Udostępnij za pośrednictwem

Microsoft Entra ID i PCI-DSS Wymaganie 7

  • Artykuł

Wymaganie 7. Ograniczanie dostępu do składników systemowych i danych posiadaczy kart według wymagań dotyczących podejścia Know
Defined

7.1 Procesy i mechanizmy ograniczania dostępu do składników systemowych i danych posiadaczy kart przez firmę muszą wiedzieć, że są zdefiniowane i zrozumiałe.

Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft)
7.1.1 Wszystkie zasady zabezpieczeń i procedury operacyjne, które zostały zidentyfikowane w wymaganiach 7, to:
Udokumentowano
aktualną datę
W użyciu
znane wszystkim stronom, których dotyczy problem		 Integrowanie dostępu do aplikacji środowiska danych karty (CDE) z identyfikatorem Entra firmy Microsoft na potrzeby uwierzytelniania i autoryzacji.
Dokumentowanie zasad dostępu warunkowego dla technologii dostępu zdalnego. Automatyzowanie za pomocą interfejsu API programu Microsoft Graph i programu PowerShell. Dostęp warunkowy: Dostęp
programowy Archiwizowanie dzienników inspekcji firmy Microsoft Entra w celu rejestrowania zmian zasad zabezpieczeń i konfiguracji dzierżawy firmy Microsoft Entra. Aby zarejestrować użycie, zarchiwizuj dzienniki logowania firmy Microsoft w systemie zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Dzienniki aktywności firmy Microsoft Entra w usłudze Azure Monitor
7.1.2 Role i obowiązki związane z wykonywaniem działań w wymaganiach 7 są udokumentowane, przypisane i zrozumiałe. Integrowanie dostępu do aplikacji CDE z identyfikatorem Entra firmy Microsoft na potrzeby uwierzytelniania i autoryzacji.
— Przypisz role użytkowników do aplikacji lub z członkostwem
w grupie — użyj programu Microsoft Graph, aby wyświetlić listę przypisań aplikacji — użyj dzienników inspekcji firmy Microsoft Entra, aby śledzić zmiany przydziałów
.
Wyświetlanie listy przypisań appRoleAssignments przyznanych użytkownikowi
Get-MgServicePrincipalAppRoleAssignedTo

Dostęp
uprzywilejowany Użyj dzienników inspekcji firmy Microsoft Entra, aby śledzić przypisania ról katalogu. Role administratora związane z tym wymaganiem PCI:
— Globalne
— Aplikacja
— Uwierzytelnianie — Zasady
uwierzytelniania
— Tożsamość
hybrydowa Aby zaimplementować dostęp do najmniejszych uprawnień, użyj identyfikatora Entra firmy Microsoft, aby utworzyć role katalogu niestandardowego.
Jeśli tworzysz części usługi CDE na platformie Azure, dokumentujesz uprzywilejowane przypisania ról, takie jak Właściciel, Współautor, Administrator dostępu użytkowników itp., oraz role niestandardowe subskrypcji, w których wdrażane są zasoby cdE.
Firma Microsoft zaleca włączenie dostępu just in time (JIT) do ról przy użyciu usługi Privileged Identity Management (PIM). Usługa PIM umożliwia dostęp JIT do grup zabezpieczeń firmy Microsoft Entra w scenariuszach, gdy członkostwo w grupie reprezentuje uprzywilejowany dostęp do aplikacji lub zasobów CDE. Microsoft Entra wbudowane role
Podręcznik operacji zarządzania tożsamościami i dostępem w Microsoft Entra
Utwórz niestandardową rolę w Microsoft Entra ID
Zabezpieczanie uprzywilejowanego dostępu dla wdrożeń hybrydowych i chmurowych w Microsoft Entra ID
Czym jest Microsoft Entra Privileged Identity Management?
Najlepsze rozwiązania dotyczące wszystkich architektur izolacji
PIM dla grup

7.2 Dostęp do składników systemu i danych jest odpowiednio zdefiniowany i przypisany.

Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft)
7.2.1 Zdefiniowano model kontroli dostępu i obejmuje udzielanie dostępu w następujący sposób:
Odpowiedni dostęp w zależności od potrzeb biznesowych i dostępu jednostki.
Dostęp do składników systemu i zasobów danych opartych na klasyfikacji zadań i funkcjach użytkowników.
Najmniejsze uprawnienia wymagane (na przykład użytkownik, administrator) do wykonania funkcji zadania.		 Użyj identyfikatora Entra firmy Microsoft, aby przypisać użytkowników do ról w aplikacjach bezpośrednio lub za pośrednictwem członkostwa w grupach.
Organizacje ze standardową taksonomią zaimplementowaną jako atrybuty mogą automatyzować udzielanie dostępu na podstawie klasyfikacji i funkcji zadań użytkownika. Używaj grup Entra firmy Microsoft z członkostwem w grupach i pakietami dostępu do zarządzania upoważnieniami firmy Microsoft z dynamicznymi zasadami przypisywania.
Użyj zarządzania upoważnieniami, aby zdefiniować rozdzielenie obowiązków w celu określenia najniższych uprawnień.
Usługa PIM umożliwia dostęp JIT do grup zabezpieczeń firmy Microsoft Entra w scenariuszach niestandardowych, w których członkostwo w grupie reprezentuje uprzywilejowany dostęp do aplikacji lub zasobów CDE. Zarządzanie regułami dla dynamicznych grup
członkostwa Konfigurowanie zasad automatycznego przypisywania dla pakietu dostępu w zarządzaniu upoważnieniami
Konfigurowanie rozdzielenia obowiązków dla pakietu dostępu w usłudze PIM zarządzania upoważnieniami
dla grup
7.2.2 Dostęp jest przypisywany do użytkowników, w tym uprzywilejowanych użytkowników, na podstawie:
klasyfikacji zadań i funkcji.
Najmniej uprawnień niezbędnych do wykonywania zadań.		 Użyj identyfikatora Entra firmy Microsoft, aby przypisać użytkowników do ról w aplikacjach bezpośrednio lub za pośrednictwem członkostwa w grupie.
Organizacje ze standardową taksonomią zaimplementowaną jako atrybuty mogą automatyzować udzielanie dostępu na podstawie klasyfikacji i funkcji zadań użytkownika. Używaj grup Entra firmy Microsoft z członkostwem w grupach i pakietami dostępu do zarządzania upoważnieniami firmy Microsoft z dynamicznymi zasadami przypisywania.
Użyj zarządzania upoważnieniami, aby zdefiniować rozdzielenie obowiązków w celu określenia najniższych uprawnień.
Usługa PIM umożliwia dostęp JIT do grup zabezpieczeń firmy Microsoft Entra w scenariuszach niestandardowych, w których członkostwo w grupie reprezentuje uprzywilejowany dostęp do aplikacji lub zasobów CDE. Zarządzanie regułami dla dynamicznych grup
członkostwa Konfigurowanie zasad automatycznego przypisywania dla pakietu dostępu w zarządzaniu upoważnieniami
Konfigurowanie rozdzielenia obowiązków dla pakietu dostępu w usłudze PIM zarządzania upoważnieniami
dla grup
7.2.3 Wymagane uprawnienia są zatwierdzane przez autoryzowany personel. Zarządzanie upoważnieniami obsługuje przepływy pracy zatwierdzania w celu udzielenia dostępu do zasobów i okresowych przeglądów dostępu. Zatwierdzanie lub odrzucanie żądań dostępu w zarządzaniu upoważnieniami Przejrzyj dostęp pakietu dostępu w usłudze
PIM do zarządzania upoważnieniami
obsługuje przepływy pracy zatwierdzania w celu aktywowania ról katalogu firmy Microsoft Entra oraz ról platformy Azure i grup w chmurze. Zatwierdzanie lub odrzucanie żądań dotyczących ról firmy Microsoft w usłudze PIM
Zatwierdzanie żądań aktywacji dla członków grupy i właścicieli
7.2.4 Wszystkie konta użytkowników i powiązane uprawnienia dostępu, w tym konta innych firm/dostawców, są przeglądane w następujący sposób:
Co najmniej raz na sześć miesięcy.
Aby zapewnić, że konta użytkowników i dostęp pozostaną odpowiednie na podstawie funkcji zadania.
Wszelkie niewłaściwe prawa dostępu są rozwiązywane. Zarządzanie potwierdza, że dostęp pozostaje odpowiedni.		 Jeśli przyznasz dostęp do aplikacji przy użyciu bezpośredniego przypisania lub członkostwa w grupie, skonfiguruj przeglądy dostępu firmy Microsoft Entra. Jeśli przyznasz dostęp do aplikacji przy użyciu zarządzania upoważnieniami, włącz przeglądy dostępu na poziomie pakietu dostępu. Utwórz przegląd dostępu pakietu dostępu w zarządzaniu upoważnieniami
Użyj Tożsamość zewnętrzna Microsoft Entra dla kont innych firm i dostawców. Możesz wykonywać przeglądy dostępu przeznaczone dla tożsamości zewnętrznych, na przykład konta innych firm lub dostawców. Zarządzanie dostępem gości za pomocą przeglądów dostępu
7.2.5 Wszystkie konta aplikacji i systemu oraz powiązane uprawnienia dostępu są przypisywane i zarządzane w następujący sposób:
Na podstawie najniższych uprawnień niezbędnych do obsługi systemu lub aplikacji.
Dostęp jest ograniczony do systemów, aplikacji lub procesów, które wymagają ich użycia.		 Użyj identyfikatora Entra firmy Microsoft, aby przypisać użytkowników do ról w aplikacjach bezpośrednio lub za pośrednictwem członkostwa w grupie.
Organizacje ze standardową taksonomią zaimplementowaną jako atrybuty mogą automatyzować udzielanie dostępu na podstawie klasyfikacji i funkcji zadań użytkownika. Używaj grup Entra firmy Microsoft z członkostwem w grupach i pakietami dostępu do zarządzania upoważnieniami firmy Microsoft z dynamicznymi zasadami przypisywania.
Użyj zarządzania upoważnieniami, aby zdefiniować rozdzielenie obowiązków w celu określenia najniższych uprawnień.
Usługa PIM umożliwia dostęp JIT do grup zabezpieczeń firmy Microsoft Entra w scenariuszach niestandardowych, w których członkostwo w grupie reprezentuje uprzywilejowany dostęp do aplikacji lub zasobów CDE. Zarządzanie regułami dla dynamicznych grup
członkostwa Konfigurowanie zasad automatycznego przypisywania dla pakietu dostępu w zarządzaniu upoważnieniami
Konfigurowanie rozdzielenia obowiązków dla pakietu dostępu w usłudze PIM zarządzania upoważnieniami
dla grup
7.2.5.1 Wszystkie konta aplikacji i systemu oraz powiązane uprawnienia dostępu są przeglądane w następujący sposób:
Okresowo (z częstotliwością zdefiniowaną w docelowej analizie ryzyka jednostki, która jest wykonywana zgodnie ze wszystkimi elementami określonymi w wymaganiach 12.3.1).
Dostęp do aplikacji/systemu pozostaje odpowiedni dla wykonywanej funkcji.
Wszelkie niewłaściwe prawa dostępu są rozwiązywane.
Zarządzanie potwierdza, że dostęp pozostaje odpowiedni.		 Najlepsze rozwiązania dotyczące przeglądania uprawnień kont usług. Zarządzanie kontami usług Firmy Microsoft Entra — zarządzanie kontami
usług lokalnych
7.2.6 Cały dostęp użytkownika do repozytoriów przechowywanych danych karty jest ograniczony w następujący sposób:
Za pośrednictwem aplikacji lub innych metod programistycznych z dostępem i dozwolonymi akcjami opartymi na rolach użytkownika i najniższych uprawnieniach.
Tylko odpowiedzialni administratorzy mogą bezpośrednio uzyskiwać dostęp do repozytoriów przechowywanych danych posiadacza karty (CHD) lub wykonywać względem ich zapytań.		 Nowoczesne aplikacje umożliwiają metody programowe, które ograniczają dostęp do repozytoriów danych.
Integrowanie aplikacji z usługą Microsoft Entra ID przy użyciu nowoczesnych protokołów uwierzytelniania, takich jak OAuth i OpenID Connect (OIDC). Protokoły OAuth 2.0 i OIDC w Platforma tożsamości Microsoft
Definiowanie ról specyficznych dla aplikacji w celu modelowania uprzywilejowanego i nieuprzywilejowanego dostępu użytkowników. Przypisz użytkowników lub grupy do ról. Dodaj role aplikacji do aplikacji i odbierz je w tokenie
Dla interfejsów API uwidocznionych przez aplikację, zdefiniuj zakresy OAuth, aby włączyć zgodę użytkownika i administratora. Zakresy i uprawnienia w modelu Platforma tożsamości Microsoft
uprzywilejowany i nieuprzywilejowany dostęp do repozytoriów przy użyciu następującego podejścia i unikaj bezpośredniego dostępu do repozytoriów. Jeśli administratorzy i operatorzy wymagają dostępu, przyznaj go na platformę podstawową. Na przykład przypisania IAM usługi ARM na platformie Azure, okna list kontroli dostępu (ACL) itp.
Zobacz wskazówki dotyczące architektury, które obejmują zabezpieczanie platformy jako usługi (PaaS) i infrastruktury jako usługi (IaaS) na platformie Azure. Centrum architektury platformy Azure

7.3 Dostęp do składników systemu i danych jest zarządzany za pośrednictwem systemów kontroli dostępu.

Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft)
7.3.1 System kontroli dostępu jest w miejscu, który ogranicza dostęp w oparciu o konieczność znajomości i obejmuje wszystkie składniki systemu. Integrowanie dostępu do aplikacji w usłudze CDE z identyfikatorem Entra firmy Microsoft jako uwierzytelnianie i autoryzacja systemu kontroli dostępu. Zasady dostępu warunkowego z przypisaniami aplikacji kontrolują dostęp do aplikacji. Co to jest dostęp warunkowy?
Przypisywanie użytkowników i grup do aplikacji
7.3.2 System kontroli dostępu jest skonfigurowany do wymuszania uprawnień przypisanych do użytkowników indywidualnych, aplikacji i systemów na podstawie klasyfikacji i funkcji zadań. Integrowanie dostępu do aplikacji w usłudze CDE z identyfikatorem Entra firmy Microsoft jako uwierzytelnianie i autoryzacja systemu kontroli dostępu. Zasady dostępu warunkowego z przypisaniami aplikacji kontrolują dostęp do aplikacji. Co to jest dostęp warunkowy?
Przypisywanie użytkowników i grup do aplikacji
7.3.3 System kontroli dostępu jest domyślnie ustawiony na "odmów wszystkich". Użyj dostępu warunkowego, aby zablokować dostęp na podstawie warunków żądania dostępu, takich jak członkostwo w grupie, aplikacje, lokalizacja sieciowa, siła poświadczeń itp. Dostęp warunkowy: blokuj błędnie skonfigurowane zasady blokowania dostępu
mogą przyczynić się do niezamierzonych blokad. Projektowanie strategii dostępu awaryjnego. Zarządzanie kontami administratora dostępu awaryjnego w usłudze Microsoft Entra ID

Następne kroki

Wymagania PCI-DSS 3, 4, 9 i 12 nie mają zastosowania do identyfikatora Entra firmy Microsoft, dlatego nie ma odpowiednich artykułów. Aby zobaczyć wszystkie wymagania, przejdź do pcisecuritystandards.org: Oficjalna witryna Rady Standardów Bezpieczeństwa PCI.

Aby skonfigurować identyfikator Entra firmy Microsoft w celu zachowania zgodności z standardem PCI-DSS, zobacz następujące artykuły.