Sdílet prostřednictvím

Požadavek Microsoft Entra ID a PCI-DSS 7

  • Článek

Požadavek 7: Omezení přístupu k systémovým komponentám a datům držitelů karet podle obchodních potřeb znát
definované požadavky na přístup

7.1 Procesy a mechanismy pro omezení přístupu k systémovým komponentám a datům držitelů karet podle obchodních potřeb musí vědět, jsou definovány a pochopeny.

Požadavky na definovaný přístup PCI-DSS Microsoft Entra – pokyny a doporučení
7.1.1 Všechny zásady zabezpečení a provozní postupy, které jsou uvedeny v požadavku 7, jsou:
Zdokumentované
v aktualizovaném stavu
Při použití
známé všem postiženým stranám		 Integrujte přístup k aplikacím CDE (cardholder Data Environment) s ID Microsoft Entra pro ověřování a autorizaci.
Zdokumentovat zásady podmíněného přístupu pro technologie vzdáleného přístupu Automatizace pomocí rozhraní Microsoft Graph API a PowerShellu Podmíněný přístup: Programový přístup
Archiv protokolů auditu Microsoft Entra za účelem zaznamenání změn zásad zabezpečení a konfigurace tenanta Microsoft Entra. Pokud chcete zaznamenávat využití, archivujte protokoly přihlášení Microsoft Entra do systému pro správu událostí a informací o zabezpečení (SIEM). Protokoly aktivit Microsoft Entra ve službě Azure Monitor
7.1.2 Role a odpovědnosti za provádění aktivit v požadavku 7 jsou zdokumentované, přiřazené a srozumitelné. Integrujte přístup k aplikacím CDE s ID Microsoft Entra pro ověřování a autorizaci.
- Přiřazení rolí uživatelů k aplikacím nebo členství ve skupině
– Pomocí Microsoft Graphu můžete vypsat
přiřazení aplikací – Sledování změn přiřazení pomocí protokolů auditu Microsoft Entra.
Výpis přiřazení appRoleAssignments udělených uživateli
Get-MgServicePrincipalAppRoleAssignedTo

Privilegovaný přístup
Ke sledování přiřazení rolí adresáře použijte protokoly auditu Microsoft Entra. Role správce, které jsou relevantní pro tento požadavek PCI:
– Globální
– Aplikace
– Ověřování – Zásady
ověřování
– Hybridní identita
k implementaci přístupu s nejnižšími oprávněními, vytvořte vlastní role adresáře pomocí ID Microsoft Entra.
Pokud vytváříte části CDE v Azure, dokumentujte přiřazení privilegovaných rolí, jako jsou Vlastník, Přispěvatel, Správce uživatelských přístupů atd., a vlastní role předplatného, ve kterých se nasazují prostředky CDE.
Microsoft doporučuje povolit přístup za běhu (JIT) k rolím pomocí privileged Identity Management (PIM). PIM umožňuje přístup JIT ke skupinám zabezpečení Microsoft Entra pro scénáře, kdy členství ve skupinách představuje privilegovaný přístup k aplikacím nebo prostředkům CDE. Předdefinované role Microsoft Entra
Referenční příručka k operacím správy identit a přístupu Microsoft Entra
Vytvoření vlastní role v Microsoft Entra ID
Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Microsoft Entra ID
Co je Microsoft Entra Privileged Identity Management?
Osvědčené postupy pro všechny architektury izolace
PIM pro skupiny

7.2 Přístup k systémovým komponentám a datům je správně definován a přiřazen.

Požadavky na definovaný přístup PCI-DSS Microsoft Entra – pokyny a doporučení
7.2.1 Model řízení přístupu je definován a zahrnuje udělení přístupu následujícím způsobem:
Vhodný přístup v závislosti na potřebách podnikání a přístupu entity.
Přístup k systémovým komponentám a datovým prostředkům založeným na klasifikaci a funkcích úloh uživatelů.
Minimální požadovaná oprávnění (například uživatel, správce) k provedení funkce úlohy.		 Pomocí MICROSOFT Entra ID přiřaďte uživatele k rolím v aplikacích přímo nebo prostřednictvím členství ve skupinách.
Organizace se standardizovanou taxonomií implementovanou jako atributy můžou automatizovat udělení přístupu na základě klasifikace a funkce uživatele. Používejte skupiny Microsoft Entra s členstvím ve skupinách a přístupové balíčky pro správu nároků Microsoft Entra se zásadami dynamického přiřazení.
Správa nároků slouží k definování oddělení povinností k vymezení nejnižších oprávnění.
PIM umožňuje přístup JIT ke skupinám zabezpečení Microsoft Entra pro vlastní scénáře, ve kterých členství ve skupinách představuje privilegovaný přístup k aplikacím nebo prostředkům CDE. Správa pravidel pro dynamické skupiny
členství – Konfigurace zásady automatického přiřazení pro přístupový balíček ve správě
nároků – Konfigurace oddělení povinností pro přístupový balíček ve správě
nároků – PIM pro skupiny
Přístup 7.2.2 je přiřazen uživatelům, včetně privilegovaných uživatelů, na základě:
Klasifikace úloh a funkce.
Nejnižší oprávnění potřebná k plnění povinností.		 Pomocí ID Microsoft Entra můžete přiřadit uživatele k rolím v aplikacích přímo nebo prostřednictvím členství ve skupině.
Organizace se standardizovanou taxonomií implementovanou jako atributy můžou automatizovat udělení přístupu na základě klasifikace a funkce uživatele. Používejte skupiny Microsoft Entra s členstvím ve skupinách a přístupové balíčky pro správu nároků Microsoft Entra se zásadami dynamického přiřazení.
Správa nároků slouží k definování oddělení povinností k vymezení nejnižších oprávnění.
PIM umožňuje přístup JIT ke skupinám zabezpečení Microsoft Entra pro vlastní scénáře, ve kterých členství ve skupinách představuje privilegovaný přístup k aplikacím nebo prostředkům CDE. Správa pravidel pro dynamické skupiny
členství – Konfigurace zásady automatického přiřazení pro přístupový balíček ve správě
nároků – Konfigurace oddělení povinností pro přístupový balíček ve správě
nároků – PIM pro skupiny
7.2.3 Požadovaná oprávnění jsou schválena autorizovanými pracovníky. Správa nároků podporuje schvalovací pracovní postupy pro udělení přístupu k prostředkům a pravidelné kontroly přístupu. Schválení nebo zamítnutí žádostí o přístup ve správě
nároků – Kontrola přístupu k přístupovým balíčkům v PIM pro správu
nároků podporuje schvalovací pracovní postupy pro aktivaci rolí adresáře Microsoft Entra a rolí Azure a cloudových skupin. Schválení nebo zamítnutí žádostí o role Microsoft Entra v PIM
Schválit žádosti o aktivaci pro členy skupiny a vlastníky
7.2.4 Všechny uživatelské účty a související přístupová oprávnění, včetně účtů třetích stran/dodavatelů, jsou zkontrolovány takto:
Alespoň jednou za šest měsíců.
Aby uživatelské účty a přístup zůstaly v závislosti na funkci úlohy vhodné.
Řeší se jakýkoli nevhodný přístup. Správa bere na vědomí, že přístup zůstává vhodný.		 Pokud udělíte přístup k aplikacím pomocí přímého přiřazení nebo členství ve skupině, nakonfigurujte kontroly přístupu Microsoft Entra. Pokud udělíte přístup k aplikacím pomocí správy nároků, povolte kontroly přístupu na úrovni přístupového balíčku. Vytvoření kontroly přístupu balíčku pro přístup ve správě
nároků Použijte Microsoft Entra Externí ID pro účty třetích stran a dodavatelů. Můžete provádět kontroly přístupu, které cílí na externí identity, například účty třetích stran nebo dodavatelů. Správa přístupu hostů pomocí kontrol přístupu
7.2.5 Všechny účty aplikací a systém a související přístupová oprávnění jsou přiřazeny a spravovány následujícím způsobem:
Na základě nejnižších oprávnění nezbytných pro funkčnost systému nebo aplikace.
Přístup je omezený na systémy, aplikace nebo procesy, které vyžadují jejich použití.		 Pomocí ID Microsoft Entra můžete přiřadit uživatele k rolím v aplikacích přímo nebo prostřednictvím členství ve skupině.
Organizace se standardizovanou taxonomií implementovanou jako atributy můžou automatizovat udělení přístupu na základě klasifikace a funkce uživatele. Používejte skupiny Microsoft Entra s členstvím ve skupinách a přístupové balíčky pro správu nároků Microsoft Entra se zásadami dynamického přiřazení.
Správa nároků slouží k definování oddělení povinností k vymezení nejnižších oprávnění.
PIM umožňuje přístup JIT ke skupinám zabezpečení Microsoft Entra pro vlastní scénáře, ve kterých členství ve skupinách představuje privilegovaný přístup k aplikacím nebo prostředkům CDE. Správa pravidel pro dynamické skupiny
členství – Konfigurace zásady automatického přiřazení pro přístupový balíček ve správě
nároků – Konfigurace oddělení povinností pro přístupový balíček ve správě
nároků – PIM pro skupiny
7.2.5.1 Veškerý přístup k účtům aplikací a systémových účtů a souvisejících přístupových oprávnění se kontroluje takto:
Pravidelně (s frekvencí definovanou v analýze cíleného rizika entity, která se provádí podle všech prvků uvedených v požadavku 12.3.1).
Přístup k aplikaci nebo systému zůstává vhodný pro prováděnou funkci.
Řeší se jakýkoli nevhodný přístup.
Správa bere na vědomí, že přístup zůstává vhodný.		 Osvědčené postupy při kontrole oprávnění účtů služeb Řízení účtů
služby Microsoft Entra řídí místní účty služeb
7.2.6 Veškerý uživatelský přístup k úložištím uložených dat držitelů karet je omezený následujícím způsobem:
Prostřednictvím aplikací nebo jiných programových metod s přístupem a povolenými akcemi založenými na rolích uživatelů a nejnižších oprávněních.
K úložištím uložených údajů o držitelích karet (CHD) mají přímý přístup nebo dotazování pouze zodpovědní správci.		 Moderní aplikace umožňují programové metody, které omezují přístup k úložištím dat.
Integrace aplikací s Microsoft Entra ID pomocí moderních ověřovacích protokolů, jako je OAuth a OpenID Connect (OIDC). Protokoly OAuth 2.0 a OIDC na platformě Microsoft Identity Platform
definujte role specifické pro aplikaci pro model privilegovaného a neprivilegovaného přístupu uživatelů. Přiřaďte uživatele nebo skupiny k rolím. Přidejte do aplikace role aplikace a získejte je v tokenu
pro rozhraní API vystavená vaší aplikací, definujte obory OAuth, které umožní souhlas uživatele a správce. Obory a oprávnění v privilegovaném a neprivilegovaném přístupu modelu Microsoft Identity Platform
k úložištím pomocí následujícího přístupu a vyhněte se přímému přístupu k úložišti. Pokud správci a operátoři vyžadují přístup, udělte ho na podkladovou platformu. Například přiřazení ARM IAM v Azure, seznamy řízení přístupu (ACL) v oknech atd.
Přečtěte si pokyny k architektuře, které zahrnují zabezpečení aplikační platformy jako služby (PaaS) a infrastruktury jako služby (IaaS) v Azure. Centrum architektury Azure

7.3 Přístup k systémovým komponentám a datům se spravuje prostřednictvím systémů řízení přístupu.

Požadavky na definovaný přístup PCI-DSS Microsoft Entra – pokyny a doporučení
7.3.1 Systém řízení přístupu je zaveden, který omezuje přístup na základě potřeby uživatele znát a pokrývá všechny systémové součásti. Integrujte přístup k aplikacím v CDE s ID Microsoft Entra jako ověřování a autorizace systému řízení přístupu. Zásady podmíněného přístupu s přiřazením aplikací řídí přístup k aplikacím. Co je podmíněný přístup?
Přiřazení uživatelů a skupin k aplikaci
7.3.2 Systémy řízení přístupu jsou nakonfigurovány tak, aby vynucovaly oprávnění přiřazená jednotlivcům, aplikacím a systémům na základě klasifikace a funkce úlohy. Integrujte přístup k aplikacím v CDE s ID Microsoft Entra jako ověřování a autorizace systému řízení přístupu. Zásady podmíněného přístupu s přiřazením aplikací řídí přístup k aplikacím. Co je podmíněný přístup?
Přiřazení uživatelů a skupin k aplikaci
7.3.3 Ve výchozím nastavení je systém řízení přístupu nastavený na "Odepřít vše". Podmíněný přístup můžete použít k blokování přístupu na základě podmínek žádosti o přístup, jako je členství ve skupině, aplikace, síťové umístění, síla přihlašovacích údajů atd. Podmíněný přístup: Blokovat chybně nakonfigurované zásady blokování přístupu
můžou přispívat k neúmyslným uzamčením. Návrh strategie nouzového přístupu Správa účtů správce tísňového přístupu v Microsoft Entra ID

Další kroky

Požadavky PCI-DSS 3, 4, 9 a 12 se nevztahují na ID Microsoft Entra, proto neexistují žádné odpovídající články. Pokud chcete zobrazit všechny požadavky, přejděte na pcisecuritystandards.org: oficiální web Rady bezpečnostních standardů PCI.

Pokud chcete nakonfigurovat ID Microsoft Entra tak, aby vyhovovalo PCI-DSS, přečtěte si následující články.