Požadavek Microsoft Entra ID a PCI-DSS 1
Požadavek 1: Instalace a údržba definovaných požadavků na řízení
zabezpečení sítě
1.1 Procesy a mechanismy pro instalaci a údržbu bezpečnostních prvků sítě jsou definovány a pochopeny.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 1.1.1 Všechny zásady zabezpečení a provozní postupy, které jsou identifikovány v požadavku 1, jsou: Zdokumentováno v aktualizovaném stavu Při použití známé všem postiženým stranám |
Pokyny a odkazy zde použijte k vytvoření dokumentace pro splnění požadavků na základě konfigurace vašeho prostředí. |
| 1.1.2 Role a zodpovědnosti za provádění činností v požadavku 1 jsou zdokumentované, přiřazené a srozumitelné. | Pokyny a odkazy zde použijte k vytvoření dokumentace pro splnění požadavků na základě konfigurace vašeho prostředí. |
1.2 Ovládací prvky zabezpečení sítě (NSCS) jsou nakonfigurovány a udržovány.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 1.2.1 Standardy konfigurace pro sady pravidel NSC jsou: Definované spravované |
Integrace přístupových technologií, jako jsou VPN, vzdálená plocha a síťové přístupové body, s ID Microsoft Entra pro ověřování a autorizaci, pokud přístupové technologie podporují moderní ověřování. Zajistěte standardy NSC, které se týkají ovládacích prvků souvisejících s identitou, včetně definice zásad podmíněného přístupu, přiřazení aplikací, kontrol přístupu, správy skupin, zásad přihlašovacích údajů atd. Referenční příručka k operacím Microsoft Entra |
| 1.2.2 Všechny změny síťových připojení a konfigurace NSC jsou schváleny a spravovány v souladu s procesem řízení změn definovaným v požadavku 6.5.1 | Nevztahuje se na MICROSOFT Entra ID. |
| 1.2.3 Je zachováno přesné síťové diagramy, které znázorňují všechna připojení mezi datovým prostředím držitelů karet (CDE) a dalšími sítěmi, včetně všech bezdrátových sítí. | Nevztahuje se na MICROSOFT Entra ID. |
| 1.2.4 Je zachován přesný diagram toku dat, který splňuje následující požadavky: Zobrazuje všechny toky dat účtů napříč systémy a sítěmi. Aktualizace podle potřeby při změnách prostředí. |
Nevztahuje se na MICROSOFT Entra ID. |
| 1.2.5 Všechny povolené služby, protokoly a porty jsou identifikovány, schváleny a mají definovanou obchodní potřebu. | Nevztahuje se na MICROSOFT Entra ID. |
| 1.2.6 Funkce zabezpečení jsou definovány a implementovány pro všechny služby, protokoly a porty, které se používají a považují za nezabezpečené, takže riziko se zmírní. | Nevztahuje se na MICROSOFT Entra ID. |
| 1.2.7 Konfigurace NSC se kontrolují alespoň jednou za šest měsíců a ověřují, že jsou relevantní a efektivní. | Pomocí kontrol přístupu Microsoft Entra můžete automatizovat kontroly členství ve skupinách a aplikace, jako jsou zařízení VPN, která odpovídají ovládacím prvkům zabezpečení sítě ve službě CDE. Co jsou kontroly přístupu? |
| 1.2.8 Konfigurační soubory pro NSCs jsou: Zabezpečené před neoprávněným přístupem , které jsou konzistentní s aktivními konfiguracemi sítě |
Nevztahuje se na MICROSOFT Entra ID. |
1.3 Přístup k síti k datovému prostředí a z datového prostředí držitelů karet je omezený.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 1.3.1 Příchozí provoz do SLUŽBY CDE je omezen následujícím způsobem: Pouze provoz, který je nezbytný. Veškerý ostatní provoz je výslovně odepřen. |
Pomocí ID Microsoft Entra nakonfigurujte pojmenovaná umístění pro vytvoření zásad podmíněného přístupu. Výpočet rizika uživatele a přihlášení Microsoft doporučuje zákazníkům naplnit a udržovat IP adresy CDE pomocí síťových umístění. Použijte je k definování požadavků zásad podmíněného přístupu. Použití podmínky umístění v zásadách podmíněného přístupu |
| 1.3.2 Odchozí provoz z CDE je omezený následujícím způsobem: Pouze provoz, který je nutný. Veškerý ostatní provoz je výslovně odepřen. |
Pro návrh NSC zahrňte zásady podmíněného přístupu pro aplikace, které umožňují přístup k IP adresám CDE. Nouzový přístup nebo vzdálený přístup k navázání připojení ke službě CDE, jako jsou zařízení virtuální privátní sítě (VPN), interní portály, můžou vyžadovat zásady, které zabrání nezamýšleným uzamčením. Použití podmínky umístění v zásadách podmíněného přístupu – Správa účtů tísňového přístupu v Microsoft Entra ID |
| 1.3.3 NSCs jsou nainstalovány mezi všemi bezdrátovými sítěmi a CDE bez ohledu na to, zda je bezdrátová síť CDE, například: Veškerý bezdrátový provoz z bezdrátových sítí do CDE je ve výchozím nastavení odepřen. Do CDE je povolený pouze bezdrátový provoz s autorizovaným obchodním účelem. |
Pro návrh NSC zahrňte zásady podmíněného přístupu pro aplikace, které umožňují přístup k IP adresám CDE. Nouzový přístup nebo vzdálený přístup k navázání připojení ke službě CDE, jako jsou zařízení virtuální privátní sítě (VPN), interní portály, můžou vyžadovat zásady, které zabrání nezamýšleným uzamčením. Použití podmínky umístění v zásadách podmíněného přístupu – Správa účtů tísňového přístupu v Microsoft Entra ID |
1.4 Síťová připojení mezi důvěryhodnými a nedůvěryhodnými sítěmi jsou řízena.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 1.4.1 NSCs se implementují mezi důvěryhodnými a nedůvěryhodnými sítěmi. | Nevztahuje se na MICROSOFT Entra ID. |
| 1.4.2 Příchozí provoz z nedůvěryhodných sítí do důvěryhodných sítí je omezený na: Komunikace se systémovými komponentami, které mají oprávnění poskytovat veřejně přístupné služby, protokoly a porty. Stavové odpovědi na komunikaci iniciované systémovými komponentami v důvěryhodné síti. Veškerý ostatní provoz je odepřen. |
Nevztahuje se na MICROSOFT Entra ID. |
| 1.4.3 Anti-falšování identity opatření jsou implementována k detekci a blokování zkřetěných zdrojových IP adres v vstupu do důvěryhodné sítě. | Nevztahuje se na MICROSOFT Entra ID. |
| 1.4.4 Systémové komponenty, které ukládají data držitelů karet, nejsou přímo přístupné z nedůvěryhodných sítí. | Kromě ovládacích prvků v síťové vrstvě můžou aplikace v CDE používající Microsoft Entra ID používat zásady podmíněného přístupu. Omezte přístup k aplikacím na základě umístění. Použití síťového umístění v zásadách podmíněného přístupu |
| 1.4.5 Zpřístupnění interních IP adres a informací o směrování je omezeno pouze na oprávněné strany. | Nevztahuje se na MICROSOFT Entra ID. |
1.5 Rizika cde z výpočetních zařízení, která se můžou připojit k nedůvěryhodným sítím i cde, jsou zmírněna.
| Požadavky na definovaný přístup PCI-DSS | Microsoft Entra – pokyny a doporučení |
|---|---|
| 1.5.1 Kontrolní mechanismy zabezpečení se implementují na všech výpočetních zařízeních, včetně zařízení vlastněných společností a zaměstnanců, které se připojují k nedůvěryhodným sítím (včetně internetu) a CDE následujícím způsobem: Jsou definována konkrétní nastavení konfigurace, aby se zabránilo hrozbám zavedeným do sítě entity. Ovládací prvky zabezpečení jsou aktivně spuštěné. Bezpečnostní prvky nelze měnit uživateli výpočetních zařízení, pokud nejsou výslovně zdokumentované a autorizované správou na základě případu po omezenou dobu. |
Nasaďte zásady podmíněného přístupu, které vyžadují dodržování předpisů zařízením. Pomocí zásad dodržování předpisů můžete nastavit pravidla pro zařízení, která spravujete pomocí Intune, integrovat stav dodržování předpisů zařízením s antimalwarovými řešeními. Vynucení dodržování předpisů pro Microsoft Defender for Endpoint s podmíněným přístupem v integraci ochrany před mobilními hrozbami Intune s Intune |
Další kroky
Požadavky PCI-DSS 3, 4, 9 a 12 se nevztahují na ID Microsoft Entra, proto neexistují žádné odpovídající články. Pokud chcete zobrazit všechny požadavky, přejděte na pcisecuritystandards.org: oficiální web Rady bezpečnostních standardů PCI.
Pokud chcete nakonfigurovat ID Microsoft Entra tak, aby vyhovovalo PCI-DSS, přečtěte si následující články.
- Doprovodné materiály k Microsoft Entra PCI-DSS
- Požadavek 1: Instalace a údržba ovládacích prvků zabezpečení sítě (tady jste)
- Požadavek 2: Použití zabezpečených konfigurací u všech systémových komponent
- Požadavek 5: Ochrana všech systémů a sítí před škodlivým softwarem
- Požadavek 6: Vývoj a údržba zabezpečených systémů a softwaru
- Požadavek 7: Omezení přístupu k systémovým komponentám a datům držitelů karet podle obchodních potřeb
- Požadavek 8: Identifikace uživatelů a ověřování přístupu k systémovým komponentám
- Požadavek 10: Protokolování a monitorování veškerého přístupu k systémovým komponentám a datům držitelů karet
- Požadavek 11: Pravidelné testování zabezpečení systémů a sítí
- Pokyny k vícefaktorovému ověřování Microsoft Entra PCI-DSS