Microsoft Entra ID 和 PCI-DSS 需求 7
需求 7:依商務需求限制系統元件和持卡人數據的存取,以瞭解
已定義的方法需求
7.1 商務需要瞭解的系統元件和持卡人數據存取的程式和機制已定義並瞭解。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 7.1.1 需求 7 中識別的所有安全策略和操作程式皆為: 記載 保持最新 使用 所有受影響的合作物件已知 |
將持卡人數據環境 (CDE) 應用程式的存取權與Microsoft Entra ID 整合,以進行驗證和授權。 記載遠端訪問技術的條件式存取原則。 使用 Microsoft Graph API 和 PowerShell 自動化。 條件式存取:以程序設計方式存取 封存Microsoft Entra 稽核記錄,以記錄安全策略變更,並Microsoft Entra 租用戶設定。 若要記錄使用量,請在安全性資訊和事件管理 (SIEM) 系統中封存Microsoft Entra 登入記錄。 Azure 監視器中的 Microsoft Entra 活動記錄 |
| 7.1.2 需求 7 中執行活動的角色和責任記載、指派及瞭解。 | 將 CDE 應用程式的存取權與Microsoft Entra ID 整合,以進行驗證和授權。 - 將使用者角色指派給應用程式或具有群組成員資格 - 使用 Microsoft Graph 列出應用程式指派 - 使用 Microsoft Entra 稽核記錄來追蹤指派變更。 列出授與使用者的 appRoleAssignmentsGet-MgServicePrincipalAppRoleAssignedTo 特殊權限存取 使用Microsoft Entra 稽核記錄來追蹤目錄角色指派。 與此 PCI 需求相關的系統管理員角色: - 全域 - 應用程式 - 驗證 - 驗證 原則 - 混合式身分識別 若要實作最低許可權存取,請使用 Microsoft Entra ID 來建立自定義目錄角色。 如果您在 Azure 中建置部分 CDE,則檔特殊許可權角色指派,例如擁有者、參與者、使用者存取管理員等,以及部署 CDE 資源的訂用帳戶自定義角色。 Microsoft建議您使用 Privileged Identity Management (PIM) 啟用 Just-In-Time (JIT) 角色的存取權。 PIM 可讓 JIT 存取Microsoft Entra 安全組,以在群組成員資格代表 CDE 應用程式或資源的特殊許可權存取權時使用。 Microsoft Entra 內建角色 Microsoft Entra 身分識別和存取管理作業參考指南: 在 Microsoft Entra ID 中建立和指派自定義角色,保護Microsoft Entra ID 中混合式和雲端部署的特殊許可權存取什麼是 Microsoft Entra Privileged Identity Management? 群組之所有隔離架構 PIM 的最佳做法 |
7.2 適當地定義並指派系統元件和數據存取權。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 7.2.1 定義訪問控制模型,並包含授與存取權,如下所示: 視實體的商務和存取需求而定,適當的存取權。 存取以使用者作業分類和函式為基礎的系統元件和數據資源。 執行作業功能所需的最低許可權(例如使用者、系統管理員)。 |
使用Microsoft Entra標識符,直接或透過群組成員資格將使用者指派給應用程式中的角色。 實作為屬性的標準化分類組織可以根據使用者作業分類和功能,將存取權授與自動化。 使用具有動態成員資格的 Microsoft Entra 群組,並使用動態指派原則Microsoft Entra 權利管理存取套件。 使用權利管理來定義職責區隔,以劃定最低許可權。 PIM 可讓 JIT 存取Microsoft Entra 安全組的自定義案例,其中群組成員資格代表 CDE 應用程式或資源的特殊許可權存取權。 Microsoft Entra ID 中群組的動態成員資格規則:在權利管理 中設定存取套件的自動指派原則:設定群組權利管理 PIM 中存取套件的職責區隔 |
| 7.2.2 Access 會根據: 作業分類和函式,指派給使用者,包括特殊許可權的使用者。 執行作業責任所需的最低許可權。 |
使用Microsoft Entra標識符,直接或透過群組成員資格將使用者指派給應用程式中的角色。 實作為屬性的標準化分類組織可以根據使用者作業分類和功能,將存取權授與自動化。 使用具有動態成員資格的 Microsoft Entra 群組,並使用動態指派原則Microsoft Entra 權利管理存取套件。 使用權利管理來定義職責區隔,以劃定最低許可權。 PIM 可讓 JIT 存取Microsoft Entra 安全組的自定義案例,其中群組成員資格代表 CDE 應用程式或資源的特殊許可權存取權。 Microsoft Entra ID 中群組的動態成員資格規則:在權利管理 中設定存取套件的自動指派原則:設定群組權利管理 PIM 中存取套件的職責區隔 |
| 7.2.3 授權人員核准必要的許可權。 | 權利管理支援核准工作流程,以授與資源的存取權,以及定期存取權檢閱。 核准或拒絕權利管理中的存取要求:檢閱權利管理 PIM 中存取套件的存取權支援核准工作流程,以啟用Microsoft Entra 目錄角色,以及 Azure 角色和雲端群組。 核准或拒絕 PIM 中Microsoft Entra 角色的要求 核准群組成員和擁有者的啟用要求 |
| 7.2.4 所有用戶帳戶和相關訪問許可權,包括第三方/廠商帳戶,都會檢閱如下: 至少每六個月一次。 為了確保用戶帳戶和存取權會根據作業功能維持適當。 任何不適當的存取都已解決。 管理會確認存取權仍適用。 |
如果您使用直接指派或群組成員資格來授與應用程式的存取權,請設定Microsoft Entra 存取權檢閱。 如果您使用權利管理將存取權授與應用程式,請在存取套件層級啟用存取權檢閱。 在權利管理 中建立存取套件的存取權檢閱:針對第三方和廠商帳戶使用 Microsoft Entra 外部 ID。 您可以執行以外部身分識別為目標的存取權檢閱,例如第三方或廠商帳戶。 使用存取權檢閱管理來賓存取權 |
| 7.2.5 所有應用程式和系統帳戶和相關訪問許可權都會指派和管理,如下所示: 根據系統或應用程式操作性所需的最低許可權。 存取僅限於需要其使用的系統、應用程式或進程。 |
使用Microsoft Entra標識符,直接或透過群組成員資格將使用者指派給應用程式中的角色。 實作為屬性的標準化分類組織可以根據使用者作業分類和功能,將存取權授與自動化。 使用具有動態成員資格的 Microsoft Entra 群組,並使用動態指派原則Microsoft Entra 權利管理存取套件。 使用權利管理來定義職責區隔,以劃定最低許可權。 PIM 可讓 JIT 存取Microsoft Entra 安全組的自定義案例,其中群組成員資格代表 CDE 應用程式或資源的特殊許可權存取權。 Microsoft Entra ID 中群組的動態成員資格規則:在權利管理 中設定存取套件的自動指派原則:設定群組權利管理 PIM 中存取套件的職責區隔 |
| 7.2.5.1 依應用程式和系統帳戶和相關訪問許可權的所有存取權都會檢閱如下: 定期(根據實體目標風險分析中定義的頻率,根據需求 12.3.1 中指定的所有元素執行)。 應用程式/系統存取仍適合執行中的函式。 任何不適當的存取都已解決。 管理會確認存取權仍適用。 |
檢閱服務帳戶許可權時的最佳做法。 控管Microsoft Entra 服務帳戶 控管內部部署服務帳戶 |
| 7.2.6 所有使用者對預存持卡人數據的查詢存放庫的存取限制如下: 透過應用程式或其他程序設計方法,並根據使用者角色和最低許可權存取和允許的動作。 只有負責任的系統管理員可以直接存取或查詢儲存卡持有者數據(CHD) 的存放庫。 |
新式應用程式可啟用程式設計方法,以限制數據存放庫的存取。 使用 OAuth 和 OpenID connect (OIDC) 等新式驗證通訊協定,將應用程式與 Microsoft Entra ID 整合。 Microsoft 身分識別平台 定義應用程式特定角色,以建立特殊許可權和非特殊許可權用戶存取模型的 OAuth 2.0 和 OIDC 通訊協定。 將使用者或群組指派給角色。 將應用程式角色新增至您的應用程式,並在應用程式公開的令牌 中接收應用程式角色,定義OAuth範圍以啟用使用者和系統管理員同意。 Microsoft 身分識別平台 模型具有特殊許可權和非特殊許可權存取存放庫的範圍和許可權,請使用下列方法避免直接存取存放庫。 如果系統管理員和操作員需要存取權,請根據基礎平臺授與它。 例如,Azure 中的 ARM IAM 指派、存取控制 清單 (ACL) 視窗等。 請參閱架構指引,包括保護 Azure 中的應用程式平臺即服務 (PaaS) 和基礎結構即服務 (IaaS)。 Azure 架構中心 |
7.3 透過訪問控制系統管理系統元件和數據存取權。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 7.3.1 訪問控制系統已就緒,可根據使用者需要知道並涵蓋所有系統元件來限制存取。 | 將 CDE 中的應用程式存取權與 Microsoft Entra ID 整合為存取控制系統驗證和授權。 條件式存取原則,應用程式指派可控制應用程式的存取。 什麼是條件式存取? 將使用者和群組指派給應用程式 |
| 7.3.2 訪問控制系統已設定為根據作業分類和功能,強制執行指派給個人、應用程式和系統的許可權。 | 將 CDE 中的應用程式存取權與 Microsoft Entra ID 整合為存取控制系統驗證和授權。 條件式存取原則,應用程式指派可控制應用程式的存取。 什麼是條件式存取? 將使用者和群組指派給應用程式 |
| 7.3.3 訪問控制系統預設會設定為「全部拒絕」。 | 使用條件式存取來根據存取要求條件封鎖存取,例如群組成員資格、應用程式、網路位置、認證強度等。 條件式存取:封鎖存取 設定錯誤的封鎖原則可能會導致意外鎖定。 設計緊急存取策略。 在 Microsoft Entra ID 中管理緊急存取系統管理員帳戶 |
下一步
PCI-DSS 需求 3、 4、 9 和 12 不適用於 Microsoft Entra ID,因此沒有對應的文章。 若要查看所有需求,請移至 pcisecuritystandards.org: 官方PCI安全性標準委員會網站。
若要設定 Microsoft Entra ID 以符合 PCI-DSS,請參閱下列文章。