Требование 7 идентификатора записи Майкрософт и PCI-DSS
Требование 7. Ограничение доступа к системным компонентам и данным заполнителей карт по бизнесу необходимо знать
определенные требования к подходу
7.1 Процессы и механизмы ограничения доступа к системным компонентам и карта заполнителям бизнесом необходимо знать и понимать.
| Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
|---|---|
| 7.1.1 . Все политики безопасности и операционные процедуры, определенные в требовании 7, являются: Документированные сохраненные актуальные сведения об использовании известных всем затронутым сторонам |
Интеграция доступа к приложениям среды данных карта (CDE) с идентификатором Microsoft Entra для проверки подлинности и авторизации. Документируйте политики условного доступа для технологий удаленного доступа. Автоматизация с помощью API Microsoft Graph и PowerShell. Условный доступ. Программный доступ архивирует журналы аудита Microsoft Entra для записи изменений политики безопасности и конфигурации клиента Microsoft Entra. Чтобы записать использование, архивируйте журналы входа Microsoft Entra в систему безопасности и управления событиями (SIEM). Журналы действий Microsoft Entra в Azure Monitor |
| 7.1.2 Роли и обязанности по выполнению действий в требованиях 7 документируются, назначаются и понимаются. | Интеграция доступа к приложениям CDE с идентификатором Microsoft Entra для проверки подлинности и авторизации. — Назначение ролей пользователям приложениям или членства в группах . Использование Microsoft Graph для перечисления назначений приложений — используйте журналы аудита Microsoft Entra для отслеживания изменений назначений. Перечисление приложений appRoleAssignment, предоставленных пользователю Get-MgServicePrincipalAppRoleAssignedTo Privileged Access Use Microsoft Entra audit logs для отслеживания назначений ролей каталога. роли Администратор istrator, относящиеся к этому требованию PCI: - Global - Application - Authentication - Authentication - Hybrid Identity — Hybrid Identity Для реализации минимального доступа к привилегированным пользователям используйте идентификатор Microsoft Entra для создания пользовательских ролей каталога. Если вы создаете части CDE в Azure, назначение привилегированных ролей документов, таких как владелец, участник, доступ пользователей Администратор istrator и т. д., а также пользовательские роли подписки, в которых развертываются ресурсы CDE. Корпорация Майкрософт рекомендует включить JIT-доступ к ролям с помощью управление привилегированными пользователями (PIM). PIM позволяет JIT-доступ к группам безопасности Microsoft Entra для сценариев, когда членство в группах представляет привилегированный доступ к приложениям или ресурсам CDE. Руководство по управлению удостоверениями и операциями управления доступом Microsoft Entra в Microsoft Entra ID с встроенными ролями Microsoft Entra ID обеспечивает привилегированный доступ для гибридных и облачных развертываний в Microsoft Entra ID Что такое Microsoft Entra управление привилегированными пользователями? Рекомендации по всем архитектурам изоляцииPIM для групп |
7.2 Доступ к системным компонентам и данным определяется соответствующим образом и назначается.
| Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
|---|---|
| 7.2.1 Модель управления доступом определена и включает предоставление доступа следующим образом: соответствующий доступ в зависимости от потребностей организации и доступа. Доступ к системным компонентам и ресурсам данных, основанным на классификации и функциях заданий пользователей. Минимальные привилегии, необходимые (например, пользователю, администратору) для выполнения функции задания. |
Используйте идентификатор Microsoft Entra, чтобы назначить пользователей ролям в приложениях напрямую или через членство в группах. Организации с стандартизованной таксономией, реализованной как атрибуты, могут автоматизировать предоставление доступа на основе классификации заданий пользователей и функций. Используйте группы Microsoft Entra с динамическим членством и пакетами управления правами Microsoft Entra с политиками динамического назначения. Используйте управление правами, чтобы определить разделение обязанностей для определения наименьших привилегий. PIM позволяет JIT-доступ к группам безопасности Microsoft Entra для пользовательских сценариев, в которых членство в группах представляет привилегированный доступ к приложениям или ресурсам CDE. Правила динамического членства для групп в идентификаторе Microsoft Entra ID Настройка политики автоматического назначения пакета доступа в управлении правами настраивают разделение обязанностей для пакета доступа в PIM управления правами для групп |
| Доступ 7.2.2 назначается пользователям, включая привилегированных пользователей, на основе: классификации заданий и функций. Минимальные привилегии, необходимые для выполнения обязанностей по заданию. |
Используйте идентификатор Microsoft Entra, чтобы назначить пользователей ролям в приложениях напрямую или через членство в группах. Организации с стандартизованной таксономией, реализованной как атрибуты, могут автоматизировать предоставление доступа на основе классификации заданий пользователей и функций. Используйте группы Microsoft Entra с динамическим членством и пакетами управления правами Microsoft Entra с политиками динамического назначения. Используйте управление правами, чтобы определить разделение обязанностей для определения наименьших привилегий. PIM позволяет JIT-доступ к группам безопасности Microsoft Entra для пользовательских сценариев, в которых членство в группах представляет привилегированный доступ к приложениям или ресурсам CDE. Правила динамического членства для групп в идентификаторе Microsoft Entra ID Настройка политики автоматического назначения пакета доступа в управлении правами настраивают разделение обязанностей для пакета доступа в PIM управления правами для групп |
| 7.2.3 Обязательные привилегии утверждены авторизованным персоналом. | Управление правами поддерживает рабочие процессы утверждения для предоставления доступа к ресурсам и периодических проверок доступа. Утверждение или отклонение запросов на доступ к доступу к пакету управления правами в PIM управления правами поддерживает рабочие процессы утверждения для активации ролей каталога Microsoft Entra, а также ролей Azure и облачных групп. Утверждение или отклонение запросов для ролей Microsoft Entra в PIM Утверждение запросов на активацию для участников группы и владельцев |
| 7.2.4 Все учетные записи пользователей и связанные с ними привилегии доступа, включая сторонние или поставщики, проверяются следующим образом: по крайней мере один раз в шесть месяцев. Чтобы гарантировать, что учетные записи пользователей и доступ остаются соответствующими на основе функции задания. Устранен любой недопустимый доступ. Управление признает, что доступ остается подходящим. |
Если вы предоставляете доступ к приложениям с помощью прямого назначения или членства в группах, настройте проверки доступа Microsoft Entra. Если вы предоставляете доступ к приложениям с помощью управления правами, включите проверки доступа на уровне пакета доступа. Создайте проверку доступа пакета доступа в управлении правами используйте Внешняя идентификация Microsoft Entra для сторонних учетных записей и учетных записей поставщиков. Вы можете выполнять проверки доступа, предназначенные для внешних удостоверений, например сторонних или поставщиков учетных записей. Управление гостевым доступом с помощью проверок доступа |
| 7.2.5 Все учетные записи приложений и системных учетных записей и связанные привилегии доступа назначаются и управляются следующим образом: на основе минимальных привилегий, необходимых для работы системы или приложения. Доступ ограничен системами, приложениями или процессами, которые требуют их использования. |
Используйте идентификатор Microsoft Entra, чтобы назначить пользователей ролям в приложениях напрямую или через членство в группах. Организации с стандартизованной таксономией, реализованной как атрибуты, могут автоматизировать предоставление доступа на основе классификации заданий пользователей и функций. Используйте группы Microsoft Entra с динамическим членством и пакетами управления правами Microsoft Entra с политиками динамического назначения. Используйте управление правами, чтобы определить разделение обязанностей для определения наименьших привилегий. PIM позволяет JIT-доступ к группам безопасности Microsoft Entra для пользовательских сценариев, в которых членство в группах представляет привилегированный доступ к приложениям или ресурсам CDE. Правила динамического членства для групп в идентификаторе Microsoft Entra ID Настройка политики автоматического назначения пакета доступа в управлении правами настраивают разделение обязанностей для пакета доступа в PIM управления правами для групп |
| 7.2.5.1 Все доступы по учетным записям приложений и системным учетным записям и связанным привилегиям доступа проверяются следующим образом: периодически (на частоте, определенной в целевом анализе рисков сущности, который выполняется в соответствии со всеми элементами, указанными в требовании 12.3.1). Доступ к приложению или системе остается подходящим для выполняемой функции. Устранен любой недопустимый доступ. Управление признает, что доступ остается подходящим. |
Рекомендации по просмотру разрешений учетных записей служб. Управление учетными записями службы Microsoft Entra управляет локальными учетными записями служб |
| 7.2.6. Доступ всех пользователей к репозиториям запросов хранимых карта заполнителей ограничен следующим образом: с помощью приложений или других программных методов с доступом и разрешенными действиями на основе ролей пользователей и минимальных привилегий. Только ответственные администраторы могут напрямую обращаться к репозиториям сохраненных карта-владельцев данных (CHD). |
Современные приложения обеспечивают программные методы, ограничивающие доступ к репозиториям данных. Интеграция приложений с идентификатором Microsoft Entra с помощью современных протоколов проверки подлинности, таких как OAuth и Подключение OpenID (OIDC). Протоколы OAuth 2.0 и OIDC в платформа удостоверений Майкрософт Определение ролей, относящихся к приложению, для модели привилегированного и непривилегированного доступа пользователей. Назначение пользователям или группам ролей. Добавьте роли приложений в приложение и получите их в маркере API, предоставляемых приложением, определите область OAuth, чтобы включить согласие пользователя и администратора. Области и разрешения в платформа удостоверений Майкрософт Модели привилегированный и не привилегированный доступ к репозиториям с помощью следующего подхода и избегайте прямого доступа к репозиторию. Если администраторам и операторам требуется доступ, предоставьте его на базовую платформу. Например, назначения IAM ARM в Azure, окнах списков контроль доступа (списки управления доступом) и т. д. Ознакомьтесь с рекомендациями по архитектуре, включающими защиту платформы приложений как службы (PaaS) и инфраструктуры как службы (IaaS) в Azure. Центр архитектуры Azure |
7.3 Доступ к системным компонентам и данным управляется с помощью системы управления доступом.
| Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
|---|---|
| 7.3.1 Система управления доступом находится на месте, которая ограничивает доступ на основе необходимости пользователя знать и охватывать все системные компоненты. | Интеграция доступа к приложениям в CDE с идентификатором Microsoft Entra в качестве проверки подлинности и авторизации системы управления доступом. Политики условного доступа с назначениями приложений управляют доступом к приложениям. Что такое условный доступ? Назначение пользователей и групп приложению |
| 7.3.2 Система управления доступом настроена для применения разрешений, назначенных отдельным лицам, приложениям и системам на основе классификации заданий и функций. | Интеграция доступа к приложениям в CDE с идентификатором Microsoft Entra в качестве проверки подлинности и авторизации системы управления доступом. Политики условного доступа с назначениями приложений управляют доступом к приложениям. Что такое условный доступ? Назначение пользователей и групп приложению |
| 7.3.3 Система управления доступом по умолчанию имеет значение "запретить все". | Используйте условный доступ для блокировки доступа на основе условий запроса доступа, таких как членство в группах, приложения, сетевое расположение, сила учетных данных и т. д. Условный доступ. Блокировка неправильно настроенной политики блокировки может способствовать непреднамеренным блокировкам. Разработка стратегии аварийного доступа. Управление учетными записями администратора аварийного доступа в идентификаторе Microsoft Entra |
Следующие шаги
Требования PCI-DSS 3, 4, 9 и 12 не применимы к идентификатору Microsoft Entra, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.
Сведения о настройке идентификатора Microsoft Entra для соответствия ТРЕБОВАНИЯМ PCI-DSS см. в следующих статьях.
- Руководство microsoft Entra PCI-DSS
- Требование 1. Установка и обслуживание элементов управления безопасностью сети
- Требование 2. Применение безопасных конфигураций ко всем системным компонентам
- Требование 5. Защита всех систем и сетей от вредоносного программного обеспечения
- Требование 6. Разработка и обслуживание безопасных систем и программного обеспечения
- Требование 7. Ограничение доступа к системным компонентам и данным заполнителей карт по бизнесу необходимо знать (вы здесь)
- Требование 8. Определение пользователей и проверка подлинности доступа к системным компонентам
- Требование 10. Ведение журнала и мониторинг всех доступа к системным компонентам и данным заполнителей карт
- Требование 11. Регулярное тестирование безопасности систем и сетей
- Руководство по многофакторной идентификации Microsoft Entra PCI-DSS