Freigeben über

Microsoft Entra ID und PCI-DSS-Anforderung 7

  • Artikel

Anforderung 7: Einschränken des Zugriffs auf Systemkomponenten und Karteninhaberdaten nach Geschäftsanforderungen
Anforderungen des definierten Ansatzes

7.1 Prozesse und Mechanismen zum Einschränken des Zugriffs auf Systemkomponenten und Karteninhaberdaten, die von Unternehmen benötigt werden, werden definiert und verstanden.

Anforderungen des durch PCI DSS definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
7.1.1 Alle Sicherheitsrichtlinien und Betriebsabläufe, die in Anforderung 7 identifiziert werden, sind:
Dokumentiert
Auf dem neuesten Stand
In Gebrauch
Allen betroffenen Parteien bekannt		 Integrieren Sie den Zugriff auf CDE-Anwendungen (Cardholder Data Environment) zur Authentifizierung und Autorisierung in Microsoft Entra ID.
Dokumentieren Sie Richtlinien für den bedingten Zugriff für Remotezugriffstechnologien. Automatisieren Sie Vorgänge mit Microsoft Graph-API und PowerShell. Bedingter Zugriff: Programmgesteuerter Zugriff
Archivieren Sie die Microsoft Entra-Überwachungsprotokolle, um Änderungen der Sicherheitsrichtlinien und die Microsoft Entra-Mandantenkonfiguration aufzuzeichnen. Um die Nutzung aufzuzeichnen, archivieren Sie Microsoft Entra-Aktivitätsprotokolle in einem SIEM-System (Security Information and Event Management). Microsoft Entra Aktivitätsprotokolle in Azure Monitor
7.1.2 Rollen und Verantwortlichkeiten für die Durchführung von Aktivitäten in Anforderung 7 werden dokumentiert, zugewiesen und verstanden. Integrieren Sie den Zugriff auf CDE-Anwendungen zur Authentifizierung und Autorisierung in Microsoft Entra ID.
– Weisen Sie Benutzern Rollen zu Anwendungen oder mit Gruppenmitgliedschaft zu.
– Verwenden Sie Microsoft Graph zum Auflisten von Anwendungszuweisungen
– Verwenden Sie Microsoft Entra-Überwachungsprotokolle, um Zuweisungsänderungen nachzuverfolgen.
Auflisten von Anwendungsrollenzuweisungen (appRoleAssignments), die einem Benutzer gewährt wurden
Get-MgServicePrincipalAppRoleAssignedTo

Privilegierter Zugriff
Verwenden Sie Microsoft Entra-Überwachungsprotokolle, um Verzeichnisrollenzuweisungen nachzuverfolgen. Administratorrollen, die für diese PCI-Anforderung relevant sind:
– Global
– Anwendung
– Authentifizierungsrichtlinie

– Hybrididentität
Um den Zugriff mit den geringsten Rechten zu implementieren, erstellen Sie in Microsoft Entra ID benutzerdefinierte Verzeichnisrollen.
Wenn Sie Teile der CDE in Azure erstellen, dokumentieren Sie privilegierte Rollenzuweisungen wie Besitzer, Mitwirkender, Benutzerzugriffsadministrator usw. sowie benutzerdefinierte Abonnementrollen, in denen CDE-Ressourcen bereitgestellt werden.
Microsoft empfiehlt, den JIT-Zugriff (Just-In-Time) auf Rollen mithilfe von Privileged Identity Management (PIM) zu aktivieren. PIM ermöglicht den JIT-Zugriff auf Microsoft Entra-Sicherheitsgruppen in Szenarien, in denen die Gruppenmitgliedschaft privilegierten Zugriff auf CDE-Anwendungen oder -Ressourcen darstellt. Integrierte Microsoft Entra-Rollen
Referenzhandbuch zu Microsoft Entra-Vorgängen für Identitäts- und Zugriffsverwaltung
Erstellen und Zuweisen einer benutzerdefinierten Rolle in Microsoft Entra ID
Schützen des privilegierten Zugriffs für Hybrid- und Cloudbereitstellungen in Microsoft Entra ID
Was ist Microsoft Entra Privileged Identity Management?
Best Practices für alle Isolationsarchitekturen
PIM für Gruppen

7.2 Der Zugriff auf Systemkomponenten und Daten wird entsprechend definiert und zugewiesen.

Anforderungen des durch PCI DSS definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
7.2.1. Ein Zugriffssteuerungsmodell wird definiert und beinhaltet, dass Zugriff wie folgt gewährt wird:
Angemessener Zugriff je nach Geschäfts- und Zugriffsanforderungen der Entität.
Zugriff auf Systemkomponenten und Datenressourcen, der auf der Stellenklassifizierung und den Funktionen der Benutzer basiert.
Die geringsten Rechte (z. B. Benutzer, Administrator), die zum Ausführen einer beruflichen Funktion erforderlich sind.		 Verwenden Sie Microsoft Entra ID, um Benutzende direkt oder über Gruppenmitgliedschaften Rollen in Anwendungen zuzuweisen.
Organisationen mit einer standardisierten Taxonomie, die in Form von Attributen implementiert ist, können Zugriffszuweisungen basierend auf der Stellenklassifizierung und Funktion der Benutzer automatisieren. Verwenden Sie Microsoft Entra-Gruppen mit Gruppenmitgliedschaft und Zugriffspakete für die Berechtigungsverwaltung von Microsoft Entra mit dynamischen Zuweisungsrichtlinien.
Verwenden Sie die Berechtigungsverwaltung, um die Aufgabentrennung zu definieren und die geringsten Rechte festzulegen.
PIM ermöglicht den JIT-Zugriff auf Microsoft Entra-Sicherheitsgruppen in benutzerdefinierten Szenarien, in denen die Gruppenmitgliedschaft privilegierten Zugriff auf CDE-Anwendungen oder -Ressourcen darstellt. Verwalten von Regeln für dynamische Mitgliedergruppen
Konfigurieren einer automatischen Zuweisungsrichtlinie für ein Zugriffspaket in der Berechtigungsverwaltung
Konfigurieren der Aufgabentrennung für ein Zugriffspaket in der Berechtigungsverwaltung
PIM für Gruppen
7.2.2 Benutzern, einschließlich privilegierter Benutzer, werden auf folgender Grundlage Zugriffsrechte zugewiesen:
Stellenklassifizierung und Funktion.
Die geringsten Rechte, die für die Erfüllung der beruflichen Pflichten erforderlich sind.		 Verwenden Sie Microsoft Entra ID, um Benutzern Rollen in Anwendungen direkt oder über eine Gruppenmitgliedschaft zuzuweisen.
Organisationen mit einer standardisierten Taxonomie, die in Form von Attributen implementiert ist, können Zugriffszuweisungen basierend auf der Stellenklassifizierung und Funktion der Benutzer automatisieren. Verwenden Sie Microsoft Entra-Gruppen mit Gruppenmitgliedschaft und Zugriffspakete für die Berechtigungsverwaltung von Microsoft Entra mit dynamischen Zuweisungsrichtlinien.
Verwenden Sie die Berechtigungsverwaltung, um die Aufgabentrennung zu definieren und die geringsten Rechte festzulegen.
PIM ermöglicht den JIT-Zugriff auf Microsoft Entra-Sicherheitsgruppen in benutzerdefinierten Szenarien, in denen die Gruppenmitgliedschaft privilegierten Zugriff auf CDE-Anwendungen oder -Ressourcen darstellt. Verwalten von Regeln für dynamische Mitgliedergruppen
Konfigurieren einer automatischen Zuweisungsrichtlinie für ein Zugriffspaket in der Berechtigungsverwaltung
Konfigurieren der Aufgabentrennung für ein Zugriffspaket in der Berechtigungsverwaltung
PIM für Gruppen
7.2.3 Erforderliche Berechtigungen werden von autorisierten Mitarbeiter*innen genehmigt. Die Berechtigungsverwaltung unterstützt Genehmigungsworkflows zum Gewähren des Zugriffs auf Ressourcen und regelmäßige Zugriffsüberprüfungen. Genehmigen oder Verweigern von Zugriffsanforderungen in der Berechtigungsverwaltung
Überprüfen des Zugriffs auf ein Zugriffspaket in der Berechtigungsverwaltung
PIM unterstützt Genehmigungsworkflows zum Aktivieren von Microsoft Entra-Verzeichnisrollen sowie Azure-Rollen und Cloudgruppen. Genehmigen oder Verweigern von Anforderungen von Microsoft Entra-Rollen in PIM
Genehmigen von Aktivierungsanforderungen für Gruppenmitglieder und Besitzer
7.2.4 Alle Benutzerkonten und zugehörigen Zugriffsberechtigungen, einschließlich Drittanbieter-/Lieferantenkonten, werden wie folgt überprüft:
Mindestens einmal alle sechs Monate.
Um sicherzustellen, dass Benutzerkonten und Zugriff je nach der beruflichen Funktion angemessen bleiben.
Jeder unangemessene Zugriff wird behoben. Das Management bestätigt, dass der Zugriff angemessen bleibt.		 Wenn Sie mithilfe einer direkten Zuweisung oder der Gruppenmitgliedschaft Zugriff auf Anwendungen gewähren, konfigurieren Sie Microsoft Entra-Zugriffsüberprüfungen. Wenn Sie mithilfe der Berechtigungsverwaltung Zugriff auf Anwendungen gewähren, aktivieren Sie Zugriffsüberprüfungen auf der Zugriffspaketebene. Erstellen einer Zugriffsüberprüfung eines Zugriffspakets in der Berechtigungsverwaltung
Verwenden Sie externe Microsoft Entra-Identitäten für Drittanbieter- und Lieferantenkonten. Sie können Zugriffsüberprüfungen für externe Identitäten wie Drittanbieter- oder Lieferantenkonten durchführen. Verwalten des Gastzugriffs mit Zugriffsüberprüfungen
7.2.5 Alle Anwendungs- und Systemkonten sowie zugehörige Zugriffsberechtigungen werden wie folgt zugewiesen und verwaltet:
Basierend auf den geringsten Rechten, die für die Funktionsfähigkeit des Systems oder der Anwendung erforderlich sind.
Der Zugriff wird auf die Systeme, Anwendungen oder Prozesse beschränkt, die ihre Verwendung speziell erfordern.		 Verwenden Sie Microsoft Entra ID, um Benutzern Rollen in Anwendungen direkt oder über eine Gruppenmitgliedschaft zuzuweisen.
Organisationen mit einer standardisierten Taxonomie, die in Form von Attributen implementiert ist, können Zugriffszuweisungen basierend auf der Stellenklassifizierung und Funktion der Benutzer automatisieren. Verwenden Sie Microsoft Entra-Gruppen mit Gruppenmitgliedschaft und Zugriffspakete für die Berechtigungsverwaltung von Microsoft Entra mit dynamischen Zuweisungsrichtlinien.
Verwenden Sie die Berechtigungsverwaltung, um die Aufgabentrennung zu definieren und die geringsten Rechte festzulegen.
PIM ermöglicht den JIT-Zugriff auf Microsoft Entra-Sicherheitsgruppen in benutzerdefinierten Szenarien, in denen die Gruppenmitgliedschaft privilegierten Zugriff auf CDE-Anwendungen oder -Ressourcen darstellt. Verwalten von Regeln für dynamische Mitgliedergruppen
Konfigurieren einer automatischen Zuweisungsrichtlinie für ein Zugriffspaket in der Berechtigungsverwaltung
Konfigurieren der Aufgabentrennung für ein Zugriffspaket in der Berechtigungsverwaltung
PIM für Gruppen
7.2.5.1 Alle Zugriffe durch Anwendungs- und Systemkonten und zugehörige Zugriffsberechtigungen werden wie folgt überprüft:
In regelmäßigen Abständen (in der Häufigkeit, die in der zielbezogenen Risikoanalyse des Unternehmens definiert ist, die nach allen in Anforderung 12.3.1 genannten Elementen durchgeführt wird).
Der Anwendungs-/Systemzugriff ist der ausgeführten Funktion angemessen.
Jeder unangemessene Zugriff wird behoben.
Das Management bestätigt, dass der Zugriff angemessen bleibt.		 Best Practices beim Überprüfen von Dienstkontenberechtigungen Verwalten von Microsoft Entra-Dienstkonten
Steuern lokaler Dienstkonten
7.2.6 Alle Benutzerzugriffe zum Abfragen von Repositorys gespeicherter Karteninhaberdaten werden wie folgt eingeschränkt:
Über Anwendungen oder andere programmgesteuerte Methoden, wobei Zugriff und zulässige Aktionen auf Benutzerrollen und geringsten Rechten basieren.
Nur die verantwortlichen Administratoren können direkt auf Repositorys von gespeicherten Karteninhaberdaten (CHD) zugreifen oder diese abfragen.		 Moderne Anwendungen ermöglichen programmgesteuerte Methoden, die den Zugriff auf Datenrepositorys einschränken.
Integrieren Sie Anwendungen mithilfe moderner Authentifizierungsprotokolle wie OAuth und OpenID Connect (OIDC) in Microsoft Entra ID. Die Protokolle OAuth 2.0 und OIDC auf der Microsoft Identity Platform
Definieren Sie anwendungsspezifische Rollen, um den privilegierten und nicht privilegierten Benutzerzugriff zu modellieren. Weisen Sie Benutzern und Gruppen Rollen zu. Hinzufügen von App-Rollen zu Ihrer Anwendung und deren Empfang im Token
Definieren Sie für APIs, die von Ihrer Anwendung verfügbar gemacht werden, OAuth-Bereiche, um die Zustimmung von Benutzern und Administratoren zu ermöglichen. Bereiche und Berechtigungen im Microsoft Identity Platform
Modellieren Sie mit dem folgenden Ansatz privilegierten und nicht privilegierten Zugriff auf die Repositorys, und vermeiden Sie direkten Repositoryzugriff. Wenn Administratoren und Operatoren Zugriff benötigen, gewähren Sie ihn auf der zugrundeliegenden Plattform. Beispielsweise ARM IAM-Zuweisungen in Azure, Zugriffssteuerungslistenfenster (ACLs) usw.
Weitere Informationen finden Sie in dem Architekturleitfaden, der das Schützen von Anwendungs-PaaS (Platform-as-a-Service) und IaaS (Infrastructure-as-a-Service) in Azure umfasst. Azure Architecture Center

7.3 Der Zugriff auf Systemkomponenten und Daten wird über Zugriffssteuerungssysteme verwaltet.

Anforderungen des durch PCI DSS definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
7.3.1 Es ist ein Zugriffssteuerungssystem vorhanden, das den Zugriff basierend auf dem Kenntnisbedarf eines Benutzers einschränkt und alle Systemkomponenten abdeckt. Integrieren Sie den Zugriff auf Anwendungen in die CDE, wobei Microsoft Entra ID als Zugriffssteuerungssystem zur Authentifizierung und Autorisierung fungiert. Richtlinien für bedingten Zugriff, wobei Anwendungszuweisungen den Zugriff auf Anwendungen steuern. Was ist bedingter Zugriff?
Zuweisen von Benutzern und Gruppen zu einer Anwendung
7.3.2 Das Zugriffssteuerungssystem wird so konfiguriert, dass Berechtigungen, die Einzelpersonen, Anwendungen und Systemen basierend auf der Stellenklassifizierung und Funktion zugewiesen werden, erzwungen werden. Integrieren Sie den Zugriff auf Anwendungen in die CDE, wobei Microsoft Entra ID als Zugriffssteuerungssystem zur Authentifizierung und Autorisierung fungiert. Richtlinien für bedingten Zugriff, wobei Anwendungszuweisungen den Zugriff auf Anwendungen steuern. Was ist bedingter Zugriff?
Zuweisen von Benutzern und Gruppen zu einer Anwendung
7.3.3 Das Zugriffssteuerungssystem wird standardmäßig auf „Alle verweigern“ festgelegt. Verwenden Sie bedingten Zugriff, um den Zugriff basierend auf Zugriffsanforderungsbedingungen wie Gruppenmitgliedschaft, Anwendungen, Netzwerkstandort, Anmeldeinformationenstärke usw. zu blockieren. Bedingter Zugriff: Blockieren des Zugriffs
Eine falsch konfigurierte Blockrichtlinie kann zu unbeabsichtigten Sperrungen beitragen. Entwerfen Sie eine Notfallstrategie für den Zugriff. Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID

Nächste Schritte

Die Anforderungen des Datensicherheitsstandards der Zahlungskartenbranche (Payment Card Industry Data Security Standard, PCI-DSS) 3, 4, 9 und 12 gelten nicht für Microsoft Entra ID. Daher gibt es keine entsprechenden Artikel. Alle Anforderungen finden Sie auf pcisecuritystandards.org: Offizielle Website des PCI Security Standards Council.

Informationen zum Konfigurieren von Microsoft Entra ID zur Einhaltung der PCI-DSS-Anforderungen finden Sie in den folgenden Artikeln.