Microsoft Entra ID i PCI-DSS Wymaganie 8
Wymaganie 8. Identyfikowanie użytkowników i uwierzytelnianie dostępu do składników
systemowych Zdefiniowane wymagania dotyczące podejścia
8.1 Procesy i mechanizmy identyfikowania użytkowników i uwierzytelniania dostępu do składników systemu są definiowane i zrozumiałe.
| Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| 8.1.1 Wszystkie zasady zabezpieczeń i procedury operacyjne, które zostały zidentyfikowane w wymaganiach 8, to: Udokumentowano aktualną datę W użyciu znane wszystkim stronom, których dotyczy problem |
Skorzystaj ze wskazówek i linków w tym dokumencie, aby utworzyć dokumentację, aby spełnić wymagania na podstawie konfiguracji środowiska. |
| 8.1.2 Role i obowiązki związane z wykonywaniem działań w wymaganiach 8 są udokumentowane, przypisane i zrozumiałe. | Skorzystaj ze wskazówek i linków w tym dokumencie, aby utworzyć dokumentację, aby spełnić wymagania na podstawie konfiguracji środowiska. |
8.2 Identyfikacja użytkownika i powiązane konta użytkowników i administratorów są ściśle zarządzane w całym cyklu życia konta.
| Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| 8.2.1 Wszyscy użytkownicy mają przypisany unikatowy identyfikator przed zezwoleniem na dostęp do składników systemowych lub danych posiadaczy kart. | W przypadku aplikacji CDE korzystających z identyfikatora Entra firmy Microsoft unikatowy identyfikator użytkownika jest atrybutem głównej nazwy użytkownika (UPN). Microsoft Entra UserPrincipalName — populacja |
| 8.2.2 Grupy, udostępnione lub ogólne konta lub inne poświadczenia uwierzytelniania współużytkowanego są używane tylko w razie potrzeby na podstawie wyjątku i są zarządzane w następujący sposób: Korzystanie z konta jest blokowane, chyba że jest to konieczne w wyjątkowych okolicznościach. Zastosowanie jest ograniczone do czasu potrzebnego na wyjątkowe okoliczności. Uzasadnienie biznesowe do użycia jest udokumentowane. Użycie jest jawnie zatwierdzone przez zarządzanie Indywidualna tożsamość użytkownika jest potwierdzana przed udzieleniem dostępu do konta. Każda podjęta akcja jest przypisywana poszczególnym użytkownikom. |
Upewnij się, że usługi CDE korzystające z identyfikatora Entra firmy Microsoft na potrzeby dostępu do aplikacji mają procesy, aby uniemożliwić współużytkowanie kont. Utwórz je jako wyjątek, który wymaga zatwierdzenia. W przypadku zasobów usługi CDE wdrożonych na platformie Azure użyj tożsamości zarządzanych dla zasobów platformy Azure, aby reprezentować tożsamość obciążenia, zamiast tworzyć konto usługi udostępnionej. Co to są tożsamości zarządzane dla zasobów platformy Azure? Jeśli nie możesz używać tożsamości zarządzanych, a używane zasoby korzystają z protokołu OAuth, użyj jednostek usługi do reprezentowania tożsamości obciążeń. Udzielanie tożsamościom najmniej uprzywilejowanego dostępu za pośrednictwem zakresów protokołu OAuth. Administratorzy mogą ograniczyć dostęp i zdefiniować przepływy pracy zatwierdzania w celu ich utworzenia. Co to są tożsamości obciążeń? |
| 8.2.3 Dodatkowe wymaganie tylko dla dostawców usług: Dostawcy usług z dostępem zdalnym do lokalizacji klienta używają unikatowych czynników uwierzytelniania dla każdego środowiska klienta. | Identyfikator Entra firmy Microsoft ma łączniki lokalne umożliwiające korzystanie z funkcji hybrydowych. Łączniki są możliwe do zidentyfikowania i używają unikatowych poświadczeń. Microsoft Entra Connect Sync: Omówienie i dostosowywanie synchronizacji synchronizacji z chmurą Szczegółowe omówienie architektury aprowizacji aplikacji lokalnych firmy Microsoft Entra — planowanie obsługi administracyjnej aplikacji w chmurze do firmy Microsoft Entra User Provisioning Instalowanie agentów programu Microsoft Entra Connect Health |
| 8.2.4 Dodawanie, usuwanie i modyfikowanie identyfikatorów użytkowników, czynników uwierzytelniania i innych obiektów identyfikatorów są zarządzane w następujący sposób: Autoryzowane z odpowiednim zatwierdzeniem. Zaimplementowano tylko z uprawnieniami określonymi w udokumentowanych zatwierdzeniach. |
Identyfikator Entra firmy Microsoft ma zautomatyzowaną aprowizację kont użytkowników z systemów HR. Ta funkcja służy do tworzenia cyklu życia. Co to jest aprowizacja oparta na hr? Identyfikator entra firmy Microsoft zawiera przepływy pracy cyklu życia umożliwiające dostosowywanie logiki procesów dołączania, przełączania i opuszczania. Co to są przepływy pracy cyklu życia? Microsoft Entra ID ma interfejs programowy do zarządzania metodami uwierzytelniania za pomocą programu Microsoft Graph. Niektóre metody uwierzytelniania, takie jak Windows Hello dla firm i klucze FIDO2, wymagają interwencji użytkownika w celu zarejestrowania. Rozpocznij pracę z metodami uwierzytelniania programu Graph Administratorzy interfejsu API i/lub automatyzacja generuje tymczasowe poświadczenia dostępu dostępu przekazywanego przy użyciu interfejsu API programu Graph. Użyj tego poświadczenia do dołączania bez hasła. Konfigurowanie tymczasowego dostępu przekazywanego w usłudze Microsoft Entra ID w celu zarejestrowania metod uwierzytelniania bez hasła |
| 8.2.5 Dostęp dla zakończonych użytkowników zostanie natychmiast odwołany. | Aby odwołać dostęp do konta, wyłącz konta lokalne dla kont hybrydowych synchronizowanych z identyfikatorem Microsoft Entra ID, wyłącz konta w identyfikatorze Microsoft Entra ID i odwołaj tokeny. Odwoływanie dostępu użytkowników w usłudze Microsoft Entra ID użyj oceny ciągłego dostępu (CAE) dla zgodnych aplikacji, aby mieć dwukierunkową konwersację z identyfikatorem Entra firmy Microsoft. Aplikacje mogą być powiadamiane o zdarzeniach, takich jak zakończenie konta i odrzucanie tokenów. Ciągła ocena dostępu |
| 8.2.6 Nieaktywne konta użytkowników są usuwane lub wyłączone w ciągu 90 dni braku aktywności. | W przypadku kont hybrydowych administratorzy sprawdzają aktywność w usługach Active Directory i Microsoft Entra co 90 dni. W przypadku identyfikatora Entra firmy Microsoft użyj programu Microsoft Graph, aby znaleźć datę ostatniego logowania. Instrukcje: zarządzanie nieaktywnym kontami użytkowników w identyfikatorze Entra firmy Microsoft |
| 8.2.7 Konta używane przez osoby trzecie do uzyskiwania dostępu, obsługi lub konserwacji składników systemu za pośrednictwem dostępu zdalnego są zarządzane w następujący sposób: Włączone tylko w okresie wymaganym i wyłączonym, gdy nie są używane. Użycie jest monitorowane pod kątem nieoczekiwanych działań. |
Identyfikator Entra firmy Microsoft ma możliwości zarządzania tożsamościami zewnętrznymi. Używaj zarządzanego cyklu życia gościa z zarządzaniem upoważnieniami. Użytkownicy zewnętrzni są dołączani w kontekście aplikacji, zasobów i pakietów dostępu, które można udzielić przez ograniczony okres i wymagać okresowych przeglądów dostępu. Przeglądy mogą spowodować usunięcie lub wyłączenie konta. Zarządzanie dostępem dla użytkowników zewnętrznych w usłudze zarządzania upoważnieniami Identyfikator entra firmy Microsoft generuje zdarzenia ryzyka na poziomie użytkownika i sesji. Dowiedz się, jak chronić, wykrywać i reagować na nieoczekiwane działania. Co to jest ryzyko? |
| 8.2.8 Jeśli sesja użytkownika była bezczynna przez ponad 15 minut, użytkownik musi ponownie uwierzytelnić się, aby ponownie uaktywnić terminal lub sesję. | Użyj zasad zarządzania punktami końcowymi w usłudze Intune i programie Microsoft Endpoint Manager. Następnie użyj dostępu warunkowego, aby zezwolić na dostęp ze zgodnych urządzeń. Zasady zgodności umożliwiają ustawianie reguł dla urządzeń zarządzanych za pomocą usługi Intune Jeśli środowisko CDE korzysta z obiektów zasad grupy (GPO), skonfiguruj obiekt zasad grupy, aby ustawić limit czasu bezczynności. Skonfiguruj identyfikator entra firmy Microsoft, aby zezwolić na dostęp z urządzeń dołączonych hybrydo do firmy Microsoft Entra. Urządzenia dołączone hybrydo do firmy Microsoft Entra |
8.3 Silne uwierzytelnianie dla użytkowników i administratorów jest ustanawiane i zarządzane.
Aby uzyskać więcej informacji na temat metod uwierzytelniania entra firmy Microsoft spełniających wymagania PCI, zobacz: Uzupełnienie informacji: Multi-Factor Authentication.
| Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| 8.3.1 Dostęp wszystkich użytkowników do składników systemowych dla użytkowników i administratorów jest uwierzytelniany za pośrednictwem co najmniej jednego z następujących czynników uwierzytelniania: Coś, co wiesz, na przykład hasło lub hasło. Coś, co masz, takie jak urządzenie tokenowe lub karta inteligentna. Coś, co jesteś, na przykład element biometryczny. |
Microsoft Entra ID wymaga metod bez hasła, aby spełnić wymagania PCI Zobacz holistyczne wdrożenie bez hasła. Planowanie wdrożenia uwierzytelniania bez hasła w usłudze Microsoft Entra ID |
| 8.3.2 Silna kryptografia służy do renderowania wszystkich czynników uwierzytelniania nieczytelnych podczas transmisji i przechowywania we wszystkich składnikach systemu. | Kryptografia używana przez identyfikator Entra firmy Microsoft jest zgodna z definicją PCI silnej kryptografii. Zagadnienia dotyczące ochrony danych firmy Microsoft Entra |
| 8.3.3 Tożsamość użytkownika jest weryfikowana przed zmodyfikowaniem dowolnego czynnika uwierzytelniania. | Identyfikator Entra firmy Microsoft wymaga od użytkowników uwierzytelnienia w celu zaktualizowania metod uwierzytelniania przy użyciu samoobsługi, takich jak portal mysecurityinfo i portal samoobsługowego resetowania haseł (SSPR). Konfigurowanie informacji zabezpieczających ze strony logowania Typowe zasady dostępu warunkowego: Zabezpieczanie rejestracji informacji zabezpieczających Firmy Microsoft Entra samoobsługowego resetowania haseł Administratorzy z rolami uprzywilejowanymi mogą modyfikować czynniki uwierzytelniania: globalne, hasło, użytkownik, uwierzytelnianie i uwierzytelnianie uprzywilejowane. Role o najniższych uprawnieniach według zadania w identyfikatorze Entra firmy Microsoft. Firma Microsoft zaleca włączenie dostępu JIT i ładu w celu uzyskania dostępu uprzywilejowanego przy użyciu usługi Microsoft Entra Privileged Identity Management |
| 8.3.4 Nieprawidłowe próby uwierzytelniania są ograniczone: Blokowanie identyfikatora użytkownika po nie więcej niż 10 próbach. Ustawienie czasu trwania blokady na co najmniej 30 minut lub do momentu potwierdzenia tożsamości użytkownika. |
Wdróż Windows Hello dla firm dla urządzeń z systemem Windows obsługujących sprzętowe moduły TPM (Trusted Platform Modules) 2.0 lub nowsze. W przypadku Windows Hello dla firm blokada odnosi się do urządzenia. Gest, numer PIN lub biometryczny odblokuje dostęp do lokalnego modułu TPM. Administratorzy konfigurują zachowanie blokady przy użyciu zasad obiektu zasad grupy lub usługi Intune. Ustawienia zasad grupy modułu TPM Zarządzaj Windows Hello dla firm na urządzeniach w czasie rejestrowania urządzeń za pomocą podstawowego modułu TPM usługi Intune , Windows Hello dla firm działa na potrzeby uwierzytelniania lokalnego w usłudze Active Directory i zasobach w chmurze w usłudze Microsoft Entra ID. W przypadku kluczy zabezpieczeń FIDO2 ochrona siłowa jest powiązana z kluczem. Gest, numer PIN lub biometryczny odblokowuje dostęp do lokalnego magazynu kluczy. Administratorzy konfigurują identyfikator Entra firmy Microsoft, aby umożliwić rejestrację kluczy zabezpieczeń FIDO2 od producentów, które są zgodne z wymaganiami PCI. Włącz logowanie bez hasła aplikacji Microsoft Authenticator, aby wyeliminować ataki siłowe przy użyciu logowania bez hasła aplikacji Microsoft Authenticator , włączać dopasowywanie numerów i więcej kontekstów. Identyfikator entra firmy Microsoft generuje losową liczbę w przepływie uwierzytelniania. Użytkownik wpisze go w aplikacji authenticator. W wierszu polecenia uwierzytelniania aplikacji mobilnej jest wyświetlana lokalizacja, adres IP żądania i aplikacja żądania. Jak używać dopasowywania liczb w powiadomieniach uwierzytelniania wieloskładnikowego Jak używać dodatkowego kontekstu w powiadomieniach microsoft Authenticator |
| 8.3.5 Jeśli hasła/hasła są używane jako czynniki uwierzytelniania spełniające wymagania 8.3.1, są one ustawiane i resetowane dla każdego użytkownika w następujący sposób: Ustaw na unikatową wartość podczas pierwszego użycia i po zresetowaniu. Wymuszone zmiany natychmiast po pierwszym użyciu. |
Nie dotyczy identyfikatora Entra firmy Microsoft. |
| 8.3.6 Jeśli hasła/hasła są używane jako czynniki uwierzytelniania spełniające wymagania 8.3.1, spełniają one następujący minimalny poziom złożoności: minimalna długość 12 znaków (lub JEŚLI system nie obsługuje 12 znaków, minimalna długość ośmiu znaków). Zawiera zarówno znaki liczbowe, jak i alfabetyczne. |
Nie dotyczy identyfikatora Entra firmy Microsoft. |
| 8.3.7 Osoby prywatne nie mogą przesyłać nowego hasła/hasła, które jest takie samo jak dowolne z ostatnich czterech haseł/haseł. | Nie dotyczy identyfikatora Entra firmy Microsoft. |
| 8.3.8 Zasady uwierzytelniania i procedury są udokumentowane i przekazywane wszystkim użytkownikom, w tym: Wskazówki dotyczące wybierania silnych czynników uwierzytelniania. Wskazówki dotyczące ochrony czynników uwierzytelniania przez użytkowników. Instrukcje dotyczące ponownego używania wcześniej używanych haseł/haseł. Instrukcje dotyczące zmiany haseł/haseł, jeśli istnieją jakiekolwiek podejrzenia lub informacje o naruszeniu hasła/hasła oraz sposobie zgłaszania zdarzenia. |
Dokumentowanie zasad i procedur, a następnie komunikowanie się użytkownikom zgodnie z tym wymaganiem. Firma Microsoft udostępnia dostosowywalne szablony w Centrum pobierania. |
| 8.3.9 Jeśli hasła/hasła są używane jako jedyny czynnik uwierzytelniania dostępu użytkowników (tj. w każdej implementacji uwierzytelniania jednoskładnikowego), albo: hasła/hasła są zmieniane co najmniej raz na 90 dni lub Stan zabezpieczeń kont jest dynamicznie analizowany, a dostęp do zasobów w czasie rzeczywistym jest automatycznie określany. |
Nie dotyczy identyfikatora Entra firmy Microsoft. |
| 8.3.10 Dodatkowe wymaganie tylko dla dostawców usług: Jeśli hasła/hasła są używane jako jedyny czynnik uwierzytelniania dla dostępu użytkownika klienta do danych posiadaczy kart (czyli w dowolnej implementacji uwierzytelniania jednoskładnikowego), wskazówki są udostępniane użytkownikom klienta, w tym: Wskazówki dla klientów dotyczące okresowej zmiany haseł/haseł użytkowników. Wskazówki dotyczące tego, kiedy i w jakich okolicznościach hasła/hasła mają zostać zmienione. |
Nie dotyczy identyfikatora Entra firmy Microsoft. |
| 8.3.10.1 Dodatkowe wymaganie tylko dla dostawców usług: Jeśli hasła/hasła są używane jako jedyny współczynnik uwierzytelniania dla dostępu użytkowników klienta (tj. w każdej implementacji uwierzytelniania jednoskładnikowego), albo: Hasła/hasła są zmieniane co najmniej raz na 90 dni, LUB Stan zabezpieczeń kont jest dynamicznie analizowany, a dostęp w czasie rzeczywistym do zasobów jest automatycznie określany. |
Nie dotyczy identyfikatora Entra firmy Microsoft. |
| 8.3.11 Używane są czynniki uwierzytelniania, takie jak fizyczne lub logiczne tokeny zabezpieczające, karty inteligentne lub certyfikaty: czynniki są przypisywane do pojedynczego użytkownika i nie są udostępniane wielu użytkownikom. Kontrolki fizyczne i/lub logiczne zapewniają, że tylko zamierzony użytkownik może użyć tego czynnika w celu uzyskania dostępu. |
Użyj metod uwierzytelniania bez hasła, takich jak Windows Hello dla firm, klucze zabezpieczeń FIDO2 i aplikacja Microsoft Authenticator na potrzeby logowania na telefon. Użyj kart inteligentnych opartych na publicznych lub prywatnychpairach skojarzonych z użytkownikami, aby zapobiec ponownemu używaniu. |
8.4 Uwierzytelnianie wieloskładnikowe (MFA) jest implementowane w celu zabezpieczenia dostępu do środowiska danych karty (CDE)
| Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| 8.4.1 Uwierzytelnianie wieloskładnikowe jest implementowane dla wszystkich niekonsekundowanych dostępu do usługi CDE dla personelu z dostępem administracyjnym. | Użyj dostępu warunkowego, aby wymagać silnego uwierzytelniania w celu uzyskania dostępu do zasobów usługi CDE. Zdefiniuj zasady na potrzeby roli administracyjnej lub grupy zabezpieczeń reprezentującej dostęp administracyjny do aplikacji. Aby uzyskać dostęp administracyjny, użyj usługi Microsoft Entra Privileged Identity Management (PIM), aby włączyć aktywację uprzywilejowanych ról just in time (JIT). Co to jest dostęp warunkowy? Szablony dostępu warunkowego Zaczynają korzystać z usługi PIM |
| 8.4.2 Uwierzytelnianie wieloskładnikowe jest implementowane dla całego dostępu do usługi CDE. | Blokuj dostęp do starszych protokołów, które nie obsługują silnego uwierzytelniania. Jak blokować starsze uwierzytelnianie w usłudze Microsoft Entra ID przy użyciu dostępu warunkowego |
| 8.4.3 Uwierzytelnianie wieloskładnikowe jest implementowane dla całego dostępu do sieci zdalnej pochodzącej z sieci spoza sieci jednostki, które mogą uzyskać dostęp do usługi CDE lub wpłynąć na to w następujący sposób: Cały dostęp zdalny przez wszystkich pracowników, zarówno użytkowników, jak i administratorów, pochodzących z spoza sieci jednostki. Cały dostęp zdalny przez inne firmy i dostawców. |
Integrowanie technologii dostępu, takich jak wirtualna sieć prywatna (VPN), pulpit zdalny i punkty dostępu do sieci z identyfikatorem Entra firmy Microsoft na potrzeby uwierzytelniania i autoryzacji. Użyj dostępu warunkowego, aby wymagać silnego uwierzytelniania w celu uzyskania dostępu do aplikacji dostępu zdalnego. Szablony dostępu warunkowego |
8.5 Systemy uwierzytelniania wieloskładnikowego (MFA) są skonfigurowane w celu zapobiegania niewłaściwemu używaniu.
| Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| Systemy uwierzytelniania wieloskładnikowego 8.5.1 są implementowane w następujący sposób: System uwierzytelniania wieloskładnikowego nie jest podatny na ataki powtarzane. Systemy uwierzytelniania wieloskładnikowego nie mogą być pomijane przez żadnych użytkowników, w tym użytkowników administracyjnych, chyba że zostały specjalnie udokumentowane i autoryzowane przez zarządzanie na podstawie wyjątku, przez ograniczony czas. Używane są co najmniej dwa różne typy czynników uwierzytelniania. Powodzenie wszystkich czynników uwierzytelniania jest wymagane przed udzieleniem dostępu. |
Zalecane metody uwierzytelniania firmy Microsoft Entra używają rozwiązań innych niż lub wyzwań. Te metody sprzeciwiają się atakom powtarzania, ponieważ identyfikator Entra firmy Microsoft wykrywa odtwarzane transakcje uwierzytelniania. Windows Hello dla firm, FIDO2 i Microsoft Authenticator aplikacji do logowania bez hasła na telefon używają innego elementu, aby zidentyfikować żądanie i wykryć próby odtwarzania. Użyj poświadczeń bez hasła dla użytkowników w usłudze CDE. Uwierzytelnianie oparte na certyfikatach wykorzystuje wyzwania do wykrywania ponownych prób. NIST authenticator assurance level 2 with Microsoft Entra ID (NIST authenticator assurance level 2 with Microsoft Entra ID ) NIST authenticator assurance level 3 by using Microsoft Entra ID (NIST authenticator assurance level 3 by using Microsoft Entra ID )( NIST authenticator assurance level 3 by using Microsoft Entra |
8.6 Korzystanie z kont aplikacji i systemu oraz skojarzonych czynników uwierzytelniania jest ściśle zarządzane.
| Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| 8.6.1 Jeśli konta używane przez systemy lub aplikacje mogą być używane do logowania interakcyjnego, są zarządzane w następujący sposób: Korzystanie interakcyjne jest blokowane, chyba że jest to konieczne w wyjątkowych okolicznościach. Korzystanie interakcyjne jest ograniczone do czasu potrzebnego w wyjątkowych okolicznościach. Uzasadnienie biznesowe dotyczące interakcyjnego użycia jest udokumentowane. Użycie interakcyjne jest jawnie zatwierdzone przez zarządzanie. Tożsamość użytkownika indywidualnego jest potwierdzana przed udzieleniem dostępu do konta. Każda podjęta akcja jest przypisywana poszczególnym użytkownikom. |
W przypadku aplikacji CDE z nowoczesnym uwierzytelnianiem oraz dla zasobów CDE wdrożonych na platformie Azure korzystających z nowoczesnego uwierzytelniania identyfikator Entra firmy Microsoft ma dwa typy kont usług dla aplikacji: Tożsamości zarządzane i jednostki usługi. Dowiedz się więcej o zarządzaniu kontem usługi Microsoft Entra: planowanie, aprowizowanie, cykl życia, monitorowanie, przeglądy dostępu itp. Zarządzanie kontami usług Microsoft Entra w celu zabezpieczenia kont usługi Microsoft Entra. Zabezpieczanie tożsamości zarządzanych w usłudze Microsoft Entra ID Zabezpieczanie jednostek usługi w usłudze Microsoft Entra ID for CDEs z zasobami spoza platformy Azure, które wymagają dostępu, konfiguruj federacje tożsamości obciążeń bez zarządzania wpisami tajnymi lub logowaniem interakcyjnym. Federacja tożsamości obciążenia Aby włączyć procesy zatwierdzania i śledzenia w celu spełnienia wymagań, organizowanie przepływów pracy przy użyciu usług IT Service Management (ITSM) i baz danych zarządzania konfiguracją (CMDB) Te narzędzia używają interfejsu API programu MS Graph do interakcji z identyfikatorem Microsoft Entra ID i zarządzania kontem usługi. W przypadku sieci CDE, które wymagają kont usług zgodnych z lokalna usługa Active Directory, użyj kont usług zarządzanych przez grupę (GMSA) i autonomicznych zarządzanych kont usług (sMSA), kont komputerów lub kont użytkowników. Zabezpieczanie lokalnych kont usług |
| 8.6.2 Hasła/hasła dla wszystkich kont aplikacji i systemu, które mogą być używane do logowania interakcyjnego, nie są zakodowane w skryptach, plikach konfiguracji/właściwości lub niestandardowym kodzie źródłowym. | Używaj nowoczesnych kont usług, takich jak tożsamości zarządzane platformy Azure i jednostki usługi, które nie wymagają haseł. Poświadczenia tożsamości zarządzanych firmy Microsoft są aprowizowane i obracane w chmurze, co uniemożliwia używanie udostępnionych wpisów tajnych, takich jak hasła i hasła. W przypadku korzystania z tożsamości zarządzanych przypisanych przez system cykl życia jest powiązany z bazowym cyklem życia zasobów platformy Azure. Użyj jednostek usługi, aby używać certyfikatów jako poświadczeń, co uniemożliwia używanie udostępnionych wpisów tajnych, takich jak hasła i hasła. Jeśli certyfikaty nie są możliwe, użyj usługi Azure Key Vault do przechowywania wpisów tajnych klienta jednostki usługi. Najlepsze rozwiązania dotyczące korzystania z usługi Azure Key Vault dla sieci CDE z zasobami spoza platformy Azure, które wymagają dostępu, konfigurują federacje tożsamości obciążeń bez zarządzania wpisami tajnymi lub logowaniem interakcyjnym. Federacja tożsamości obciążenia Wdrażanie dostępu warunkowego dla tożsamości obciążeń w celu kontrolowania autoryzacji na podstawie lokalizacji i/lub poziomu ryzyka. Dostęp warunkowy dla tożsamości obciążeń Oprócz poprzednich wskazówek użyj narzędzi do analizy kodu w celu wykrywania zakodowanych wpisów tajnych w plikach kodu i konfiguracji. Wykrywanie uwidocznionych wpisów tajnych w regułach zabezpieczeń kodu |
| 8.6.3 Hasła/hasła dla wszystkich kont aplikacji i systemu są chronione przed nieprawidłowym użyciem w następujący sposób: Hasła/hasła są okresowo zmieniane (z częstotliwością zdefiniowaną w docelowej analizie ryzyka jednostki, która jest wykonywana zgodnie ze wszystkimi elementami określonymi w wymaganiach 12.3.1) i po podejrzeniu lub potwierdzeniu naruszenia. Hasła/hasła są konstruowane z wystarczającą złożonością odpowiednią dla częstotliwości zmiany haseł/haseł przez jednostkę. |
Używaj nowoczesnych kont usług, takich jak tożsamości zarządzane platformy Azure i jednostki usługi, które nie wymagają haseł. W przypadku wyjątków, które wymagają jednostek usługi z wpisami tajnymi, abstrakcyjnego cyklu życia wpisu tajnego z przepływami pracy i automatyzacjami, które ustawiają losowe hasła do jednostek usługi, regularnie je obracają i reagują na zdarzenia o podwyższonym ryzyku. Zespoły ds. operacji zabezpieczeń mogą przeglądać i korygować raporty generowane przez firmę Microsoft Entra, takie jak ryzykowne tożsamości obciążeń. Zabezpieczanie tożsamości obciążeń przy użyciu Ochrona tożsamości Microsoft Entra |
Następne kroki
Wymagania PCI-DSS 3, 4, 9 i 12 nie mają zastosowania do identyfikatora Entra firmy Microsoft, dlatego nie ma odpowiednich artykułów. Aby zobaczyć wszystkie wymagania, przejdź do pcisecuritystandards.org: Oficjalna witryna Rady Standardów Bezpieczeństwa PCI.
Aby skonfigurować identyfikator Entra firmy Microsoft w celu zachowania zgodności z standardem PCI-DSS, zobacz następujące artykuły.
- Microsoft Entra PCI-DSS guidance (Wskazówki dotyczące rozwiązania Microsoft Entra PCI-DSS)
- Wymaganie 1: Instalowanie i obsługa mechanizmów kontroli zabezpieczeń sieci
- Wymaganie 2: Stosowanie bezpiecznych konfiguracji do wszystkich składników systemowych
- Wymaganie 5. Ochrona wszystkich systemów i sieci przed złośliwym oprogramowaniem
- Wymaganie 6. Opracowywanie i utrzymywanie bezpiecznych systemów i oprogramowania
- Wymaganie 7. Ograniczanie dostępu do składników systemowych i danych posiadaczy kart według potrzeb biznesowych
- Wymaganie 8: Identyfikowanie użytkowników i uwierzytelnianie dostępu do składników systemowych (jesteś tutaj)
- Wymaganie 10: Rejestrowanie i monitorowanie całego dostępu do składników systemowych i danych karty
- Wymaganie 11: Regularne testowanie zabezpieczeń systemów i sieci
- Microsoft Entra PCI-DSS Multi-Factor Authentication guidance (Wskazówki dotyczące uwierzytelniania wieloskładnikowego firmy Microsoft Entra PCI-DSS)