Requisito 7 di Microsoft Entra ID e PCI-DSS
Requisito 7: Limitare l'accesso ai componenti di sistema e ai dati dei titolari di carte da parte dell'azienda devono conoscere
i requisiti di approccio definiti
7.1 I processi e i meccanismi per limitare l'accesso ai componenti di sistema e ai dati dei titolari di carte da parte dell'azienda devono essere definiti e riconosciuti.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 7.1.1 Tutti i criteri di sicurezza e le procedure operative identificate nel requisito 7 sono: Documentati mantenuti aggiornati In uso noto a tutte le parti interessate |
Integrare l'accesso alle applicazioni CDE (CardHolder Data Environment) con Microsoft Entra ID per l'autenticazione e l'autorizzazione. Documentare i criteri di accesso condizionale per le tecnologie di accesso remoto. Automatizzare con l'API Microsoft Graph e PowerShell. Accesso condizionale: accesso a livello di codice Archivia i log di controllo di Microsoft Entra per registrare le modifiche ai criteri di sicurezza e la configurazione del tenant di Microsoft Entra. Per registrare l'utilizzo, archiviare i log di accesso di Microsoft Entra in un sistema SIEM (Security Information and Event Management). Log attività di Microsoft Entra in Monitoraggio di Azure |
| 7.1.2 Ruoli e responsabilità per l'esecuzione di attività nel requisito 7 sono documentati, assegnati e riconosciuti. | Integrare l'accesso alle applicazioni CDE con Microsoft Entra ID per l'autenticazione e l'autorizzazione. - Assegnare ruoli utente alle applicazioni o con appartenenza a gruppi - Usare Microsoft Graph per elencare le assegnazioni di applicazioni - Usare i log di controllo di Microsoft Entra per tenere traccia delle modifiche alle assegnazioni . Elencare appRoleAssignments concesso a un utente Get-MgServicePrincipalAppRoleAssignedTo Accesso con privilegi Usare i log di controllo di Microsoft Entra per tenere traccia delle assegnazioni di ruolo della directory. Ruoli di amministratore rilevanti per questo requisito PCI: - Globale - Applicazione - Autenticazione - Criteri di autenticazione - Identità ibrida Per implementare l'accesso con privilegi minimi, usare Microsoft Entra ID per creare ruoli di directory personalizzati. Se si compilano parti di CDE in Azure, documentare assegnazioni di ruolo con privilegi come Proprietario, Collaboratore, Amministratore accesso utenti e così via e ruoli personalizzati della sottoscrizione in cui vengono distribuite le risorse cde. Microsoft consiglia di abilitare l'accesso JIT (Just-In-Time) ai ruoli usando Privileged Identity Management (PIM). PIM consente l'accesso JIT ai gruppi di sicurezza di Microsoft Entra per scenari in cui l'appartenenza al gruppo rappresenta l'accesso con privilegi alle applicazioni o alle risorse cde. Guida di riferimento alle operazioni di gestione delle identità e degli accessi di Microsoft Entra predefinite Di Microsoft Entra ID Creare e assegnare un ruolo personalizzato in Microsoft Entra ID Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Microsoft Entra ID Che cos'è Microsoft Entra Privileged Identity Management? Procedure consigliate per tutte le architetture di isolamento PIM per i gruppi |
7.2 L'accesso ai componenti e ai dati di sistema è definito e assegnato in modo appropriato.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 7.2.1 Un modello di controllo di accesso è definito e include la concessione dell'accesso come indicato di seguito: Accesso appropriato a seconda delle esigenze aziendali e di accesso dell'entità. Accesso ai componenti di sistema e alle risorse dati basate sulla classificazione e sulle funzioni dei processi degli utenti. Privilegi minimi necessari (ad esempio, utente, amministratore) per eseguire una funzione di processo. |
Usare Microsoft Entra ID per assegnare gli utenti ai ruoli nelle applicazioni direttamente o tramite l'appartenenza ai gruppi. Le organizzazioni con tassonomia standardizzata implementata come attributi possono automatizzare le concessioni di accesso in base alla classificazione e alla funzione dei processi utente. Usare i gruppi di Microsoft Entra con appartenenza dinamica e i pacchetti di accesso alla gestione entitlement di Microsoft Entra con criteri di assegnazione dinamica. Usare la gestione entitlement per definire la separazione dei compiti per delineare i privilegi minimi. PIM consente l'accesso JIT ai gruppi di sicurezza di Microsoft Entra per scenari personalizzati in cui l'appartenenza ai gruppi rappresenta l'accesso con privilegi alle applicazioni o alle risorse cde. Regole di appartenenza dinamica per i gruppi in Microsoft Entra ID Configurare un criterio di assegnazione automatica per un pacchetto di accesso nella gestione entitlement Configurare la separazione dei compiti per un pacchetto di accesso nella gestione entitlement PIM per i gruppi |
| 7.2.2 L'accesso viene assegnato agli utenti, inclusi gli utenti con privilegi, in base a: Classificazione e funzione dei processi. Privilegi minimi necessari per eseguire le responsabilità del lavoro. |
Usare Microsoft Entra ID per assegnare gli utenti ai ruoli nelle applicazioni direttamente o tramite l'appartenenza ai gruppi. Le organizzazioni con tassonomia standardizzata implementata come attributi possono automatizzare le concessioni di accesso in base alla classificazione e alla funzione dei processi utente. Usare i gruppi di Microsoft Entra con appartenenza dinamica e i pacchetti di accesso alla gestione entitlement di Microsoft Entra con criteri di assegnazione dinamica. Usare la gestione entitlement per definire la separazione dei compiti per delineare i privilegi minimi. PIM consente l'accesso JIT ai gruppi di sicurezza di Microsoft Entra per scenari personalizzati in cui l'appartenenza ai gruppi rappresenta l'accesso con privilegi alle applicazioni o alle risorse cde. Regole di appartenenza dinamica per i gruppi in Microsoft Entra ID Configurare un criterio di assegnazione automatica per un pacchetto di accesso nella gestione entitlement Configurare la separazione dei compiti per un pacchetto di accesso nella gestione entitlement PIM per i gruppi |
| 7.2.3 I privilegi necessari sono approvati dal personale autorizzato. | La gestione entitlement supporta i flussi di lavoro di approvazione per concedere l'accesso alle risorse e verifiche di accesso periodiche. Approvare o negare le richieste di accesso nella gestione entitlement Esaminare l'accesso di un pacchetto di accesso in gestione entitlement PIM supporta i flussi di lavoro di approvazione per attivare i ruoli della directory Di Microsoft Entra e i ruoli di Azure e i gruppi cloud. Approvare o negare le richieste per i ruoli di Microsoft Entra in PIM Approvare le richieste di attivazione per i membri e i proprietari del gruppo |
| 7.2.4 Tutti gli account utente e i privilegi di accesso correlati, inclusi gli account di terze parti/fornitori, vengono esaminati come segue: almeno una volta ogni sei mesi. Per garantire che gli account utente e l'accesso rimangano appropriati in base alla funzione del processo. Qualsiasi accesso inappropriato viene risolto. La gestione riconosce che l'accesso rimane appropriato. |
Se si concede l'accesso alle applicazioni usando l'assegnazione diretta o l'appartenenza al gruppo, configurare le verifiche di accesso a Microsoft Entra. Se si concede l'accesso alle applicazioni usando la gestione entitlement, abilitare le verifiche di accesso a livello di pacchetto di accesso. Creare una verifica di accesso di un pacchetto di accesso nella gestione entitlement Usare Microsoft Entra per ID esterno per gli account di terze parti e fornitori. È possibile eseguire verifiche di accesso destinate a identità esterne, ad esempio account di terze parti o fornitori. Gestire l'accesso guest con le verifiche di accesso |
| 7.2.5 Tutti gli account applicazione e di sistema e i privilegi di accesso correlati vengono assegnati e gestiti come segue: in base ai privilegi minimi necessari per l'operabilità del sistema o dell'applicazione. L'accesso è limitato ai sistemi, alle applicazioni o ai processi che richiedono in modo specifico l'uso. |
Usare Microsoft Entra ID per assegnare gli utenti ai ruoli nelle applicazioni direttamente o tramite l'appartenenza ai gruppi. Le organizzazioni con tassonomia standardizzata implementata come attributi possono automatizzare le concessioni di accesso in base alla classificazione e alla funzione dei processi utente. Usare i gruppi di Microsoft Entra con appartenenza dinamica e i pacchetti di accesso alla gestione entitlement di Microsoft Entra con criteri di assegnazione dinamica. Usare la gestione entitlement per definire la separazione dei compiti per delineare i privilegi minimi. PIM consente l'accesso JIT ai gruppi di sicurezza di Microsoft Entra per scenari personalizzati in cui l'appartenenza ai gruppi rappresenta l'accesso con privilegi alle applicazioni o alle risorse cde. Regole di appartenenza dinamica per i gruppi in Microsoft Entra ID Configurare un criterio di assegnazione automatica per un pacchetto di accesso nella gestione entitlement Configurare la separazione dei compiti per un pacchetto di accesso nella gestione entitlement PIM per i gruppi |
| 7.2.5.1 Tutti gli accessi da parte degli account di sistema e dell'applicazione e dei privilegi di accesso correlati vengono esaminati come segue: periodicamente (alla frequenza definita nell'analisi dei rischi mirata dell'entità, eseguita in base a tutti gli elementi specificati nel requisito 12.3.1). L'accesso all'applicazione/sistema rimane appropriato per la funzione eseguita. Qualsiasi accesso inappropriato viene risolto. La gestione riconosce che l'accesso rimane appropriato. |
Procedure consigliate per la revisione delle autorizzazioni degli account del servizio. Governance degli account del servizio Microsoft Entra Govern on-premises service accounts |
| 7.2.6 L'accesso utente ai repository di query dei dati dei titolari di carte archiviate è limitato come segue: tramite applicazioni o altri metodi programmatici, con accesso e azioni consentite in base ai ruoli utente e ai privilegi minimi. Solo gli amministratori responsabili possono accedere direttamente o eseguire query sui repository di dati di titolari di carte archiviate . |
Le applicazioni moderne consentono metodi programmatici che limitano l'accesso ai repository di dati. Integrare applicazioni con Microsoft Entra ID usando protocolli di autenticazione moderni, ad esempio OAuth e OpenID connect (OIDC). Protocolli OAuth 2.0 e OIDC in Microsoft Identity Platform Definire ruoli specifici dell'applicazione per modellare l'accesso utente con privilegi e senza privilegi. Assegnare utenti o gruppi ai ruoli. Aggiungere ruoli dell'app all'applicazione e riceverli nel token Per le API esposte dall'applicazione, definire gli ambiti OAuth per abilitare il consenso dell'utente e dell'amministratore. Ambiti e autorizzazioni nel modello di Microsoft Identity Platform con privilegi e accesso senza privilegi ai repository con l'approccio seguente ed evitare l'accesso diretto al repository. Se gli amministratori e gli operatori richiedono l'accesso, concederlo in base alla piattaforma sottostante. Ad esempio, le assegnazioni IAM arm in Azure, Controllo di accesso finestre elenchi (ACL) e così via. Vedere le linee guida sull'architettura che includono la protezione della piattaforma distribuita come servizio (PaaS) e dell'infrastruttura distribuita come servizio (IaaS) in Azure. Centro architetture di Azure |
7.3 L'accesso ai componenti e ai dati di sistema viene gestito tramite un sistema di controllo di accesso.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 7.3.1 È in atto un sistema di controllo di accesso che limita l'accesso in base alla necessità di un utente di conoscere e coprire tutti i componenti di sistema. | Integrare l'accesso alle applicazioni nell'ambiente CDE con Microsoft Entra ID come autenticazione e autorizzazione del sistema di controllo di accesso. I criteri di accesso condizionale, con assegnazioni di applicazioni controllano l'accesso alle applicazioni. Che cos'è l'accesso condizionale? Assegnare utenti e gruppi a un'applicazione |
| 7.3.2 I sistemi di controllo di accesso sono configurati per applicare le autorizzazioni assegnate a singoli utenti, applicazioni e sistemi in base alla classificazione e alla funzione dei processi. | Integrare l'accesso alle applicazioni nell'ambiente CDE con Microsoft Entra ID come autenticazione e autorizzazione del sistema di controllo di accesso. I criteri di accesso condizionale, con assegnazioni di applicazioni controllano l'accesso alle applicazioni. Che cos'è l'accesso condizionale? Assegnare utenti e gruppi a un'applicazione |
| 7.3.3 I sistemi di controllo di accesso sono impostati su "Nega tutto" per impostazione predefinita. | Usare l'accesso condizionale per bloccare l'accesso in base alle condizioni di richiesta di accesso, ad esempio l'appartenenza a gruppi, le applicazioni, il percorso di rete, il livello di attendibilità delle credenziali e così via. Accesso condizionale: i criteri di blocco non configurati correttamente per l'accesso potrebbero contribuire a blocchi non intenzionali. Progettare una strategia di accesso di emergenza. Gestire gli account amministratore di accesso di emergenza in Microsoft Entra ID |
Passaggi successivi
I requisiti PCI-DSS 3, 4, 9 e 12 non sono applicabili all'ID Microsoft Entra, pertanto non esistono articoli corrispondenti. Per visualizzare tutti i requisiti, passare a pcisecuritystandards.org: Sito ufficiale del Consiglio per gli standard di sicurezza PCI.
Per configurare Microsoft Entra ID in modo che sia conforme a PCI-DSS, vedere gli articoli seguenti.
- Linee guida per Microsoft Entra PCI-DSS
- Requisito 1: Installare e gestire i controlli di sicurezza di rete
- Requisito 2: Applicare configurazioni sicure a tutti i componenti di sistema
- Requisito 5: Proteggere tutti i sistemi e le reti da software dannoso
- Requisito 6: Sviluppare e gestire sistemi e software sicuri
- Requisito 7: Limitare l'accesso ai componenti di sistema e ai dati dei titolari di carte da sapere per le aziende (si è qui)
- Requisito 8: Identificare gli utenti e autenticare l'accesso ai componenti di sistema
- Requisito 10: Registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati dei titolari di carte
- Requisito 11: Testare regolarmente la sicurezza dei sistemi e delle reti
- Linee guida per Microsoft Entra PCI-DSS Multi-Factor Authentication
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per