Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Vereiste 7: Beperk de toegang tot systeemonderdelen en kaarthoudergegevens op basis van zakelijke noodzakelijkheid
Vereisten voor gedefinieerde benaderingen
7.1 Processen en mechanismen voor het beperken van toegang tot systeemonderdelen en kaartgegevens op basis van noodzaak zijn vastgesteld en begrepen.
| Vereisten voor gedefinieerde PCI-DSS-benadering | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
|
7.1.1 Alle beveiligingsbeleidsregels en operationele procedures die zijn geïdentificeerd in vereiste 7 zijn: Gedocumenteerd up-to-date in gebruik Bekend bij alle betrokken partijen |
Integreer toegang tot applicaties in de Cardholder Data Environment (CDE) met Microsoft Entra ID voor verificatie en autorisatie.
Document voorwaardelijke toegang beleidsregels voor externe toegangstechnologieën. Automatiseren met Microsoft Graph API en PowerShell. Conditional Access: Programmatic access Archiveer de Microsoft Entra-auditlogs om wijzigingen in het beveiligingsbeleid en de configuratie van de Microsoft Entra-tenant vast te leggen. Als u gebruik wilt vastleggen, archiveert u aanmeldingslogboeken van Microsoft Entra in een SIEM-systeem (Security Information and Event Management). Microsoft Entra-activiteitenlogboeken in Azure Monitor |
| 7.1.2 Rollen en verantwoordelijkheden voor het uitvoeren van activiteiten in Vereiste 7 worden gedocumenteerd, toegewezen en begrepen. | Integreer toegang tot CDE-toepassingen met Microsoft Entra ID voor authenticatie en autorisatie.
- Wijs gebruikersrollen toe aan toepassingen of met groepslidmaatschap - Gebruik Microsoft Graph om toepassingstoewijzingen weer te geven - Microsoft Entra-auditlogboeken gebruiken om toewijzingswijzigingen bij te houden. List appRoleAssignments verleend aan een gebruiker Get-MgServicePrincipalAppRoleAssignedTo Geprivilegieerde toegang Gebruik Microsoft Entra-auditlogboeken om directory-roltoewijzingen bij te houden. Beheerdersrollen die relevant zijn voor deze PCI-vereiste: - Global - Application - Authentication - Authentication Policy - Hybrid Identity Om toegang met de minste bevoegdheden te implementeren, gebruik Microsoft Entra ID om aangepaste directoryrollen te creëren. Als u delen van CDE in Azure bouwt, documenteer dan roltoewijzingen met bevoegdheden, zoals Eigenaar, Inzender, Gebruikerstoegangadministrator, enzovoort, en aangepaste abonnementsrollen waar CDE-resources zijn geïmplementeerd. Raadt Microsoft u aan Just-In-Time (JIT) access in te schakelen voor rollen met behulp van Privileged Identity Management (PIM). PIM maakt JIT-access mogelijk voor Microsoft Entra-beveiligingsgroepen voor scenario's waarin groepslidmaatschap bevoegde access aan CDE-toepassingen of -resources vertegenwoordigt. Microsoft Entra ingebouwde rollen Microsoft Entra identiteit- en toegangsbeheer operationele referentiegids Maak een aangepaste rol in Microsoft Entra ID Beveiligde toegang voor hybride en cloudimplementaties in Microsoft Entra ID Wat is Microsoft Entra Privileged Identity Management? Best practices voor alle isolatiearchitecturen PIM voor groepen |
7.2 Access aan systeemonderdelen en -gegevens is op de juiste wijze gedefinieerd en toegewezen.
| Vereisten voor gedefinieerde PCI-DSS-benadering | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
|
7.2.1 Er wordt een toegangscontrolemodel gedefinieerd en dit omvat het verlenen van toegang als volgt: Passende toegang afhankelijk van de zakelijke behoeften en toegangsbehoeften van de entiteit. Access voor systeemonderdelen en gegevensbronnen die zijn gebaseerd op de functieclassificatie en functies van gebruikers. De minimale bevoegdheden die zijn vereist (bijvoorbeeld gebruiker, beheerder) om een taakfunctie uit te voeren. |
Gebruik Microsoft Entra ID om gebruikers rechtstreeks of via groepslidmaatschappen toe te wijzen aan rollen in toepassingen.
Organisaties met gestandaardiseerde taxonomie die is geïmplementeerd als kenmerken, kunnen toegangsrechten automatiseren op basis van de classificatie en functie van gebruikers. Gebruik Microsoft Entra-groepen met groepslidmaatschap en Microsoft Entra Entitlement Management toegangsbeheerpakketten met dynamisch-toewijzingsbeleid. Gebruik rechtenbeheer om scheiding van taken te definiëren om minimale bevoegdheden af te bakenen. PIM stelt JIT-access in staat om Microsoft Entra-beveiligingsgroepen te gebruiken voor aangepaste scenario's waarbij groepslidmaatschap bevoegde access vertegenwoordigt voor CDE-toepassingen of -resources. Beheerregels voor dynamische lidmaatschapsgroepen Configure an automatic assignment policy for an access package in entitlement management Scheiding van taken configureren voor een access-pakket in rechtenbeheer PIM voor groepen |
|
7.2.2 Access wordt toegewezen aan gebruikers, met inbegrip van bevoegde gebruikers, op basis van: Taakclassificatie en -functie. Minimale bevoegdheden die nodig zijn om taakverantwoordelijkheden uit te voeren. |
Gebruik Microsoft Entra ID om gebruikers rechtstreeks of via groepslidmaatschap toe te wijzen aan rollen in toepassingen.
Organisaties met gestandaardiseerde taxonomie die is geïmplementeerd als kenmerken, kunnen toegangsrechten automatiseren op basis van de classificatie en functie van gebruikers. Gebruik Microsoft Entra-groepen met groepslidmaatschap en Microsoft Entra Entitlement Management toegangsbeheerpakketten met dynamisch-toewijzingsbeleid. Gebruik rechtenbeheer om scheiding van taken te definiëren om minimale bevoegdheden af te bakenen. PIM stelt JIT-access in staat om Microsoft Entra-beveiligingsgroepen te gebruiken voor aangepaste scenario's waarbij groepslidmaatschap bevoegde access vertegenwoordigt voor CDE-toepassingen of -resources. Beheerregels voor dynamische lidmaatschapsgroepen Configure an automatic assignment policy for an access package in entitlement management Scheiding van taken configureren voor een access-pakket in rechtenbeheer PIM voor groepen |
| 7.2.3 Vereiste bevoegdheden worden goedgekeurd door geautoriseerd personeel. | Rechtenbeheer ondersteunt goedkeuringswerkstromen voor het verlenen van toegang tot middelen en periodieke toegangsevaluaties.
Goedgekeuren of weigeren van toegangsverzoeken in entitlementmanagement Beoordeel de toegang van een toegangspakket in entitlementmanagement PIM ondersteunt goedkeuringswerkstromen voor het activeren van Microsoft Entra-directoryrollen, Azure-rollen en cloudgroepen. Aanvragen voor Microsoft Entra-rollen goedkeuren of weigeren in PIM Activeringsaanvragen goedkeuren voor groepsleden en eigenaren |
|
7.2.4 Alle gebruikersaccounts en gerelateerde access bevoegdheden, waaronder accounts van derden/leveranciers, worden als volgt beoordeeld: ten minste één keer per zes maanden. Om ervoor te zorgen dat gebruikersaccounts en toegang geschikt blijven op basis van de functie. Alle ongepaste toegang wordt aangepakt. Het management erkent dat toegang passend blijft. |
Als u toepassingen toegang verleent met directe toewijzing of groepslidmaatschap, configureert u Microsoft Entra toegangsbeoordelingen. Als u toegang verleent aan toepassingen die rechtenbeheer gebruiken, schakelt u toegangsbeoordelingen in op toegangspakketniveau.
Maak een toegangsbeoordeling van een toegangspakket in entitlement management Gebruik Microsoft Entra Externe id voor derden- en leveranciersaccounts. U kunt access beoordelingen uitvoeren die gericht zijn op externe identiteiten, bijvoorbeeld accounts van derden of leveranciers. Gasttoegang beheren met toegangsbeoordelingen |
|
7.2.5 Alle toepassings- en systeemaccounts en gerelateerde access-bevoegdheden worden als volgt toegewezen en beheerd: Op basis van de minste bevoegdheden die nodig zijn voor de operabiliteit van het systeem of de toepassing. Access is beperkt tot de systemen, toepassingen of processen die specifiek hun gebruik vereisen. |
Gebruik Microsoft Entra ID om gebruikers rechtstreeks of via groepslidmaatschap toe te wijzen aan rollen in toepassingen.
Organisaties met gestandaardiseerde taxonomie die is geïmplementeerd als kenmerken, kunnen toegangsrechten automatiseren op basis van de classificatie en functie van gebruikers. Gebruik Microsoft Entra-groepen met groepslidmaatschap en Microsoft Entra Entitlement Management toegangsbeheerpakketten met dynamisch-toewijzingsbeleid. Gebruik rechtenbeheer om scheiding van taken te definiëren om minimale bevoegdheden af te bakenen. PIM stelt JIT-access in staat om Microsoft Entra-beveiligingsgroepen te gebruiken voor aangepaste scenario's waarbij groepslidmaatschap bevoegde access vertegenwoordigt voor CDE-toepassingen of -resources. Beheerregels voor dynamische lidmaatschapsgroepen Configure an automatic assignment policy for an access package in entitlement management Scheiding van taken configureren voor een access-pakket in rechtenbeheer PIM voor groepen |
|
7.2.5.1 Alle access door toepassings- en systeemaccounts en gerelateerde access bevoegdheden worden als volgt beoordeeld: periodiek (met de frequentie die is gedefinieerd in de beoogde risicoanalyse van de entiteit, die wordt uitgevoerd op basis van alle elementen die zijn opgegeven in Vereiste 12.3.1). De toegang tot de toepassing of het systeem blijft geschikt voor de taak die wordt uitgevoerd. Alle ongepaste toegang wordt aangepakt. Management erkent dat de toegang passend blijft. |
Aanbevolen procedures bij het controleren van machtigingen voor serviceaccounts.
Microsoft Entra-serviceaccounts beheren On-premises serviceaccounts beheren |
|
7.2.6 Alle gebruikerstoegang om een query uit te voeren op opslagdepots van opgeslagen gegevens van de kaarthouder is als volgt beperkt: Via toepassingen of andere programmatische methoden, met toegang en toegestane acties op basis van gebruikersrollen en minst noodzakelijke bevoegdheden. Alleen de verantwoordelijke beheerder(s) kunnen rechtstreeks toegang krijgen tot of vragen stellen aan de opslagplaatsen van de kaarthoudergegevens (CHD). |
Moderne toepassingen maken programmatische methoden mogelijk die access beperken tot gegevensopslagplaatsen.
Toepassingen integreren met Microsoft Entra ID met behulp van moderne verificatieprotocollen zoals OAuth en OpenID Connect (OIDC). OAuth 2.0- en OIDC-protocollen op het Microsoft Identity Platform Definieer toepassingsspecifieke rollen om gebruikers met en zonder hogere rechten te modelleren en hen toegang te geven. Gebruikers of groepen toewijzen aan rollen. Voeg app-rollen toe aan uw toepassing en ontvang deze in het token voor API's die door uw toepassing worden blootgesteld, definieer OAuth-scopes om toestemming van gebruikers en beheerders in te schakelen. Bereiken en machtigingen in het Microsoft-identiteitsplatform Modelleer bevoorrechte en niet-bevoorrechte toegang tot de repositories met de volgende aanpak en vermijd directe repositorytoegang. Indien beheerders en operators toegang vereisen, verleent u deze per onderliggend platform. Bijvoorbeeld ARM IAM-toewijzingen in Azure, Access Control Lijsten (ACL)-vensters enzovoort Zie architectuurrichtlijnen voor het beveiligen van PaaS (Platform-as-a-Service) en IaaS (Infrastructuur-als-een-Dienst) in Azure. Azure Architecture Center |
7.3 Access naar systeemonderdelen en gegevens worden beheerd via een access control systeem(en).
| Vereisten voor gedefinieerde PCI-DSS-benadering | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| 7.3.1 Er is een toegangscontrolesysteem aanwezig dat toegang beperkt op basis van de noodzaak van een gebruiker om te weten en dat alle systeemcomponenten omvat. | Integreer toegang tot toepassingen in de CDE met Microsoft Entra ID als authenticatie- en autorisatiesysteem voor toegangscontrole. Beleid voor voorwaardelijke toegang, waarbij toepassingstoewijzingen de toegang tot toepassingen beheren.
Wat is voorwaardelijk Access? Gebruikers en groepen toewijzen aan een toepassing |
| 7.3.2 Het access control systeem(en) is geconfigureerd om machtigingen af te dwingen die zijn toegewezen aan personen, toepassingen en systemen op basis van taakclassificatie en -functie. | Integreer toegang tot toepassingen in de CDE met Microsoft Entra ID als authenticatie- en autorisatiesysteem voor toegangscontrole. Beleid voor voorwaardelijke toegang, waarbij toepassingstoewijzingen de toegang tot toepassingen beheren.
Wat is voorwaardelijk Access? Gebruikers en groepen toewijzen aan een toepassing |
| 7.3.3 De access control systeem(en) is standaard ingesteld op Alles weigeren. | Gebruik voorwaardelijke Access om access te blokkeren op basis van access aanvraagvoorwaarden zoals groepslidmaatschap, toepassingen, netwerklocatie, referentiesterkte, enzovoort. Voorwaarde Access: Blokkeren access Onjuist geconfigureerd blokbeleid kan bijdragen aan onbedoelde vergrendelingen. Ontwerp een strategie voor noodtoegang. Beheer noodtoegang administratieve accounts in Microsoft Entra ID |
Volgende stappen
PCI-DSS vereisten 3, 4, 9 en 12 zijn niet van toepassing op Microsoft Entra ID, daarom zijn er geen overeenkomstige artikelen. Als u alle vereisten wilt zien, gaat u naar pcisecuritystandards.org: officiële site van de PCI Security Standards Council.
Zie de volgende artikelen om Microsoft Entra ID te configureren om te voldoen aan PCI-DSS.
- Richtlijnen voor Microsoft Entra PCI-DSS
- Vereiste 1: Netwerkbeveiligingsbeheer installeren en onderhouden
- Vereiste 2: Veilige configuraties toepassen op alle systeemonderdelen
- Vereiste 5: Alle systemen en netwerken beschermen tegen schadelijke software
- Vereiste 6: Veilige systemen en software ontwikkelen en onderhouden
- Requirement 7: Beperk de toegang tot systeemonderdelen en kaartgegevens op basis van zakelijke noodzakelijkheid (u bent hier)
- Vraag 8: Gebruikers identificeren en Access verifiëren bij systeemonderdelen
- Vereiste 10: Log en monitor alle toegang tot systeemcomponenten en kaarthoudergegevens
- Vereiste 11: De beveiliging van systemen en netwerken regelmatig testen
- Richtlijnen voor Microsoft Entra PCI-DSS Multi-Factor Authentication