiş bir yapay zeka odaklı risk motoru kullanarak ağ genelinde risk ve güven düzeylerini sürekli olarak analiz eder. Çünkü Silverfort tüm kullanıcı ve makine erişim isteklerini izler ve analiz eder - ve belirli korumalı sistemlerle sınırlı değildir - diğerlerinden yaklaşık 50 kat daha fazla bilgiyi analiz eder uyarlanabilir kimlik doğrulama çözüm. Bu, davranışa dayalı anormallikleri doğru bir şekilde tespit edin ve kaba kuvvet saldırıları, yanal hareket gibi kötü amaçlı kalıpları tespit edin, fidye yazılımı ve daha fazlasını kullanın ve tehditleri gerçek zamanlı olarak engellemek için etkili risk tabanlı kimlik doğrulama ilkeleri uygulayın. Daha da iyisi, tüm bunları yasal kullanıcıların minimum kesinti ile çalışmalarına devam etmesine izin verirken yapar. Ayrıca, üçüncü taraf güvenlik uyarılarına yanıt olarak kimlik doğrulama gereksinimlerini hızlandırabilir.

Oldukça havalı, peki ya gerçek hayat senaryosu? Sorduğunuza sevindik!

BlueSnap Müşteri Vaka Çalışması:

PCI DSS gereksinimi 8.3'e uymak için küresel bir ödeme işlemcisi olan BlueSnap'in uygulanması gerekiyordu VMware'de MFA vCenter Kart Sahibi Veri Ortamını destekleyen BT altyapısının yanı sıra üretim Linux sunucularına herhangi bir erişim sağlayan Sunucu. Yazılım aracılarının özel entegrasyonunu veya kurulumunu gerektirmeyen bir MFA çözümüne ihtiyaçları vardı.

seçtiler Silverfort RDP, SSH ve yönetici erişimi de dahil olmak üzere tüm ayrıcalıklı erişimi güvence altına almak için vCenter. Uygulama hızlı ve kolaydı. Yalnızca birkaç saat içinde bir konsept kanıtı oluşturuldu ve BlueSnap, bir ay içinde çözümü dünya çapındaki tüm ofislerde ayrıcalıklı erişimi güvence altına alacak şekilde genişletti.

BlueSnap-Case-Study-MFA-for-Hassas-Assets.pdf

Çözüm özetini indirin

8.3.1 gerekliliğine ek olarak, Silverfort benzersiz ve bütünsel bir yaklaşımla diğer PCI DSS gereksinimlerini karşılayabilir – bizden bir demo isteyin daha fazla öğrenmek için.