Требование 8 идентификатора записи Майкрософт и PCI-DSS
Требование 8. Определение пользователей и проверка подлинности доступа к системным
компонентам, определенным требованиям к подходу
8.1 Процессы и механизмы для идентификации пользователей и проверки подлинности доступа к системным компонентам определяются и понимаются.
Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
---|---|
8.1.1 . Все политики безопасности и операционные процедуры, определенные в требованиях 8, являются: документированные сведения об использовании известных всем затронутым сторонам |
Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды. |
8.1.2 Роли и обязанности по выполнению действий в требованиях 8 документируются, назначаются и понимаются. | Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды. |
8.2 Идентификация пользователей и связанные учетные записи пользователей и администраторов строго управляются в течение жизненного цикла учетной записи.
Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
---|---|
8.2.1 Все пользователи назначают уникальный идентификатор перед доступом к системным компонентам или данным заполнителей карт. | Для приложений CDE, использующих идентификатор Microsoft Entra, уникальный идентификатор пользователя — это атрибут имени участника-пользователя (UPN). Население Microsoft Entra UserPrincipalName |
8.2.2 . Группы, общие или универсальные учетные записи или другие общие учетные данные проверки подлинности используются только при необходимости в случае исключения и управляются следующим образом: использование учетных записей запрещается, если не требуется для исключительных обстоятельств. Использование ограничено временем, необходимым для исключительных обстоятельств. Бизнес-обоснование использования задокументировано. Использование явно утверждено удостоверением отдельного пользователя управления перед предоставлением доступа к учетной записи. Каждое действие связано с отдельным пользователем. |
Убедитесь, что cdEs с помощью идентификатора Microsoft Entra для доступа к приложению имеют процессы, чтобы предотвратить общие учетные записи. Создайте их как исключение, требующее утверждения. Для ресурсов CDE, развернутых в Azure, используйте управляемые удостоверения для ресурсов Azure для представления удостоверения рабочей нагрузки вместо создания общей учетной записи службы. Что такое управляемые удостоверения для ресурсов Azure? Если вы не можете использовать управляемые удостоверения и доступные ресурсы используют протокол OAuth, используйте субъекты-службы для представления удостоверений рабочей нагрузки. Предоставьте удостоверениям минимальный привилегированный доступ через области OAuth. Администраторы могут ограничить доступ и определить рабочие процессы утверждения для их создания. Что такое удостоверения рабочих нагрузок? |
8.2.3. Дополнительное требование только для поставщиков услуг: поставщики служб с удаленным доступом к локальной среде клиента используют уникальные факторы проверки подлинности для каждого клиента. | Идентификатор Microsoft Entra имеет локальные соединители для включения гибридных возможностей. Соединители можно идентифицировать и использовать уникальные учетные данные. Microsoft Entra Connect Sync. Общие сведения о синхронизации облачной синхронизации глубокого анализа microsoft Entra on-premises application provisioning architecture Plan cloud HR application to Microsoft Entra user provisioning Install the Microsoft Entra Connect Health agent |
8.2.4 . Добавление, удаление и изменение идентификаторов пользователей, факторов проверки подлинности и других объектов идентификаторов управляются следующим образом: Авторизовано с соответствующим утверждением. Реализован только с привилегиями, указанными в документированного утверждения. |
Идентификатор Microsoft Entra имеет автоматическую подготовку учетных записей пользователей из систем управления персоналом. Используйте эту функцию для создания жизненного цикла. Что такое подготовка на основе управления персоналом? Идентификатор Microsoft Entra имеет рабочие процессы жизненного цикла, чтобы включить настраиваемую логику для процессов соединения, перемещения и выхода. Что такое рабочие процессы жизненного цикла? Идентификатор Microsoft Entra имеет программный интерфейс для управления методами проверки подлинности с помощью Microsoft Graph. Для регистрации некоторых методов проверки подлинности, таких как Windows Hello для бизнеса и ключи FIDO2, требуется вмешательство пользователя. Приступая к работе с администраторами API методов проверки подлинности Graph и (или) автоматизация создает учетные данные временного доступа с помощью API Graph. Используйте эти учетные данные для подключения без пароля. Настройка временного прохода доступа в идентификаторе Microsoft Entra для регистрации методов проверки подлинности без пароля |
8.2.5 Доступ для завершенных пользователей немедленно отменяется. | Чтобы отменить доступ к учетной записи, отключите локальные учетные записи для гибридных учетных записей, синхронизированных с идентификатора Microsoft Entra ID, отключите учетные записи в идентификаторе Microsoft Entra и отмените маркеры. Отменяйте доступ пользователей в идентификаторе Microsoft Entra ID , чтобы использовать оценку непрерывного доступа (CAE) для совместимых приложений, чтобы иметь двусторонняя беседа с идентификатором Microsoft Entra. Приложения могут получать уведомления о событиях, таких как завершение учетной записи и отклонение маркеров. Оценка непрерывного доступа |
8.2.6 Неактивные учетные записи пользователей удаляются или отключаются в течение 90 дней бездействия. | Для гибридных учетных записей администраторы проверяют действия в Active Directory и Microsoft Entra каждые 90 дней. Для идентификатора Microsoft Entra используйте Microsoft Graph, чтобы найти дату последнего входа. Практическое руководство. Управление неактивными учетными записями пользователей в идентификаторе Microsoft Entra |
8.2.7 Учетные записи, используемые сторонними сторонами для доступа, поддержки или обслуживания системных компонентов с помощью удаленного доступа, управляются следующим образом: включен только в течение периода времени, необходимого и отключенного, если он не используется. Использование отслеживается для непредвиденного действия. |
Идентификатор Microsoft Entra имеет внешние возможности управления удостоверениями. Используйте управляемый жизненный цикл гостя с управлением правами. Внешние пользователи подключены в контексте приложений, ресурсов и пакетов доступа, которые можно предоставить в течение ограниченного периода и требовать периодических проверок доступа. Проверки могут привести к удалению или отключению учетной записи. Управление доступом для внешних пользователей в идентификаторе Microsoft Entra ID управления правами создает события риска на уровне пользователя и сеанса. Узнайте, как защитить, обнаружить и реагировать на непредвиденные действия. Что такое риск? |
8.2.8 . Если сеанс пользователя неактивен более 15 минут, пользователю необходимо повторно выполнить проверку подлинности для повторной активации терминала или сеанса. | Используйте политики управления конечными точками с Intune и Microsoft Endpoint Manager. Затем используйте условный доступ, чтобы разрешить доступ с соответствующих устройств. Используйте политики соответствия требованиям, чтобы задать правила для устройств, управляемых с помощью Intune , если среда CDE использует объекты групповой политики (GPO), настройте объект групповой политики для установки времени ожидания простоя. Настройте идентификатор Microsoft Entra, чтобы разрешить доступ с гибридных устройств, присоединенных к Microsoft Entra. Гибридные устройства, присоединенные к Microsoft Entra |
8.3 Надежная проверка подлинности для пользователей и администраторов устанавливается и управляется.
Дополнительные сведения о методах проверки подлинности Microsoft Entra, которые соответствуют требованиям PCI, см. в статье "Дополнение к многофакторной проверке подлинности".
Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
---|---|
8.3.1 Доступ всех пользователей к системным компонентам для пользователей и администраторов проходит проверку подлинности по крайней мере одним из следующих факторов проверки подлинности: то, что вы знаете, например пароль или парольную фразу. У вас есть то, что у вас есть, например устройство маркера или смарт-карта. То, что вы являетесь, например биометрический элемент. |
Идентификатор Microsoft Entra id требует, чтобы методы без пароля соответствовали требованиям PCI, чтобы просмотреть комплексное развертывание без пароля. Планирование развертывания проверки подлинности без пароля в идентификаторе Microsoft Entra |
8.3.2 Сильная криптография используется для отображения всех факторов проверки подлинности, нечитаемых во время передачи и хранения во всех системных компонентах. | Криптография, используемая идентификатором Microsoft Entra, соответствует определению PCI строгой криптографии. Рекомендации по защите данных Microsoft Entra |
8.3.3 Удостоверение пользователя проверяется перед изменением любого фактора проверки подлинности. | Идентификатор Microsoft Entra требует, чтобы пользователи прошли проверку подлинности для обновления методов проверки подлинности с помощью самообслуживания, таких как портал mysecurityinfo и портал самостоятельного сброса пароля (SSPR). Настройка сведений о безопасности на странице "Общий условный доступ" политики условного доступа. Защита сведений о безопасности, регистрация администраторов самостоятельного сброса пароля Microsoft Entra с привилегированными ролями может изменять факторы проверки подлинности: глобальный, пароль, пользователь, проверка подлинности и привилегированная проверка подлинности. Наименее привилегированные роли по задачам в идентификаторе Microsoft Entra. Корпорация Майкрософт рекомендует включить JIT-доступ и управление для привилегированного доступа с помощью Microsoft Entra управление привилегированными пользователями |
8.3.4 Недопустимые попытки проверки подлинности ограничены : блокировка идентификатора пользователя после не более 10 попыток. Установка продолжительности блокировки не менее 30 минут или до подтверждения удостоверения пользователя. |
Разверните Windows Hello для бизнеса для устройств Windows, поддерживающих аппаратные модули доверенной платформы (TPM) 2.0 или более поздней версии. Для Windows Hello для бизнеса блокировка относится к устройству. Жест, ПИН-код или биометрические данные разблокирует доступ к локальному доверенному платформенного модуля. Администраторы настраивают поведение блокировки с помощью политик групповой политики или Intune. Параметры групповой политики TPM управляют Windows Hello для бизнеса на устройствах во время регистрации устройств с помощью основных принципов TPM Intune Windows Hello для бизнеса работает для локальной проверки подлинности в Active Directory и облачных ресурсах в идентификаторе Microsoft Entra. Для ключей безопасности FIDO2 защита от подбора связана с ключом. Жест, ПИН-код или биометрические данные разблокирует доступ к локальному хранилищу ключей. Администраторы настраивают идентификатор Microsoft Entra, чтобы разрешить регистрацию ключей безопасности FIDO2 от производителей, которые соответствуют требованиям PCI. Включите вход ключа безопасности без пароля в приложении Microsoft Authenticator Для устранения атак подбора с помощью входа в приложение Microsoft Authenticator без пароля, включите сопоставление чисел и дополнительный контекст. Идентификатор Microsoft Entra создает случайное число в потоке проверки подлинности. Пользователь вводит его в приложение authenticator. В запросе проверки подлинности мобильного приложения отображаются расположение, IP-адрес запроса и приложение запроса. Использование сопоставления чисел в уведомлениях MFA, как использовать дополнительный контекст в уведомлениях Microsoft Authenticator |
8.3.5 Если пароли и парольные фразы используются в качестве факторов проверки подлинности для соответствия требованиям 8.3.1, они задаются и сбрасываются для каждого пользователя следующим образом: задайте уникальное значение для первого использования и при сбросе. Принудительно измениться сразу после первого использования. |
Неприменимо к идентификатору Microsoft Entra. |
8.3.6 Если пароли и парольные фразы используются в качестве факторов проверки подлинности для соответствия требованиям 8.3.1, они соответствуют следующему минимальному уровню сложности: минимальная длина 12 символов (или если система не поддерживает 12 символов, минимальная длина восьми символов). Содержит числовые и алфавитные символы. |
Неприменимо к идентификатору Microsoft Entra. |
8.3.7 Частные лица не могут отправлять новый пароль или парольную фразу, которая совпадает с любым из последних четырех паролей или парольных фраз. | Неприменимо к идентификатору Microsoft Entra. |
Политики и процедуры проверки подлинности 8.3.8 документируются и передаются всем пользователям, включая руководство по выбору надежных факторов проверки подлинности. Руководство по защите факторов проверки подлинности пользователей. Инструкции не следует повторно использовать ранее используемые пароли или парольные фразы. Инструкции по изменению паролей или парольных фраз, если есть какие-либо подозрения или знания о том, что парольная фраза была скомпрометирована и как сообщить об инциденте. |
Политики и процедуры документов, а затем обмениваются данными с пользователями по этому требованию. Корпорация Майкрософт предоставляет настраиваемые шаблоны в Центре загрузки. |
8.3.9. Если пароли и парольные фразы используются в качестве единственного фактора проверки подлинности для доступа пользователей (то есть в любой реализации однофакторной проверки подлинности), то либо: пароли и парольные фразы изменяются по крайней мере один раз в 90 дней, или состояние безопасности учетных записей динамически анализируется, а доступ к ресурсам в режиме реального времени определяется автоматически. |
Неприменимо к идентификатору Microsoft Entra. |
8.3.10 Дополнительное требование только для поставщиков услуг. Если пароли и парольные фразы используются в качестве единственного фактора проверки подлинности для доступа пользователей клиента к данным заполнителей карт (то есть в любой реализации однофакторной проверки подлинности), то рекомендации предоставляются пользователям клиента, включая: руководство по изменению паролей и парольных фраз пользователей. Руководство по изменению паролей и парольных фраз в каких обстоятельствах. |
Неприменимо к идентификатору Microsoft Entra. |
8.3.10.1 Дополнительное требование только для поставщиков услуг. Если пароли и парольные фразы используются в качестве единственного фактора проверки подлинности для доступа пользователей клиента (то есть в любой реализации однофакторной проверки подлинности), то либо: пароли и парольные фразы изменяются по крайней мере один раз каждые 90 дней, или состояние безопасности учетных записей динамически анализируется, а доступ к ресурсам в режиме реального времени определяется автоматически. |
Неприменимо к идентификатору Microsoft Entra. |
8.3.11 , где используются такие факторы проверки подлинности, как физические или логические маркеры безопасности, смарт-карты или сертификаты: факторы назначаются отдельному пользователю, а не совместно используются несколькими пользователями. Физические и (или) логические элементы управления гарантируют, что только предполагаемый пользователь может использовать этот фактор для получения доступа. |
Используйте методы проверки подлинности без пароля, такие как Windows Hello для бизнеса, ключи безопасности FIDO2 и приложение Microsoft Authenticator для входа на телефон. Используйте смарт-карты на основе открытых или закрытых ключей, связанных с пользователями, чтобы предотвратить повторное использование. |
8.4 Многофакторная проверка подлинности (MFA) реализована для защиты доступа к среде данных заполнителей карт (CDE)
Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
---|---|
8.4.1 MFA реализуется для всех неконсолейных доступа к CDE для персонала с административным доступом. | Используйте условный доступ, чтобы требовать строгой проверки подлинности для доступа к ресурсам CDE. Определите политики для назначения административной роли или группы безопасности, представляющей административный доступ к приложению. Для административного доступа используйте microsoft Entra управление привилегированными пользователями (PIM), чтобы включить JIT-активацию привилегированных ролей. Что такое условный доступ? Шаблоны условного доступа начинаются с PIM |
MFA 8.4.2 реализуется для всех доступа к CDE. | Блокировать доступ к устаревшим протоколам, которые не поддерживают строгой проверки подлинности. Блокировка устаревших методов аутентификации в Microsoft Entra ID с помощью условного доступа |
8.4.3 MFA реализуется для всех удаленных сетевых доступа, исходящих извне сети сущности, которая может получить доступ к CDE или повлиять на нее следующим образом: все удаленные доступы всех сотрудников, как пользователей, так и администраторов, исходящих извне сети сущности. Все удаленные доступы сторонних производителей и поставщиков. |
Интеграция технологий доступа, таких как виртуальная частная сеть (VPN), удаленный рабочий стол и точки доступа к сети с идентификатором Microsoft Entra для проверки подлинности и авторизации. Используйте условный доступ, чтобы требовать строгой проверки подлинности для доступа к приложениям удаленного доступа. Шаблоны условного доступа |
Системы многофакторной проверки подлинности (MFA) 8.5 настроены для предотвращения неправильного использования.
Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
---|---|
Системы MFA 8.5.1 реализуются следующим образом: система MFA не подвержена атакам воспроизведения. Системы MFA не могут обойтись любыми пользователями, включая административных пользователей, если только не документированы и не авторизованы по управлению на основе исключений в течение ограниченного периода времени. Используются по крайней мере два разных типа факторов проверки подлинности. Перед предоставлением доступа требуется успешность всех факторов проверки подлинности. |
Рекомендуемые методы проверки подлинности Microsoft Entra используют неце или проблемы. Эти методы сопротивляются атакам воспроизведения, так как идентификатор Microsoft Entra id обнаруживает повторяемые транзакции проверки подлинности. Windows Hello для бизнеса, FIDO2 и приложение Microsoft Authenticator для входа без пароля телефона используйте nonce для идентификации запроса и обнаружения попыток воспроизведения. Используйте учетные данные без пароля для пользователей в CDE. Проверка подлинности на основе сертификатов использует проблемы для обнаружения попыток воспроизведения. Уровень проверки подлинности NIST 2 с идентификатором Microsoft Entra Уровень проверки подлинности NIST 3 с помощью идентификатора Microsoft Entra |
8.6 Использование учетных записей приложений и системных учетных записей и связанных факторов проверки подлинности строго управляется.
Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
---|---|
8.6.1 . Если учетные записи, используемые системами или приложениями, могут использоваться для интерактивного входа, они управляются следующим образом: интерактивное использование запрещается, если это не требуется для исключительных обстоятельств. Интерактивное использование ограничено временем, необходимым для исключительных обстоятельств. Бизнес-обоснование для интерактивного использования задокументировано. Интерактивное использование явно одобрено управлением. Удостоверение пользователя подтверждается перед предоставлением доступа к учетной записи. Каждое действие связано с отдельным пользователем. |
Для приложений CDE с современной проверкой подлинности и для ресурсов CDE, развернутых в Azure, использующих современную проверку подлинности, идентификатор Microsoft Entra имеет два типа учетных записей службы для приложений: управляемые удостоверения и субъекты-службы. Сведения об управлении учетными записями службы Microsoft Entra: планирование, подготовка, жизненный цикл, мониторинг, проверки доступа и т. д. Управление учетными записями службы Microsoft Entra для защиты учетных записей службы Microsoft Entra. Защита управляемых удостоверений в субъектах-службах защиты идентификаторов Microsoft Entra ID для CDEs с ресурсами за пределами Azure, для которых требуется доступ, настройка федераций удостоверений рабочей нагрузки без управления секретами или интерактивным входом. Федерация удостоверений рабочей нагрузки для включения процессов утверждения и отслеживания для выполнения требований, оркестрации рабочих процессов с помощью управления ИТ-службами (ITSM) и баз данных управления конфигурацией (CMDB) эти средства используют API MS Graph для взаимодействия с идентификатором Microsoft Entra ID и управления учетной записью службы. Для cdEs, для которых требуются учетные записи служб, совместимые с локальная служба Active Directory, используйте учетные записи управляемых служб (GMSAs) и автономные управляемые учетные записи служб (sMSA), учетные записи компьютеров или учетные записи пользователей. Защита локальных учетных записей служб |
8.6.2 Passwords/passphrases для любых учетных записей приложений и системных учетных записей, которые можно использовать для интерактивного входа, не жестко кодируются в скриптах, файлах конфигурации и свойств, а также в пользовательском исходном коде. | Используйте современные учетные записи служб, такие как управляемые удостоверения Azure и субъекты-службы, которые не требуют паролей. Учетные данные управляемых удостоверений Microsoft Entra подготавливаются и поворачиваются в облаке, что предотвращает использование общих секретов, таких как пароли и парольные фразы. При использовании управляемых удостоверений, назначенных системой, жизненный цикл привязан к базовому жизненному циклу ресурсов Azure. Используйте субъекты-службы для использования сертификатов в качестве учетных данных, что предотвращает использование общих секретов, таких как пароли и парольные фразы. Если сертификаты недоступны, используйте Azure Key Vault для хранения секретов клиента субъекта-службы. Рекомендации по использованию Azure Key Vault для CDEs с ресурсами за пределами Azure, которым требуется доступ, настройте федерации удостоверений рабочей нагрузки без управления секретами или интерактивным входом. Федерация удостоверений рабочей нагрузки развертывает условный доступ для удостоверений рабочей нагрузки для управления авторизацией на основе расположения и/или уровня риска. Условный доступ для удостоверений рабочей нагрузки в дополнение к предыдущему руководству используйте средства анализа кода для обнаружения жестко закодированных секретов в файлах кода и конфигурации. Обнаружение открытых секретов в правилах безопасности кода |
8.6.3 Пароли и парольные фразы для любых учетных записей приложений и систем защищены от неправильного использования следующим образом: пароли и парольные фразы периодически изменяются (на частоте, определенной в целевом анализе рисков сущности, которая выполняется в соответствии со всеми элементами, указанными в требовании 12.3.1), а также при подозрении или подтверждении компрометации. Пароли и парольные фразы создаются с достаточной сложностью, соответствующей частоте изменения сущности паролей или парольной фразы. |
Используйте современные учетные записи служб, такие как управляемые удостоверения Azure и субъекты-службы, которые не требуют паролей. Для исключений, для которых требуются субъекты-службы с секретами, абстрактный жизненный цикл секретов с рабочими процессами и автоматизацией, который задает случайные пароли для субъектов-служб, регулярно поворачивает их и реагирует на события риска. Группы по операциям безопасности могут просматривать и исправлять отчеты, созданные Microsoft Entra, например удостоверениями рабочих нагрузок риска. Защита удостоверений рабочей нагрузки с помощью Защита идентификации Microsoft Entra |
Следующие шаги
Требования PCI-DSS 3, 4, 9 и 12 не применимы к идентификатору Microsoft Entra, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.
Сведения о настройке идентификатора Microsoft Entra для соответствия ТРЕБОВАНИЯМ PCI-DSS см. в следующих статьях.
- Руководство microsoft Entra PCI-DSS
- Требование 1. Установка и обслуживание элементов управления безопасностью сети
- Требование 2. Применение безопасных конфигураций ко всем системным компонентам
- Требование 5. Защита всех систем и сетей от вредоносного программного обеспечения
- Требование 6. Разработка и обслуживание безопасных систем и программного обеспечения
- Требование 7. Ограничение доступа к системным компонентам и данным заполнителей карт по бизнесу необходимо знать
- Требование 8. Определение пользователей и проверка подлинности доступа к системным компонентам (здесь)
- Требование 10. Ведение журнала и мониторинг всех доступа к системным компонентам и данным заполнителей карт
- Требование 11. Регулярное тестирование безопасности систем и сетей
- Руководство по многофакторной идентификации Microsoft Entra PCI-DSS