通过

Microsoft Entra ID 和 PCI-DSS 要求 8

  • 项目

要求 8:标识用户并对系统组件的访问进行身份验证
定义的方法要求

8.1 定义和理解用于标识用户和对系统组件的访问进行身份验证的过程和机制。

PCI-DSS 定义的方法要求 Microsoft Entra 指南和建议
8.1.1 要求 8 中确定的所有安全策略和操作过程包括:
已记录
保持最新状态
正在使用
所有受影响方已知		 根据环境配置,使用此处的指导和链接生成文档以满足要求。
8.1.2 记录、分配和理解要求 8 中执行活动的角色和职责。 根据环境配置,使用此处的指导和链接生成文档以满足要求。
PCI-DSS 定义的方法要求 Microsoft Entra 指南和建议
8.2.1 在允许对系统组件或持卡人数据进行访问之前,为所有用户分配唯一 ID。 对于依赖于 Microsoft Entra ID 的 CDE 应用程序,唯一用户 ID 为用户主体名称 (UPN) 属性。 Microsoft Entra UserPrincipalName 填充
8.2.2 组帐户、共享帐户或通用帐户,或其他共享身份验证凭据仅在例外情况下按需使用,并按如下方式进行管理:
除非在特殊情况下需要,否则禁止使用帐户。
使用仅限于特殊情况所需的时间。
记录使用的业务理由。
使用由管理层明确批准
在授予对帐户的访问权限之前,确认单个用户标识。
所执行的每个操作可归因为单个用户。		 确保使用 Microsoft Entra ID 进行应用程序访问的 CDE 具有可阻止共享帐户的进程。 将它们创建为需要批准的例外。
对于在 Azure 中部署的 CDE 资源,可使用 Azure 资源的托管标识来表示工作负载标识,而不是创建共享服务帐户。 什么是 Azure 资源的托管标识?
如果无法使用托管标识,并且访问的资源使用的是 OAuth 协议,可使用服务主体来表示工作负载标识。 通过 OAuth 范围授予标识最低特权访问权限。 管理员可以限制访问并定义审批工作流来创建它们。 什么是工作负荷标识?
8.2.3 仅面向服务提供商的其他要求:具有对客户服务场所远程访问权限的服务提供商为每个客户场所使用唯一的身份验证因素。 Microsoft Entra ID 具有本地连接器,可启用混合功能。 连接器是可识别的,并使用唯一生成的凭据。 Microsoft Entra Connect Sync:了解并自定义同步
云同步深入探讨
Microsoft Entra 本地应用程序预配体系结构
规划云 HR 应用程序以进行 Microsoft Entra 用户预配
安装 AMicrosoft Entra Connect Health 代理
8.2.4 添加、删除和修改用户 ID、身份验证因素和其他标识符对象的管理方式如下:
通过相应审批授权。
仅使用记录的审批中指定的权限实现。		 Microsoft Entra ID 已通过 HR 系统自动执行用户帐户预配。 使用此功能创建生命周期。 HR 驱动的预配是什么?
Microsoft Entra ID 具有生命周期工作流,可为入职人员、调动人员和离职人员过程启用自定义逻辑。 什么是生命周期工作流?
Microsoft Entra ID 具有编程接口,可通过 Microsoft Graph 管理身份验证方法。 一些身份验证方法(如 Windows Hello 企业版 和 FIDO2 密钥)需要用户干预才能注册。 图形身份验证方法 API 入门
管理员和/或自动化使用 Graph API 生成临时访问密码凭据。 使用此凭据进行无密码加入。 在 Microsoft Entra ID 中配置临时访问密码,以注册无密码身份验证方法
8.2.5 立即撤销离职用户的访问权限。 要撤销对帐户的访问权限,请禁用从 Microsoft Entra ID 同步的混合帐户的本地帐户、禁用 Microsoft Entra ID 中的帐户,并撤销令牌。 撤销 Microsoft Entra ID 中的用户访问权限
对兼容的应用程序使用持续访问评估 (CAE),以便与 Microsoft Entra ID 进行双向对话。 可向应用通知帐户终止和拒绝令牌等事件。 连续访问评估
8.2.6 禁用或移除非活动用户帐户(处于非活动状态 90 天后)。 对于混合帐户,管理员每隔 90 天检查其在 Active Directory 和 Microsoft Entra 中的活动情况。 对于 Microsoft Entra ID,可使用 Microsoft Graph 查找上次登录日期。 如何:管理 Microsoft Entra ID 中的非活动用户帐户
8.2.7 第三方用于通过远程访问来访问、支持或维护系统组件的帐户管理方式如下:
仅在所需的时间段内启用,在不使用时禁用。
监视使用情况以查找意外活动。		 Microsoft Entra ID 具有外部标识管理功能。
将受治理的来宾生命周期与权利管理结合使用。 外部用户是在应用、资源和访问包的上下文中加入的,你可以在有限的时间内授予这些权限,并需要定期进行访问评审。 评审可能会导致帐户移除或禁用。 在权利管理中治理外部用户的访问权限
Microsoft Entra ID 可在用户和会话级别生成风险事件。 了解如何保护、检测和响应意外活动。 什么是风险?
8.2.8 如果用户会话处于空闲状态超过 15 分钟,则要求用户重新进行身份验证,以重新激活终端或会话。 将终结点管理策略与 Intune 和 Microsoft Endpoint Manager 配合使用。 然后,使用条件访问允许从合规设备进行访问。 使用合规性通过 Intune 设置适用于所管理设备的规则
如果 CDE 环境依赖于组策略对象 (GPO),可配置 GPO 以设置空闲超时。 配置 Microsoft Entra ID 以允许从 Microsoft Entra 混合联接的设备进行访问。 Microsoft Entra 混合联接设备

8.3 建立和管理面向用户和管理员的强身份验证。

有关满足 PCI 要求的 Microsoft Entra 身份验证方法的详细信息,请参阅:信息补充:多重身份验证

PCI-DSS 定义的方法要求 Microsoft Entra 指南和建议
8.3.1 对用户和管理员对系统组件的所有用户访问至少通过以下身份验证因素之一进行身份验证:
你知道的某些内容,例如密码或通行短语。
你拥有的物品,例如令牌设备或智能卡。
你拥有的特征,例如生物识别元素。		 Microsoft Entra ID 需要使用无密码方法来满足 PCI 要求
请参阅整体无密码部署。 规划 Microsoft Entra ID 中的无密码身份验证部署
8.3.2 使用强加密在所有系统组件上传输和存储期间将所有身份验证因素设为不可读。 Microsoft Entra ID 使用的加密符合 PCI 的强加密的定义Microsoft Entra 数据保护注意事项
8.3.3 在修改任何身份验证因素之前验证用户标识。 Microsoft Entra ID 要求用户使用自助服务(例如 mysecurityinfo 门户和自助式密码重置 [SSPR] 门户)进行身份验证以更新其身份验证方法。 从登录页设置安全信息
常见条件访问策略:保护安全信息注册
Microsoft Entra 自助式密码重置
具有特权角色的管理员可以修改身份验证因素:全局、密码、用户、身份验证和特权身份验证。 Microsoft Entra ID 中按任务显示的最低特权角色。 Microsoft 建议对使用 Microsoft Entra Previledged Identity Management 的特权访问启用 JIT 访问和治理
8.3.4 无效的身份验证尝试受以下因素限制:
在不超过 10 次尝试后锁定用户 ID。
将锁定持续时间设置为至少 30 分钟或直到确认用户标识为止。		 为支持硬件受信任平台模块 (TPM) 2.0 或更高版本的 Windows 设备部署 Windows Hello 企业版。
对于 Windows Hello 企业版,锁定与设备相关。 手势、PIN 或生物识别可解锁对本地 TPM 的访问权限。 管理员可使用 GPO 或 Intune 策略配置锁定行为。 TPM 组策略设置
在设备向 Intune 注册时管理设备上的 Windows Hello 企业版
TPM 基础知识
Windows Hello 企业版适用于对 Microsoft Entra ID 上的 Active Directory 和云资源进行本地身份验证。
对于 FIDO2 安全密钥,暴力破解保护与密钥相关。 手势、PIN 或生物识别可解锁对本地密钥存储的访问权限。 管理员可配置 Microsoft Entra ID 以允许注册符合 PCI 要求的由制造商提供的 FIDO2 安全密钥。 启用无密码安全密钥登录

Microsoft Authenticator 应用
要使用 Microsoft Authenticator 应用无密码登录来缓解暴力攻击,可启用数字匹配和更多上下文。
Microsoft Entra ID 会在身份验证流中生成一个随机数字。 用户可在验证器应用中键入它。 移动应用身份验证提示会显示位置、请求 IP 地址和请求应用程序。 如何在 MFA 通知中使用数字匹配
如何在 Microsoft Authenticator 通知中使用其他上下文
8.3.5 如果将密码/通行短语用作身份验证因素来满足要求 8.3.1,则为每个用户设置和重置它们,如下所示:
首次使用及重置时设置为唯一值。
首次使用后立即强制更改。		 不适用于 Microsoft Entra ID。
8.3.6 如果将密码/通行短语用作身份验证因素来满足要求 8.3.1,则它们应满足以下最低复杂性级别:
长度至少为 12 个字符(或者如果系统不支持 12 个字符,则长度至少为 8 个字符)。
同时包含数字和字母字符。		 不适用于 Microsoft Entra ID。
8.3.7 用户提交的新密码/通行短语不得与其最近使用的四个密码/通行短语中的任何一个相同。 不适用于 Microsoft Entra ID。
8.3.8 记录身份验证策略和过程并传达给所有用户,包括:
有关选择强身份验证因素的指导。
有关用户应如何保护其身份验证因素的指导。
有关不得重用以前使用过的密码的说明。
有关更改密码/通行短语(如果怀疑或知道密码/通行短语已被盗用)以及如何报告事件的说明。		 记录策略和过程,然后根据此要求向用户传达。 Microsoft 在下载中心内提供了可自定义的模板。
8.3.9 如果将密码/通行短语用作用户访问的唯一身份验证因素(即在任何单因素身份验证实现中),则:密码/通行短语应至少每 90 天更改一次,

动态分析帐户的安全状况,并相应地自动确定对资源的实时访问权限。		 不适用于 Microsoft Entra ID。
8.3.10 仅面向服务提供商的其他要求:如果将密码/通行短语用作客户用户访问持卡人数据的唯一身份验证因素(即在任何单因素身份验证实现中),则向客户提供指导,其中包括:
有关客户定期更改其用户密码/通行短语的指导。
有关何时以及在什么情况下更改密码/通行短语的指导。		 不适用于 Microsoft Entra ID。
8.3.10.1 仅面向服务提供商的其他要求:如果将密码/密码用作客户用户访问的唯一身份验证因素(即在任何单因素身份验证实现中),则:
密码/通行短语应至少每 90 天更改一次,

动态分析帐户的安全状况,并相应地自动确定对资源的实时访问权限。		 不适用于 Microsoft Entra ID。
8.3.11 如果使用的是物理或逻辑安全令牌、智能卡或证书等身份验证因素:
将因素分配给单个用户,而不是在多个用户之间共享。
物理和/或逻辑控件可确保只有目标用户可以使用该因素获取访问权限。		 使用无密码身份验证方法(例如 Windows Hello 企业版、FIDO2 安全密钥和 Microsoft Authenticator 应用)进行手机登录。 使用基于与用户关联的公钥或私钥对的智能卡,以防止重用。

8.4 实施多重身份验证 (MFA),以保护对持卡人数据环境的访问 (CDE)

PCI-DSS 定义的方法要求 Microsoft Entra 指南和建议
8.4.1 对于具有管理权限的人员对 CDE 进行的所有非控制台访问,应实施 MFA。 使用条件访问要求进行强身份验证才能访问 CDE 资源。 定义面向管理角色,或面向表示对应用程序具有管理访问权限的安全组的策略。
对于管理访问权限,可使用 Microsoft Entra Privileged Identity Management (PIM) 来启用实时 (JIT) 激活特权角色。 What is Conditional Access?(什么是条件访问?)
条件访问模板
开始使用 PIM
8.4.2 面向 CDE 的所有访问实施 MFA。 阻止访问不支持强身份验证的旧式协议。 使用 Microsoft Entra ID 的条件访问阻止旧式身份验证
8.4.3 面向源自实体网络外部、可访问或影响 CDE 的所有远程网络访问实施 MFA,如下所示:
源自实体网络外部的所有人员(包括用户和管理员)的所有远程访问。
第三方和供应商的所有远程访问。		 将虚拟专用网络 (VPN)、远程桌面和网络接入点等访问技术与 Microsoft Entra ID 集成,以进行身份验证和授权。 使用条件访问要求进行强身份验证才能访问远程访问应用程序。 条件访问模板

8.5 配置多重身份验证 (MFA) 系统以防止滥用。

PCI-DSS 定义的方法要求 Microsoft Entra 指南和建议
8.5.1 按如下所示实现 MFA 系统:
MFA 系统不容易受到重播攻击。
除非专门记录并由管理层在有限时间段内按例外授权,否则任何用户(包括管理用户)都无法绕过 MFA 系统。
使用至少两种不同类型的身份验证因素。
在授予访问权限之前,必须成功完成所有身份验证因素。		 建议的 Microsoft Entra 身份验证方法使用 nonce 或质询。 这些方法可以抵御重播攻击,因为 Microsoft Entra ID 可检测重播的身份验证事务。
用于无密码手机登录的 Windows Hello 企业版、FIDO2 和 Microsoft Authenticator 应用可使用 nonce 来标识请求并检测重播尝试。 对 CDE 中的用户使用无密码凭据。
基于证书的身份验证可使用质询来检测重播尝试。
使用 Microsoft Entra ID 实现 NIST 验证器保证级别 2
使用 Microsoft Entra ID 实现 NIST 验证器保证级别 3

8.6 严格管理应用程序和系统帐户的使用以及关联的身份验证因素。

PCI-DSS 定义的方法要求 Microsoft Entra 指南和建议
8.6.1 如果系统或应用程序使用的帐户可用于交互式登录,则按如下方式对其进行管理:
除非在特殊情况下需要,否则将阻止交互式使用。
交互式使用仅限于特殊情况所需的时间。
记录交互式使用的业务理由。
交互式使用由管理层显式批准。
在授予对帐户的访问权限之前确认单个用户标识。
所执行的每个操作可归因为单个用户。		 对于具有新式身份验证的 CDE 应用程序,以及部署在 Azure 中使用新式身份验证的 CDE 资源,Microsoft Entra ID 为应用程序提供了两种服务帐户类型:托管标识和服务主体。
了解 Microsoft Entra 服务帐户治理:规划、预配、生命周期、监视、访问评审等。治理 Microsoft Entra 服务帐户
保护 Microsoft Entra 服务帐户。 保护 Microsoft Entra ID 中的托管标识
保护 Microsoft Entra ID 中的服务主体
对于具有需要访问权限的 Azure 外部资源的 CDE,可配置工作负载标识联合身份验证,而无需管理机密或交互式登录。 工作负载标识联合身份验证
要启用审批和跟踪过程以满足要求,可使用 IT 服务管理 (ITSM) 和配置管理数据库 (CMDB) 协调工作流。这些工具使用 MS 图形 API 与 Microsoft Entra ID 交互并管理服务帐户。
对于需要与 本地 Active Directory 兼容的服务帐户的 CDE,请使用组托管服务帐户 (GMSA),以及独立的托管服务帐户 (sMSA)、计算机帐户或用户帐户。 保护本地服务帐户
8.6.2 可用于交互式登录的任何应用程序和系统帐户的密码/通行短语不会在脚本、配置/属性文件,或定制和自定义源代码中硬编码。 使用无需密码的新式服务帐户,例如 Azure 托管标识和服务主体。
在云中预配和轮换 Microsoft Entra 托管标识凭据,这可以防止使用密码和通行短语等共享机密。 使用系统分配的托管标识时,生命周期与基础 Azure 资源生命周期相关联。
使用服务主体以将证书用作凭据,这可以防止使用密码和通行短语等共享机密。 如果证书不可行,可使用 Azure 密钥保管库来存储服务主体客户端密码。 使用 Azure 密钥保管库的最佳做法
对于具有需要访问权限的 Azure 外部资源的 CDE,可配置工作负载标识联合身份验证,而无需管理机密或交互式登录。 工作负载联合身份验证
部署工作负载标识的条件访问,以根据位置和/或风险级别控制授权。 适用于工作负载标识的条件访问
除了前面的指导,还可以使用代码分析工具检测代码和配置文件中的硬编码机密。 检测代码中公开的机密
安全规则
8.6.3 按如下所示保护任何应用程序和系统帐户的密码/通行短语以防止滥用:
定期(按实体的目标风险分析中定义的频率更改,该分析根据要求 12.3.1 中指定的所有元素执行),并在怀疑或确认被盗用时更改密码/通行短语。
密码/通行短语的构造具有足够的复杂性,适合实体更改密码/通行短语的频率。		 使用无需密码的新式服务帐户,例如 Azure 托管标识和服务主体。
对于需要具有机密的服务主体的例外情况,可通过工作流和自动化来抽象机密生命周期,这些工作流和自动化可将随机密码设置为服务主体,定期轮换这些密码,并对风险事件做出反应。
安全运营团队可以审阅和修正由 Microsoft Entra 生成的报告,例如存在风险的工作负载标识。 使用 Microsoft Entra ID 保护来保护工作负载标识

后续步骤

PCI-DSS 要求 3、4、9 和 12 不适用于 Microsoft Entra ID,因此没有相应的文章。 若要查看所有要求,请转到 pcisecuritystandards.org:官方 PCI 安全标准委员会网站

要将 Microsoft Entra ID 配置为符合 PCI-DSS 要求,请参阅以下文章。