Microsoft Entra ID 和 PCI-DSS 需求 1
需求 1:安裝和維護網路安全性控制
定義的方法需求
1.1 定義並瞭解安裝和維護網路安全性控制的程序與機制。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 1.1.1 需求 1 中識別的所有安全策略和作業程序均為: 已記錄 保持最新狀態 使用中 所有受影響的合作方均已知曉 |
使用此處的指導和連結來產生文件,以滿足依據您環境設定的需求。 |
| 1.1.2 需求 1 中執行活動的角色和責任會予以記載、指派及瞭解 | 使用此處的指導和連結來產生文件,以滿足依據您環境設定的需求。 |
1.2 設定並維護網路安全性控制 (NSC)。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 1.2.1 NSC 規則集的設定標準為: 已定義 已實作 已維護 |
如果存取技術支援新式驗證,請將 VPN、遠端桌面及網路存取點等存取技術與 Microsoft Entra ID 整合以進行驗證和授權。 確定與身分識別有關的控制相關 NSC 標準包括條件式存取原則的定義、應用程式指派、存取權檢閱、群組管理、認證原則等。Microsoft Entra 作業參考指南 |
| 1.2.2 所有網路連線和 NSC 設定的變更都會根據需求 6.5.1 定義的變更控制流程核准和管理 | 不適用於 Microsoft Entra ID。 |
| 1.2.3 維護精確的網路圖表,以顯示持卡人資料環境 (CDE) 與其他網路之間的所有連線,包括任何無線網路。 | 不適用於 Microsoft Entra ID。 |
| 1.2.4 會維護符合下列條件的精確資料流程圖: 顯示系統與網路間的所有帳戶資料流程。 環境變更時視需要更新。 |
不適用於 Microsoft Entra ID。 |
| 1.2.5 允許的所有服務、通訊協定及連接埠都會識別、核准,並具有已定義的商務需求 | 不適用於 Microsoft Entra ID。 |
| 1.2.6 安全性功能會針對使用中的所有服務、通訊協定及連接埠進行定義和實作,並視為不安全,因此風險會降低。 | 不適用於 Microsoft Entra ID。 |
| 1.2.7 NSC 組態至少每六個月檢閱一次,以確認其相關且有效。 | 使用 Microsoft Entra 存取權檢閱,將群組成員資格檢閱和應用程式自動化,例如 VPN 設備,其符合 CDE 中的網路安全性控制。 什麼是存取權檢閱? |
| 1.2.8 NSC 的設定檔案為: 保護不受未經授權的存取 保持與使用中網路組態一致 |
不適用於 Microsoft Entra ID。 |
1.3 限制持卡人資料環境的網路存取。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 1.3.1 CDE 的輸入流量受限如下: 僅提供必要的流量。 所有其他流量遭到特別拒絕 |
使用 Microsoft Entra ID 來設定具名位置以利建立條件式存取原則。 計算使用者與登入風險。 Microsoft 建議客戶使用網路位置填入和維護 CDE IP 位址。 使用它們來定義條件式存取原則需求。 使用條件式存取原則中的位置條件 (機器翻譯) |
| 1.3.2 CDE 的輸出流量受限如下: 僅提供必要的流量。 所有其他流量遭到特別拒絕 |
針對 NSC 設計,包括應用程式的條件式存取原則,以允許存取 CDE IP 位址。 緊急存取或遠端存取以建立與 CDE 的連線,例如虛擬私人網路 (VPN) 設備、網頁驗證入口網站,可能需要原則來防止非預期的鎖定。 在條件式存取原則 中使用位置條件管理 Microsoft Entra 標識碼中的緊急存取帳戶 |
| 1.3.3 不論無線網路是否為 CDE,NSC 都會安裝在所有無線網路與 CDE 之間,因此: 預設會拒絕所有從無線網路進入 CDE 的無線流量。 只允許具有授權商務用途的無線流量進入 CDE。 |
針對 NSC 設計,包括應用程式的條件式存取原則,以允許存取 CDE IP 位址。 緊急存取或遠端存取以建立與 CDE 的連線,例如虛擬私人網路 (VPN) 設備、網頁驗證入口網站,可能需要原則來防止非預期的鎖定。 在條件式存取原則 中使用位置條件管理 Microsoft Entra 標識碼中的緊急存取帳戶 |
1.4 控制受信任和未受信任網路之間的網路連線。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 1.4.1 NSC 會在受信任和不受信任的網路之間實作。 | 不適用於 Microsoft Entra ID。 |
| 1.4.2 來自不受信任網路的輸入流量限製為: 與被授權提供可公開存取服務、通訊協定及連接埠的系統元件通訊。 受信任網路中系統元件所起始之通訊的具狀態回應。 所有其他流量都會遭到拒絕。 |
不適用於 Microsoft Entra ID。 |
| 1.4.3 實作反詐騙措施來偵測並封鎖偽造的來源 IP 位址,防止其進入信任的網路。 | 不適用於 Microsoft Entra ID。 |
| 1.4.4 儲存持卡人資料的系統元件無法直接從不受信任的網路存取。 | 除了網路層的控制之外,使用 Microsoft Entra ID 的 CDE 應用程式也可以使用條件式存取原則。 根據位置限制對應用程式的存取。 使用條件式存取原則中的網路位置 |
| 1.4.5 內部 IP 位址和路由資訊的洩漏僅限於授權方。 | 不適用於 Microsoft Entra ID。 |
1.5 降低能够連線至未受信任網路和 CDE 的計算裝置對 CDE 的風險。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 1.5.1 安全性控制措施會實作在任何運算裝置上,包括公司與員工擁有的裝置,這些裝置會連線到不受信任的網路 (包括網際網路) 和 CDE,如下所示: 定義特定組態設定,以防止實體網路受到威脅。 安全性控制正在主動執行。 運算裝置的使用者無法改變安全性控制措施,除非在有限的期間內由管理特別記載及授權。 |
部署需要裝置合規性的條件式存取原則。 使用合規性政策來設定您使用 Intune 管理之裝置的規則,整合裝置合規性狀態與反惡意程式碼解決方案。 在 Intune Mobile Threat Defense 與 Intune 整合中強制執行條件式存取 適用於端點的 Microsoft Defender 的合規性 |
下一步
PCI-DSS 需求 3、4、9 及 12 不適用於 Microsoft Entra ID,因此沒有對應的文章。 若要查看所有需求,請前往 pcisecuritystandards.org:官方 PCI 安全性標準委員會網站。
若要設定 Microsoft Entra ID 以符合 PCI-DSS,請參閱下列文章。