Microsoft Entra ID 和 PCI-DSS 要求 1
要求 1:安装和维护网络安全控件
定义的方法要求
1.1 定义并了解安装和维护网络安全控件的过程和机制。
| PCI-DSS 定义的方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 1.1.1 要求 1 中确定的所有安全策略和操作过程需: 已载明 保持最新状态 在使用中 为所有受影响方所知晓 |
根据环境配置,使用此处的指导和链接生成相应文档以满足要求。 |
| 1.1.2 记录、分配并了解执行要求 1 中的活动的角色和职责 | 根据环境配置,使用此处的指导和链接生成相应文档以满足要求。 |
1.2 配置和维护网络安全控件 (NCS)
| PCI-DSS 定义的方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 1.2.1 NSC 规则集的配置标准需: 已定义 已实现 受到维护 |
如果访问技术支持新式身份验证,请将 VPN、远程桌面和网络接入点等访问技术与 Microsoft Entra ID 集成以进行身份验证和授权。 确保标识相关控件的 NSC 标准包括条件访问策略、应用程序分配、访问评审、组管理、凭据策略等的定义。Microsoft Entra 操作参考指南 |
| 1.2.2 对网络连接和 NSC 配置进行的所有变更均需根据要求 6.5.1 中规定的变更控制过程进行审批和管理 | 不适用于 Microsoft Entra ID。 |
| 1.2.3 维护准确的网络图,用以显示持卡人数据环境 (CDE) 与其他网络(包括任何无线网络)之间的所有连接。 | 不适用于 Microsoft Entra ID。 |
| 1.2.4 维护准确的数据流图,确保其满足以下要求: 显示跨系统和网络的所有帐户数据流。 环境变化时根据需要进行更新。 |
不适用于 Microsoft Entra ID。 |
| 1.2.5 所有允许的服务、协议和端口都经过识别、批准,并具有明确的业务需求 | 不适用于 Microsoft Entra ID。 |
| 1.2.6 为正在使用但被认为不安全的所有服务、协议和端口定义并实现安全功能,从而降低了风险。 | 不适用于 Microsoft Entra ID。 |
| 1.2.7 至少每六个月审查一次 NSC 的配置,以确认其相关性和有效性。 | 使用 Microsoft Entra 访问评审功能自动执行组成员资格和应用程序访问评审(例如 VPN 设备,这些设备与 CDE 中的网络安全控制保持一致)。 什么是访问评审? |
| 1.2.8 NSC 的配置文件需: 可防止未经授权的访问 与活动网络配置保持一致 |
不适用于 Microsoft Entra ID。 |
1.3 限制进出持卡人数据环境的网络访问。
| PCI-DSS 定义的方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 1.3.1前往 CDE 的入站流量限制如下: 仅限必要的流量。 将明确拒绝所有其他流量 |
使用 Microsoft Entra ID 配置命名位置,以创建条件访问策略。 请计算用户和登录风险。 Microsoft 建议客户使用网络位置填充和维护 CDE IP 地址。 请使用它们来定义条件访问策略要求。 在条件访问策略中使用位置条件 |
| 1.3.2来自 CDE 的出站流量限制如下: 仅限必要的流量。 将明确拒绝所有其他流量 |
对于 NSC 设计,请包含适用于应用程序的条件访问策略,以允许访问 CDE IP 地址。 用于建立与 CDE(例如虚拟专用网 [VPN] 设备、强制门户)的连接的紧急访问或远程访问可能需要通过相应策略来防止意外锁定。 在条件访问策略中使用位置条件 在 Microsoft Entra ID 中管理紧急访问帐户 |
| 1.3.3 在所有无线网络与 CDE 之间都安装 NSC,无论相应无线网络是否为 CDE,从而确保: 默认情况下,将拒绝从无线网络进入 CDE 的所有无线流量。 仅允许出于授权业务目的的无线流量进入 CDE。 |
对于 NSC 设计,请包含适用于应用程序的条件访问策略,以允许访问 CDE IP 地址。 用于建立与 CDE(例如虚拟专用网 [VPN] 设备、强制门户)的连接的紧急访问或远程访问可能需要通过相应策略来防止意外锁定。 在条件访问策略中使用位置条件 在 Microsoft Entra ID 中管理紧急访问帐户 |
1.4 控制可信网络与不可信网络之间的网络连接。
| PCI-DSS 定义的方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 1.4.1 在可信网络与不可信网络之间实现 NSC。 | 不适用于 Microsoft Entra ID。 |
| 1.4.2 从不可信网络到可信网络的入站流量仅限于: 与有权提供可公开访问的服务、协议和端口的系统组件的通信。 对可信网络中的系统组件发起的通信的有状态响应。 将拒绝所有其他流量。 |
不适用于 Microsoft Entra ID。 |
| 1.4.3 实施反欺骗措施,检测伪造的源 IP 地址并阻止其进入可信网络。 | 不适用于 Microsoft Entra ID。 |
| 1.4.4不允许从不可信网络直接访问存储持卡人数据的系统组件。 | 除了网络层中的控件外,使用 Microsoft Entra ID 的 CDE 中的应用程序还可以使用条件访问策略。 请根据位置限制对应用程序的访问。 在条件访问策略中使用网络位置 |
| 1.4.5 仅可向授权方披露内部 IP 地址和路由信息。 | 不适用于 Microsoft Entra ID。 |
1.5 缓解可连接到不可信网络和 CDE 的计算设备给 CDE 带来的风险。
| PCI-DSS 定义的方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 1.5.1 在所有连接到不可信网络(包括 Internet)和 CDE 的计算设备(包括公司和员工拥有的设备)上实施安全控件,具体要求如下: 定义特定的配置设置,以防止将威胁引入实体的网络。 确保安全控件主动运行。 确保除非管理部门针对具体情况就特定时间段专门载明和授权,否则计算设备的用户无法更改安全控件。 |
部署需要满足设备合规性的条件访问策略。 使用合规性策略为通过 Intune 管理的设备设置规则 将设备合规性状态与反恶意软件解决方案集成。 通过 Intune 中的条件访问强制实现 Microsoft Defender for Endpoint 合规性 与 Intune 的移动威胁防御集成 |
后续步骤
PCI-DSS 要求 3、4、9 和 12 不适用于 Microsoft Entra ID,因此没有相应的文章。 若要查看所有要求,请转到 pcisecuritystandards.org:官方 PCI 安全标准委员会网站。
要将 Microsoft Entra ID 配置为符合 PCI-DSS 要求,请参阅以下文章。