Dela via


Microsoft Entra ID och PCI-DSS Krav 7

Krav 7: Begränsa åtkomsten till systemkomponenter och korthållardata per företag Behöver känna
till definierade metodkrav

7.1 Processer och mekanismer för att begränsa åtkomsten till systemkomponenter och korthållardata per företag behöver känna till definieras och förstås.

Krav för PCI-DSS-definierad metod Vägledning och rekommendationer för Microsoft Entra
7.1.1 Alla säkerhetsprinciper och operativa förfaranden som identifieras i krav 7 är:
Dokumenterade
hålls uppdaterade
i användning
Kända för alla berörda parter
Integrera åtkomst till CDE-program (cardholder data environment) med Microsoft Entra-ID för autentisering och auktorisering.
Dokumentera principer för villkorsstyrd åtkomst för fjärråtkomsttekniker. Automatisera med Microsoft Graph API och PowerShell. Villkorlig åtkomst: Programmatisk åtkomst
Arkivera Microsoft Entra-granskningsloggarna för att registrera ändringar i säkerhetsprinciper och Microsoft Entra-klientkonfiguration. Om du vill registrera användning arkiverar du Microsoft Entra-inloggningsloggar i ett SIEM-system (säkerhetsinformation och händelsehantering). Microsoft Entra-aktivitetsloggar i Azure Monitor
7.1.2 Roller och ansvarsområden för att utföra aktiviteter i krav 7 dokumenteras, tilldelas och förstås. Integrera åtkomst till CDE-program med Microsoft Entra-ID för autentisering och auktorisering.
– Tilldela användarroller till program eller med gruppmedlemskap
– Använd Microsoft Graph för att visa programtilldelningar – Använd Microsoft Entra-granskningsloggar för att spåra tilldelningsändringar
.
Lista appRoleAssignments som beviljats en användare
Get-MgServicePrincipalAppRoleAssignedTo

Privilegierad åtkomst
Använd Microsoft Entra-granskningsloggar för att spåra katalogrolltilldelningar. Administratörsroller som är relevanta för detta PCI-krav:
– Global
– Program
– Autentisering
– Autentiseringsprincip
– Hybrididentitet
Om du vill implementera åtkomst med minst behörighet använder du Microsoft Entra-ID för att skapa anpassade katalogroller.
Om du skapar delar av CDE i Azure, dokumentprivilegierade rolltilldelningar som ägare, deltagare, administratör för användaråtkomst osv. och anpassade prenumerationsroller där CDE-resurser distribueras.
Microsoft rekommenderar att du aktiverar JIT-åtkomst (Just-In-Time) till roller med privileged Identity Management (PIM). PIM ger JIT-åtkomst till Microsoft Entra-säkerhetsgrupper för scenarier när gruppmedlemskap representerar privilegierad åtkomst till CDE-program eller -resurser. Microsoft Entra-inbyggda roller
Referensguide
för Microsoft Entra-identitets- och åtkomsthanteringsåtgärder Skapa och tilldela en anpassad roll i Microsoft Entra ID
Skydda privilegierad åtkomst för hybrid- och molndistributioner i Microsoft Entra ID
Vad är Microsoft Entra Privileged Identity Management?
Metodtips för alla isoleringsarkitekturer
PIM för grupper

7.2 Åtkomst till systemkomponenter och data är korrekt definierad och tilldelad.

Krav för PCI-DSS-definierad metod Vägledning och rekommendationer för Microsoft Entra
7.2.1 En åtkomstkontrollmodell definieras och omfattar beviljande av åtkomst enligt följande:
Lämplig åtkomst beroende på entitetens affärs- och åtkomstbehov.
Åtkomst till systemkomponenter och dataresurser som baseras på användarnas jobbklassificering och funktioner.
De minsta behörigheter som krävs (till exempel användare, administratör) för att utföra en jobbfunktion.
Använd Microsoft Entra-ID för att tilldela användare roller i program direkt eller via gruppmedlemskap.
Organisationer med standardiserad taxonomi implementerad som attribut kan automatisera åtkomstbidrag baserat på användarjobbklassificering och funktion. Använd Microsoft Entra-grupper med gruppmedlemskap och Åtkomstpaket för Microsoft Entra-berättigandehantering med dynamiska tilldelningsprinciper.
Använd rättighetshantering för att definiera uppdelning av uppgifter för att definiera lägsta behörighet.
PIM ger JIT-åtkomst till Microsoft Entra-säkerhetsgrupper för anpassade scenarier där gruppmedlemskap representerar privilegierad åtkomst till CDE-program eller -resurser. Hantera regler för dynamiska medlemskapsgrupper Konfigurera en automatisk tilldelningsprincip för ett åtkomstpaket i berättigandehantering
Konfigurera uppdelning av uppgifter för ett åtkomstpaket i PIM för rättighetshantering
för grupper
7.2.2 Åtkomst tilldelas till användare, inklusive privilegierade användare, baserat på:
Jobbklassificering och funktion.
Minsta behörighet som krävs för att utföra jobbansvar.
Använd Microsoft Entra-ID för att tilldela användare roller i program direkt eller via gruppmedlemskap.
Organisationer med standardiserad taxonomi implementerad som attribut kan automatisera åtkomstbidrag baserat på användarjobbklassificering och funktion. Använd Microsoft Entra-grupper med gruppmedlemskap och Åtkomstpaket för Microsoft Entra-berättigandehantering med dynamiska tilldelningsprinciper.
Använd rättighetshantering för att definiera uppdelning av uppgifter för att definiera lägsta behörighet.
PIM ger JIT-åtkomst till Microsoft Entra-säkerhetsgrupper för anpassade scenarier där gruppmedlemskap representerar privilegierad åtkomst till CDE-program eller -resurser. Hantera regler för dynamiska medlemskapsgrupper Konfigurera en automatisk tilldelningsprincip för ett åtkomstpaket i berättigandehantering
Konfigurera uppdelning av uppgifter för ett åtkomstpaket i PIM för rättighetshantering
för grupper
7.2.3 Behörigheter som krävs godkänns av behörig personal. Berättigandehantering stöder arbetsflöden för godkännande för att bevilja åtkomst till resurser och regelbundna åtkomstgranskningar. Godkänna eller neka åtkomstbegäranden i berättigandehantering
Granska åtkomsten för ett åtkomstpaket i berättigandehantering
PIM stöder arbetsflöden för godkännande för att aktivera Microsoft Entra-katalogroller, Azure-roller och molngrupper. Godkänna eller neka begäranden för Microsoft Entra-roller i PIM
Godkänn aktiveringsbegäranden för gruppmedlemmar och ägare
7.2.4 Alla användarkonton och relaterade åtkomstbehörigheter, inklusive konton från tredje part/leverantör, granskas på följande sätt:
Minst en gång var sjätte månad.
För att säkerställa att användarkonton och åtkomst förblir lämpliga baserat på jobbfunktionen.
All olämplig åtkomst åtgärdas. Ledningen bekräftar att åtkomsten fortfarande är lämplig.
Om du beviljar åtkomst till program med direkttilldelning eller med gruppmedlemskap konfigurerar du Microsoft Entra-åtkomstgranskningar. Om du beviljar åtkomst till program med hjälp av berättigandehantering aktiverar du åtkomstgranskningar på åtkomstpaketnivå. Skapa en åtkomstgranskning av ett åtkomstpaket i berättigandehantering
Använd Microsoft Entra Externt ID för tredjeparts- och leverantörskonton. Du kan utföra åtkomstgranskningar som riktar sig till externa identiteter, till exempel tredjeparts- eller leverantörskonton. Hantera gäståtkomst med åtkomstgranskningar
7.2.5 Alla program- och systemkonton och relaterade åtkomstbehörigheter tilldelas och hanteras på följande sätt:
Baserat på de minsta behörigheter som krävs för att systemet eller programmet ska fungera.
Åtkomsten är begränsad till de system, program eller processer som specifikt kräver deras användning.
Använd Microsoft Entra-ID för att tilldela användare roller i program direkt eller via gruppmedlemskap.
Organisationer med standardiserad taxonomi implementerad som attribut kan automatisera åtkomstbidrag baserat på användarjobbklassificering och funktion. Använd Microsoft Entra-grupper med gruppmedlemskap och Åtkomstpaket för Microsoft Entra-berättigandehantering med dynamiska tilldelningsprinciper.
Använd rättighetshantering för att definiera uppdelning av uppgifter för att definiera lägsta behörighet.
PIM ger JIT-åtkomst till Microsoft Entra-säkerhetsgrupper för anpassade scenarier där gruppmedlemskap representerar privilegierad åtkomst till CDE-program eller -resurser. Hantera regler för dynamiska medlemskapsgrupper Konfigurera en automatisk tilldelningsprincip för ett åtkomstpaket i berättigandehantering
Konfigurera uppdelning av uppgifter för ett åtkomstpaket i PIM för rättighetshantering
för grupper
7.2.5.1 All åtkomst av program- och systemkonton och relaterade åtkomstbehörigheter granskas enligt följande:
Regelbundet (med den frekvens som definieras i entitetens målriskanalys, som utförs enligt alla element som anges i krav 12.3.1).
Program-/systemåtkomsten är fortfarande lämplig för den funktion som utförs.
All olämplig åtkomst åtgärdas.
Ledningen bekräftar att åtkomsten fortfarande är lämplig.
Metodtips vid granskning av behörigheter för tjänstkonton. Styra Microsoft Entra-tjänstkonton
Styr lokala tjänstkonton
7.2.6 All användaråtkomst till frågelagringsplatser för lagrade korthållardata begränsas på följande sätt:
Via program eller andra programmatiska metoder, med åtkomst och tillåtna åtgärder baserat på användarroller och minsta behörighet.
Endast ansvariga administratörer kan direkt komma åt eller fråga lagringsplatser för lagrade kortinnehavares data (CHD).
Moderna program möjliggör programmatiska metoder som begränsar åtkomsten till datalagringsplatser.
Integrera program med Microsoft Entra-ID med moderna autentiseringsprotokoll som OAuth och OpenID Connect (OIDC). OAuth 2.0- och OIDC-protokoll på Microsofts identitetsplattform
Definiera programspecifika roller för att modellera privilegierad och icke-privilegierad användaråtkomst. Tilldela användare eller grupper till roller. Lägg till approller i ditt program och ta emot dem i token
För API:er som exponeras av ditt program definierar du OAuth-omfång för att aktivera användar- och administratörsmedgivande. Omfång och behörigheter i Microsofts identitetsplattform
Modell privilegierad och icke-privilegierad åtkomst till lagringsplatserna med följande metod och undvika direkt lagringsplatsåtkomst. Om administratörer och operatörer kräver åtkomst beviljar du den per den underliggande plattformen. Till exempel ARM IAM-tilldelningar i Azure, åtkomstkontrollistor (ACL)-fönster osv.
Se arkitekturvägledning som omfattar skydd av paaS (application platform-as-a-service) och infrastruktur som en tjänst (IaaS) i Azure. Azure Architecture Center

7.3 Åtkomst till systemkomponenter och data hanteras via ett eller flera åtkomstkontrollsystem.

Krav för PCI-DSS-definierad metod Vägledning och rekommendationer för Microsoft Entra
7.3.1 Ett eller flera åtkomstkontrollsystem finns på plats som begränsar åtkomsten baserat på användarens behov av att känna till och omfattar alla systemkomponenter. Integrera åtkomst till program i CDE med Microsoft Entra-ID som autentisering och auktorisering för åtkomstkontrollsystem. Principer för villkorlig åtkomst med programtilldelningar styr åtkomsten till program. Vad är villkorlig åtkomst?
Tilldela användare och grupper till ett program
7.3.2 Åtkomstkontrollsystemen är konfigurerade för att framtvinga behörigheter som tilldelats enskilda användare, program och system baserat på jobbklassificering och funktion. Integrera åtkomst till program i CDE med Microsoft Entra-ID som autentisering och auktorisering för åtkomstkontrollsystem. Principer för villkorlig åtkomst med programtilldelningar styr åtkomsten till program. Vad är villkorlig åtkomst?
Tilldela användare och grupper till ett program
7.3.3 Åtkomstkontrollsystemen är inställda på "neka alla" som standard. Använd villkorsstyrd åtkomst för att blockera åtkomst baserat på villkor för åtkomstbegäran, till exempel gruppmedlemskap, program, nätverksplats, autentiseringsstyrka osv. Villkorsstyrd åtkomst: Blockera felkonfigurerad
blockeringsprincip kan bidra till oavsiktliga utelåsningar. Utforma en strategi för nödåtkomst. Hantera administratörskonton för nödåtkomst i Microsoft Entra-ID

Nästa steg

PCI-DSS-kraven 3, 4, 9 och 12 gäller inte för Microsoft Entra-ID, därför finns det inga motsvarande artiklar. Om du vill se alla krav går du till pcisecuritystandards.org: Officiell PCI Security Standards Council Site.

Information om hur du konfigurerar Microsoft Entra-ID för att följa PCI-DSS finns i följande artiklar.