Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Требование 7: Ограничение доступа к системным компонентам и данным держателей карт по мере необходимости для бизнеса
7.1 Процессы и механизмы ограничения доступа к компонентам системы и данным держателей карт по необходимости для бизнеса должны быть определены и понятны.
| Требования к определенному подходу PCI-DSS | Руководство и рекомендации Microsoft Entra |
|---|---|
|
7.1.1. Все политики безопасности и операционные процедуры, определенные в требовании 7: Документированы Обновлены В использовании Известны всем затронутым сторонам |
Интеграция доступа к приложениям среды данных CDE и Microsoft Entra ID для проверки подлинности и авторизации.
Документируйте политики условного доступа для технологий удаленного доступа. Автоматизация с помощью Microsoft API Graph и PowerShell. Conditional Access: программный доступ Архивируйте журналы аудита Microsoft Entra для записи изменений политики безопасности и конфигурации клиента Microsoft Entra. Чтобы записать использование, архивируйте журналы входа Microsoft Entra в систему безопасности и управления событиями (SIEM). журналы действий Microsoft Entra в Azure Monitor |
| 7.1.2 Роли и обязанности по выполнению действий в требованиях 7 документируются, назначаются и понимаются. | Интеграция доступа к приложениям CDE с помощью Microsoft Entra ID для проверки подлинности и авторизации.
. Назначение ролей пользователям приложений или членства в группах . Используйте Microsoft Graph для перечисления назначений приложений — используйте журналы аудита Microsoft Entra для отслеживания изменений назначений. - Global - Application - Authentication - Политика проверки подлинности — гибридная идентификация для реализации минимального привилегированного доступа используйте Microsoft Entra ID для создания пользовательских ролей каталога. Если вы создаете части CDE в Azure, задокументируйте назначения ролей с привилегиями, такие как владелец, участник, администратор доступа пользователя и т. д., а также пользовательские роли подписки, где развертываются ресурсы CDE. Корпорация Майкрософт рекомендует включить Just-In-Time (JIT) доступа к ролям с помощью управление привилегированными пользователями (PIM). PIM позволяет получать доступ точно в срок (JIT) к группам безопасности Microsoft Entra в сценариях, когда членство в группах представляет собой привилегированный доступ к приложениям или ресурсам CDE. ``` Встроенные роли Microsoft Entra Справочник по операциям управления идентификацией и доступом Microsoft Entra Создать настраиваемую роль в Microsoft Entra ID Обеспечение безопасности привилегированного доступа для гибридных и облачных развертываний в Microsoft Entra ID Что такое Microsoft Entra управление привилегированными пользователями? Лучшие практики для всех архитектур изоляции PIM для групп ``` |
7.2 Доступ к системным компонентам и данным надлежащим образом определен и назначен.
| Требования к определенному подходу PCI-DSS | Руководство и рекомендации Microsoft Entra |
|---|---|
|
7.2.1 Модель контроля доступа определена и включает предоставление доступа следующим образом: Соответствующий доступ в зависимости от потребностей организации и их доступа. Доступ к системным компонентам и ресурсам данных, основанный на классификации и функциях должностей пользователей. Минимальные привилегии, необходимые (например, пользователю, администратору) для выполнения функции задания. |
Используйте Microsoft Entra ID, чтобы назначить пользователей ролям в приложениях напрямую или через членство в группах.
Организации со стандартизированной таксономией, реализованной как атрибуты, могут автоматизировать предоставление доступа на основе классификации должностей и функций пользователей. Используйте группы Microsoft Entra с членством, а также пакеты доступа Microsoft Entra для управления правами с политиками динамического назначения. Используйте управление правами, чтобы определить разделение обязанностей для определения наименьших привилегий. PIM позволяет доступ Just-In-Time группам безопасности Microsoft Entra для пользовательских сценариев, в которых членство в группах представляет привилегированный доступ к приложениям или ресурсам CDE. Управление правилами для динамических групп членства Настройка политики автоматического назначения пакета доступа в управлении правами Настройка разделения обязанностей для пакета доступа в управлении правами PIM для групп |
|
7.2.2 Access назначается пользователям, включая привилегированных пользователей, на основе: классификации должностей и функциональных обязанностей. Минимальные привилегии, необходимые для выполнения обязанностей по заданию. |
Используйте Microsoft Entra ID, чтобы назначить пользователей ролям в приложениях напрямую или через членство в группах.
Организации со стандартизированной таксономией, реализованной как атрибуты, могут автоматизировать предоставление доступа на основе классификации должностей и функций пользователей. Используйте группы Microsoft Entra с членством, а также пакеты доступа Microsoft Entra для управления правами с политиками динамического назначения. Используйте управление правами, чтобы определить разделение обязанностей для определения наименьших привилегий. PIM позволяет доступ Just-In-Time группам безопасности Microsoft Entra для пользовательских сценариев, в которых членство в группах представляет привилегированный доступ к приложениям или ресурсам CDE. Управление правилами для динамических групп членства Настройка политики автоматического назначения пакета доступа в управлении правами Настройка разделения обязанностей для пакета доступа в управлении правами PIM для групп |
| 7.2.3 Обязательные привилегии утверждены авторизованным персоналом. | Управление доступом поддерживает рабочие процессы утверждения для предоставления доступа к ресурсам и для периодических проверок доступа.
Одобрить или запретить запросы на доступ в управлении правами Проверить доступ пакета доступа в управлении правами PIM поддерживает рабочие процессы утверждения для активации ролей каталога Microsoft Entra, ролей Azure и облачных групп. Утверждение или отклонение запросов для ролей Microsoft Entra в PIM Утверждение запросов на активацию для участников группы и владельцев |
|
7.2.4 Все учетные записи пользователей и связанные привилегии доступа, включая учетные записи сторонних поставщиков, проверяются следующим образом: не реже одного раза в шесть месяцев. , чтобы гарантировать, что учетные записи пользователей и доступ остаются соответствующими в соответствии с их должностными обязанностями. Любой недопустимый доступ устраняется. Управление признает, что доступ остается подходящим. |
Если вы предоставляете доступ приложениям с помощью прямого назначения или членства в группах, настройте проверки доступа Microsoft Entra. Если вы предоставляете доступ приложениям с помощью менеджмента полномочиями, включите проверки доступа на уровне пакета доступа.
Создайте обзор доступа пакета доступа в управлении правами доступа Используйте Внешняя идентификация Microsoft Entra для сторонних и поставщиков. Вы можете выполнять проверки доступа, предназначенные для внешних удостоверений, например, учетных записей третьих сторон или поставщиков. Управлять гостевым доступом с проверками доступа |
|
7.2.5 Все учетные записи приложений и систем, а также связанные с ними привилегии доступа назначаются и управляются следующим образом: на основе минимальных привилегий, необходимых для работы системы или приложения. Доступ ограничен системами, приложениями или процессами, которые конкретно требуют их использования. |
Используйте Microsoft Entra ID, чтобы назначить пользователей ролям в приложениях напрямую или через членство в группах.
Организации со стандартизированной таксономией, реализованной как атрибуты, могут автоматизировать предоставление доступа на основе классификации должностей и функций пользователей. Используйте группы Microsoft Entra с членством, а также пакеты доступа Microsoft Entra для управления правами с политиками динамического назначения. Используйте управление правами, чтобы определить разделение обязанностей для определения наименьших привилегий. PIM позволяет доступ Just-In-Time группам безопасности Microsoft Entra для пользовательских сценариев, в которых членство в группах представляет привилегированный доступ к приложениям или ресурсам CDE. Управление правилами для динамических групп членства Настройка политики автоматического назначения пакета доступа в управлении правами Настройка разделения обязанностей для пакета доступа в управлении правами PIM для групп |
|
7.2.5.1 Весь доступ к учетным записям приложений и системным учетным записям, а также связанных с ними привилегий доступа рассматриваются следующим образом: периодически (с частотой, определенной в целевом анализе рисков сущности, который выполняется в соответствии со всеми элементами, указанными в требовании 12.3.1). Доступ к приложению или системе остается подходящим для выполняемой функции. Любой недопустимый доступ устраняется. Руководство признает, что доступ остается подходящим. |
Рекомендации по просмотру разрешений учетных записей служб.
Управление учетными записями служб Microsoft Entra Управление локальными учетными записями служб |
|
7.2.6 Доступ всех пользователей к запросу репозиториев хранимых данных держателей карт ограничен следующим образом: Через приложения или другие программные методы с доступом и разрешёнными действиями, основанными на ролях пользователей и принципе минимальных привилегий. Только ответственные администраторы могут напрямую получать доступ или выполнять запросы к хранилищам данных держателей карт (CHD). |
Современные приложения позволяют с помощью программных методов ограничивать доступ к репозиториям данных.
Интегрируйте приложения с Microsoft Entra ID, используя современные протоколы аутентификации, такие как OAuth и OpenID Connect (OIDC). OAuth 2.0 и протоколы OIDC на платформе удостоверений Майкрософт Определите специфичные для приложения роли, чтобы моделировать привилегированный и непривилегированный доступ пользователей. Назначение пользователям или группам ролей. Добавьте роли приложения в приложение и получите их в токене Для API, которые предоставляются вашим приложением, определите области OAuth, чтобы включить согласие пользователя и администратора. Области действия и разрешения на платформе удостоверений Microsoft Моделируйте привилегированный и непривилегированный доступ к репозиториям с помощью следующего подхода и избегайте прямого доступа к репозиториям. Если администраторам и операторам требуется доступ, предоставьте его в соответствии с практиками базовой платформы. Например, назначения ARM IAM в Azure, списки управления доступом (ACL) в Windows и т. д. См. руководство по архитектуре, включающее защиту PaaS (платформы как услуги) и IaaS (инфраструктуры как услуги) в Azure. Центр архитектуры Azure |
7.3 Доступ к системным компонентам и данным управляется с помощью системы управления доступом.
| Требования к определенному подходу PCI-DSS | Руководство и рекомендации Microsoft Entra |
|---|---|
| 7.3.1 Предусмотрена система управления доступом, которая ограничивает доступ на основе необходимости знать и охватывает все системные компоненты. | Интеграция доступа к приложениям в CDE с помощью Microsoft Entra ID в качестве системы контроля доступа для аутентификации и авторизации. Политики условного доступа, с управлением назначениями приложений, контролируют доступ к приложениям.
Что такое условный доступ? Назначение пользователей и групп для приложения |
| 7.3.2 система access control настроена для применения разрешений, назначенных отдельным лицам, приложениям и системам на основе классификации заданий и функций. | Интеграция доступа к приложениям в CDE с помощью Microsoft Entra ID в качестве системы контроля доступа для аутентификации и авторизации. Политики условного доступа, с управлением назначениями приложений, контролируют доступ к приложениям.
Что такое условный доступ? Назначение пользователей и групп для приложения |
| 7.3.3 Система(ы) контроля доступа по умолчанию настроены на "запретить все". | Используйте условный доступ для блокировки доступа на основе условий запроса, таких как членство в группах, приложения, сетевое расположение, сила учетных данных и т. д. Условный доступ: блокировка Неправильно настроенная политика блокировки может привести к непреднамеренным блокировкам. Разработка стратегии экстренного доступа. Управление учетными записями администраторов с аварийным доступом в Microsoft Entra ID |
Следующие шаги
требованияPCI-DSS 34, 9 и 12 не применимы к Microsoft Entra ID, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.
Сведения о настройке Microsoft Entra ID соответствия требованиям PCI-DSS см. в следующих статьях.
- Руководство Microsoft Entra PCI-DSS
- Требование 1. Установка и обслуживание элементов управления безопасностью сети
- Требование 2. Применение безопасных конфигураций ко всем системным компонентам
- Требование 5. Защита всех систем и сетей от вредоносного программного обеспечения
- Требование 6. Разработка и обслуживание безопасных систем и программного обеспечения
- Требование 7: Ограничение доступа к системным компонентам и данным держателей карт по принципу деловой необходимости знать (вы находитесь здесь)
- Требование 8: Определение пользователей и аутентификация доступа к системным компонентам
- Требование 10: ведение журнала и мониторинг всех доступов к системным компонентам и данным держателей карт
- Требование 11. Регулярное тестирование безопасности систем и сетей
- Руководство по многофакторной идентификации Microsoft Entra PCI-DSS