Microsoft Entra ID und PCI-DSS-Anforderung 7
Anforderung 7: Einschränken des Zugriffs auf Systemkomponenten und Karteninhaberdaten nach Geschäftsanforderungen
Anforderungen des definierten Ansatzes
7.1 Prozesse und Mechanismen zum Einschränken des Zugriffs auf Systemkomponenten und Karteninhaberdaten, die von Unternehmen benötigt werden, werden definiert und verstanden.
| Anforderungen des durch PCI DSS definierten Ansatzes | Leitfaden und Empfehlungen für Microsoft Entra |
|---|---|
| 7.1.1 Alle Sicherheitsrichtlinien und Betriebsabläufe, die in Anforderung 7 identifiziert werden, sind: Dokumentiert Auf dem neuesten Stand In Gebrauch Allen betroffenen Parteien bekannt |
Integrieren Sie den Zugriff auf CDE-Anwendungen (Cardholder Data Environment) zur Authentifizierung und Autorisierung in Microsoft Entra ID. Dokumentieren Sie Richtlinien für den bedingten Zugriff für Remotezugriffstechnologien. Automatisieren Sie Vorgänge mit Microsoft Graph-API und PowerShell. Bedingter Zugriff: Programmgesteuerter Zugriff Archivieren Sie die Microsoft Entra-Überwachungsprotokolle, um Änderungen der Sicherheitsrichtlinien und die Microsoft Entra-Mandantenkonfiguration aufzuzeichnen. Um die Nutzung aufzuzeichnen, archivieren Sie Microsoft Entra-Aktivitätsprotokolle in einem SIEM-System (Security Information and Event Management). Microsoft Entra Aktivitätsprotokolle in Azure Monitor |
| 7.1.2 Rollen und Verantwortlichkeiten für die Durchführung von Aktivitäten in Anforderung 7 werden dokumentiert, zugewiesen und verstanden. | Integrieren Sie den Zugriff auf CDE-Anwendungen zur Authentifizierung und Autorisierung in Microsoft Entra ID. – Weisen Sie Benutzern Rollen zu Anwendungen oder mit Gruppenmitgliedschaft zu. – Verwenden Sie Microsoft Graph zum Auflisten von Anwendungszuweisungen – Verwenden Sie Microsoft Entra-Überwachungsprotokolle, um Zuweisungsänderungen nachzuverfolgen. Auflisten von Anwendungsrollenzuweisungen (appRoleAssignments), die einem Benutzer gewährt wurden Get-MgServicePrincipalAppRoleAssignedTo Privilegierter Zugriff Verwenden Sie Microsoft Entra-Überwachungsprotokolle, um Verzeichnisrollenzuweisungen nachzuverfolgen. Administratorrollen, die für diese PCI-Anforderung relevant sind: – Global – Anwendung – Authentifizierungsrichtlinie – Hybrididentität Um den Zugriff mit den geringsten Rechten zu implementieren, erstellen Sie in Microsoft Entra ID benutzerdefinierte Verzeichnisrollen. Wenn Sie Teile der CDE in Azure erstellen, dokumentieren Sie privilegierte Rollenzuweisungen wie Besitzer, Mitwirkender, Benutzerzugriffsadministrator usw. sowie benutzerdefinierte Abonnementrollen, in denen CDE-Ressourcen bereitgestellt werden. Microsoft empfiehlt, den JIT-Zugriff (Just-In-Time) auf Rollen mithilfe von Privileged Identity Management (PIM) zu aktivieren. PIM ermöglicht den JIT-Zugriff auf Microsoft Entra-Sicherheitsgruppen in Szenarien, in denen die Gruppenmitgliedschaft privilegierten Zugriff auf CDE-Anwendungen oder -Ressourcen darstellt. Integrierte Microsoft Entra-Rollen Referenzhandbuch zu Microsoft Entra-Vorgängen für Identitäts- und Zugriffsverwaltung Erstellen und Zuweisen einer benutzerdefinierten Rolle in Microsoft Entra ID Schützen des privilegierten Zugriffs für Hybrid- und Cloudbereitstellungen in Microsoft Entra ID Was ist Microsoft Entra Privileged Identity Management? Best Practices für alle Isolationsarchitekturen PIM für Gruppen |
7.2 Der Zugriff auf Systemkomponenten und Daten wird entsprechend definiert und zugewiesen.
| Anforderungen des durch PCI DSS definierten Ansatzes | Leitfaden und Empfehlungen für Microsoft Entra |
|---|---|
| 7.2.1. Ein Zugriffssteuerungsmodell wird definiert und beinhaltet, dass Zugriff wie folgt gewährt wird: Angemessener Zugriff je nach Geschäfts- und Zugriffsanforderungen der Entität. Zugriff auf Systemkomponenten und Datenressourcen, der auf der Stellenklassifizierung und den Funktionen der Benutzer basiert. Die geringsten Rechte (z. B. Benutzer, Administrator), die zum Ausführen einer beruflichen Funktion erforderlich sind. |
Verwenden Sie Microsoft Entra ID, um Benutzern Rollen in Anwendungen direkt oder über eine Gruppenmitgliedschaft zuzuweisen. Organisationen mit einer standardisierten Taxonomie, die in Form von Attributen implementiert ist, können Zugriffszuweisungen basierend auf der Stellenklassifizierung und Funktion der Benutzer automatisieren. Verwenden Sie Microsoft Entra-Gruppen mit dynamischer Mitgliedschaft und Zugriffspakete für die Microsoft Entra-Berechtigungsverwaltung mit dynamischen Zuweisungsrichtlinien. Verwenden Sie die Berechtigungsverwaltung, um die Aufgabentrennung zu definieren und die geringsten Rechte festzulegen. PIM ermöglicht den JIT-Zugriff auf Microsoft Entra-Sicherheitsgruppen in benutzerdefinierten Szenarien, in denen die Gruppenmitgliedschaft privilegierten Zugriff auf CDE-Anwendungen oder -Ressourcen darstellt. Dynamische Mitgliedschaftsregeln für Gruppen in Microsoft Entra ID Konfigurieren einer automatischen Zuweisungsrichtlinie für ein Zugriffspaket in der Berechtigungsverwaltung Konfigurieren der Aufgabentrennung für ein Zugriffspaket in der Berechtigungsverwaltung PIM für Gruppen |
| 7.2.2 Benutzern, einschließlich privilegierter Benutzer, werden auf folgender Grundlage Zugriffsrechte zugewiesen: Stellenklassifizierung und Funktion. Die geringsten Rechte, die für die Erfüllung der beruflichen Pflichten erforderlich sind. |
Verwenden Sie Microsoft Entra ID, um Benutzern Rollen in Anwendungen direkt oder über eine Gruppenmitgliedschaft zuzuweisen. Organisationen mit einer standardisierten Taxonomie, die in Form von Attributen implementiert ist, können Zugriffszuweisungen basierend auf der Stellenklassifizierung und Funktion der Benutzer automatisieren. Verwenden Sie Microsoft Entra-Gruppen mit dynamischer Mitgliedschaft und Zugriffspakete für die Microsoft Entra-Berechtigungsverwaltung mit dynamischen Zuweisungsrichtlinien. Verwenden Sie die Berechtigungsverwaltung, um die Aufgabentrennung zu definieren und die geringsten Rechte festzulegen. PIM ermöglicht den JIT-Zugriff auf Microsoft Entra-Sicherheitsgruppen in benutzerdefinierten Szenarien, in denen die Gruppenmitgliedschaft privilegierten Zugriff auf CDE-Anwendungen oder -Ressourcen darstellt. Dynamische Mitgliedschaftsregeln für Gruppen in Microsoft Entra ID Konfigurieren einer automatischen Zuweisungsrichtlinie für ein Zugriffspaket in der Berechtigungsverwaltung Konfigurieren der Aufgabentrennung für ein Zugriffspaket in der Berechtigungsverwaltung PIM für Gruppen |
| 7.2.3 Erforderliche Berechtigungen werden von autorisierten Mitarbeiter*innen genehmigt. | Die Berechtigungsverwaltung unterstützt Genehmigungsworkflows zum Gewähren des Zugriffs auf Ressourcen und regelmäßige Zugriffsüberprüfungen. Genehmigen oder Verweigern von Zugriffsanforderungen in der Berechtigungsverwaltung Überprüfen des Zugriffs auf ein Zugriffspaket in der Berechtigungsverwaltung PIM unterstützt Genehmigungsworkflows zum Aktivieren von Microsoft Entra-Verzeichnisrollen sowie Azure-Rollen und Cloudgruppen. Genehmigen oder Verweigern von Anforderungen von Microsoft Entra-Rollen in PIM Genehmigen von Aktivierungsanforderungen für Gruppenmitglieder und Besitzer |
| 7.2.4 Alle Benutzerkonten und zugehörigen Zugriffsberechtigungen, einschließlich Drittanbieter-/Lieferantenkonten, werden wie folgt überprüft: Mindestens einmal alle sechs Monate. Um sicherzustellen, dass Benutzerkonten und Zugriff je nach der beruflichen Funktion angemessen bleiben. Jeder unangemessene Zugriff wird behoben. Das Management bestätigt, dass der Zugriff angemessen bleibt. |
Wenn Sie mithilfe einer direkten Zuweisung oder der Gruppenmitgliedschaft Zugriff auf Anwendungen gewähren, konfigurieren Sie Microsoft Entra-Zugriffsüberprüfungen. Wenn Sie mithilfe der Berechtigungsverwaltung Zugriff auf Anwendungen gewähren, aktivieren Sie Zugriffsüberprüfungen auf der Zugriffspaketebene. Erstellen einer Zugriffsüberprüfung eines Zugriffspakets in der Berechtigungsverwaltung Verwenden Sie externe Microsoft Entra-Identitäten für Drittanbieter- und Lieferantenkonten. Sie können Zugriffsüberprüfungen für externe Identitäten wie Drittanbieter- oder Lieferantenkonten durchführen. Verwalten des Gastzugriffs mit Zugriffsüberprüfungen |
| 7.2.5 Alle Anwendungs- und Systemkonten sowie zugehörige Zugriffsberechtigungen werden wie folgt zugewiesen und verwaltet: Basierend auf den geringsten Rechten, die für die Funktionsfähigkeit des Systems oder der Anwendung erforderlich sind. Der Zugriff wird auf die Systeme, Anwendungen oder Prozesse beschränkt, die ihre Verwendung speziell erfordern. |
Verwenden Sie Microsoft Entra ID, um Benutzern Rollen in Anwendungen direkt oder über eine Gruppenmitgliedschaft zuzuweisen. Organisationen mit einer standardisierten Taxonomie, die in Form von Attributen implementiert ist, können Zugriffszuweisungen basierend auf der Stellenklassifizierung und Funktion der Benutzer automatisieren. Verwenden Sie Microsoft Entra-Gruppen mit dynamischer Mitgliedschaft und Zugriffspakete für die Microsoft Entra-Berechtigungsverwaltung mit dynamischen Zuweisungsrichtlinien. Verwenden Sie die Berechtigungsverwaltung, um die Aufgabentrennung zu definieren und die geringsten Rechte festzulegen. PIM ermöglicht den JIT-Zugriff auf Microsoft Entra-Sicherheitsgruppen in benutzerdefinierten Szenarien, in denen die Gruppenmitgliedschaft privilegierten Zugriff auf CDE-Anwendungen oder -Ressourcen darstellt. Dynamische Mitgliedschaftsregeln für Gruppen in Microsoft Entra ID Konfigurieren einer automatischen Zuweisungsrichtlinie für ein Zugriffspaket in der Berechtigungsverwaltung Konfigurieren der Aufgabentrennung für ein Zugriffspaket in der Berechtigungsverwaltung PIM für Gruppen |
| 7.2.5.1 Alle Zugriffe durch Anwendungs- und Systemkonten und zugehörige Zugriffsberechtigungen werden wie folgt überprüft: In regelmäßigen Abständen (in der Häufigkeit, die in der zielbezogenen Risikoanalyse des Unternehmens definiert ist, die nach allen in Anforderung 12.3.1 genannten Elementen durchgeführt wird). Der Anwendungs-/Systemzugriff ist der ausgeführten Funktion angemessen. Jeder unangemessene Zugriff wird behoben. Das Management bestätigt, dass der Zugriff angemessen bleibt. |
Best Practices beim Überprüfen von Dienstkontenberechtigungen Verwalten von Microsoft Entra-Dienstkonten Steuern lokaler Dienstkonten |
| 7.2.6 Alle Benutzerzugriffe zum Abfragen von Repositorys gespeicherter Karteninhaberdaten werden wie folgt eingeschränkt: Über Anwendungen oder andere programmgesteuerte Methoden, wobei Zugriff und zulässige Aktionen auf Benutzerrollen und geringsten Rechten basieren. Nur die verantwortlichen Administratoren können direkt auf Repositorys von gespeicherten Karteninhaberdaten (CHD) zugreifen oder diese abfragen. |
Moderne Anwendungen ermöglichen programmgesteuerte Methoden, die den Zugriff auf Datenrepositorys einschränken. Integrieren Sie Anwendungen mithilfe moderner Authentifizierungsprotokolle wie OAuth und OpenID Connect (OIDC) in Microsoft Entra ID. Die Protokolle OAuth 2.0 und OIDC auf der Microsoft Identity Platform Definieren Sie anwendungsspezifische Rollen, um den privilegierten und nicht privilegierten Benutzerzugriff zu modellieren. Weisen Sie Benutzern und Gruppen Rollen zu. Hinzufügen von App-Rollen zu Ihrer Anwendung und deren Empfang im Token Definieren Sie für APIs, die von Ihrer Anwendung verfügbar gemacht werden, OAuth-Bereiche, um die Zustimmung von Benutzern und Administratoren zu ermöglichen. Bereiche und Berechtigungen im Microsoft Identity Platform Modellieren Sie mit dem folgenden Ansatz privilegierten und nicht privilegierten Zugriff auf die Repositorys, und vermeiden Sie direkten Repositoryzugriff. Wenn Administratoren und Operatoren Zugriff benötigen, gewähren Sie ihn auf der zugrundeliegenden Plattform. Beispielsweise ARM IAM-Zuweisungen in Azure, Zugriffssteuerungslistenfenster (ACLs) usw. Weitere Informationen finden Sie in dem Architekturleitfaden, der das Schützen von Anwendungs-PaaS (Platform-as-a-Service) und IaaS (Infrastructure-as-a-Service) in Azure umfasst. Azure Architecture Center |
7.3 Der Zugriff auf Systemkomponenten und Daten wird über Zugriffssteuerungssysteme verwaltet.
| Anforderungen des durch PCI DSS definierten Ansatzes | Leitfaden und Empfehlungen für Microsoft Entra |
|---|---|
| 7.3.1 Es ist ein Zugriffssteuerungssystem vorhanden, das den Zugriff basierend auf dem Kenntnisbedarf eines Benutzers einschränkt und alle Systemkomponenten abdeckt. | Integrieren Sie den Zugriff auf Anwendungen in die CDE, wobei Microsoft Entra ID als Zugriffssteuerungssystem zur Authentifizierung und Autorisierung fungiert. Richtlinien für bedingten Zugriff, wobei Anwendungszuweisungen den Zugriff auf Anwendungen steuern. Was ist bedingter Zugriff? Zuweisen von Benutzern und Gruppen zu einer Anwendung |
| 7.3.2 Das Zugriffssteuerungssystem wird so konfiguriert, dass Berechtigungen, die Einzelpersonen, Anwendungen und Systemen basierend auf der Stellenklassifizierung und Funktion zugewiesen werden, erzwungen werden. | Integrieren Sie den Zugriff auf Anwendungen in die CDE, wobei Microsoft Entra ID als Zugriffssteuerungssystem zur Authentifizierung und Autorisierung fungiert. Richtlinien für bedingten Zugriff, wobei Anwendungszuweisungen den Zugriff auf Anwendungen steuern. Was ist bedingter Zugriff? Zuweisen von Benutzern und Gruppen zu einer Anwendung |
| 7.3.3 Das Zugriffssteuerungssystem wird standardmäßig auf „Alle verweigern“ festgelegt. | Verwenden Sie bedingten Zugriff, um den Zugriff basierend auf Zugriffsanforderungsbedingungen wie Gruppenmitgliedschaft, Anwendungen, Netzwerkstandort, Anmeldeinformationsstärke usw. zu blockieren. Bedingter Zugriff: Blockieren des Zugriffs Eine falsch konfigurierte Blockierungsrichtlinie kann zu unbeabsichtigten Sperren beitragen. Entwerfen Sie eine Notfallstrategie für den Zugriff. Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID |
Nächste Schritte
Die Anforderungen des Datensicherheitsstandards der Zahlungskartenbranche (Payment Card Industry Data Security Standard, PCI-DSS) 3, 4, 9 und 12 gelten nicht für Microsoft Entra ID. Daher gibt es keine entsprechenden Artikel. Alle Anforderungen finden Sie auf pcisecuritystandards.org: Offizielle Website des PCI Security Standards Council.
Informationen zum Konfigurieren von Microsoft Entra ID zur Einhaltung der PCI-DSS-Anforderungen finden Sie in den folgenden Artikeln.
- PCI-DSS-Leitfaden für Microsoft Entra
- Anforderung 1: Installieren und Verwalten von Netzwerksicherheitskontrollen
- Anforderung 2: Anwenden sicherer Konfigurationen auf alle Systemkomponenten
- Anforderung 5: Schutz aller Systeme und Netzwerke vor Schadsoftware
- Anforderung 6: Entwicklung und Wartung sicherer Systeme und Software
- Anforderung 7: Einschränken des Zugriffs auf Systemkomponenten und Karteninhaberdaten nach Geschäftsanforderungen (aktueller Artikel)
- Anforderung 8: Identifizieren von Benutzern und Authentifizieren des Zugriffs auf Systemkomponenten
- Anforderung 10: Protokollierung und Überwachung des gesamten Zugriffs auf Systemkomponenten und Karteninhaberdaten
- Anforderung 11: Regelmäßiges Testen der Sicherheit von Systemen und Netzwerken
- PCI-DSS-Leitfaden für die Multi-Faktor-Authentifizierung von Microsoft Entra
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für