Requisito 7 di Microsoft Entra ID e PCI-DSS
Requisito 7: Limitare l'accesso ai componenti di sistema e ai dati di titolari di carte per necessità aziendali
Requisiti di approccio definiti
7.1 I processi e i meccanismi per limitare l'accesso ai componenti di sistema e ai dati dei titolari di carte per necessità aziendali devono essere definiti e riconosciuti.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 7.1.1 Tutti i criteri di sicurezza e le procedure operative identificate nel Requisito 7 sono: Documentati Mantenuti aggiornati In uso Noti a tutte le parti interessate |
Integrare l'accesso alle applicazioni per ambiente dati dei titolari di carte (CDE) con Microsoft Entra ID per l'autenticazione e l'autorizzazione. Documentare i criteri di accesso condizionale per le tecnologie di accesso remoto. Automatizzare con l'API Microsoft Graph e PowerShell. Accesso condizionale: Accesso programmatico Archivia i log di controllo di Microsoft Entra per registrare le modifiche ai criteri di sicurezza e la configurazione del tenant di Microsoft Entra. Per registrare l'utilizzo, archiviare i log di accesso di Microsoft Entra in un sistema di informazioni di sicurezza e gestione degli eventi (SIEM - Security Information and Event Management). Log attività di Microsoft Entra in Monitoraggio di Azure |
| 7.1.2 Ruoli e responsabilità per l'esecuzione di attività nel Requisito 7 sono documentati, assegnati e riconosciuti. | Integrare l'accesso alle applicazioni CDE con Microsoft Entra ID per l'autenticazione e l'autorizzazione. - Assegnare ruoli utente alle applicazioni o con appartenenza a gruppi - Usare Microsoft Graph per elencare le assegnazioni di applicazioni - Usare i log di controllo di Microsoft Entra per tenere traccia delle modifiche alle assegnazioni. Elencare appRoleAssignments concessi a un utente Get-MgServicePrincipalAppRoleAssignedTo Accesso con privilegi Usare i log di controllo di Microsoft Entra per tenere traccia delle assegnazioni di ruolo della directory. Ruoli di amministratore rilevanti per questo requisito PCI: - Globale - Applicazione - Autenticazione - Criteri di autenticazione - Identità ibrida Per implementare l'accesso con privilegi minimi, usare Microsoft Entra ID per creare ruoli di directory personalizzati. Se si compilano parti di CDE in Azure, documentare assegnazioni di ruolo con privilegi come Proprietario, Collaboratore, Amministratore accesso utenti e così via e ruoli personalizzati della sottoscrizione in cui vengono distribuite le risorse CDE. Microsoft consiglia di abilitare l'accesso JIT (Just-In-Time) ai ruoli usando Privileged Identity Management (PIM). PIM consente l'accesso JIT ai gruppi di sicurezza di Microsoft Entra per scenari in cui l'appartenenza al gruppo rappresenta l'accesso con privilegi alle applicazioni o alle risorse CDE. Ruoli predefiniti di Microsoft Entra Guida di riferimento alle operazioni di gestione delle identità e degli accessi di Microsoft Entra Creare e assegnare un ruolo personalizzato in Microsoft Entra ID Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Microsoft Entra ID Che cos'è Microsoft Entra Privileged Identity Management? Procedure consigliate per tutte le architetture di isolamento PIM per i Gruppi |
7.2 L'accesso ai componenti e ai dati di sistema è definito e assegnato in modo appropriato.
| Requisiti di approccio definiti dallo standard PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 7.2.1 Un modello di controllo di accesso è definito e include la concessione dell'accesso come indicato di seguito: Accesso appropriato a seconda delle esigenze aziendali e di accesso dell'entità. Accesso ai componenti di sistema e alle risorse dati basate sulla classificazione e sulle funzioni dei processi degli utenti. Privilegi minimi necessari (ad esempio, utente, amministratore) per eseguire una funzione di processo. |
Usare Microsoft Entra ID per assegnare gli utenti ai ruoli nelle applicazioni direttamente o tramite appartenenze ai gruppi. Le organizzazioni con tassonomia standardizzata implementata come attributi possono automatizzare le concessioni di accesso in base alla classificazione e alla funzione dei processi utente. Usare i gruppi di Microsoft Entra con l'appartenenza ai gruppi e i pacchetti di accesso alla gestione entitlement di Microsoft Entra con criteri di assegnazione dinamica. Usare la gestione entitlement per definire la separazione dei compiti per delineare i privilegi minimi. PIM consente l'accesso JIT ai gruppi di sicurezza di Microsoft Entra per scenari personalizzati in cui l'appartenenza ai gruppi rappresenta l'accesso con privilegi alle applicazioni o alle risorse CDE. Gestire le regole per i gruppi di appartenenza dinamica Configurare un criterio di assegnazione automatica per un pacchetto di accesso nella gestione entitlement Configurare la separazione dei compiti per un pacchetto di accesso nella gestione entitlement PIM per i Gruppi |
| 7.2.2 L'accesso viene assegnato agli utenti, inclusi gli utenti con privilegi, in base a: Classificazione e funzione dei processi. Privilegi minimi necessari per eseguire le responsabilità del processo. |
Usare Microsoft Entra ID per assegnare gli utenti ai ruoli nelle applicazioni direttamente o tramite l'appartenenza ai gruppi. Le organizzazioni con tassonomia standardizzata implementata come gli attributi possono automatizzare le concessioni di accesso in base alla classificazione e alla funzione dei processi utente. Usare i gruppi di Microsoft Entra con l'appartenenza ai gruppi e i pacchetti di accesso alla gestione entitlement di Microsoft Entra con criteri di assegnazione dinamica. Usare la gestione entitlement per definire la separazione dei compiti per delineare i privilegi minimi. PIM consente l'accesso JIT ai gruppi di sicurezza di Microsoft Entra per scenari personalizzati in cui l'appartenenza ai gruppi rappresenta l'accesso con privilegi alle applicazioni o alle risorse CDE. Gestire le regole per i gruppi di appartenenza dinamica Configurare un criterio di assegnazione automatica per un pacchetto di accesso nella gestione entitlement Configurare la separazione dei compiti per un pacchetto di accesso nella gestione entitlement PIM per i Gruppi |
| 7.2.3 I privilegi necessari sono approvati dal personale autorizzato. | La gestione entitlement supporta i flussi di lavoro di approvazione per concedere l'accesso alle risorse e verifiche di accesso periodiche. Approvare o negare le richieste di accesso nella gestione entitlement Esaminare l'accesso di un pacchetto di accesso in gestione entitlement PIM supporta i flussi di lavoro di approvazione per attivare i ruoli della directory di Microsoft Entra e i ruoli di Azure e i gruppi cloud. Approvare o negare le richieste per i ruoli di Microsoft Entra in PIM Approvare le richieste di attivazione per i membri e i proprietari del gruppo |
| 7.2.4 Tutti gli account utente e i privilegi di accesso correlati, inclusi gli account di terze parti/fornitori, vengono esaminati come segue: Almeno una volta ogni sei mesi. Per garantire che gli account utente e l'accesso rimangano appropriati in base alla funzione del processo. Qualsiasi accesso inappropriato viene risolto. La gestione riconosce che l'accesso rimane appropriato. |
Se si concede l'accesso alle applicazioni usando l'assegnazione diretta o l'appartenenza al gruppo, configurare le verifiche di accesso a Microsoft Entra. Se si concede l'accesso alle applicazioni usando la gestione entitlement, abilitare le verifiche di accesso a livello di pacchetto di accesso. Creare una verifica di accesso di un pacchetto di accesso nella gestione entitlement Usare Microsoft Entra per ID esterno per gli account di terze parti e fornitori. È possibile eseguire verifiche di accesso destinate a identità esterne, ad esempio account di terze parti o fornitori. Gestire l'accesso guest con le verifiche di accesso |
| 7.2.5 Tutti gli account applicazione e di sistema e i privilegi di accesso correlati vengono assegnati e gestiti come segue: in base ai privilegi minimi necessari per l'operabilità del sistema o dell'applicazione. L'accesso è limitato ai sistemi, alle applicazioni o ai processi che richiedono in modo specifico l'uso. |
Usare Microsoft Entra ID per assegnare gli utenti ai ruoli nelle applicazioni direttamente o tramite l'appartenenza ai gruppi. Le organizzazioni con tassonomia standardizzata implementata come gli attributi possono automatizzare le concessioni di accesso in base alla classificazione e alla funzione dei processi utente. Usare i gruppi di Microsoft Entra con l'appartenenza ai gruppi e i pacchetti di accesso alla gestione entitlement di Microsoft Entra con criteri di assegnazione dinamica. Usare la gestione entitlement per definire la separazione dei compiti per delineare i privilegi minimi. PIM consente l'accesso JIT ai gruppi di sicurezza di Microsoft Entra per scenari personalizzati in cui l'appartenenza ai gruppi rappresenta l'accesso con privilegi alle applicazioni o alle risorse CDE. Gestire le regole per i gruppi di appartenenza dinamica Configurare un criterio di assegnazione automatica per un pacchetto di accesso nella gestione entitlement Configurare la separazione dei compiti per un pacchetto di accesso nella gestione entitlement PIM per i Gruppi |
| 7.2.5.1 Tutti gli accessi da parte degli account di sistema e dell'applicazione e dei privilegi di accesso correlati vengono esaminati come segue: periodicamente (alla frequenza definita nell'analisi dei rischi mirata dell'entità, eseguita in base a tutti gli elementi specificati nel Requisito 12.3.1). L'accesso all'applicazione/sistema rimane appropriato per la funzione eseguita. Qualsiasi accesso inappropriato viene risolto. La gestione riconosce che l'accesso rimane appropriato. |
Procedure consigliate per la revisione delle autorizzazioni degli account del servizio. Regolamentare gli account del servizio Microsoft Entra Regolamentare gli account di servizio locale |
| 7.2.6 L'accesso utente ai repository di query dei dati dei titolari di carte archiviati è limitato come segue: tramite applicazioni o altri metodi programmatici, con accesso e azioni consentite in base ai ruoli utente e ai privilegi minimi. Solo gli amministratori responsabili possono accedere direttamente o eseguire query sui repository di dati di titolari di carte archiviati (CHD). |
Le applicazioni moderne consentono metodi programmatici che limitano l'accesso ai repository di dati. Integrare applicazioni con Microsoft Entra ID usando protocolli di autenticazione moderni, ad esempio OAuth e OpenID connect (OIDC). Protocolli OAuth 2.0 e OIDC in Microsoft Identity Platform Definire ruoli specifici dell'applicazione per modellare l'accesso utente con privilegi e senza privilegi. Assegnare i ruoli a utenti e gruppi Aggiungere ruoli dell'app all'applicazione e riceverli nel token Per le API esposte dall'applicazione, definire gli ambiti OAuth per abilitare il consenso dell'utente e dell'amministratore. Ambiti e autorizzazioni in Microsoft Identity Platform Modellare l'accesso con privilegi e senza privilegi ai repository con l'approccio seguente ed evitare l'accesso diretto al repository. Se gli amministratori e gli operatori richiedono l'accesso, concederlo in base alla piattaforma sottostante. Ad esempio, le assegnazioni ARM IAM in Azure, le finestre degli elenchi di controllo di accesso (ACL) e così via. Vedere le linee guida sull'architettura che includono la protezione dell'applicazione platform-as-a-service (PaaS) e infrastructure-as-a-service (IaaS) in Azure. Centro architetture di Azure |
7.3 L'accesso ai componenti e ai dati di sistema viene gestito tramite uno o più sistemi di controllo di accesso
| Requisiti di approccio definiti dallo standard PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 7.3.1 È in atto un sistema di controllo di accesso che limita l'accesso in base alla necessità di un utente di conoscere e copre tutti i componenti di sistema. | Integrare l'accesso alle applicazioni nell'ambiente CDE con Microsoft Entra ID come autenticazione e autorizzazione del sistema di controllo di accesso. I criteri di accesso condizionale, con assegnazioni di applicazioni controllano l'accesso alle applicazioni. Che cos'è l'accesso condizionale? Assegnare utenti e gruppi a un'applicazione |
| 7.3.2 I sistemi di controllo di accesso sono configurati per applicare le autorizzazioni assegnate a singoli utenti, applicazioni e sistemi in base alla classificazione e alla funzione dei processi. | Integrare l'accesso alle applicazioni nell'ambiente CDE con Microsoft Entra ID come autenticazione e autorizzazione del sistema di controllo di accesso. I criteri di accesso condizionale, con assegnazioni di applicazioni controllano l'accesso alle applicazioni. Che cos'è l'accesso condizionale? Assegnare utenti e gruppi a un'applicazione |
| 7.3.3 I sistemi di controllo di accesso sono impostati su "Nega tutto" per impostazione predefinita. | Usare l'accesso condizionale per bloccare l'accesso in base alle condizioni di richiesta di accesso, ad esempio l'appartenenza a gruppi, le applicazioni, il percorso di rete, il livello di attendibilità delle credenziali e così via. Accesso condizionale: blocca l'accesso I criteri di blocco non configurati correttamente potrebbero contribuire a blocchi non intenzionali. Progettare una strategia di accesso di emergenza. Gestire gli account amministrativi di accesso di emergenza in Microsoft Entra ID |
Passaggi successivi
I requisiti PCI-DSS 3, 4, 9 e 12 non sono applicabili a Microsoft Entra ID, pertanto non esistono articoli corrispondenti. Per visualizzare tutti i requisiti, passare a pcisecuritystandards.org: Sito ufficiale del Consiglio per gli standard di sicurezza PCI.
Per configurare Microsoft Entra ID in modo che sia conforme a PCI-DSS, vedere gli articoli seguenti.
- Linee guida per Microsoft Entra PCI-DSS
- Requisito 1: Installare e mantenere i controlli di sicurezza di rete
- Requisito 2: Applicare configurazioni sicure a tutti i componenti di sistema
- Requisito 5: Proteggere tutti i sistemi e le reti da software dannosi
- Requisito 6: Sviluppare e gestire sistemi e software sicuri
- Requisito 7: Limitare l'accesso ai componenti di sistema e ai dati di titolari di carte al personale autorizzato per necessità aziendali (Ti trovi qui)
- Requisito 8: Identificare gli utenti e autenticare l'accesso ai componenti di sistema
- Requisito 10: Registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati di titolari di carte
- Requisito 11: Testare regolarmente la sicurezza dei sistemi e delle reti
- Materiale sussdiario per Microsoft Entra PCI-DSS Multi-Factor Authentication