Microsoft Entra ID i PCI-DSS Wymaganie 1
Wymaganie 1. Instalowanie i obsługa zdefiniowanych wymagań dotyczących zabezpieczeń sieciowych mechanizmów kontroli
zabezpieczeń
1.1 Procesy i mechanizmy instalowania i utrzymywania mechanizmów zabezpieczeń sieci są definiowane i zrozumiałe.
| Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| 1.1.1 Wszystkie zasady zabezpieczeń i procedury operacyjne, które zostały zidentyfikowane w wymaganiach 1, to: Udokumentowano aktualną datę W użyciu znane wszystkim stronom, których dotyczy problem |
Skorzystaj ze wskazówek i linków w tym dokumencie, aby utworzyć dokumentację, aby spełnić wymagania na podstawie konfiguracji środowiska. |
| 1.1.2 Role i obowiązki związane z wykonywaniem działań w wymaganiach 1 są udokumentowane, przypisane i zrozumiałe | Skorzystaj ze wskazówek i linków w tym dokumencie, aby utworzyć dokumentację, aby spełnić wymagania na podstawie konfiguracji środowiska. |
1.2 Sieciowe mechanizmy kontroli zabezpieczeń (NSC) są konfigurowane i obsługiwane.
| Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| 1.2.1 Standardy konfiguracji dla zestawów reguł NSC to: Zdefiniowane zaimplementowane obsługiwane |
Integrowanie technologii dostępu, takich jak sieć VPN, pulpit zdalny i punkty dostępu do sieci z identyfikatorem Entra firmy Microsoft na potrzeby uwierzytelniania i autoryzacji, jeśli technologie dostępu obsługują nowoczesne uwierzytelnianie. Upewnij się, że standardy NSC, które odnoszą się do mechanizmów kontroli związanych z tożsamościami, obejmują definicję zasad dostępu warunkowego, przypisywanie aplikacji, przeglądy dostępu, zarządzanie grupami, zasady poświadczeń itp. Przewodnik po operacjach firmy Microsoft Entra |
| 1.2.2 Wszystkie zmiany połączeń sieciowych i konfiguracji sieciowych kontrolerów są zatwierdzane i zarządzane zgodnie z procesem kontroli zmian zdefiniowanym w wymaganiach 6.5.1 | Nie dotyczy identyfikatora Entra firmy Microsoft. |
| 1.2.3 Dokładne diagramy sieciowe są utrzymywane, które pokazują wszystkie połączenia między środowiskiem danych posiadacza kart (CDE) i innymi sieciami, w tym sieciami bezprzewodowymi. | Nie dotyczy identyfikatora Entra firmy Microsoft. |
| 1.2.4 Dokładne diagramy przepływu danych są utrzymywane zgodnie z następującymi wymaganiami: Przedstawia wszystkie przepływy danych konta w systemach i sieciach. Zaktualizowano w razie potrzeby zmiany środowiska. |
Nie dotyczy identyfikatora Entra firmy Microsoft. |
| 1.2.5 Wszystkie dozwolone usługi, protokoły i porty są identyfikowane, zatwierdzone i mają zdefiniowaną potrzebę biznesową | Nie dotyczy identyfikatora Entra firmy Microsoft. |
| 1.2.6 Funkcje zabezpieczeń są definiowane i implementowane dla wszystkich usług, protokołów i portów używanych i uznawanych za niezabezpieczone, tak aby ryzyko zostało złagodzone. | Nie dotyczy identyfikatora Entra firmy Microsoft. |
| 1.2.7 Konfiguracje sieciowych kontrolerów zabezpieczeń są sprawdzane co najmniej raz na sześć miesięcy, aby potwierdzić, że są one istotne i skuteczne. | Użyj przeglądów dostępu firmy Microsoft Entra, aby zautomatyzować przeglądy członkostwa w grupach i aplikacje, takie jak urządzenia sieci VPN, które są zgodne z mechanizmami kontroli zabezpieczeń sieci w usłudze CDE. Co to są przeglądy dostępu? |
| 1.2.8 Pliki konfiguracji dla sieciowych kontrolerów są: Zabezpieczone przed nieautoryzowanym dostępem Zachowano spójność z aktywnymi konfiguracjami sieci |
Nie dotyczy identyfikatora Entra firmy Microsoft. |
1.3 Dostęp sieciowy do i ze środowiska danych karty jest ograniczony.
| Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| 1.3.1 Ruch przychodzący do usługi CDE jest ograniczony w następujący sposób: Do tylko niezbędnego ruchu. Cały inny ruch jest w szczególności odrzucany |
Użyj identyfikatora Entra firmy Microsoft, aby skonfigurować nazwane lokalizacje w celu utworzenia zasad dostępu warunkowego. Oblicz ryzyko związane z użytkownikiem i logowaniem. Firma Microsoft zaleca klientom wypełnianie i utrzymywanie adresów IP usługi CDE przy użyciu lokalizacji sieciowych. Użyj ich do zdefiniowania wymagań zasad dostępu warunkowego. Używanie warunku lokalizacji w zasadach dostępu warunkowego |
| 1.3.2 Ruch wychodzący z usługi CDE jest ograniczony w następujący sposób: Do tylko niezbędnego ruchu. Cały inny ruch jest w szczególności odrzucany |
W przypadku projektowania NSC uwzględnij zasady dostępu warunkowego dla aplikacji, aby umożliwić dostęp do adresów IP usługi CDE. Dostęp awaryjny lub dostęp zdalny w celu ustanowienia łączności z usługą CDE, takich jak wirtualne urządzenia sieci prywatnej (VPN), portale zabezpieczeń, mogą wymagać zasad, aby zapobiec niezamierzonej blokadzie. Używanie warunku lokalizacji w zasadach dostępu warunkowego Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID |
| 1.3.3 NSC są instalowane między wszystkimi sieciami bezprzewodowymi i CDE, niezależnie od tego, czy sieć bezprzewodowa jest CDE, takie jak: cały ruch bezprzewodowy z sieci bezprzewodowych do CDE jest domyślnie odrzucany. Tylko ruch bezprzewodowy z autoryzowanym celem biznesowym jest dozwolony do CDE. |
W przypadku projektowania NSC uwzględnij zasady dostępu warunkowego dla aplikacji, aby umożliwić dostęp do adresów IP usługi CDE. Dostęp awaryjny lub dostęp zdalny w celu ustanowienia łączności z usługą CDE, takich jak wirtualne urządzenia sieci prywatnej (VPN), portale zabezpieczeń, mogą wymagać zasad, aby zapobiec niezamierzonej blokadzie. Używanie warunku lokalizacji w zasadach dostępu warunkowego Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID |
1.4 Połączenia sieciowe między zaufanymi i niezaufanymi sieciami są kontrolowane.
| Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| 1.4.1 Sieciowe kontrolery zabezpieczeń są implementowane między zaufanymi i niezaufanych sieciami. | Nie dotyczy identyfikatora Entra firmy Microsoft. |
| 1.4.2 Ruch przychodzący z niezaufanych sieci do zaufanych sieci jest ograniczony do: Komunikacja ze składnikami systemu, które są autoryzowane do udostępniania publicznie dostępnych usług, protokołów i portów. Stanowe odpowiedzi na komunikaty inicjowane przez składniki systemowe w zaufanej sieci. Cały inny ruch jest blokowany. |
Nie dotyczy identyfikatora Entra firmy Microsoft. |
| 1.4.3 Środki chroniące przed fałszowaniem są implementowane w celu wykrywania i blokowania sfałszowanych źródłowych adresów IP przed wejściem do zaufanej sieci. | Nie dotyczy identyfikatora Entra firmy Microsoft. |
| 1.4.4 Składniki systemowe przechowujące dane karty nie są bezpośrednio dostępne z niezaufanych sieci. | Oprócz kontrolek w warstwie sieciowej aplikacje w usłudze CDE przy użyciu identyfikatora Entra firmy Microsoft mogą używać zasad dostępu warunkowego. Ogranicz dostęp do aplikacji na podstawie lokalizacji. Używanie lokalizacji sieciowej w zasadach dostępu warunkowego |
| 1.4.5 Ujawnienie wewnętrznych adresów IP i informacji o routingu jest ograniczone tylko do autoryzowanych stron. | Nie dotyczy identyfikatora Entra firmy Microsoft. |
1.5 Ryzyko związane z usługą CDE z urządzeń obliczeniowych, które są w stanie nawiązać połączenie z niezaufanych sieci i cdE, są ograniczane.
| Wymagania dotyczące podejścia zdefiniowanego przez PCI-DSS | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| 1.5.1 Mechanizmy kontroli zabezpieczeń są implementowane na wszystkich urządzeniach obliczeniowych, w tym na urządzeniach należących do firmy i pracowników, które łączą się z niezaufanych sieci (w tym z Internetem) i CDE w następujący sposób: określone ustawienia konfiguracji są definiowane w celu zapobiegania zagrożeniom wprowadzanym do sieci jednostki. Mechanizmy kontroli zabezpieczeń są aktywnie uruchamiane. Mechanizmy kontroli zabezpieczeń nie mogą ulec zmianie przez użytkowników urządzeń obliczeniowych, chyba że w ograniczonym okresie są udokumentowane i autoryzowane przez zarządzanie. |
Wdróż zasady dostępu warunkowego, które wymagają zgodności urządzeń. Użyj zasad zgodności, aby ustawić reguły dla urządzeń zarządzanych za pomocą usługi Intune Integrowanie stanu zgodności urządzeń z rozwiązaniami chroniącymi przed złośliwym oprogramowaniem. Wymuszanie zgodności Ochrona punktu końcowego w usłudze Microsoft Defender z dostępem warunkowym w usłudze Intune Mobile Threat Defense integration with Intune (Wymuszanie zgodności dla Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu dostępu warunkowego w usłudze Intune Mobile Threat Defense) |
Następne kroki
Wymagania PCI-DSS 3, 4, 9 i 12 nie mają zastosowania do identyfikatora Entra firmy Microsoft, dlatego nie ma odpowiednich artykułów. Aby zobaczyć wszystkie wymagania, przejdź do pcisecuritystandards.org: Oficjalna witryna Rady Standardów Bezpieczeństwa PCI.
Aby skonfigurować identyfikator Entra firmy Microsoft w celu zachowania zgodności z standardem PCI-DSS, zobacz następujące artykuły.
- Microsoft Entra PCI-DSS guidance (Wskazówki dotyczące rozwiązania Microsoft Entra PCI-DSS)
- Wymaganie 1: Instalowanie i utrzymywanie kontroli zabezpieczeń sieci (jesteś tutaj)
- Wymaganie 2: Stosowanie bezpiecznych konfiguracji do wszystkich składników systemowych
- Wymaganie 5. Ochrona wszystkich systemów i sieci przed złośliwym oprogramowaniem
- Wymaganie 6. Opracowywanie i utrzymywanie bezpiecznych systemów i oprogramowania
- Wymaganie 7. Ograniczanie dostępu do składników systemowych i danych posiadaczy kart według potrzeb biznesowych
- Wymaganie 8. Identyfikowanie użytkowników i uwierzytelnianie dostępu do składników systemu
- Wymaganie 10: Rejestrowanie i monitorowanie całego dostępu do składników systemowych i danych karty
- Wymaganie 11: Regularne testowanie zabezpieczeń systemów i sieci
- Microsoft Entra PCI-DSS Multi-Factor Authentication guidance (Wskazówki dotyczące uwierzytelniania wieloskładnikowego firmy Microsoft Entra PCI-DSS)