Microsoft Entra ID 和 PCI-DSS 要求 11
要求 11:定期测试系统和网络的安全性
规定方法要求
11.1 定义并了解适用于定期测试系统和网络安全性的流程和机制。
| PCI-DSS 规定方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 11.1.1“要求 11”中确定的所有安全策略和操作过程包括: 编入文档 保持最新状态 在使用中 所有受影响方均知晓 |
使用此处的指导和链接生成文档,以满足基于环境配置的要求。 |
| 11.1.2 记录、分配并了解“要求 11”中用于执行活动的角色和职责。 | 使用此处的指导和链接生成文档,以满足基于环境配置的要求。 |
11.2 识别和监视无线接入点,并解决未经授权的无线接入点问题。
| PCI-DSS 规定方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 11.2.1 授权和未经授权的无线接入点按如下方式管理: 测试是否存在无线 (Wi-Fi) 接入点。 检测并识别所有授权和未经授权的无线接入点。 至少每三个月执行一次测试、检测和识别操作。 如果使用自动监视,则通过生成的警报通知相关人员。 |
如果组织将网络接入点与 Microsoft Entra ID 集成以进行身份验证,请参阅要求 1:安装和维护网络安全控件 |
| 11.2.2 保留一个清单,记录授权的无线接入点,包括对业务理由进行记录。 | 不适用于 Microsoft Entra ID。 |
11.3 定期标识、确定外部和内部漏洞的优先级并加以解决。
| PCI-DSS 规定方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 11.3.1 内部漏洞扫描按如下方式执行: 至少每三个月一次。 解决高风险和严重漏洞(根据实体对“要求 6.3.1”中规定的漏洞风险的排名)。 执行重新扫描,确认所有高风险和严重漏洞(如前所述)均已解决。 扫描工具与最新的漏洞信息保持同步。 扫描由合格人员执行,并且测试人员独立于组织。 |
包括支持 Microsoft Entra 混合功能的服务器。 例如,内部漏洞扫描中包括的 Microsoft Entra Connect、应用程序代理连接器等。 使用联合身份验证的组织:查看并解决联合身份验证系统基础结构漏洞。 什么是与 Microsoft Entra ID 的联合? 查看并解决 Microsoft Entra ID 保护服务报告的风险检测结果。 将信号与 SIEM 解决方案集成,以将更多内容与修正工作流或自动化集成。 风险类型和检测 定期运行 Microsoft Entra 评估工具并解决发现的问题。 AzureADAssessment基础结构的安全运营 将 Microsoft Entra 日志与 Azure Monitor 日志集成 |
| 11.3.1.1 所有其他适用的漏洞(根据实体对“要求 6.3.1”中规定的漏洞风险的排名未被列为高风险或严重漏洞的漏洞)按如下方式管理: 根据实体的目标风险分析中规定的风险加以解决,目标风险分析则按照“要求 12.3.1”中指定的所有要素执行。 根据需要进行重新扫描。 |
包括支持 Microsoft Entra 混合功能的服务器。 例如,内部漏洞扫描中包括的 Microsoft Entra Connect、应用程序代理连接器等。 使用联合身份验证的组织:查看并解决联合身份验证系统基础结构漏洞。 什么是与 Microsoft Entra ID 的联合? 查看并解决 Microsoft Entra ID 保护服务报告的风险检测结果。 将信号与 SIEM 解决方案集成,以将更多内容与修正工作流或自动化集成。 风险类型和检测 定期运行 Microsoft Entra 评估工具并解决发现的问题。 AzureAD/AzureADAssessment基础结构的安全运营 将 Microsoft Entra 日志与 Azure Monitor 日志集成 |
| 11.3.1.2 通过经过身份验证的扫描执行内部漏洞扫描,如下所示: 记录无法接受凭据进行经过身份验证的扫描的系统。 对于接受凭据进行扫描的系统,其有足够的权限可用。 如果经过身份验证的扫描所使用的帐户可用于交互式登录,则会根据“要求 8.2.2”对其进行管理。 |
包括支持 Microsoft Entra 混合功能的服务器。 例如,内部漏洞扫描中包括的 Microsoft Entra Connect、应用程序代理连接器等。 使用联合身份验证的组织:查看并解决联合身份验证系统基础结构漏洞。 什么是与 Microsoft Entra ID 的联合? 查看并解决 Microsoft Entra ID 保护服务报告的风险检测结果。 将信号与 SIEM 解决方案集成,以将更多内容与修正工作流或自动化集成。 风险类型和检测 定期运行 Microsoft Entra 评估工具并解决发现的问题。 AzureADAssessment基础结构的安全运营 将 Microsoft Entra 日志与 Azure Monitor 日志集成 |
| 11.3.1.3 在发生任何重大更改后执行内部漏洞扫描,如下所示: 解决高风险和严重漏洞(根据实体对“要求 6.3.1”中规定的漏洞风险的排名)。 根据需要进行重新扫描。 扫描由合格人员执行,并且测试人员独立于组织(不需要是合格安全评估员 (QSA) 或批准的扫描供应商 (ASV))。 |
包括支持 Microsoft Entra 混合功能的服务器。 例如,内部漏洞扫描中包括的 Microsoft Entra Connect、应用程序代理连接器等。 使用联合身份验证的组织:查看并解决联合身份验证系统基础结构漏洞。 什么是与 Microsoft Entra ID 的联合? 查看并解决 Microsoft Entra ID 保护服务报告的风险检测结果。 将信号与 SIEM 解决方案集成,以将更多内容与修正工作流或自动化集成。 风险类型和检测 定期运行 Microsoft Entra 评估工具并解决发现的问题。 AzureADAssessment基础结构的安全运营 将 Microsoft Entra 日志与 Azure Monitor 日志集成 |
| 11.3.2 外部漏洞扫描按如下方式执行: 至少每三个月一次。 由 PCI SSC ASV 执行。 解决漏洞,并满足 ASV 计划指南的扫描通过要求。 根据需要执行重新扫描,以确认已根据 ASV 计划指南的扫描通过要求解决了漏洞。 |
不适用于 Microsoft Entra ID。 |
| 11.3.2.1 在发生任何重大更改后执行外部漏洞扫描,如下所示: 解决 CVSS 评分为 4.0 或更高的漏洞。 根据需要进行重新扫描。 扫描由合格人员执行,并且测试人员独立于组织(不需要是 QSA 或 ASV)。 |
不适用于 Microsoft Entra ID。 |
11.4 定期执行外部和内部渗透测试,并更正可利用的漏洞和安全漏洞。
| PCI-DSS 规定方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 11.4.1 渗透测试方法由实体规定、记录和实施,包括: 行业接受的渗透测试方法。 覆盖整个持卡人数据环境 (CDE) 外围和关键系统。 从网络内部和外部进行测试。 进行测试以验证任何分段和范围缩减控件。 应用程序层渗透测试,以至少标识“要求 6.2.4”中列出的漏洞。 网络层渗透测试,支持网络功能和操作系统的所有组件均包含在内。 审核并考虑过去 12 个月中遇到的威胁和漏洞。 方法编入文档,供评估和解决渗透测试期间发现的可利用漏洞和安全漏洞所造成的风险时使用。 保留渗透测试结果和修正活动结果至少 12 个月。 |
Microsoft Cloud 渗透测试参与规则 |
| 11.4.2 执行内部渗透测试: 根据实体的规定方法。 至少每 12 个月一次。 在任何重大的基础结构或应用程序升级或更改之后。 由限定的内部资源或限定的外部第三方执行。 测试人员独立于组织(不需要是 QSA 或 ASV)。 |
Microsoft Cloud 渗透测试参与规则 |
| 11.4.3 执行外部渗透测试: 根据实体的规定方法。 至少每 12 个月一次。 在任何重大的基础结构或应用程序升级或更改之后。 由限定的内部资源或限定的外部第三方执行。 测试人员独立于组织(不需要是 QSA 或 ASV)。 |
Microsoft Cloud 渗透测试参与规则 |
| 11.4.4 更正在渗透测试期间发现的可利用漏洞和安全漏洞,如下所示: 根据实体对“要求 6.3.1”中规定的安全问题所造成的风险的评估。 重复渗透测试以验证更正。 |
Microsoft Cloud 渗透测试参与规则 |
| 11.4.5 如果使用分段将 CDE 与其他网络隔离开来,则对分段控件执行渗透测试,如下所示: 在对分段控件/方法进行任何更改后,每 12 个月至少执行一次。 涵盖正在使用的所有分段控件/方法。 根据实体的规定渗透测试方法。 确认分段控件/方法可操作且有效,并将 CDE 与所有范围外系统隔离开来。 确认使用隔离来分隔具有不同安全级别的系统的有效性(请参阅“要求 2.2.3”)。 由限定的内部资源或限定的外部第三方执行。 测试人员独立于组织(不需要是 QSA 或 ASV)。 |
不适用于 Microsoft Entra ID。 |
| 11.4.6 仅限服务提供商的其他要求:如果使用分段将 CDE 与其他网络隔离开来,则对分段控件执行渗透测试,如下所示: 至少每六个月一次,且在对分段控件/方法进行任何更改后也需执行。 涵盖正在使用的所有分段控件/方法。 根据实体的规定渗透测试方法。 确认分段控件/方法可操作且有效,并将 CDE 与所有范围外系统隔离开来。 确认使用隔离来分隔具有不同安全级别的系统的有效性(请参阅“要求 2.2.3”)。 由限定的内部资源或限定的外部第三方执行。 测试人员独立于组织(不需要是 QSA 或 ASV)。 |
不适用于 Microsoft Entra ID。 |
| 11.4.7 仅限多租户服务提供商的其他要求:多租户服务提供商为其客户提供外部渗透测试支持(依据“要求 11.4.3”和“要求 11.4.4”)。 | Microsoft Cloud 渗透测试参与规则 |
11.5 检测并响应网络入侵和意外的文件更改。
| PCI-DSS 规定方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 11.5.1 使用入侵检测和/或入侵防护技术检测和/或防止入侵网络,如下所示: 在 CDE 外围监视所有流量。 在 CDE 中的关键点监视所有流量。 提醒相关人员可能存在入侵。 使所有入侵检测和防护引擎、基线和签名保持最新。 |
不适用于 Microsoft Entra ID。 |
| 11.5.1.1 仅限服务提供商的其他要求:使用入侵检测和/或入侵防护技术检测隐蔽的恶意软件通信通道,并对其发出预警/加以预防以及进行寻址。 | 不适用于 Microsoft Entra ID。 |
| 11.5.2 部署更改检测机制(例如,文件完整性监视工具)如下所示: 提醒相关人员关键文件可能有未经授权的修改(包括更改、添加和删除)。 每周至少执行一次关键文件比较。 |
不适用于 Microsoft Entra ID。 |
11.6 检测并响应对付款页面的未授权更改。
| PCI-DSS 规定方法要求 | Microsoft Entra 指南和建议 |
|---|---|
| 11.6.1 部署更改和篡改检测机制,如下所示: 提醒相关人员使用者浏览器所收到的 HTTP 标头和付款页面内容可能有未经授权的修改(包括入侵指标、更改指标、添加指标和删除指标)。 将机制配置为评估收到的 HTTP 标头和付款页面。 机制各项功能按如下方式执行:至少每七天一次 或 按照实体的目标风险分析中规定的频率定期执行,目标风险分析则按照所有要素执行 |
不适用于 Microsoft Entra ID。 |
后续步骤
PCI-DSS 要求 3、4、9 和 12 不适用于 Microsoft Entra ID,因此没有相应的文章。 若要查看所有要求,请转到 pcisecuritystandards.org:官方 PCI 安全标准委员会网站。
要将 Microsoft Entra ID 配置为符合 PCI-DSS 要求,请参阅以下文章。