Persyaratan MICROSOFT Entra ID dan PCI-DSS 7
Persyaratan 7: Membatasi Akses ke Komponen Sistem dan Data Pemegang Kartu menurut Persyaratan Pendekatan yang Ditentukan Bisnis Perlu Diketahui
7.1 Proses dan mekanisme untuk membatasi akses ke komponen sistem dan data pemegang kartu menurut bisnis perlu diketahui didefinisikan dan dipahami.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 7.1.1 Semua kebijakan keamanan dan prosedur operasional yang diidentifikasi dalam Persyaratan 7 adalah: Didokumentasikan Tetap diperbarui Dalam penggunaan Diketahui oleh semua pihak yang terpengaruh |
Integrasikan akses ke aplikasi lingkungan data pemegang kartu (CDE) dengan ID Microsoft Entra untuk autentikasi dan otorisasi. Kebijakan Akses Bersyardo Dokumen untuk teknologi akses jarak jauh. Mengotomatiskan dengan Microsoft Graph API dan PowerShell. Akses Bersyar : Akses terprogram Mengarsipkan log audit Microsoft Entra untuk merekam perubahan kebijakan keamanan dan konfigurasi penyewa Microsoft Entra. Untuk merekam penggunaan, arsipkan log masuk Microsoft Entra dalam sistem manajemen informasi dan peristiwa keamanan (SIEM). Log aktivitas Microsoft Entra di Azure Monitor |
| 7.1.2 Peran dan tanggung jawab untuk melakukan aktivitas dalam Persyaratan 7 didokumentasikan, ditetapkan, dan dipahami. | Integrasikan akses ke aplikasi CDE dengan ID Microsoft Entra untuk autentikasi dan otorisasi. - Tetapkan peran pengguna ke aplikasi atau dengan keanggotaan grup - Gunakan Microsoft Graph untuk mencantumkan penetapan aplikasi - Gunakan log audit Microsoft Entra untuk melacak perubahan penetapan. Mencantumkan appRoleAssignments yang diberikan kepada pengguna Get-MgServicePrincipalAppRoleAssignedTo Akses istimewa Gunakan log audit Microsoft Entra untuk melacak penetapan peran direktori. Peran administrator yang relevan dengan persyaratan PCI ini: - Global - Aplikasi - Autentikasi - Kebijakan Autentikasi - Identitas Hibrid Untuk menerapkan akses hak istimewa terkecil, gunakan ID Microsoft Entra untuk membuat peran direktori kustom. Jika Anda membangun bagian CDE di Azure, dokumen penetapan peran istimewa seperti Pemilik, Kontributor, Administrator Akses pengguna, dll., dan peran kustom langganan tempat sumber daya CDE disebarkan. Microsoft menyarankan Anda mengaktifkan akses Just-In-Time (JIT) ke peran menggunakan Privileged Identity Management (PIM). PIM memungkinkan akses JIT ke grup keamanan Microsoft Entra untuk skenario saat keanggotaan grup mewakili akses istimewa ke aplikasi atau sumber daya CDE. Panduan referensi operasi manajemen identitas dan akses Microsoft Entra peran bawaan Microsoft Entra Membuat dan menetapkan peran kustom di Microsoft Entra ID Mengamankan akses istimewa untuk penyebaran hibrid dan cloud di MICROSOFT Entra ID Apa itu Microsoft Entra Privileged Identity Management? Praktik terbaik untuk semua arsitektur isolasi PIM untuk Grup |
7.2 Akses ke komponen dan data sistem ditentukan dan ditetapkan dengan tepat.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 7.2.1 Model kontrol akses didefinisikan dan mencakup pemberian akses sebagai berikut: Akses yang sesuai tergantung pada kebutuhan bisnis dan akses entitas. Akses ke komponen sistem dan sumber daya data yang didasarkan pada klasifikasi dan fungsi pekerjaan pengguna. Hak istimewa paling sedikit yang diperlukan (misalnya, pengguna, administrator) untuk melakukan fungsi pekerjaan. |
Gunakan ID Microsoft Entra untuk menetapkan pengguna ke peran dalam aplikasi secara langsung atau melalui keanggotaan grup. Organisasi dengan taksonomi standar yang diterapkan sebagai atribut dapat mengotomatiskan pemberian akses berdasarkan klasifikasi dan fungsi pekerjaan pengguna. Gunakan grup Microsoft Entra dengan keanggotaan grup, dan paket akses pengelolaan pemberian hak Microsoft Entra dengan kebijakan penugasan dinamis. Gunakan pengelolaan pemberian hak untuk menentukan pemisahan tugas untuk menguraikan hak istimewa paling sedikit. PIM memungkinkan akses JIT ke grup keamanan Microsoft Entra untuk skenario kustom di mana keanggotaan grup mewakili akses istimewa ke aplikasi atau sumber daya CDE. Mengelola aturan untuk grup keanggotaan dinamis Mengonfigurasi kebijakan penugasan otomatis untuk paket akses dalam pengelolaan pemberian hak Mengonfigurasi pemisahan tugas untuk paket akses dalam PIM pengelolaan pemberian hak untuk Grup |
| 7.2.2 Akses ditetapkan untuk pengguna, termasuk pengguna istimewa, berdasarkan: Klasifikasi dan fungsi pekerjaan. Hak istimewa terkecil yang diperlukan untuk melakukan tanggung jawab pekerjaan. |
Gunakan ID Microsoft Entra untuk menetapkan pengguna ke peran dalam aplikasi secara langsung atau melalui keanggotaan grup. Organisasi dengan taksonomi standar yang diterapkan sebagai atribut dapat mengotomatiskan pemberian akses berdasarkan klasifikasi dan fungsi pekerjaan pengguna. Gunakan grup Microsoft Entra dengan keanggotaan grup, dan paket akses pengelolaan pemberian hak Microsoft Entra dengan kebijakan penugasan dinamis. Gunakan pengelolaan pemberian hak untuk menentukan pemisahan tugas untuk menguraikan hak istimewa paling sedikit. PIM memungkinkan akses JIT ke grup keamanan Microsoft Entra untuk skenario kustom di mana keanggotaan grup mewakili akses istimewa ke aplikasi atau sumber daya CDE. Mengelola aturan untuk grup keanggotaan dinamis Mengonfigurasi kebijakan penugasan otomatis untuk paket akses dalam pengelolaan pemberian hak Mengonfigurasi pemisahan tugas untuk paket akses dalam PIM pengelolaan pemberian hak untuk Grup |
| 7.2.3 Hak istimewa yang diperlukan disetujui oleh personel yang berwenang. | Pengelolaan pemberian hak mendukung alur kerja persetujuan untuk memberikan akses ke sumber daya, dan tinjauan akses berkala. Menyetujui atau menolak permintaan akses dalam pengelolaan pemberian hak Tinjau akses paket akses dalam PIM pengelolaan pemberian hak mendukung alur kerja persetujuan untuk mengaktifkan peran direktori Microsoft Entra, dan peran Azure, dan grup cloud. Menyetujui atau menolak permintaan untuk peran Microsoft Entra di PIM Menyetujui permintaan aktivasi untuk anggota grup dan pemilik |
| 7.2.4 Semua akun pengguna dan hak istimewa akses terkait, termasuk akun pihak ketiga/vendor, ditinjau sebagai berikut: Setidaknya sekali setiap enam bulan. Untuk memastikan akun dan akses pengguna tetap sesuai berdasarkan fungsi pekerjaan. Setiap akses yang tidak pantas ditangani. Manajemen mengakui bahwa akses tetap sesuai. |
Jika Anda memberikan akses ke aplikasi menggunakan penugasan langsung atau dengan keanggotaan grup, konfigurasikan tinjauan akses Microsoft Entra. Jika Anda memberikan akses ke aplikasi menggunakan pengelolaan pemberian hak, aktifkan tinjauan akses di tingkat paket akses. Buat tinjauan akses paket akses dalam pengelolaan pemberian hak Gunakan ID Eksternal Microsoft Entra untuk akun pihak ketiga dan vendor. Anda dapat melakukan tinjauan akses yang menargetkan identitas eksternal, misalnya akun pihak ketiga atau vendor. Mengelola akses tamu dengan tinjauan akses |
| 7.2.5 Semua akun aplikasi dan sistem dan hak istimewa akses terkait ditetapkan dan dikelola sebagai berikut: Berdasarkan hak istimewa paling sedikit yang diperlukan untuk pengoperasian sistem atau aplikasi. Akses terbatas pada sistem, aplikasi, atau proses yang secara khusus memerlukan penggunaannya. |
Gunakan ID Microsoft Entra untuk menetapkan pengguna ke peran dalam aplikasi secara langsung atau melalui keanggotaan grup. Organisasi dengan taksonomi standar yang diterapkan sebagai atribut dapat mengotomatiskan pemberian akses berdasarkan klasifikasi dan fungsi pekerjaan pengguna. Gunakan grup Microsoft Entra dengan keanggotaan grup, dan paket akses pengelolaan pemberian hak Microsoft Entra dengan kebijakan penugasan dinamis. Gunakan pengelolaan pemberian hak untuk menentukan pemisahan tugas untuk menguraikan hak istimewa paling sedikit. PIM memungkinkan akses JIT ke grup keamanan Microsoft Entra untuk skenario kustom di mana keanggotaan grup mewakili akses istimewa ke aplikasi atau sumber daya CDE. Mengelola aturan untuk grup keanggotaan dinamis Mengonfigurasi kebijakan penugasan otomatis untuk paket akses dalam pengelolaan pemberian hak Mengonfigurasi pemisahan tugas untuk paket akses dalam PIM pengelolaan pemberian hak untuk Grup |
| 7.2.5.1 Semua akses oleh akun aplikasi dan sistem dan hak istimewa akses terkait ditinjau sebagai berikut: Secara berkala (pada frekuensi yang ditentukan dalam analisis risiko yang ditargetkan entitas, yang dilakukan sesuai dengan semua elemen yang ditentukan dalam Persyaratan 12.3.1). Akses aplikasi/sistem tetap sesuai untuk fungsi yang dilakukan. Setiap akses yang tidak pantas ditangani. Manajemen mengakui bahwa akses tetap sesuai. |
Praktik terbaik saat meninjau izin akun layanan. Mengatur akun layanan Microsoft Entra Mengatur akun layanan lokal |
| 7.2.6 Semua akses pengguna ke repositori kueri data pemegang kartu tersimpan dibatasi sebagai berikut: Melalui aplikasi atau metode terprogram lainnya, dengan akses dan tindakan yang diizinkan berdasarkan peran pengguna dan hak istimewa paling sedikit. Hanya administrator yang bertanggung jawab yang dapat langsung mengakses atau mengkueri repositori data pemegang kartu tersimpan (CHD). |
Aplikasi modern memungkinkan metode terprogram yang membatasi akses ke repositori data. Integrasikan aplikasi dengan MICROSOFT Entra ID menggunakan protokol autentikasi modern seperti OAuth dan OpenID connect (OIDC). Protokol OAuth 2.0 dan OIDC pada platform identitas Microsoft Tentukan peran khusus aplikasi untuk memodelkan akses pengguna istimewa dan tidak istimewa. Tetapkan pengguna atau grup ke peran. Tambahkan peran aplikasi ke aplikasi Anda dan terima di token Untuk API yang diekspos oleh aplikasi Anda, tentukan cakupan OAuth untuk mengaktifkan persetujuan pengguna dan administrator. Cakupan dan izin dalam akses istimewa dan non-istimewa Model platform identitas Microsoft ke repositori dengan pendekatan berikut dan hindari akses repositori langsung. Jika administrator dan operator memerlukan akses, berikan per platform yang mendasar. Misalnya, penetapan ARM IAM di Azure, jendela Daftar Kontrol Akses (ACL), dll. Lihat panduan arsitektur yang mencakup mengamankan platform aplikasi sebagai layanan (PaaS) dan infrastruktur sebagai layanan (IaaS) di Azure. Azure Architecture Center |
7.3 Akses ke komponen dan data sistem dikelola melalui sistem kontrol akses.
| Persyaratan pendekatan yang ditentukan PCI-DSS | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| 7.3.1 Sistem kontrol akses tersedia yang membatasi akses berdasarkan kebutuhan pengguna untuk mengetahui dan mencakup semua komponen sistem. | Integrasikan akses ke aplikasi di CDE dengan MICROSOFT Entra ID sebagai autentikasi dan otorisasi sistem kontrol akses. Kebijakan Akses Bersyar, dengan penetapan aplikasi mengontrol akses ke aplikasi. Apa itu Akses Bersyar? Menetapkan pengguna dan grup ke aplikasi |
| 7.3.2 Sistem kontrol akses dikonfigurasi untuk memberlakukan izin yang ditetapkan untuk individu, aplikasi, dan sistem berdasarkan klasifikasi dan fungsi pekerjaan. | Integrasikan akses ke aplikasi di CDE dengan MICROSOFT Entra ID sebagai autentikasi dan otorisasi sistem kontrol akses. Kebijakan Akses Bersyar, dengan penetapan aplikasi mengontrol akses ke aplikasi. Apa itu Akses Bersyar? Menetapkan pengguna dan grup ke aplikasi |
| 7.3.3 Sistem kontrol akses diatur ke "tolak semua" secara default. | Gunakan Akses Bersyarah untuk memblokir akses berdasarkan kondisi permintaan akses seperti keanggotaan grup, aplikasi, lokasi jaringan, kekuatan kredensial, dll. Akses Bersyar: Memblokir akses Kebijakan blok yang salah dikonfigurasi mungkin berkontribusi pada penguncian yang tidak disengaja. Merancang strategi akses darurat. Mengelola akun admin akses darurat di ID Microsoft Entra |
Langkah berikutnya
Persyaratan PCI-DSS 3, 4, 9, dan 12 tidak berlaku untuk ID Microsoft Entra, oleh karena itu tidak ada artikel yang sesuai. Untuk melihat semua persyaratan, buka pcisecuritystandards.org: Situs Dewan Standar Keamanan PCI Resmi.
Untuk mengonfigurasi MICROSOFT Entra ID agar mematuhi PCI-DSS, lihat artikel berikut ini.
- Panduan Microsoft Entra PCI-DSS
- Persyaratan 1: Menginstal dan Memelihara Kontrol Keamanan Jaringan
- Persyaratan 2: Terapkan Konfigurasi Aman ke Semua Komponen Sistem
- Persyaratan 5: Melindungi Semua Sistem dan Jaringan dari Perangkat Lunak Berbahaya
- Persyaratan 6: Mengembangkan dan Memelihara Sistem dan Perangkat Lunak yang Aman
- Persyaratan 7: Membatasi Akses ke Komponen Sistem dan Data Pemegang Kartu menurut Bisnis Perlu Diketahui (Anda di sini)
- Persyaratan 8: Mengidentifikasi Pengguna dan Mengautentikasi Akses ke Komponen Sistem
- Persyaratan 10: Mencatat dan Memantau Semua Akses ke Komponen Sistem dan Data Pemegang Kartu
- Persyaratan 11: Uji Keamanan Sistem dan Jaringan Secara Teratur
- Panduan Autentikasi Multifaktor Microsoft Entra PCI-DSS