Microsoft Entra ID en PCI-DSS-vereiste 7

Artikel
10/28/2023

Vereiste 7: Toegang beperken tot systeemonderdelen en gegevens van kaartaanduidingen door zakelijke behoefte aan
gedefinieerde benaderingsvereisten

7.1 Processen en mechanismen voor het beperken van de toegang tot systeemonderdelen en gegevens van kaartaanduidingen door zakelijke behoeften worden gedefinieerd en begrepen.

Vereisten voor gedefinieerde PCI-DSS-benadering	Richtlijnen en aanbevelingen voor Microsoft Entra
7.1.1 Alle beveiligingsbeleidsregels en operationele procedures die zijn geïdentificeerd in vereiste 7 zijn: Gedocumenteerd up-to-date in gebruik Bekend bij alle betrokken partijen	Integreer toegang tot CDE-toepassingen (CardHolder Data Environment) met Microsoft Entra-id voor verificatie en autorisatie. Documenteer beleid voor voorwaardelijke toegang voor technologieën voor externe toegang. Automatiseren met Microsoft Graph API en PowerShell. Voorwaardelijke toegang: Programmatische toegang archiveer de auditlogboeken van Microsoft Entra om wijzigingen in het beveiligingsbeleid en de configuratie van de Microsoft Entra-tenant vast te leggen. Als u gebruik wilt vastleggen, archiveert u aanmeldingslogboeken van Microsoft Entra in een SIEM-systeem (Security Information and Event Management). Microsoft Entra-activiteitenlogboeken in Azure Monitor
7.1.2 Rollen en verantwoordelijkheden voor het uitvoeren van activiteiten in Vereiste 7 worden gedocumenteerd, toegewezen en begrepen.	Integreer toegang tot CDE-toepassingen met Microsoft Entra-id voor verificatie en autorisatie. - Gebruikersrollen toewijzen aan toepassingen of met groepslidmaatschap - Microsoft Graph gebruiken om toepassingstoewijzingen weer te geven - Gebruik Auditlogboeken van Microsoft Entra om toewijzingswijzigingen bij te houden. Lijst met appRoleAssignments verleend aan een gebruiker Get-MgServicePrincipalAppRoleAssignedTo Bevoegde toegang Gebruik Auditlogboeken van Microsoft Entra om maproltoewijzingen bij te houden. Beheerdersrollen die relevant zijn voor deze PCI-vereiste: - Global - Application - Authentication - Authentication Policy - Hybrid Identity To implement least privilege access, use Microsoft Entra ID to create custom directory roles. Als u gedeelten van CDE in Azure bouwt, worden roltoewijzingen met bevoegdheden voor documenten, zoals Eigenaar, Inzender, Beheerder voor gebruikerstoegang, enzovoort, en aangepaste abonnementsrollen gemaakt waarin CDE-resources worden geïmplementeerd. Microsoft raadt u aan Om Just-In-Time (JIT) toegang tot rollen in te schakelen met behulp van Privileged Identity Management (PIM). PIM maakt JIT-toegang tot Microsoft Entra-beveiligingsgroepen mogelijk voor scenario's waarin groepslidmaatschap bevoegde toegang tot CDE-toepassingen of -resources vertegenwoordigt. Microsoft Entra ingebouwde rollen Microsoft Entra identity and access management operations reference guide Create and assign a custom role in Microsoft Entra ID Securing privileged access for hybrid and cloud deployments in Microsoft Entra ID What is Microsoft Entra Privileged Identity Management? Best practices voor alle isolatiearchitecturen PIM voor groepen

Vereisten voor gedefinieerde PCI-DSS-benadering

Richtlijnen en aanbevelingen voor Microsoft Entra

7.1.1 Alle beveiligingsbeleidsregels en operationele procedures die zijn geïdentificeerd in vereiste 7 zijn:
Gedocumenteerd
up-to-date
in gebruik
Bekend bij alle betrokken partijen

Integreer toegang tot CDE-toepassingen (CardHolder Data Environment) met Microsoft Entra-id voor verificatie en autorisatie.
Documenteer beleid voor voorwaardelijke toegang voor technologieën voor externe toegang. Automatiseren met Microsoft Graph API en PowerShell. Voorwaardelijke toegang: Programmatische toegang
archiveer de auditlogboeken van Microsoft Entra om wijzigingen in het beveiligingsbeleid en de configuratie van de Microsoft Entra-tenant vast te leggen. Als u gebruik wilt vastleggen, archiveert u aanmeldingslogboeken van Microsoft Entra in een SIEM-systeem (Security Information and Event Management). Microsoft Entra-activiteitenlogboeken in Azure Monitor

7.1.2 Rollen en verantwoordelijkheden voor het uitvoeren van activiteiten in Vereiste 7 worden gedocumenteerd, toegewezen en begrepen.

Integreer toegang tot CDE-toepassingen met Microsoft Entra-id voor verificatie en autorisatie.
- Gebruikersrollen toewijzen aan toepassingen of met groepslidmaatschap
- Microsoft Graph gebruiken om toepassingstoewijzingen weer te geven - Gebruik Auditlogboeken van Microsoft Entra om toewijzingswijzigingen
bij te houden.
Lijst met appRoleAssignments verleend aan een gebruiker
Get-MgServicePrincipalAppRoleAssignedTo

Bevoegde toegang
Gebruik Auditlogboeken van Microsoft Entra om maproltoewijzingen bij te houden. Beheerdersrollen die relevant zijn voor deze PCI-vereiste:
- Global
- Application
- Authentication - Authentication
Policy
- Hybrid Identity
To implement least privilege access, use Microsoft Entra ID to create custom directory roles.
Als u gedeelten van CDE in Azure bouwt, worden roltoewijzingen met bevoegdheden voor documenten, zoals Eigenaar, Inzender, Beheerder voor gebruikerstoegang, enzovoort, en aangepaste abonnementsrollen gemaakt waarin CDE-resources worden geïmplementeerd.
Microsoft raadt u aan Om Just-In-Time (JIT) toegang tot rollen in te schakelen met behulp van Privileged Identity Management (PIM). PIM maakt JIT-toegang tot Microsoft Entra-beveiligingsgroepen mogelijk voor scenario's waarin groepslidmaatschap bevoegde toegang tot CDE-toepassingen of -resources vertegenwoordigt. Microsoft Entra ingebouwde rollen
Microsoft Entra identity and access management operations reference guide
Create and assign a custom role in Microsoft Entra ID
Securing privileged access for hybrid and cloud deployments in Microsoft Entra ID
What is Microsoft Entra Privileged Identity Management?
Best practices voor alle isolatiearchitecturen
PIM voor groepen

7.2 Toegang tot systeemonderdelen en -gegevens is op de juiste wijze gedefinieerd en toegewezen.

Vereisten voor gedefinieerde PCI-DSS-benadering	Richtlijnen en aanbevelingen voor Microsoft Entra
7.2.1 Een toegangsbeheermodel wordt gedefinieerd en omvat het verlenen van toegang als volgt: De juiste toegang, afhankelijk van de bedrijfs- en toegangsbehoeften van de entiteit. Toegang tot systeemonderdelen en gegevensbronnen die zijn gebaseerd op de taakclassificatie en -functies van gebruikers. De minimale bevoegdheden die zijn vereist (bijvoorbeeld gebruiker, beheerder) om een taakfunctie uit te voeren.	Gebruik Microsoft Entra ID om gebruikers rechtstreeks of via groepslidmaatschap toe te wijzen aan rollen in toepassingen. Organisaties met gestandaardiseerde taxonomie die als kenmerken zijn geïmplementeerd, kunnen toegangstoekenningen automatiseren op basis van classificatie en functie van gebruikerstaken. Gebruik Microsoft Entra-groepen met dynamisch lidmaatschap en Toegangspakketten voor Toegangsbeheer voor Microsoft Entra-rechten met dynamisch toewijzingsbeleid. Gebruik rechtenbeheer om scheiding van taken te definiëren om minimale bevoegdheden af te bakenen. PIM maakt JIT-toegang tot Microsoft Entra-beveiligingsgroepen mogelijk voor aangepaste scenario's waarbij groepslidmaatschap bevoegde toegang tot CDE-toepassingen of -resources vertegenwoordigt. Dynamische lidmaatschapsregels voor groepen in Microsoft Entra ID Configureer een beleid voor automatische toewijzing voor een toegangspakket in rechtenbeheer Scheiding van taken configureren voor een toegangspakket in rechtenbeheer PIM voor Groepen
7.2.2 Access wordt toegewezen aan gebruikers, met inbegrip van bevoegde gebruikers, op basis van: Taakclassificatie en functie. Minimale bevoegdheden die nodig zijn om taakverantwoordelijkheden uit te voeren.	Gebruik Microsoft Entra ID om gebruikers rechtstreeks of via groepslidmaatschap toe te wijzen aan rollen in toepassingen. Organisaties met gestandaardiseerde taxonomie die als kenmerken zijn geïmplementeerd, kunnen toegangstoekenningen automatiseren op basis van classificatie en functie van gebruikerstaken. Gebruik Microsoft Entra-groepen met dynamisch lidmaatschap en Toegangspakketten voor Toegangsbeheer voor Microsoft Entra-rechten met dynamisch toewijzingsbeleid. Gebruik rechtenbeheer om scheiding van taken te definiëren om minimale bevoegdheden af te bakenen. PIM maakt JIT-toegang tot Microsoft Entra-beveiligingsgroepen mogelijk voor aangepaste scenario's waarbij groepslidmaatschap bevoegde toegang tot CDE-toepassingen of -resources vertegenwoordigt. Dynamische lidmaatschapsregels voor groepen in Microsoft Entra ID Configureer een beleid voor automatische toewijzing voor een toegangspakket in rechtenbeheer Scheiding van taken configureren voor een toegangspakket in rechtenbeheer PIM voor Groepen
7.2.3 Vereiste bevoegdheden worden goedgekeurd door geautoriseerd personeel.	Rechtenbeheer ondersteunt goedkeuringswerkstromen voor het verlenen van toegang tot resources en periodieke toegangsbeoordelingen. Toegangsaanvragen goedkeuren of weigeren in rechtenbeheer Controleer de toegang van een toegangspakket in rechtenbeheer PIM ondersteunt goedkeuringswerkstromen voor het activeren van Microsoft Entra-directoryrollen en Azure-rollen en cloudgroepen. Aanvragen voor Microsoft Entra-rollen goedkeuren of weigeren in PIM Activeringsaanvragen goedkeuren voor groepsleden en eigenaren
7.2.4 Alle gebruikersaccounts en gerelateerde toegangsbevoegdheden, inclusief accounts van derden/leveranciers, worden als volgt beoordeeld: Ten minste één keer per zes maanden. Om ervoor te zorgen dat gebruikersaccounts en -toegang geschikt blijven op basis van de functie van de taak. Eventuele ongepaste toegang wordt aangepakt. Het beheer erkent dat de toegang passend blijft.	Als u toegang verleent aan toepassingen met behulp van directe toewijzing of met groepslidmaatschap, configureert u Microsoft Entra-toegangsbeoordelingen. Als u toegang verleent aan toepassingen met rechtenbeheer, schakelt u toegangsbeoordelingen in op het niveau van het toegangspakket. Maak een toegangsbeoordeling van een toegangspakket in rechtenbeheer Gebruik Microsoft Entra Externe ID voor accounts van derden en leveranciers. U kunt toegangsbeoordelingen uitvoeren die gericht zijn op externe identiteiten, bijvoorbeeld accounts van derden of leveranciers. Gastentoegang beheren met toegangsbeoordelingen
7.2.5 Alle toepassings- en systeemaccounts en gerelateerde toegangsbevoegdheden worden als volgt toegewezen en beheerd: Op basis van de minste bevoegdheden die nodig zijn voor de operabiliteit van het systeem of de toepassing. Toegang is beperkt tot de systemen, toepassingen of processen die specifiek hun gebruik vereisen.	Gebruik Microsoft Entra ID om gebruikers rechtstreeks of via groepslidmaatschap toe te wijzen aan rollen in toepassingen. Organisaties met gestandaardiseerde taxonomie die als kenmerken zijn geïmplementeerd, kunnen toegangstoekenningen automatiseren op basis van classificatie en functie van gebruikerstaken. Gebruik Microsoft Entra-groepen met dynamisch lidmaatschap en Toegangspakketten voor Toegangsbeheer voor Microsoft Entra-rechten met dynamisch toewijzingsbeleid. Gebruik rechtenbeheer om scheiding van taken te definiëren om minimale bevoegdheden af te bakenen. PIM maakt JIT-toegang tot Microsoft Entra-beveiligingsgroepen mogelijk voor aangepaste scenario's waarbij groepslidmaatschap bevoegde toegang tot CDE-toepassingen of -resources vertegenwoordigt. Dynamische lidmaatschapsregels voor groepen in Microsoft Entra ID Configureer een beleid voor automatische toewijzing voor een toegangspakket in rechtenbeheer Scheiding van taken configureren voor een toegangspakket in rechtenbeheer PIM voor Groepen
7.2.5.1 Alle toegang door toepassings- en systeemaccounts en gerelateerde toegangsbevoegdheden worden als volgt beoordeeld: Periodiek (met de frequentie die is gedefinieerd in de beoogde risicoanalyse van de entiteit, die wordt uitgevoerd op basis van alle elementen die zijn opgegeven in Vereiste 12.3.1). De toegang tot de toepassing/het systeem blijft geschikt voor de functie die wordt uitgevoerd. Eventuele ongepaste toegang wordt aangepakt. Het beheer erkent dat de toegang passend blijft.	Aanbevolen procedures bij het controleren van machtigingen voor serviceaccounts. Microsoft Entra-serviceaccounts beheren on-premises serviceaccounts
7.2.6 Alle gebruikerstoegang tot queryopslagplaatsen van opgeslagen gegevens van de kaarthouder is als volgt beperkt: Via toepassingen of andere programmatische methoden, met toegang en toegestane acties op basis van gebruikersrollen en minimale bevoegdheden. Alleen de verantwoordelijke beheerder(s) kunnen rechtstreeks toegang krijgen tot of query's uitvoeren op opslagplaatsen van opgeslagen kaarthoudergegevens (CHD).	Moderne toepassingen maken programmatische methoden mogelijk die de toegang tot gegevensopslagplaatsen beperken. Integreer toepassingen met Microsoft Entra ID met behulp van moderne verificatieprotocollen zoals OAuth en OpenID Connect (OIDC). OAuth 2.0- en OIDC-protocollen op het Microsoft Identity Platform Definieer toepassingsspecifieke rollen om bevoegde en niet-gemachtigde gebruikerstoegang te modelleren. Gebruikers of groepen toewijzen aan rollen. Voeg app-rollen toe aan uw toepassing en ontvang deze in het token voor API's die door uw toepassing worden weergegeven, OAuth-bereiken om toestemming van gebruikers en beheerders in te schakelen. Bereiken en machtigingen in het Microsoft Identity Platform Model bevoegde en niet-bevoegde toegang tot de opslagplaatsen met de volgende aanpak en vermijd directe toegang tot opslagplaatsen. Als beheerders en operators toegang nodig hebben, verleent u deze aan het onderliggende platform. Arm IAM-toewijzingen in Azure, toegangsbeheerlijsten (ACL's) enzovoort. Zie architectuurrichtlijnen voor het beveiligen van PaaS (Platform-as-a-Service) en IaaS (Infrastructure as a Service) in Azure. Azure Architecture Center

7.3 Toegang tot systeemonderdelen en gegevens wordt beheerd via een of meer toegangsbeheersystemen.

Vereisten voor gedefinieerde PCI-DSS-benadering	Richtlijnen en aanbevelingen voor Microsoft Entra
7.3.1 Er is een of meer systemen voor toegangsbeheer die de toegang beperken op basis van de noodzaak van een gebruiker om alle systeemonderdelen te kennen en te dekken.	Integreer toegang tot toepassingen in de CDE met Microsoft Entra ID als verificatie en autorisatie van het toegangsbeheersysteem. Beleid voor voorwaardelijke toegang, met toepassingstoewijzingen beheren de toegang tot toepassingen. Wat is voorwaardelijke toegang? Gebruikers en groepen toewijzen aan een toepassing
7.3.2 Het toegangsbeheersysteem(en) is geconfigureerd voor het afdwingen van machtigingen die zijn toegewezen aan personen, toepassingen en systemen op basis van taakclassificatie en -functie.	Integreer toegang tot toepassingen in de CDE met Microsoft Entra ID als verificatie en autorisatie van het toegangsbeheersysteem. Beleid voor voorwaardelijke toegang, met toepassingstoewijzingen beheren de toegang tot toepassingen. Wat is voorwaardelijke toegang? Gebruikers en groepen toewijzen aan een toepassing
7.3.3 Het toegangsbeheersysteem(en) is standaard ingesteld op Alles weigeren.	Gebruik Voorwaardelijke toegang om toegang te blokkeren op basis van voorwaarden voor toegangsaanvragen, zoals groepslidmaatschap, toepassingen, netwerklocatie, referentiesterkte, enzovoort. Voorwaardelijke toegang: Het blokkeren van onjuist geconfigureerde blokkeringsbeleid kan bijdragen aan onbedoelde vergrendelingen. Ontwerp een strategie voor toegang tot noodgevallen. Beheerdersaccounts voor noodtoegang beheren in Microsoft Entra-id

Volgende stappen

PCI-DSS-vereisten 3, 4, 9 en 12 zijn niet van toepassing op Microsoft Entra-id, daarom zijn er geen bijbehorende artikelen. Als u alle vereisten wilt zien, gaat u naar pcisecuritystandards.org: officiële site van de PCI Security Standards Council.

Zie de volgende artikelen voor het configureren van Microsoft Entra ID om te voldoen aan PCI-DSS.

Delen via