Microsoft Entra ID и PCI-DSS требование 7

Требование 7: Ограничение доступа к системным компонентам и данным держателей карт по мере необходимости для бизнеса

7.1 Процессы и механизмы ограничения доступа к компонентам системы и данным держателей карт по необходимости для бизнеса должны быть определены и понятны.

Требования к определенному подходу PCI-DSS Руководство и рекомендации Microsoft Entra
7.1.1. Все политики безопасности и операционные процедуры, определенные в требовании 7:
Документированы
Обновлены
В использовании
Известны всем затронутым сторонам
Интеграция доступа к приложениям среды данных CDE и Microsoft Entra ID для проверки подлинности и авторизации.
Документируйте политики условного доступа для технологий удаленного доступа. Автоматизация с помощью Microsoft API Graph и PowerShell. Conditional Access: программный доступ
Архивируйте журналы аудита Microsoft Entra для записи изменений политики безопасности и конфигурации клиента Microsoft Entra. Чтобы записать использование, архивируйте журналы входа Microsoft Entra в систему безопасности и управления событиями (SIEM). журналы действий Microsoft Entra в Azure Monitor
7.1.2 Роли и обязанности по выполнению действий в требованиях 7 документируются, назначаются и понимаются. Интеграция доступа к приложениям CDE с помощью Microsoft Entra ID для проверки подлинности и авторизации.
. Назначение ролей пользователям приложений или членства в группах
. Используйте Microsoft Graph для перечисления назначений приложений
— используйте журналы аудита Microsoft Entra для отслеживания изменений назначений. Список appRoleAssignments, предоставленных пользователюGet-MgServicePrincipalAppRoleAssignedToПривилегированный доступ Используйте журналы аудита Microsoft Entra для отслеживания назначений ролей каталога. Роли администратора, относящиеся к этому требованию PCI:
- Global
- Application
- Authentication
- Политика проверки подлинности
— гибридная идентификация
для реализации минимального привилегированного доступа используйте Microsoft Entra ID для создания пользовательских ролей каталога.
Если вы создаете части CDE в Azure, задокументируйте назначения ролей с привилегиями, такие как владелец, участник, администратор доступа пользователя и т. д., а также пользовательские роли подписки, где развертываются ресурсы CDE.
Корпорация Майкрософт рекомендует включить Just-In-Time (JIT) доступа к ролям с помощью управление привилегированными пользователями (PIM). PIM позволяет получать доступ точно в срок (JIT) к группам безопасности Microsoft Entra в сценариях, когда членство в группах представляет собой привилегированный доступ к приложениям или ресурсам CDE. ``` Встроенные роли Microsoft Entra
Справочник по операциям управления идентификацией и доступом Microsoft Entra
Создать настраиваемую роль в Microsoft Entra ID
Обеспечение безопасности привилегированного доступа для гибридных и облачных развертываний в Microsoft Entra ID
Что такое Microsoft Entra управление привилегированными пользователями?
Лучшие практики для всех архитектур изоляции
PIM для групп ```

7.2 Доступ к системным компонентам и данным надлежащим образом определен и назначен.

Требования к определенному подходу PCI-DSS Руководство и рекомендации Microsoft Entra
7.2.1 Модель контроля доступа определена и включает предоставление доступа следующим образом:
Соответствующий доступ в зависимости от потребностей организации и их доступа.
Доступ к системным компонентам и ресурсам данных, основанный на классификации и функциях должностей пользователей.
Минимальные привилегии, необходимые (например, пользователю, администратору) для выполнения функции задания.
Используйте Microsoft Entra ID, чтобы назначить пользователей ролям в приложениях напрямую или через членство в группах.
Организации со стандартизированной таксономией, реализованной как атрибуты, могут автоматизировать предоставление доступа на основе классификации должностей и функций пользователей. Используйте группы Microsoft Entra с членством, а также пакеты доступа Microsoft Entra для управления правами с политиками динамического назначения.
Используйте управление правами, чтобы определить разделение обязанностей для определения наименьших привилегий.
PIM позволяет доступ Just-In-Time группам безопасности Microsoft Entra для пользовательских сценариев, в которых членство в группах представляет привилегированный доступ к приложениям или ресурсам CDE. Управление правилами для динамических групп членства
Настройка политики автоматического назначения пакета доступа в управлении правами
Настройка разделения обязанностей для пакета доступа в управлении правами
PIM для групп
7.2.2 Access назначается пользователям, включая привилегированных пользователей, на основе:
классификации должностей и функциональных обязанностей.
Минимальные привилегии, необходимые для выполнения обязанностей по заданию.
Используйте Microsoft Entra ID, чтобы назначить пользователей ролям в приложениях напрямую или через членство в группах.
Организации со стандартизированной таксономией, реализованной как атрибуты, могут автоматизировать предоставление доступа на основе классификации должностей и функций пользователей. Используйте группы Microsoft Entra с членством, а также пакеты доступа Microsoft Entra для управления правами с политиками динамического назначения.
Используйте управление правами, чтобы определить разделение обязанностей для определения наименьших привилегий.
PIM позволяет доступ Just-In-Time группам безопасности Microsoft Entra для пользовательских сценариев, в которых членство в группах представляет привилегированный доступ к приложениям или ресурсам CDE. Управление правилами для динамических групп членства
Настройка политики автоматического назначения пакета доступа в управлении правами
Настройка разделения обязанностей для пакета доступа в управлении правами
PIM для групп
7.2.3 Обязательные привилегии утверждены авторизованным персоналом. Управление доступом поддерживает рабочие процессы утверждения для предоставления доступа к ресурсам и для периодических проверок доступа. Одобрить или запретить запросы на доступ в управлении правами
Проверить доступ пакета доступа в управлении правами
PIM поддерживает рабочие процессы утверждения для активации ролей каталога Microsoft Entra, ролей Azure и облачных групп. Утверждение или отклонение запросов для ролей Microsoft Entra в PIM
Утверждение запросов на активацию для участников группы и владельцев
7.2.4 Все учетные записи пользователей и связанные привилегии доступа, включая учетные записи сторонних поставщиков, проверяются следующим образом:
не реже одного раза в шесть месяцев.
, чтобы гарантировать, что учетные записи пользователей и доступ остаются соответствующими в соответствии с их должностными обязанностями.
Любой недопустимый доступ устраняется. Управление признает, что доступ остается подходящим.
Если вы предоставляете доступ приложениям с помощью прямого назначения или членства в группах, настройте проверки доступа Microsoft Entra. Если вы предоставляете доступ приложениям с помощью менеджмента полномочиями, включите проверки доступа на уровне пакета доступа. Создайте обзор доступа пакета доступа в управлении правами доступа
Используйте Внешняя идентификация Microsoft Entra для сторонних и поставщиков. Вы можете выполнять проверки доступа, предназначенные для внешних удостоверений, например, учетных записей третьих сторон или поставщиков. Управлять гостевым доступом с проверками доступа
7.2.5 Все учетные записи приложений и систем, а также связанные с ними привилегии доступа назначаются и управляются следующим образом:
на основе минимальных привилегий, необходимых для работы системы или приложения.
Доступ ограничен системами, приложениями или процессами, которые конкретно требуют их использования.
Используйте Microsoft Entra ID, чтобы назначить пользователей ролям в приложениях напрямую или через членство в группах.
Организации со стандартизированной таксономией, реализованной как атрибуты, могут автоматизировать предоставление доступа на основе классификации должностей и функций пользователей. Используйте группы Microsoft Entra с членством, а также пакеты доступа Microsoft Entra для управления правами с политиками динамического назначения.
Используйте управление правами, чтобы определить разделение обязанностей для определения наименьших привилегий.
PIM позволяет доступ Just-In-Time группам безопасности Microsoft Entra для пользовательских сценариев, в которых членство в группах представляет привилегированный доступ к приложениям или ресурсам CDE. Управление правилами для динамических групп членства
Настройка политики автоматического назначения пакета доступа в управлении правами
Настройка разделения обязанностей для пакета доступа в управлении правами
PIM для групп
7.2.5.1 Весь доступ к учетным записям приложений и системным учетным записям, а также связанных с ними привилегий доступа рассматриваются следующим образом:
периодически (с частотой, определенной в целевом анализе рисков сущности, который выполняется в соответствии со всеми элементами, указанными в требовании 12.3.1).
Доступ к приложению или системе остается подходящим для выполняемой функции.
Любой недопустимый доступ устраняется.
Руководство признает, что доступ остается подходящим.
Рекомендации по просмотру разрешений учетных записей служб. Управление учетными записями служб Microsoft Entra
Управление локальными учетными записями служб
7.2.6 Доступ всех пользователей к запросу репозиториев хранимых данных держателей карт ограничен следующим образом:
Через приложения или другие программные методы с доступом и разрешёнными действиями, основанными на ролях пользователей и принципе минимальных привилегий.
Только ответственные администраторы могут напрямую получать доступ или выполнять запросы к хранилищам данных держателей карт (CHD).
Современные приложения позволяют с помощью программных методов ограничивать доступ к репозиториям данных.
Интегрируйте приложения с Microsoft Entra ID, используя современные протоколы аутентификации, такие как OAuth и OpenID Connect (OIDC). OAuth 2.0 и протоколы OIDC на платформе удостоверений Майкрософт
Определите специфичные для приложения роли, чтобы моделировать привилегированный и непривилегированный доступ пользователей. Назначение пользователям или группам ролей. Добавьте роли приложения в приложение и получите их в токене
Для API, которые предоставляются вашим приложением, определите области OAuth, чтобы включить согласие пользователя и администратора. Области действия и разрешения на платформе удостоверений Microsoft
Моделируйте привилегированный и непривилегированный доступ к репозиториям с помощью следующего подхода и избегайте прямого доступа к репозиториям. Если администраторам и операторам требуется доступ, предоставьте его в соответствии с практиками базовой платформы. Например, назначения ARM IAM в Azure, списки управления доступом (ACL) в Windows и т. д.
См. руководство по архитектуре, включающее защиту PaaS (платформы как услуги) и IaaS (инфраструктуры как услуги) в Azure. Центр архитектуры Azure

7.3 Доступ к системным компонентам и данным управляется с помощью системы управления доступом.

Требования к определенному подходу PCI-DSS Руководство и рекомендации Microsoft Entra
7.3.1 Предусмотрена система управления доступом, которая ограничивает доступ на основе необходимости знать и охватывает все системные компоненты. Интеграция доступа к приложениям в CDE с помощью Microsoft Entra ID в качестве системы контроля доступа для аутентификации и авторизации. Политики условного доступа, с управлением назначениями приложений, контролируют доступ к приложениям. Что такое условный доступ?
Назначение пользователей и групп для приложения
7.3.2 система access control настроена для применения разрешений, назначенных отдельным лицам, приложениям и системам на основе классификации заданий и функций. Интеграция доступа к приложениям в CDE с помощью Microsoft Entra ID в качестве системы контроля доступа для аутентификации и авторизации. Политики условного доступа, с управлением назначениями приложений, контролируют доступ к приложениям. Что такое условный доступ?
Назначение пользователей и групп для приложения
7.3.3 Система(ы) контроля доступа по умолчанию настроены на "запретить все". Используйте условный доступ для блокировки доступа на основе условий запроса, таких как членство в группах, приложения, сетевое расположение, сила учетных данных и т. д. Условный доступ: блокировка
Неправильно настроенная политика блокировки может привести к непреднамеренным блокировкам. Разработка стратегии экстренного доступа. Управление учетными записями администраторов с аварийным доступом в Microsoft Entra ID

Следующие шаги

требованияPCI-DSS 34, 9 и 12 не применимы к Microsoft Entra ID, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.

Сведения о настройке Microsoft Entra ID соответствия требованиям PCI-DSS см. в следующих статьях.