Microsoft Entra ID és PCI-DSS 7. követelmény

2024-08-23

7. követelmény: A rendszerösszetevőkhöz és kártyatulajdonosi adatokhoz való hozzáférés korlátozása üzleti igények szerint meghatározott megközelítési követelmények szerint

7.1 A rendszerösszetevőkhöz és kártyatulajdonosi adatokhoz való hozzáférés üzleti szempontból történő korlátozására szolgáló folyamatok és mechanizmusok definiálva és megértve vannak.

A PCI-DSS által meghatározott megközelítési követelmények	A Microsoft Entra útmutatásai és javaslatai
7.1.1 A 7. követelményben meghatározott összes biztonsági szabályzat és működési eljárás a következő: Dokumentált , naprakészen tartva Használatban Ismert az összes érintett fél számára	A hitelesítéshez és engedélyezéshez integrálja a kártyaőrző adatkörnyezeti (CDE-) alkalmazásokhoz való hozzáférést a Microsoft Entra-azonosítóval. Feltételes hozzáférési szabályzatok dokumentálása távelérési technológiákhoz. Automatizálás a Microsoft Graph API-val és a PowerShell-lel. Feltételes hozzáférés: Programozott hozzáférés Archiválja a Microsoft Entra naplózási naplóit a biztonsági szabályzat változásainak és a Microsoft Entra-bérlő konfigurációjának rögzítéséhez. A használat rögzítéséhez archiválja a Microsoft Entra bejelentkezési naplóit egy biztonsági információs és eseménykezelő (SIEM) rendszerben. Microsoft Entra-tevékenységnaplók az Azure Monitorban
7.1.2 A 7. követelményben szereplő tevékenységek végrehajtásához szükséges szerepkörök és feladatok dokumentálva, hozzárendelve és megértve vannak.	A CDE-alkalmazásokhoz való hozzáférés integrálása a Microsoft Entra-azonosítóval hitelesítés és engedélyezés céljából. - Felhasználói szerepkörök hozzárendelése alkalmazásokhoz vagy csoporttagsághoz – A Microsoft Graph használatával listázhatja az alkalmazás-hozzárendeléseket – A Hozzárendelések változásainak nyomon követéséhez használja a Microsoft Entra naplózási naplóit. Felhasználónak megadott appRoleAssignments listázása Get-MgServicePrincipalAppRoleAssignedTo Emelt szintű hozzáférés A Címtárszerepkör-hozzárendelések nyomon követéséhez használja a Microsoft Entra naplózási naplóit. A PCI-követelményhez kapcsolódó rendszergazdai szerepkörök: – Globális – Alkalmazás – Hitelesítés – Hitelesítési házirend – Hibrid identitás A minimális jogosultsági hozzáférés implementálásához használja a Microsoft Entra ID azonosítót egyéni címtárszerepkörök létrehozásához. Ha a CDE egyes részeit az Azure-ban hozza létre, dokumentumjogosított szerepkör-hozzárendeléseket, például tulajdonosi, közreműködői, felhasználói hozzáférés-rendszergazdai stb. feladatokat, valamint olyan egyéni előfizetési szerepköröket, amelyekben a CDE-erőforrások üzembe vannak helyezve. A Microsoft azt javasolja, hogy engedélyezze az igény szerinti (JIT) hozzáférést a szerepkörökhöz a Privileged Identity Management (PIM) használatával. A PIM lehetővé teszi a JIT-hozzáférést a Microsoft Entra biztonsági csoportjaihoz olyan helyzetekben, amikor a csoporttagság a CDE-alkalmazásokhoz vagy -erőforrásokhoz való kiemelt hozzáférést jelenti. Microsoft Entra beépített szerepkörei A Microsoft Entra identitás- és hozzáférés-kezelési műveleteinek referencia-útmutatója Egyéni szerepkör létrehozása a Microsoft Entra-azonosítóban A hibrid és felhőbeli környezetek kiemelt hozzáférésének biztosítása a Microsoft Entra-azonosítóban Mi a Microsoft Entra Privileged Identity Management? Az összes elkülönítési architektúrához kapcsolódó ajánlott eljárások Csoportokhoz készült PIM

A PCI-DSS által meghatározott megközelítési követelmények

A Microsoft Entra útmutatásai és javaslatai

7.1.1 A 7. követelményben meghatározott összes biztonsági szabályzat és működési eljárás a következő:
Dokumentált
, naprakészen
tartva
Használatban Ismert az összes érintett fél számára

A hitelesítéshez és engedélyezéshez integrálja a kártyaőrző adatkörnyezeti (CDE-) alkalmazásokhoz való hozzáférést a Microsoft Entra-azonosítóval.
Feltételes hozzáférési szabályzatok dokumentálása távelérési technológiákhoz. Automatizálás a Microsoft Graph API-val és a PowerShell-lel. Feltételes hozzáférés: Programozott hozzáférés
Archiválja a Microsoft Entra naplózási naplóit a biztonsági szabályzat változásainak és a Microsoft Entra-bérlő konfigurációjának rögzítéséhez. A használat rögzítéséhez archiválja a Microsoft Entra bejelentkezési naplóit egy biztonsági információs és eseménykezelő (SIEM) rendszerben. Microsoft Entra-tevékenységnaplók az Azure Monitorban

7.1.2 A 7. követelményben szereplő tevékenységek végrehajtásához szükséges szerepkörök és feladatok dokumentálva, hozzárendelve és megértve vannak.

A CDE-alkalmazásokhoz való hozzáférés integrálása a Microsoft Entra-azonosítóval hitelesítés és engedélyezés céljából.
- Felhasználói szerepkörök hozzárendelése alkalmazásokhoz vagy csoporttagsághoz
– A Microsoft Graph használatával listázhatja az alkalmazás-hozzárendeléseket
– A Hozzárendelések változásainak nyomon követéséhez használja a Microsoft Entra naplózási naplóit.
Felhasználónak
megadott appRoleAssignments listázása Get-MgServicePrincipalAppRoleAssignedTo

Emelt szintű hozzáférés
A Címtárszerepkör-hozzárendelések nyomon követéséhez használja a Microsoft Entra naplózási naplóit. A PCI-követelményhez kapcsolódó rendszergazdai szerepkörök:
– Globális
– Alkalmazás
– Hitelesítés – Hitelesítési
házirend
– Hibrid identitás
A minimális jogosultsági hozzáférés implementálásához használja a Microsoft Entra ID azonosítót egyéni címtárszerepkörök létrehozásához.
Ha a CDE egyes részeit az Azure-ban hozza létre, dokumentumjogosított szerepkör-hozzárendeléseket, például tulajdonosi, közreműködői, felhasználói hozzáférés-rendszergazdai stb. feladatokat, valamint olyan egyéni előfizetési szerepköröket, amelyekben a CDE-erőforrások üzembe vannak helyezve.
A Microsoft azt javasolja, hogy engedélyezze az igény szerinti (JIT) hozzáférést a szerepkörökhöz a Privileged Identity Management (PIM) használatával. A PIM lehetővé teszi a JIT-hozzáférést a Microsoft Entra biztonsági csoportjaihoz olyan helyzetekben, amikor a csoporttagság a CDE-alkalmazásokhoz vagy -erőforrásokhoz való kiemelt hozzáférést jelenti. Microsoft Entra beépített szerepkörei
A Microsoft Entra identitás- és hozzáférés-kezelési műveleteinek referencia-útmutatója
Egyéni szerepkör létrehozása a Microsoft Entra-azonosítóban
A hibrid és felhőbeli környezetek kiemelt hozzáférésének biztosítása a Microsoft Entra-azonosítóban
Mi a Microsoft Entra Privileged Identity Management?
Az összes elkülönítési architektúrához kapcsolódó ajánlott eljárások
Csoportokhoz készült PIM

7.2 A rendszer összetevőihez és adataihoz való hozzáférés megfelelően van definiálva és hozzárendelve.

A PCI-DSS által meghatározott megközelítési követelmények	A Microsoft Entra útmutatásai és javaslatai
7.2.1 A hozzáférés-vezérlési modell definiálva van, és magában foglalja a hozzáférés megadását az alábbiak szerint: Megfelelő hozzáférés az entitás üzleti és hozzáférési igényeitől függően. Hozzáférés a felhasználók feladatbesorolásán és funkcióin alapuló rendszerösszetevőkhöz és adaterőforrásokhoz. A feladatfüggvények végrehajtásához a legkevésbé szükséges jogosultságok (például felhasználó, rendszergazda).	A Microsoft Entra ID használatával közvetlenül vagy csoporttagságokon keresztül rendelhet felhasználókat az alkalmazások szerepköreihez. Az attribútumként implementált standardizált osztályozással rendelkező szervezetek automatizálhatják a hozzáférési támogatásokat a felhasználói feladatok besorolása és működése alapján. Csoporttagságú Microsoft Entra-csoportokat és dinamikus hozzárendelési szabályzatokkal rendelkező Microsoft Entra jogosultságkezelési hozzáférési csomagokat használhat. A jogosultságkezelés használatával meghatározhatja a feladatok elkülönítését a minimális jogosultság meghatározásához. A PIM lehetővé teszi a JIT számára a Microsoft Entra biztonsági csoportokhoz való hozzáférést olyan egyéni helyzetekben, ahol a csoporttagság a CDE-alkalmazásokhoz vagy -erőforrásokhoz való jogosultsági hozzáférést jelenti. Dinamikus tagsági csoportok szabályainak kezelése Hozzáférési csomag automatikus hozzárendelési szabályzatának konfigurálása a jogosultságkezelésben Hozzáférési csomag feladatainak elkülönítése a jogosultságkezelési PIM-ben csoportokhoz
7.2.2 A hozzáférés a következő alapján van hozzárendelve a felhasználókhoz, beleértve a kiemelt felhasználókat is: Feladatbesorolás és -függvény. A feladatokkal kapcsolatos feladatok elvégzéséhez szükséges minimális jogosultságok.	A Microsoft Entra ID használatával közvetlenül vagy csoporttagságon keresztül rendelhet felhasználókat az alkalmazások szerepköreihez. Az attribútumként implementált standardizált osztályozással rendelkező szervezetek automatizálhatják a hozzáférési támogatásokat a felhasználói feladatok besorolása és működése alapján. Csoporttagságú Microsoft Entra-csoportokat és dinamikus hozzárendelési szabályzatokkal rendelkező Microsoft Entra jogosultságkezelési hozzáférési csomagokat használhat. A jogosultságkezelés használatával meghatározhatja a feladatok elkülönítését a minimális jogosultság meghatározásához. A PIM lehetővé teszi a JIT számára a Microsoft Entra biztonsági csoportokhoz való hozzáférést olyan egyéni helyzetekben, ahol a csoporttagság a CDE-alkalmazásokhoz vagy -erőforrásokhoz való jogosultsági hozzáférést jelenti. Dinamikus tagsági csoportok szabályainak kezelése Hozzáférési csomag automatikus hozzárendelési szabályzatának konfigurálása a jogosultságkezelésben Hozzáférési csomag feladatainak elkülönítése a jogosultságkezelési PIM-ben csoportokhoz
7.2.3 A szükséges jogosultságokat a jogosult személyzet hagyja jóvá.	A jogosultságkezelés támogatja a jóváhagyási munkafolyamatokat az erőforrásokhoz való hozzáférés biztosításához és az időszakos hozzáférés-felülvizsgálatokhoz. Hozzáférési kérelmek jóváhagyása vagy megtagadása a jogosultságkezelésben A jogosultságkezelési PIM-ben lévő hozzáférési csomagok hozzáférésének áttekintése támogatja a jóváhagyási munkafolyamatokat a Microsoft Entra címtárszerepköreinek, valamint az Azure-szerepkörök és a felhőcsoportok aktiválásához. Microsoft Entra-szerepkörökre vonatkozó kérések jóváhagyása vagy elutasítása a PIM-ben A csoporttagok és a tulajdonosok aktiválási kérelmeinek jóváhagyása
7.2.4 Minden felhasználói fiókot és kapcsolódó hozzáférési jogosultságot, beleértve a külső/szállítói fiókokat is, az alábbiak szerint tekintjük át: Legalább hathavonta egyszer. Annak biztosítása érdekében, hogy a felhasználói fiókok és a hozzáférés a feladatfüggvény alapján megfelelő maradjon. A nem megfelelő hozzáférések kezelése megoldott. A felügyelet elismeri, hogy a hozzáférés megfelelő marad.	Ha közvetlen hozzárendeléssel vagy csoporttagsággal biztosít hozzáférést az alkalmazásokhoz, konfigurálja a Microsoft Entra hozzáférési felülvizsgálatait. Ha jogosultságkezeléssel biztosít hozzáférést az alkalmazásoknak, engedélyezze a hozzáférési felülvizsgálatokat a hozzáférési csomag szintjén. Hozzáférési csomag hozzáférési felülvizsgálatának létrehozása a jogosultságkezelésben A Microsoft Entra Külső ID használata külső és szállítói fiókokhoz. Külső identitásokat célzó hozzáférési felülvizsgálatokat végezhet, például külső vagy szállítói fiókokat. Vendéghozzáférés kezelése hozzáférési felülvizsgálatokkal
7.2.5 Minden alkalmazás- és rendszerfiók és kapcsolódó hozzáférési jogosultság a következőképpen van hozzárendelve és felügyelve: A rendszer vagy alkalmazás működőképességéhez szükséges minimális jogosultságok alapján. A hozzáférés azon rendszerekre, alkalmazásokra vagy folyamatokra korlátozódik, amelyek kifejezetten a használatukat igénylik.	A Microsoft Entra ID használatával közvetlenül vagy csoporttagságon keresztül rendelhet felhasználókat az alkalmazások szerepköreihez. Az attribútumként implementált standardizált osztályozással rendelkező szervezetek automatizálhatják a hozzáférési támogatásokat a felhasználói feladatok besorolása és működése alapján. Csoporttagságú Microsoft Entra-csoportokat és dinamikus hozzárendelési szabályzatokkal rendelkező Microsoft Entra jogosultságkezelési hozzáférési csomagokat használhat. A jogosultságkezelés használatával meghatározhatja a feladatok elkülönítését a minimális jogosultság meghatározásához. A PIM lehetővé teszi a JIT számára a Microsoft Entra biztonsági csoportokhoz való hozzáférést olyan egyéni helyzetekben, ahol a csoporttagság a CDE-alkalmazásokhoz vagy -erőforrásokhoz való jogosultsági hozzáférést jelenti. Dinamikus tagsági csoportok szabályainak kezelése Hozzáférési csomag automatikus hozzárendelési szabályzatának konfigurálása a jogosultságkezelésben Hozzáférési csomag feladatainak elkülönítése a jogosultságkezelési PIM-ben csoportokhoz
7.2.5.1 Az alkalmazás- és rendszerfiókok és a kapcsolódó hozzáférési jogosultságok minden hozzáférését a következőképpen tekintjük át: Rendszeres időközönként (az entitás célzott kockázatelemzésében meghatározott gyakorisággal, amelyet a 12.3.1. követelményben meghatározott összes elemnek megfelelően hajtunk végre). Az alkalmazás-/rendszerhozzáférés továbbra is megfelelő marad a végrehajtott függvényhez. A nem megfelelő hozzáférések kezelése megoldott. A felügyelet elismeri, hogy a hozzáférés megfelelő marad.	Ajánlott eljárások a szolgáltatásfiókok engedélyeinek áttekintésekor. A Microsoft Entra szolgáltatásfiókjainak szabályozása A helyszíni szolgáltatásfiókok szabályozása
7.2.6 A tárolt kártyaőrző adatok lekérdezési tárházaihoz való felhasználói hozzáférés az alábbiak szerint korlátozott: Alkalmazásokon vagy más programozott módszereken keresztül, felhasználói szerepkörökön és minimális jogosultságokon alapuló hozzáféréssel és engedélyezett műveletekkel. A tárolt kártyatulajdonosi adatok (CHD) tárházaihoz csak a felelős rendszergazda(ok) férhetnek hozzá vagy kérdezhetnek le.	A modern alkalmazások olyan programozott módszereket tesznek lehetővé, amelyek korlátozzák az adattárakhoz való hozzáférést. Alkalmazások integrálása a Microsoft Entra ID-val olyan modern hitelesítési protokollokkal, mint az OAuth és az OpenID connect (OIDC). OAuth 2.0- és OIDC-protokollok a Microsoft Identitásplatform Alkalmazásspecifikus szerepkörök definiálása a kiemelt és a nem kiemelt felhasználói hozzáférés modellezéséhez. Felhasználók vagy csoportok hozzárendelése szerepkörökhöz. Adjon hozzá alkalmazásszerepköröket az alkalmazáshoz, és fogadja őket az alkalmazás által közzétett API-k jogkivonatában , adjon meg OAuth-hatóköröket a felhasználói és rendszergazdai hozzájárulás engedélyezéséhez. A Microsoft Identitásplatform-modell hatókörei és engedélyei az alábbi megközelítéssel emelt szintű és nem emelt jogosultságú hozzáférést biztosítanak az adattárakhoz, és elkerülik a közvetlen tárház-hozzáférést. Ha a rendszergazdáknak és az operátoroknak hozzáférésre van szükségük, a mögöttes platformonként adja meg. Például ARM IAM-hozzárendelések az Azure-ban, hozzáférés-vezérlési listák (ACL-ek) ablakai stb. Tekintse meg az azure-beli alkalmazásplatformok (PaaS) és a szolgáltatásként nyújtott infrastruktúra (IaaS) biztonságossá tételét ismertető architektúra-útmutatót. Azure Architecture Center

7.3 A rendszerösszetevőkhöz és adatokhoz való hozzáférés hozzáférés hozzáférés-vezérlési rendszer(ek)en keresztül történik.

A PCI-DSS által meghatározott megközelítési követelmények	A Microsoft Entra útmutatásai és javaslatai
7.3.1 Egy hozzáférés-vezérlési rendszer(ek) létezik, amely korlátozza a hozzáférést annak alapján, hogy a felhasználónak ismernie kell, és minden rendszerösszetevőre kiterjed.	A CDE-ben lévő alkalmazásokhoz való hozzáférést integrálhatja a Microsoft Entra-azonosítóval, mint hozzáférés-vezérlési rendszer hitelesítését és engedélyezését. Feltételes hozzáférési szabályzatok, amelyek alkalmazás-hozzárendelésekkel szabályozzák az alkalmazásokhoz való hozzáférést. Mi a feltételes hozzáférés? Felhasználók és csoportok hozzárendelése egy alkalmazáshoz
7.3.2 A hozzáférés-vezérlési rendszer(ek) úgy vannak konfigurálva, hogy a feladatok besorolása és működése alapján kikényszerítse az egyénekhez, alkalmazásokhoz és rendszerekhez rendelt engedélyeket.	A CDE-ben lévő alkalmazásokhoz való hozzáférést integrálhatja a Microsoft Entra-azonosítóval, mint hozzáférés-vezérlési rendszer hitelesítését és engedélyezését. Feltételes hozzáférési szabályzatok, amelyek alkalmazás-hozzárendelésekkel szabályozzák az alkalmazásokhoz való hozzáférést. Mi a feltételes hozzáférés? Felhasználók és csoportok hozzárendelése egy alkalmazáshoz
7.3.3 A hozzáférés-vezérlési rendszer(ek) alapértelmezés szerint "az összes megtagadása" értékre van állítva.	A feltételes hozzáférés használatával letilthatja a hozzáférést a hozzáférési kérelmek feltételei alapján, például csoporttagság, alkalmazások, hálózati hely, hitelesítő adatok erőssége stb. alapján. Feltételes hozzáférés: A nem konfigurált blokkházirendek hozzájárulhatnak a nem szándékos zárolásokhoz. Vészhelyzeti hozzáférési stratégia tervezése. Segélyhívási hozzáférési rendszergazdai fiókok kezelése a Microsoft Entra-azonosítóban

Következő lépések

A PCI-DSS 3., 4., 9. és 12. követelményei nem alkalmazhatók a Microsoft Entra-azonosítóra, ezért nincsenek megfelelő cikkek. Az összes követelmény megtekintéséhez látogasson el a pcisecuritystandards.org: Hivatalos PCI Biztonsági Szabványok Tanácsának webhelye.

Ha a Microsoft Entra ID-t úgy szeretné konfigurálni, hogy megfeleljen a PCI-DSS-nek, tekintse meg az alábbi cikkeket.

Megosztás a következőn keresztül:

Microsoft Entra ID és PCI-DSS 7. követelmény

7.1 A rendszerösszetevőkhöz és kártyatulajdonosi adatokhoz való hozzáférés üzleti szempontból történő korlátozására szolgáló folyamatok és mechanizmusok definiálva és megértve vannak.

7.2 A rendszer összetevőihez és adataihoz való hozzáférés megfelelően van definiálva és hozzárendelve.

7.3 A rendszerösszetevőkhöz és adatokhoz való hozzáférés hozzáférés hozzáférés-vezérlési rendszer(ek)en keresztül történik.

Következő lépések

Visszajelzés

További források