Microsoft Entra ID et exigence PCI-DSS 7
Condition requise 7 : Restreindre l’accès aux composants système et aux données des titulaires de carte aux seuls individus qui doivent les connaître
Conditions requises d’approche définie
7.1 Des processus et mécanismes destinés à restreindre l’accès aux composants système et aux données de titulaires de cartes aux seuls individus qui doivent les connaître sont définis et compris.
Conditions requises d’approche définie par PCI-DSS | Aide et recommandations relatives à Microsoft Entra |
---|---|
7.1.1 Toutes les stratégies de sécurité et procédures opérationnelles qui sont identifiées dans la condition requise 7 sont : Documentées Tenues à jour En place Connues de toutes les parties concernées |
Intégrez l’accès aux applications de l’environnement de données des titulaires de cartes (CDE) avec Microsoft Entra ID pour l’authentification et l’autorisation. Documentez les stratégies d’accès conditionnel pour les technologies d’accès à distance. Automatisez avec l’API Microsoft Graph et PowerShell. Accès conditionnel : accès par programme Archivez les journaux d'audit Microsoft Entra pour enregistrer les modifications de stratégie de sécurité et la configuration du locataire Microsoft Entra. Pour enregistrer l'utilisation, archivez les journaux de connexion Microsoft Entra dans un système de gestion des informations et des événements de sécurité (SIEM). Journaux d’activité Microsoft Entra dans Azure Monitor |
7.1.2 Les rôles et responsabilités liés à l’exécution des activités mentionnées dans la condition requise 7 sont documentés, attribués et compris. | Intégrez l'accès aux applications CDE avec Microsoft Entra ID pour l'authentification et l'autorisation. – Attribuez des rôles d'utilisateurs aux applications ou à l'appartenance à un groupe – Utilisez Microsoft Graph pour répertorier les affectations d'applications – Utilisez les journaux d'audit Microsoft Entra pour suivre les modifications des affectations. Lister les appRoleAssignments accordés à un utilisateur Get-MgServicePrincipalAppRoleAssignedTo Accès privilégié Utiliser des journaux d'audit Microsoft Entra pour suivre les attributions de rôles d'annuaire. Rôles d'administrateur pertinents pour cette exigence PCI : – Global – Application – Authentification – Politique d'authentification – Identité hybride Pour implémenter l'accès au moindre privilège, utilisez Microsoft Entra ID pour créer des rôles d'annuaire personnalisés. Si vous créez des parties de CDE dans Azure, documentez les attributions de rôles privilégiés, telles que Propriétaire, Contributeur, Administrateur de l’accès utilisateur, etc., et les rôles personnalisés d’abonnement dans lesquels les ressources CDE sont déployées. Microsoft vous recommande d’activer l’accès juste-à-temps (JAT) aux rôles à l’aide de Privileged Identity Management (PIM). PIM permet l'accès JIT aux groupes de sécurité Microsoft Entra pour les scénarios dans lesquels l'appartenance à un groupe représente un accès privilégié aux applications ou ressources CDE. Rôles intégrés Microsoft Entra Guide de référence sur les opérations de gestion des identités et des accès Microsoft Entra Créer et attribuer un rôle personnalisé dans Microsoft Entra ID Sécuriser l'accès privilégié pour les déploiements hybrides et cloud dans Microsoft Entra ID Qu’est-ce que Microsoft Entra Privileged Identity Management ? Bonnes pratiques pour toutes les architectures d’isolation PIM pour les groupes |
7.2 L’accès aux données et composants système est correctement défini et attribué.
Conditions requises d’approche définie par PCI-DSS | Aide et recommandations relatives à Microsoft Entra |
---|---|
7.2.1 Un modèle de contrôle d’accès est défini et inclut l’octroi de l’accès de cette manière : Accès approprié en fonction de l’entreprise et des besoins d’accès de l’entité. Accès aux composants système et aux ressources de données basé sur la classification et les fonctions du travail des utilisateurs. Privilèges minimums requis (par exemple, utilisateur, administrateur) pour effectuer une fonction du travail. |
Utilisez Microsoft Entra ID pour attribuer des utilisateurs à des rôles directement dans les applications ou via l’adhésion à un groupe. Les organisations avec une taxonomie standardisée implémentée en tant qu’attribut peuvent automatiser les octrois d’accès en fonction de la classification et de la fonction du travail d’utilisateurs. Utilisez les groupes Microsoft Entra avec une appartenance de groupe et les packages d’accès à la gestion des droits d’utilisation Microsoft Entra avec des stratégies d’affectation dynamique. Utilisez la gestion des droits d’utilisation pour définir la séparation des tâches afin de délimiter les privilèges minimums. PIM permet l'accès JIT aux groupes de sécurité Microsoft Entra pour des scénarios personnalisés dans lesquels l'appartenance à un groupe représente un accès privilégié aux applications ou ressources CDE. Gérer les règles d’appartenance dynamique aux groupes Configurer une stratégie d’affectation automatique pour un package d’accès dans la gestion des droits d’utilisation Configurer la séparation des tâches pour un package d’accès dans la gestion des droits d’utilisation PIM pour les groupes |
7.2.2 L’accès est attribué aux utilisateurs, y compris aux utilisateurs privilégiés, en fonction de la classification et de la fonction du travail . Privilèges minimums nécessaires pour effectuer les responsabilités du travail. |
Utilisez Microsoft Entra ID pour attribuer des utilisateurs à des rôles dans les applications directement ou via l'adhésion à un groupe. Les organisations avec une taxonomie standardisée implémentée en tant qu’attribut peuvent automatiser les octrois d’accès en fonction de la classification et de la fonction du travail d’utilisateurs. Utilisez les groupes Microsoft Entra avec une appartenance de groupe et les packages d’accès à la gestion des droits d’utilisation Microsoft Entra avec des stratégies d’affectation dynamique. Utilisez la gestion des droits d’utilisation pour définir la séparation des tâches afin de délimiter les privilèges minimums. PIM permet l'accès JIT aux groupes de sécurité Microsoft Entra pour des scénarios personnalisés dans lesquels l'appartenance à un groupe représente un accès privilégié aux applications ou ressources CDE. Gérer les règles d’appartenance dynamique aux groupes Configurer une stratégie d’affectation automatique pour un package d’accès dans la gestion des droits d’utilisation Configurer la séparation des tâches pour un package d’accès dans la gestion des droits d’utilisation PIM pour les groupes |
7.2.3 Les privilèges requis sont approuvés par le personnel autorisé. | La gestion des droits d’utilisation prend en charge les workflows d’approbation pour accorder l’accès aux ressources et les révisions d’accès périodiques. Approuver ou refuser des demandes d'accès dans la gestion des droits d'utilisation Révision de l’accès d’un package d’accès dans la gestion des droits d’utilisation PIM prend en charge les workflows d'approbation pour activer les rôles d'annuaire Microsoft Entra, les rôles Azure et les groupes cloud. Approuver ou rejeter des demandes de rôles Microsoft Entra dans PIM Approuver des demandes d’activation de membres et propriétaires de groupe |
7.2.4 Tous les comptes d’utilisateur et les privilèges d’accès associés, y compris les comptes tiers/fournisseurs, sont examinés comme suit : Au moins une fois tous les six mois. Pour garantir que les comptes d’utilisateur et l’accès sont toujours appropriés selon la fonction du travail. Tout accès inapproprié est traité. La direction reconnaît que l’accès est toujours approprié. |
Si vous accordez l'accès aux applications à l'aide d'une attribution directe ou d'une appartenance à un groupe, configurez les révisions d'accès Microsoft Entra. Si vous accordez l’accès aux applications à l’aide de la gestion des droits d’utilisation, activez les révisions d’accès au niveau du package d’accès. Créer une révision d’accès d’un package d’accès dans la gestion des droits d’utilisation Utilisez l'ID externe Microsoft Entra pour les comptes tiers et fournisseurs. Vous pouvez effectuer des révisions d’accès ciblant des identités externes, comme des comptes tiers ou de fournisseurs. Gérer l’accès des invités avec les révisions d’accès |
7.2.5 Tous les comptes d’application et système, ainsi que les privilèges d’accès qui y sont associés, sont attribués et gérés de cette manière : En fonction des privilèges minimums nécessaires à l’opérabilité du système ou de l’application. L’accès est limité aux systèmes, aux applications ou aux processus qui nécessitent spécifiquement leur utilisation. |
Utilisez Microsoft Entra ID pour attribuer des utilisateurs à des rôles dans les applications directement ou via l'adhésion à un groupe. Les organisations avec une taxonomie standardisée implémentée en tant qu’attribut peuvent automatiser les octrois d’accès en fonction de la classification et de la fonction du travail d’utilisateurs. Utilisez les groupes Microsoft Entra avec une appartenance de groupe et les packages d’accès à la gestion des droits d’utilisation Microsoft Entra avec des stratégies d’affectation dynamique. Utilisez la gestion des droits d’utilisation pour définir la séparation des tâches afin de délimiter les privilèges minimums. PIM permet l'accès JIT aux groupes de sécurité Microsoft Entra pour des scénarios personnalisés dans lesquels l'appartenance à un groupe représente un accès privilégié aux applications ou ressources CDE. Gérer les règles d’appartenance dynamique aux groupes Configurer une stratégie d’affectation automatique pour un package d’accès dans la gestion des droits d’utilisation Configurer la séparation des tâches pour un package d’accès dans la gestion des droits d’utilisation PIM pour les groupes |
7.2.5.1 Tous les accès par les comptes d’application et de système et les privilèges d’accès associés sont examinés de cette manière : Périodiquement (à la fréquence définie dans l’analyse des risques ciblés de l’entité, qui est effectuée en fonction de tous les éléments spécifiés dans la condition requise 12.3.1). L’accès à l’application ou au système est toujours approprié pour la fonction en cours d’exécution. Tout accès inapproprié est traité. La direction reconnaît que l’accès est toujours approprié. |
Meilleures pratiques lors de l’examen des autorisations des comptes de service. Administrer des comptes de service Microsoft Entra Administrer les comptes de service locaux |
7.2.6 Tout accès utilisateur aux référentiels de requêtes des données de titulaires stockées est limité de cette manière : Via des applications ou d’autres méthodes programmatiques, avec un accès et des actions autorisés en fonction des rôles d’utilisateur et des privilèges minimums. Seul le ou les administrateurs responsables peuvent accéder directement aux référentiels de données stockées de titulaires de carte (CHD) ou les interroger. |
Les applications modernes activent des méthodes programmatiques qui limitent l’accès aux référentiels de données. Intégrez des applications avec Microsoft Entra ID à l'aide de protocoles d'authentification modernes tels que OAuth et OpenID Connect (OIDC). Protocoles OAuth 2.0 et OIDC sur la plateforme d'identités Microsoft Définissez des rôles spécifiques à l’application pour l’accès au modèle privilégié et à l’utilisateur non privilégié. Affectez des utilisateurs ou des groupes à des rôles. Ajouter des rôles d’application à votre application et les recevoir dans le jeton Pour les API exposées par votre application, définissez des étendues OAuth pour activer le consentement de l’utilisateur et de l’administrateur. Étendues et autorisations dans la plateforme d'identités Microsoft Modélisez l’accès privilégié et non privilégié aux référentiels avec l’approche suivante et évitez l’accès direct aux référentiels. Si les administrateurs et les opérateurs ont besoin d’un accès, accordez-le selon la plateforme sous-jacente. Par exemple, les affectations IAM ARM dans Azure, les fenêtres Listes de contrôle d’accès (ACL), etc. Consultez les conseils d’architecture qui traitent de la sécurisation de la plateforme en tant que service (PaaS) et de l’infrastructure en tant que service (IaaS) dans Azure. Centre des architectures Azure |
7.3 L’accès aux composants système et aux données est géré via un ou plusieurs systèmes de contrôle d’accès.
Conditions requises d’approche définie par PCI-DSS | Aide et recommandations relatives à Microsoft Entra |
---|---|
7.3.1 Un ou plusieurs systèmes de contrôle d’accès en place limitent l’accès en fonction des besoins d’un utilisateur et couvrent tous les composants du système. | Intégrez l'accès aux applications dans le CDE avec Microsoft Entra ID en tant qu'authentification et autorisation du système de contrôle d'accès. Les stratégies d’accès conditionnel, avec affectations d’application, contrôlent l’accès aux applications. Qu’est-ce que l’accès conditionnel ? Affecter des utilisateurs et des groupes à une application |
7.3.2 Le ou les systèmes de contrôle d’accès sont configurés pour appliquer les autorisations affectées aux individus, aux applications et aux systèmes en fonction de la classification et de la fonction du travail. | Intégrez l'accès aux applications dans le CDE avec Microsoft Entra ID en tant qu'authentification et autorisation du système de contrôle d'accès. Les stratégies d’accès conditionnel, avec affectations d’application, contrôlent l’accès aux applications. Qu’est-ce que l’accès conditionnel ? Affecter des utilisateurs et des groupes à une application |
7.3.3 Le ou les systèmes de contrôle d’accès sont définis sur « Refuser tout » par défaut. | Utilisez l’accès conditionnel pour bloquer l’accès en fonction des conditions de demande d’accès telles que l’appartenance au groupe, les applications, l’emplacement réseau, la force des informations d’identification, etc. Accès conditionnel : bloquer l’accès Stratégie de blocage mal configuré peut contribuer à des verrouillages involontaires. Concevez une stratégie d’accès en cas d’urgence. Gérer les comptes d'administrateur d'accès d'urgence dans Microsoft Entra ID |
Étapes suivantes
Les exigences 3, 4, 9 et 12 de la norme PCI-DSS ne s’appliquent pas à Microsoft Entra ID. Par conséquent, il n’existe aucun article correspondant. Pour consulter toutes les exigences, rendez-vous sur le site pcisecuritystandards.org : Site officiel du Conseil des normes de sécurité PCI.
Pour configurer Microsoft Entra ID pour qu'il soit conforme à PCI-DSS, consultez les articles suivants.
- Aide relative à Microsoft Entra et à la norme PCI-DSS
- Exigence 1 : installer et gérer des contrôles de sécurité réseau
- Exigence 2 : appliquer des configurations sécurisées à tous les composants système
- Exigence 5 : protéger tous les systèmes et réseaux contre des logiciels malveillants
- Condition requise 6 : Développer et gérer des systèmes et logiciels sécurisés
- Condition requise 7 : Restreindre l’accès aux composants système et aux données des titulaires de carte aux seuls individus qui doivent les connaître (Vous êtes ici)
- Condition requise 8 : Identifier les utilisateurs et authentifier l’accès aux composants système
- Exigence 10 : Enregistrer et surveiller tous les accès aux composants système et aux données de titulaires de carte
- Exigence 11 : Tester régulièrement la sécurité des systèmes et des réseaux
- Aide relative à l’authentification multifacteur Microsoft Entra dans le cadre de la norme PCI-DSS