Requisito 8 di Microsoft Entra ID e PCI-DSS
Requisito 8: Identificare gli utenti e autenticare l'accesso ai componenti
di sistema- Requisiti di approccio definiti
8.1 I processi e i meccanismi per identificare gli utenti e autenticare l'accesso ai componenti di sistema sono definiti e riconosciuti.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 8.1.1 Tutti i criteri di sicurezza e le procedure operative identificate nel requisito 8 sono: Documentati mantenuti aggiornati In uso noti a tutte le parti interessate |
Usare le linee guida e i collegamenti qui riportati per produrre la documentazione per soddisfare i requisiti in base alla configurazione dell'ambiente. |
| 8.1.2 Ruoli e responsabilità per l'esecuzione di attività nel requisito 8 sono documentati, assegnati e riconosciuti. | Usare le linee guida e i collegamenti qui riportati per produrre la documentazione per soddisfare i requisiti in base alla configurazione dell'ambiente. |
8.2 L'identificazione utente e gli account correlati per utenti e amministratori vengono gestiti rigorosamente nel ciclo di vita di un account.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 8.2.1 A tutti gli utenti viene assegnato un ID univoco prima che sia consentito l'accesso ai componenti di sistema o ai dati dei titolari di carte. | Per le applicazioni CDE che si basano sull'ID Microsoft Entra, l'ID utente univoco è l'attributo UPN (User Principal Name). Popolamento di Microsoft Entra UserPrincipalName |
| 8.2.2 I gruppi, gli account condivisi o generici o altre credenziali di autenticazione condivisa vengono usati solo quando necessario in base alle eccezioni e vengono gestiti come segue: l'uso dell'account viene impedito a meno che non sia necessario per una circostanza eccezionale. L'uso è limitato al tempo necessario per la circostanza eccezionale. La motivazione aziendale per l'uso è documentata. L'uso viene approvato in modo esplicito dalla gestione Identità utente individuale viene confermato prima di concedere l'accesso a un account. Ogni azione eseguita è attribuibile a un singolo utente. |
Assicurarsi che i CDE che usano Microsoft Entra ID per l'accesso alle applicazioni abbiano processi per impedire gli account condivisi. Crearli come eccezione che richiede l'approvazione. Per le risorse cde distribuite in Azure, usare le identità gestite per le risorse di Azure per rappresentare l'identità del carico di lavoro, anziché creare un account del servizio condiviso. Informazioni sulle identità gestite per le risorse di Azure Se non è possibile usare le identità gestite e le risorse a cui si accede usano il protocollo OAuth, usare le entità servizio per rappresentare le identità del carico di lavoro. Concedere alle identità l'accesso con privilegi minimi tramite ambiti OAuth. Amministrazione istrator può limitare l'accesso e definire flussi di lavoro di approvazione per crearli. Che cosa sono le identità dei carichi di lavoro? |
| 8.2.3Requisito aggiuntivo solo per i provider di servizi: i provider di servizi con accesso remoto all'ambiente locale usano fattori di autenticazione univoci per ogni cliente locale. | Microsoft Entra ID include connettori locali per abilitare le funzionalità ibride. Connessione ors sono identificabili e usano credenziali generate in modo univoco. Microsoft Entra Connessione Sync: Informazioni e personalizzazione della sincronizzazione Sincronizzazione cloud approfondimento approfondimento sull'architettura di provisioning delle applicazioni locali di Microsoft Entra Plan cloud HR application to Microsoft Entra user provisioning Install the Microsoft Entra Connessione Health agents |
| 8.2.4 L'aggiunta, l'eliminazione e la modifica di ID utente, fattori di autenticazione e altri oggetti identificatori vengono gestiti come segue: Autorizzato con l'approvazione appropriata. Implementato con solo i privilegi specificati per l'approvazione documentata. |
Microsoft Entra ID ha automatizzato il provisioning degli account utente dai sistemi HR. Usare questa funzionalità per creare un ciclo di vita. Che cos'è il provisioning basato su risorse umane? Microsoft Entra ID include flussi di lavoro del ciclo di vita per abilitare la logica personalizzata per i processi joiner, mover e leaver. Che cosa sono i flussi di lavoro del ciclo di vita? Microsoft Entra ID ha un'interfaccia programmatica per gestire i metodi di autenticazione con Microsoft Graph. Alcuni metodi di autenticazione, ad esempio le chiavi Windows Hello for Business e FIDO2, richiedono l'intervento dell'utente per la registrazione. Introduzione all'API Metodi di autenticazione Graph Amministrazione istrators e/o automazione genera le credenziali pass di accesso temporaneo usando l'API Graph. Usare questa credenziale per l'onboarding senza password. Configurare un pass di accesso temporaneo in Microsoft Entra ID per registrare i metodi di autenticazione senza password |
| 8.2.5 L'accesso per gli utenti terminati viene immediatamente revocato. | Per revocare l'accesso a un account, disabilitare gli account locali per gli account ibridi sincronizzati da Microsoft Entra ID, disabilitare gli account in Microsoft Entra ID e revocare i token. Revocare l'accesso utente in Microsoft Entra ID Use Continuous Access Evaluation (CAE) per le applicazioni compatibili per avere una conversazione bidirezionale con Microsoft Entra ID. Le app possono ricevere notifiche di eventi, ad esempio la terminazione dell'account e rifiutare i token. Valutazione dell'accesso continuo |
| 8.2.6 Gli account utente inattivi vengono rimossi o disabilitati entro 90 giorni dall'inattività. | Per gli account ibridi, gli amministratori controllano l'attività in Active Directory e Microsoft Entra ogni 90 giorni. Per Microsoft Entra ID, usare Microsoft Graph per trovare l'ultima data di accesso. Procedura: Gestire gli account utente inattivi in Microsoft Entra ID |
| 8.2.7 Gli account usati da terze parti per accedere, supportare o gestire componenti di sistema tramite accesso remoto vengono gestiti come indicato di seguito: Abilitato solo durante il periodo di tempo necessario e disabilitato quando non è in uso. L'uso viene monitorato per attività impreviste. |
Microsoft Entra ID include funzionalità di gestione delle identità esterne. Usare il ciclo di vita guest regolamentato con la gestione entitlement. Gli utenti esterni vengono caricati nel contesto di app, risorse e pacchetti di accesso, che è possibile concedere per un periodo limitato e richiedere verifiche di accesso periodiche. Le revisioni possono comportare la rimozione o la disabilitazione dell'account. Gestire l'accesso per gli utenti esterni nella gestione entitlement Microsoft Entra ID genera eventi di rischio a livello di utente e sessione. Informazioni su come proteggere, rilevare e rispondere a attività impreviste. Che cos'è il rischio? |
| 8.2.8 Se una sessione utente è rimasta inattiva per più di 15 minuti, l'utente deve ripetere l'autenticazione per riattivare il terminale o la sessione. | Usare i criteri di gestione degli endpoint con Intune e Microsoft Endpoint Manager. Usare quindi l'accesso condizionale per consentire l'accesso da dispositivi conformi. Usare i criteri di conformità per impostare le regole per i dispositivi gestiti con Intune Se l'ambiente cde si basa su oggetti Criteri di gruppo ,configurare l'oggetto Criteri di gruppo per impostare un timeout di inattività. Configurare l'ID Microsoft Entra per consentire l'accesso dai dispositivi aggiunti all'ibrido Microsoft Entra. Dispositivi ibridi aggiunti a Microsoft Entra |
8.3 L'autenticazione avanzata per utenti e amministratori viene stabilita e gestita.
Per altre informazioni sui metodi di autenticazione di Microsoft Entra che soddisfano i requisiti PCI, vedere: Information Supplement: Multi-Factor Authentication.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 8.3.1 Tutti gli accessi utente ai componenti di sistema per utenti e amministratori vengono autenticati tramite almeno uno dei fattori di autenticazione seguenti: qualcosa che si sa, ad esempio una password o una passphrase. Qualcosa di disponibile, ad esempio un dispositivo token o una smart card. Qualcosa che sei, ad esempio un elemento biometrico. |
Microsoft Entra ID richiede metodi senza password per soddisfare i requisiti PCI Vedere distribuzione olistica senza password. Pianificare una distribuzione dell'autenticazione senza password in Microsoft Entra ID |
| 8.3.2 La crittografia avanzata viene usata per rendere leggibili tutti i fattori di autenticazione durante la trasmissione e l'archiviazione su tutti i componenti di sistema. | La crittografia usata da Microsoft Entra ID è conforme alla definizione PCI di Strong Cryptography. Considerazioni sulla protezione dei dati di Microsoft Entra |
| 8.3.3 L'identità utente viene verificata prima di modificare qualsiasi fattore di autenticazione. | Microsoft Entra ID richiede agli utenti di eseguire l'autenticazione per aggiornare i metodi di autenticazione usando il servizio self-service, ad esempio il portale mysecurityinfo e il portale di reimpostazione della password self-service. Configurare le informazioni di sicurezza da una pagina di accesso Criteri di accesso condizionale comuni: protezione della registrazione delle informazioni di sicurezza Microsoft Entra per la reimpostazione della password self-service Amministrazione istrator con ruoli con privilegi può modificare i fattori di autenticazione: Globale, Password, Utente, Autenticazione e Autenticazione con privilegi. Ruoli con privilegi minimi per attività in Microsoft Entra ID. Microsoft consiglia di abilitare l'accesso JIT e la governance, per l'accesso con privilegi tramite Microsoft Entra Privileged Identity Management |
| 8.3.4 I tentativi di autenticazione non validi sono limitati da: Blocco dell'ID utente dopo non più di 10 tentativi. Impostare la durata del blocco su un minimo di 30 minuti o fino a quando non viene confermata l'identità dell'utente. |
Distribuire Windows Hello for Business per dispositivi Windows che supportano i moduli TPM (Trusted Platform Modules) hardware 2.0 o versione successiva. Per Windows Hello for Business, il blocco è correlato al dispositivo. Il movimento, il PIN o la biometria sblocca l'accesso al TPM locale. Amministrazione istrator configurare il comportamento di blocco con criteri di gruppo o Intune. Le impostazioni di Criteri di gruppo TPM Consentono di gestire Windows Hello for Business nei dispositivi al momento della registrazione dei dispositivi con Intune TPM: Windows Hello for Business funziona per l'autenticazione locale in Active Directory e le risorse cloud in Microsoft Entra ID. Per le chiavi di sicurezza FIDO2, la protezione con forza bruta è correlata alla chiave. Il movimento, il PIN o la biometria sblocca l'accesso all'archiviazione delle chiavi locale. Amministrazione istrators configura Microsoft Entra ID per consentire la registrazione delle chiavi di sicurezza FIDO2 dai produttori allineati ai requisiti PCI. Abilitare l'accesso con chiave di sicurezza senza password all'app Microsoft Authenticator Per attenuare gli attacchi di forza bruta usando l'accesso senza password dell'app Microsoft Authenticator , abilitare la corrispondenza dei numeri e altro contesto. L'ID Microsoft Entra genera un numero casuale nel flusso di autenticazione. L'utente lo digita nell'app di autenticazione. Il prompt di autenticazione dell'app per dispositivi mobili mostra il percorso, l'indirizzo IP della richiesta e l'applicazione di richiesta. Come usare la corrispondenza dei numeri nelle notifiche MFA Come usare un contesto aggiuntivo nelle notifiche di Microsoft Authenticator |
| 8.3.5 Se le password/passphrase vengono usate come fattori di autenticazione per soddisfare il requisito 8.3.1, vengono impostate e reimpostate per ogni utente come indicato di seguito: Impostare su un valore univoco per l'uso della prima volta e dopo la reimpostazione. Forzato a essere modificato immediatamente dopo il primo utilizzo. |
Non applicabile all'ID Microsoft Entra. |
| 8.3.6 Se le password/passphrase vengono usate come fattori di autenticazione per soddisfare il requisito 8.3.1, soddisfano il livello minimo di complessità seguente: lunghezza minima di 12 caratteri (o se il sistema non supporta 12 caratteri, lunghezza minima di otto caratteri). Contengono caratteri numerici e alfabetici. |
Non applicabile all'ID Microsoft Entra. |
| 8.3.7 Gli utenti non possono inviare una nuova password/passphrase che corrisponde a una delle ultime quattro password/passphrase usate. | Non applicabile all'ID Microsoft Entra. |
| 8.3.8 I criteri e le procedure di autenticazione sono documentati e comunicati a tutti gli utenti, tra cui: Linee guida sulla selezione di fattori di autenticazione sicuri. Indicazioni su come gli utenti devono proteggere i fattori di autenticazione. Istruzioni per non riutilizzare password/passphrase usate in precedenza. Istruzioni per modificare password/passphrase in caso di sospetto o conoscenza che le password/passphrase sono state compromesse e come segnalare l'evento imprevisto. |
Documentare criteri e procedure, quindi comunicare con gli utenti in base a questo requisito. Microsoft fornisce modelli personalizzabili nell'Area download. |
| 8.3.9 Se le password/passphrase vengono usate come unico fattore di autenticazione per l'accesso utente (ovvero, in qualsiasi implementazione di autenticazione a singolo fattore), le password/passphrase vengono modificate almeno una volta ogni 90 giorni, OPPURE Il comportamento di sicurezza degli account viene analizzato dinamicamente e l'accesso in tempo reale alle risorse viene determinato automaticamente di conseguenza. |
Non applicabile all'ID Microsoft Entra. |
| 8.3.10Requisito aggiuntivo solo per i provider di servizi: se le password/passphrase vengono usate come unico fattore di autenticazione per l'accesso utente cliente ai dati dei titolari di carte (ovvero in qualsiasi implementazione di autenticazione a fattore singolo), vengono fornite indicazioni agli utenti dei clienti, incluse le indicazioni per i clienti per modificare periodicamente le password utente o le passphrase. Indicazioni su quando e in quali circostanze devono essere modificate password/passphrase. |
Non applicabile all'ID Microsoft Entra. |
| 8.3.10.1 Requisito aggiuntivo solo per i provider di servizi: se le password/passphrase vengono usate come unico fattore di autenticazione per l'accesso utente del cliente (ovvero, in qualsiasi implementazione di autenticazione a singolo fattore), le password/passphrase vengono modificate almeno una volta ogni 90 giorni, OPPURE Il comportamento di sicurezza degli account viene analizzato dinamicamente e l'accesso in tempo reale alle risorse viene determinato automaticamente di conseguenza. |
Non applicabile all'ID Microsoft Entra. |
| 8.3.11 Dove vengono usati fattori di autenticazione come token di sicurezza fisici o logici, smart card o certificati: i fattori vengono assegnati a un singolo utente e non condivisi tra più utenti. I controlli fisici e/o logici assicurano che solo l'utente desiderato possa usare tale fattore per ottenere l'accesso. |
Usare metodi di autenticazione senza password, ad esempio Windows Hello for Business, chiavi di sicurezza FIDO2 e app Microsoft Authenticator per l'accesso tramite telefono. Usare smart card basate su coppie di chiavi pubbliche o private associate agli utenti per impedire il riutilizzo. |
8.4 L'autenticazione a più fattori (MFA) viene implementata per proteggere l'accesso all'ambiente dei dati dei titolari di carte (CDE)
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 8.4.1 MFA viene implementata per tutti gli accessi non condizionali nell'ambiente cde per il personale con accesso amministrativo. | Usare l'accesso condizionale per richiedere l'autenticazione avanzata per accedere alle risorse cde. Definire i criteri per definire un ruolo amministrativo o un gruppo di sicurezza che rappresenta l'accesso amministrativo a un'applicazione. Per l'accesso amministrativo, usare Microsoft Entra Privileged Identity Management (PIM) per abilitare l'attivazione JIT (Just-In-Time) dei ruoli con privilegi. Che cos'è l'accesso condizionale? Modelli di accesso condizionale Iniziare a usare PIM |
| 8.4.2 MFA viene implementata per tutti gli accessi nell'ambiente cde. | Bloccare l'accesso ai protocolli legacy che non supportano l'autenticazione avanzata. Bloccare l'autenticazione legacy con Microsoft Entra ID con l'accesso condizionale |
| 8.4.3 MFA viene implementata per tutti gli accessi alla rete remota provenienti dall'esterno della rete dell'entità che possono accedere o influire sull'ambiente cde come indicato di seguito: Tutti gli accessi remoti da parte di tutto il personale, sia di utenti che di amministratori, provenienti dall'esterno della rete dell'entità. Tutti gli accessi remoti da terze parti e fornitori. |
Integrare tecnologie di accesso come la rete privata virtuale (VPN), desktop remoto e punti di accesso alla rete con l'ID Microsoft Entra per l'autenticazione e l'autorizzazione. Usare l'accesso condizionale per richiedere l'autenticazione avanzata per accedere alle applicazioni di accesso remoto. Modelli di accesso condizionale |
I sistemi MFA (Multi-Factor Authentication) 8.5 sono configurati per prevenire l'uso improprio.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| I sistemi MFA 8.5.1 vengono implementati come segue: il sistema MFA non è soggetto ad attacchi di riproduzione. I sistemi MFA non possono essere ignorati da utenti, inclusi gli utenti amministratori, a meno che non siano documentati in modo specifico e autorizzati dalla gestione in base a un'eccezione, per un periodo di tempo limitato. Vengono usati almeno due tipi diversi di fattori di autenticazione. L'esito positivo di tutti i fattori di autenticazione è necessario prima che venga concesso l'accesso. |
I metodi di autenticazione Microsoft Entra consigliati usano problemi o nonce. Questi metodi resistono agli attacchi di riproduzione perché Microsoft Entra ID rileva le transazioni di autenticazione riprodotte. L'app Windows Hello for Business, FIDO2 e Microsoft Authenticator per l'accesso tramite telefono senza password usa un nonce per identificare la richiesta e rilevare i tentativi di riproduzione. Usare le credenziali senza password per gli utenti nell'ambiente cde. L'autenticazione basata su certificati usa i problemi per rilevare i tentativi di riproduzione. Livello di garanzia dell'autenticatore NIST 2 con Microsoft Entra ID NIST livello di garanzia dell'autenticatore 3 tramite Microsoft Entra ID |
8.6 L'uso di account di sistema e applicazioni e fattori di autenticazione associati è strettamente gestito.
| Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
|---|---|
| 8.6.1 Se gli account usati dai sistemi o dalle applicazioni possono essere usati per l'accesso interattivo, vengono gestiti come segue: l'uso interattivo viene impedito a meno che non sia necessario per una circostanza eccezionale. L'uso interattivo è limitato al tempo necessario per le circostanze eccezionali. La motivazione aziendale per l'uso interattivo è documentata. L'uso interattivo viene approvato in modo esplicito dalla gestione. L'identità utente individuale viene confermata prima che venga concesso l'accesso all'account. Ogni azione eseguita è attribuibile a un singolo utente. |
Per le applicazioni CDE con autenticazione moderna e per le risorse cde distribuite in Azure che usano l'autenticazione moderna, Microsoft Entra ID ha due tipi di account di servizio per le applicazioni: identità gestite ed entità servizio. Informazioni sulla governance degli account del servizio Microsoft Entra: pianificazione, provisioning, ciclo di vita, monitoraggio, verifiche di accesso e così via. Governance degli account del servizio Microsoft Entra per proteggere gli account del servizio Microsoft Entra. Protezione delle identità gestite in Microsoft Entra ID Protezione delle entità servizio in Microsoft Entra ID Per CDE con risorse esterne ad Azure che richiedono l'accesso, configurare le federazioni di identità del carico di lavoro senza gestire segreti o accessi interattivi. Federazione dell'identità del carico di lavoro Per consentire l'approvazione e il rilevamento dei processi per soddisfare i requisiti, orchestrare i flussi di lavoro tramite GESTIONE dei servizi IT (ITSM) e database di gestione della configurazione (CMDB) Questi strumenti usano l'API MICROSOFT Graph per interagire con Microsoft Entra ID e gestire l'account del servizio. Per le cde che richiedono account di servizio compatibili con Active Directory locale, usare account del servizio gestito del gruppo (GMSA) e account del servizio gestito autonomi (sMSA), account computer o account utente. Protezione degli account del servizio locale |
| 8.6.2 Password/passphrase per qualsiasi applicazione e account di sistema che possono essere usati per l'accesso interattivo non sono hardcoded in script, file di configurazione/proprietà o codice sorgente personalizzato e personalizzato. | Usare account di servizio moderni, ad esempio identità gestite di Azure e entità servizio che non richiedono password. Viene effettuato il provisioning delle credenziali delle identità gestite di Microsoft Entra e ruotato nel cloud, che impedisce l'uso di segreti condivisi, ad esempio password e passphrase. Quando si usano identità gestite assegnate dal sistema, il ciclo di vita è associato al ciclo di vita delle risorse di Azure sottostante. Usare le entità servizio per usare i certificati come credenziali, che impedisce l'uso di segreti condivisi, ad esempio password e passphrase. Se i certificati non sono fattibili, usare Azure Key Vault per archiviare i segreti client dell'entità servizio. Procedure consigliate per l'uso di Azure Key Vault per cde con risorse esterne ad Azure che richiedono l'accesso, configurare le federazioni di identità del carico di lavoro senza gestire segreti o accessi interattivi. Federazione dell'identità del carico di lavoro Distribuire l'accesso condizionale per le identità del carico di lavoro per controllare l'autorizzazione in base alla posizione e/o al livello di rischio. Accesso condizionale per le identità del carico di lavoro Oltre alle indicazioni precedenti, usare gli strumenti di analisi del codice per rilevare segreti hardcoded nei file di codice e configurazione. Rilevare i segreti esposti nelle regole di sicurezza del codice |
| 8.6.3 Le password/passphrase per qualsiasi applicazione e account di sistema sono protette dall'uso improprio, come indicato di seguito: Le password/passphrase vengono modificate periodicamente (con la frequenza definita nell'analisi dei rischi mirata dell'entità, eseguita in base a tutti gli elementi specificati nel requisito 12.3.1) e al sospetto o alla conferma della compromissione. Password/passphrase vengono costruite con una complessità sufficiente appropriata per la frequenza con cui l'entità modifica le password/passphrase. |
Usare account di servizio moderni, ad esempio identità gestite di Azure e entità servizio che non richiedono password. Per le eccezioni che richiedono entità servizio con segreti, ciclo di vita astratto dei segreti con flussi di lavoro e automazione che imposta password casuali sulle entità servizio, le ruota regolarmente e reagisce agli eventi di rischio. I team delle operazioni di sicurezza possono esaminare e correggere i report generati da Microsoft Entra, ad esempio identità del carico di lavoro rischiose. Protezione delle identità del carico di lavoro con Identity Protection |
Passaggi successivi
I requisiti PCI-DSS 3, 4, 9 e 12 non sono applicabili all'ID Microsoft Entra, pertanto non esistono articoli corrispondenti. Per visualizzare tutti i requisiti, passare a pcisecuritystandards.org: Sito ufficiale del Consiglio per gli standard di sicurezza PCI.
Per configurare Microsoft Entra ID in modo che sia conforme a PCI-DSS, vedere gli articoli seguenti.
- Linee guida per Microsoft Entra PCI-DSS
- Requisito 1: Installare e gestire i controlli di sicurezza di rete
- Requisito 2: Applicare configurazioni sicure a tutti i componenti di sistema
- Requisito 5: Proteggere tutti i sistemi e le reti da software dannoso
- Requisito 6: Sviluppare e gestire sistemi e software sicuri
- Requisito 7: Limitare l'accesso ai componenti di sistema e ai dati dei titolari di carte in base alle esigenze aziendali
- Requisito 8: Identificare gli utenti e autenticare l'accesso ai componenti di sistema (qui)
- Requisito 10: Registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati dei titolari di carte
- Requisito 11: Testare regolarmente la sicurezza dei sistemi e delle reti
- Linee guida per Microsoft Entra PCI-DSS Multi-Factor Authentication
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per