Microsoft Entra ID 및 PCI-DSS 요구 사항 7
요구 사항 7: 비즈니스 요구 사항에 따라 시스템 구성 요소 및 카드 소유자 데이터에 대한 액세스 제한
정의된 방식 요구 사항
7.1 업무상 알아야 할 시스템 구성 요소 및 카드 소유자 데이터에 대한 액세스를 제한하는 프로세스와 메커니즘이 정의되고 이해됩니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
|
7.1.1 요구 사항 7에 식별된 모든 보안 정책 및 운영 절차는 다음과 같습니다. 문서화됨 최신 상태 유지 사용 중 영향을 받는 모든 당사자에게 알려짐 |
인증 및 권한 부여를 위해 CDE(카드 소유자 데이터 환경) 애플리케이션에 대한 액세스를 Microsoft Entra ID와 통합합니다.
원격 액세스 기술에 대한 조건부 액세스 정책을 문서화합니다. Microsoft Graph API 및 PowerShell을 사용하여 자동화합니다. 조건부 액세스: 프로그래매틱 액세스 보안 정책 변경 사항 및 Microsoft Entra 테넌트 구성을 기록하기 위해 Microsoft Entra 감사 로그를 보관합니다. 사용량을 기록하려면 SIEM(보안 정보 및 이벤트 관리) 시스템에 Microsoft Entra 로그인 로그를 보관합니다. Azure Monitor에서 Microsoft Entra 활동 로그 |
| 7.1.2 요구 사항 7의 작업을 수행하기 위한 역할과 책임을 문서화하고 할당하고 이해합니다. | 인증 및 권한 부여를 위해 CDE 애플리케이션에 대한 액세스를 Microsoft Entra ID와 통합합니다.
- 애플리케이션 또는 그룹 멤버 자격에 사용자 역할 할당 - Microsoft Graph를 사용하여 애플리케이션 할당 나열 - Microsoft Entra 감사 로그를 사용하여 할당 변경 내용을 추적합니다. 사용자에게 부여된 appRoleAssignments 목록 Get-MgServicePrincipalAppRoleAssignedTo 권한 있는 액세스 Microsoft Entra 감사 로그를 사용하여 디렉터리 역할 할당을 추적합니다. 이 PCI 요구 사항과 관련된 관리자 역할: - 전역 - 애플리케이션 - 인증 - 인증 정책 - 하이브리드 ID 최소 권한 액세스를 구현하려면 Microsoft Entra ID를 사용하여 사용자 지정 디렉터리 역할을 생성하세요. Azure에서 CDE의 일부를 빌드하는 경우 소유자, 기여자, 사용자 액세스 관리자 등과 같은 권한 있는 역할 할당과 CDE 리소스가 배포되는 구독 사용자 지정 역할을 문서화합니다. Microsoft에서는 PIM(Privileged Identity Management)을 사용하여 역할에 대한 JIT(Just-In-Time) 액세스를 사용하도록 설정하는 것이 좋습니다. PIM은 그룹 멤버 자격이 CDE 애플리케이션 또는 리소스에 대한 권한 있는 액세스를 나타내는 경우 시나리오에 대해 Microsoft Entra 보안 그룹에 대한 JIT 액세스를 사용하도록 설정합니다. Microsoft Entra 기본 제공 역할 Microsoft Entra ID 및 액세스 관리 작업 참조 가이드 Microsoft Entra ID에서 사용자 지정 역할 만들기 및 할당 Microsoft Entra ID에서 하이브리드 및 클라우드 배포의 권한 있는 액세스 보안 Microsoft Entra Privileged Identity Management란? 모든 격리 아키텍처에 대한 모범 사례 그룹용 PIM |
7.2 시스템 구성 요소 및 데이터에 대한 액세스 권한은 적절하게 정의되고 할당됩니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
|
7.2.1 액세스 제어 모델이 정의되고 다음과 같은 액세스 권한( 기업의 비즈니스 및 액세스 요구에 따른 적절한 액세스 권한)이 부여됩니다. 사용자의 직업 분류 및 함수를 기반으로 하는 시스템 구성 요소 및 데이터 리소스에 대한 액세스입니다. 직무를 수행하는 데 필요한 최소 권한(예: 사용자, 관리자)입니다. |
Microsoft Entra ID를 사용하여 직접 또는 그룹 멤버 자격을 통해 애플리케이션의 역할에 사용자를 할당할 수 있습니다.
특성으로 구현된 표준화된 분류 체계를 갖춘 조직은 사용자 작업 분류 및 함수를 기반으로 액세스 권한 부여를 자동화할 수 있습니다. 그룹 멤버 자격이 있는 Microsoft Entra 그룹과 동적 할당 정책이 있는 Microsoft Entra 권한 관리 액세스 패키지를 사용합니다. 권한 관리를 사용하여 직무 분리를 정의하여 최소 자격을 설명합니다. PIM은 그룹 멤버 자격이 CDE 애플리케이션 또는 리소스에 대한 권한 있는 액세스를 나타내는 사용자 지정 시나리오를 위해 Microsoft Entra 보안 그룹에 대한 JIT 액세스를 사용하도록 설정합니다. 동적 멤버 자격 그룹에 대한 규칙 관리 권한 관리에서 액세스 패키지에 대한 자동 할당 정책 구성 권한 관리에서 액세스 패키지에 대한 의무 분리 구성 그룹용 PIM |
|
7.2.2 액세스 권한은 다음과 같은 기준으로 권한이 있는 사용자를 포함한 사용자에게 할당됩니다. 직무 분류 및 기능. 직무를 수행하는 데 필요한 최소한의 권한입니다. |
Microsoft Entra ID를 사용하여 사용자를 애플리케이션의 역할에 직접 할당하거나 그룹 멤버 자격을 통해 할당할 수 있습니다.
특성으로 구현된 표준화된 분류 체계를 갖춘 조직은 사용자 작업 분류 및 함수를 기반으로 액세스 권한 부여를 자동화할 수 있습니다. 그룹 멤버 자격이 있는 Microsoft Entra 그룹과 동적 할당 정책이 있는 Microsoft Entra 권한 관리 액세스 패키지를 사용합니다. 권한 관리를 사용하여 직무 분리를 정의하여 최소 자격을 설명합니다. PIM은 그룹 멤버 자격이 CDE 애플리케이션 또는 리소스에 대한 권한 있는 액세스를 나타내는 사용자 지정 시나리오를 위해 Microsoft Entra 보안 그룹에 대한 JIT 액세스를 사용하도록 설정합니다. 동적 멤버 자격 그룹에 대한 규칙 관리 권한 관리에서 액세스 패키지에 대한 자동 할당 정책 구성 권한 관리에서 액세스 패키지에 대한 의무 분리 구성 그룹용 PIM |
| 7.2.3 필수 권한은 권한 부여된 담당자에 의해 권한 부여됩니다. | 권한 관리는 리소스에 대한 액세스 자격을 부여하는 승인 워크플로와 정기적인 액세스 검토를 지원합니다.
권한 관리에서 액세스 요청 승인 또는 거부 권한 관리에서 액세스 패키지의 액세스 검토 PIM은 Microsoft Entra 디렉토리 역할, Azure 역할 및 클라우드 그룹을 활성화하기 위한 승인 워크플로우를 지원합니다. PIM에서 Microsoft Entra 역할 요청 승인 또는 거부 그룹 멤버 및 소유자에 대한 활성화 요청 승인 |
|
7.2.4 타사/공급업체 계정을 포함한 모든 사용자 계정 및 관련 액세스 권한은 다음과 같이 검토됩니다. 최소 6개월에 한 번. 직무에 따라 사용자 계정 및 액세스 권한이 적절하게 유지되도록 합니다. 부적절한 액세스가 모두 해결되었습니다. 경영진은 액세스 권한이 여전히 적절하다는 것을 인정합니다. |
직접 할당이나 그룹 멤버 자격을 사용하여 애플리케이션에 대한 액세스 권한을 부여하는 경우 Microsoft Entra 액세스 검토를 구성합니다. 권한 관리를 사용하여 애플리케이션에 대한 액세스 권한을 부여하는 경우 액세스 패키지 수준에서 액세스 검토를 사용하도록 설정합니다.
권한 관리에서 액세스 패키지에 대한 액세스 검토 만들기 타사 및 공급업체 계정에 Microsoft Entra 외부 ID 사용 타사 또는 공급업체 계정과 같은 외부 ID를 대상으로 액세스 검토를 수행할 수 있습니다. 액세스 검토를 사용하여 게스트 액세스 관리 |
|
7.2.5 모든 애플리케이션 및 시스템 계정과 관련 액세스 권한은 다음과 같이 할당 및 관리됩니다. 시스템 또는 애플리케이션의 작동에 필요한 최소한의 권한 기준. 액세스는 특별히 사용이 필요한 시스템, 애플리케이션 또는 프로세스로 제한됩니다. |
Microsoft Entra ID를 사용하여 사용자를 애플리케이션의 역할에 직접 할당하거나 그룹 멤버 자격을 통해 할당할 수 있습니다.
특성으로 구현된 표준화된 분류 체계를 갖춘 조직은 사용자 작업 분류 및 함수를 기반으로 액세스 권한 부여를 자동화할 수 있습니다. 그룹 멤버 자격이 있는 Microsoft Entra 그룹과 동적 할당 정책이 있는 Microsoft Entra 권한 관리 액세스 패키지를 사용합니다. 권한 관리를 사용하여 직무 분리를 정의하여 최소 자격을 설명합니다. PIM은 그룹 멤버 자격이 CDE 애플리케이션 또는 리소스에 대한 권한 있는 액세스를 나타내는 사용자 지정 시나리오를 위해 Microsoft Entra 보안 그룹에 대한 JIT 액세스를 사용하도록 설정합니다. 동적 멤버 자격 그룹에 대한 규칙 관리 권한 관리에서 액세스 패키지에 대한 자동 할당 정책 구성 권한 관리에서 액세스 패키지에 대한 의무 분리 구성 그룹용 PIM |
|
7.2.5.1 애플리케이션 및 시스템 계정의 모든 액세스와 관련 액세스 권한은 다음과 같이 검토됩니다. 주기적으로(요구 사항 12.3.1에 지정된 모든 요소에 따라 수행되는 기업의 대상 위험 분석에 정의된 빈도로). 애플리케이션/시스템 액세스는 수행 중인 함수에 적합하게 유지됩니다. 부적절한 액세스가 모두 해결되었습니다. 관리는 액세스 권한이 여전히 적절하다는 것을 알 수 있습니다. |
서비스 계정 권한 검토 시 모범 사례
Microsoft Entra 서비스 계정 관리 온-프레미스 서비스 계정 관리 |
|
7.2.6 저장된 카드 소유자 데이터의 쿼리 리포지토리에 대한 모든 사용자 액세스는 다음과 같이 제한됩니다. 애플리케이션 또는 기타 프로그래밍 방식을 통해(사용자 역할 및 최소 권한을 기반으로 액세스 및 허용된 작업 사용). 담당 관리자만 저장된 CHD(카드 소유자 데이터) 리포지토리에 직접 액세스하거나 쿼리할 수 있습니다. |
최신 애플리케이션에서는 데이터 리포지토리에 대한 액세스를 제한하는 프로그래밍 방식의 방법이 가능합니다.
OAuth 및 OIDC(OpenID 연결)와 같은 최신 인증 프로토콜을 사용하여 애플리케이션을 Microsoft Entra ID와 통합합니다. Microsoft ID 플랫폼의 OAuth 2.0 및 OIDC 프로토콜 권한 있는 사용자 및 권한 없는 사용자 액세스를 모델링하기 위한 애플리케이션별 역할을 정의합니다. 사용자 또는 그룹을 역할에 할당합니다. 애플리케이션에 앱 역할을 추가하고 토큰으로 수신 애플리케이션에서 노출하는 API의 경우 OAuth 범위를 정의하여 사용자 및 관리자 동의를 사용하도록 설정합니다. Microsoft ID 플랫폼의 범위 및 권한 다음 방식을 사용하여 리포지토리에 대한 권한 있는 액세스와 권한 없는 액세스를 모델링하고 직접적인 리포지토리 액세스를 방지합니다. 관리자와 운영자에게 액세스 권한이 필요한 경우 기본 플랫폼별로 권한을 부여합니다. 예를 들어, Azure의 ARM IAM 할당, ACL(액세스 제어 목록) 창 등이 있습니다. Azure에서 애플리케이션 PaaS(Platform-as-a-Service) 및 IaaS(Infrastructure-as-a-Service) 보안을 포함하는 아키텍처 지침을 참조하세요. Azure 아키텍처 센터 |
7.3 시스템 구성 요소 및 데이터에 대한 액세스는 액세스 제어 시스템을 통해 관리됩니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 7.3.1 사용자의 알 필요에 따라 액세스를 제한하고 모든 시스템 구성 요소를 포괄하는 액세스 제어 시스템이 마련되어 있습니다. | 액세스 제어 시스템 인증 및 권한 부여로서 Microsoft Entra ID를 사용하여 CDE의 애플리케이션에 대한 액세스를 통합합니다. 애플리케이션 할당이 포함된 조건부 액세스 정책은 애플리케이션에 대한 액세스를 제어합니다.
조건부 액세스란? 애플리케이션에 사용자 및 그룹 할당 |
| 7.3.2 액세스 제어 시스템은 직무 분류 및 함수에 따라 개인, 애플리케이션 및 시스템에 할당된 권한을 적용하도록 구성됩니다. | 액세스 제어 시스템 인증 및 권한 부여로서 Microsoft Entra ID를 사용하여 CDE의 애플리케이션에 대한 액세스를 통합합니다. 애플리케이션 할당이 포함된 조건부 액세스 정책은 애플리케이션에 대한 액세스를 제어합니다.
조건부 액세스란? 애플리케이션에 사용자 및 그룹 할당 |
| 7.3.3 액세스 제어 시스템은 기본적으로 "모두 거부"로 설정됩니다. | 조건부 액세스를 사용하여 그룹 멤버 자격, 애플리케이션, 네트워크 위치, 자격 증명 강도 등과 같은 액세스 요청 조건에 따라 액세스를 차단할 수 있습니다. 조건부 액세스: 액세스 차단 잘못 구성된 차단 정책으로 인해 의도치 않은 잠금이 발생할 수 있습니다. 긴급 액세스 전략을 설계합니다. Microsoft Entra ID에서 긴급 액세스 관리자 계정 관리 |
다음 단계
PCI-DSS 요구 사항 3, 4, 9 및 12는 Microsoft Entra ID에 적용되지 않으므로 해당하는 문서가 없습니다. 모든 요구 사항을 보려면 pcisecuritystandards.org(공식 PCI 보안 표준 위원회 사이트)로 이동합니다.
PCI-DSS를 준수하도록 Microsoft Entra ID를 구성하려면 다음 문서를 참조하세요.
- Microsoft Entra PCI-DSS 지침
- 요구 사항 1: 네트워크 보안 컨트롤 설치 및 유지 관리
- 요구 사항 2: 모든 시스템 구성 요소에 보안 구성 적용
- 요구 사항 5: 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호
- 요구 사항 6: 보안 시스템 및 소프트웨어 개발 및 유지 관리
- 요구 사항 7: 업무상 알아야 할 사항에 따라 시스템 구성 요소 및 카드 소유자 데이터에 대한 액세스를 제한합니다.(현재 위치)
- 요구 사항 8: 사용자 식별 및 시스템 구성 요소에 대한 액세스 인증
- 요구 사항 10: 시스템 구성 요소 및 카드 소유자 데이터에 대한 모든 액세스 기록 및 모니터링
- 요구 사항 11: 정기적으로 시스템 및 네트워크의 보안 테스트
- Microsoft Entra PCI-DSS Multi-Factor Authentication 지침