Microsoft Entra ID 和 PCI-DSS 需求 11
需求 11:定期測試系統與網路的安全性
定義的方法需求
11.1 定義並了解定期測試系統和網路安全性的程序和機制。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 11.1.1 需求 11 中識別的所有安全策略和作業程序均為: 已記錄 保持最新狀態 使用中 所有受影響的合作方均已知曉 |
使用此處的指導和連結來產生文件,以滿足依據您環境設定的需求。 |
| 11.1.2 需求 11 中執行活動的角色和責任會予以記載、指派及瞭解。 | 使用此處的指導和連結來產生文件,以滿足依據您環境設定的需求。 |
11.2 識別和監視無線存取點,並處理未經授權的無線存取點。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 11.2.1 已授權和未經授權的無線存取點,如下所示: 無線 (Wi-Fi) 存取點的存在已經過測試。 偵測到所有授權和未經授權的無線存取點並加以識別。 測試、偵測及識別至少每三個月發生一次。 如果使用自動化監視,人員會透過產生的警示收到通知。 |
如果您的組織整合網路存取點與 Microsoft Entra ID 進行驗證,請參閱需求 1:安裝和維護網路安全控制 |
| 11.2.2 維護授權的無線存取點庫存,包括已記錄的業務正當理由。 | 不適用於 Microsoft Entra ID。 |
11.3 定期識別、設定優先權及解决外部和內部弱點。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 11.3.1 內部弱點掃描的執行方式如下: 至少每三個月執行一次。 已解決高風險和重大弱點 (根據需求 6.3.1 所定義的實體弱點風險排名)。 系統會執行重新掃描,以確認已解決所有高風險和重大弱點 (如上所述)。 掃描工具會保持最新狀態,並包含最新的弱點資訊。 掃描是由合格的人員和測試人員組織獨立性所執行。 |
包含支援 Microsoft Entra 混合式功能的伺服器。 例如,Microsoft Entra Connect、應用程式 Proxy 連接器等作為內部弱點掃描的一部分。 使用同盟驗證的組織:檢閱並解決同盟系統基礎結構弱點。 何謂 Microsoft Entra ID 的同盟? 檢閱並降低Microsoft Entra ID Protection 所報告的風險偵測。 將訊號與 SIEM 解決方案整合,以整合更多具有補救工作流程或自動化。 風險類型和偵測 定期執行 Microsoft Entra 評估工具並解決結果。 AzureADAssessment基礎結構 的安全性作業整合Microsoft Entra 記錄與 Azure 監視器記錄 |
| 11.3.1.1 所有其他適用的弱點 (根據要求 6.3.1 中定義的實體弱點風險排名未列為高風險或嚴重的弱點) 按如下方式進行管理: 根據實體目標風險分析中定義的風險進行解決,該分析是根據需求 12.3.1 中指定的所有元素。 視需要重新掃描。 |
包含支援 Microsoft Entra 混合式功能的伺服器。 例如,Microsoft Entra Connect、應用程式 Proxy 連接器等作為內部弱點掃描的一部分。 使用同盟驗證的組織:檢閱並解決同盟系統基礎結構弱點。 何謂 Microsoft Entra ID 的同盟? 檢閱並降低Microsoft Entra ID Protection 所報告的風險偵測。 將訊號與 SIEM 解決方案整合,以整合更多具有補救工作流程或自動化。 風險類型和偵測 定期執行 Microsoft Entra 評估工具並解決結果。 AzureAD/AzureADAssessment基礎結構 的安全性作業整合Microsoft Entra 記錄與 Azure 監視器記錄 |
| 11.3.1.2 內部弱點掃描會透過已驗證的掃描執行,如下所示: 記錄無法接受已驗證掃描認證的系統。 足夠權限用於接受掃描認證的系統。 如果用於已驗證掃描的帳戶可用於互動式登入,則會根據需求 8.2.2 管理這些帳戶。 |
包含支援 Microsoft Entra 混合式功能的伺服器。 例如,Microsoft Entra Connect、應用程式 Proxy 連接器等作為內部弱點掃描的一部分。 使用同盟驗證的組織:檢閱並解決同盟系統基礎結構弱點。 何謂 Microsoft Entra ID 的同盟? 檢閱並降低Microsoft Entra ID Protection 所報告的風險偵測。 將訊號與 SIEM 解決方案整合,以整合更多具有補救工作流程或自動化。 風險類型和偵測 定期執行 Microsoft Entra 評估工具並解決結果。 AzureADAssessment基礎結構 的安全性作業整合Microsoft Entra 記錄與 Azure 監視器記錄 |
| 11.3.1.3 在發生重大變更之後執行內部弱點掃描,如下所示: 高風險和重大弱點 (根據需求 6.3.1 所定義的實體弱點風險排名)。 視需要重新掃描。 掃描是由合格的人員和測試人員組織獨立性所執行 (無須是合格的安全性評估者 (QSA) 或核准的掃描廠商 (ASV))。 |
包含支援 Microsoft Entra 混合式功能的伺服器。 例如,Microsoft Entra Connect、應用程式 Proxy 連接器等作為內部弱點掃描的一部分。 使用同盟驗證的組織:檢閱並解決同盟系統基礎結構弱點。 何謂 Microsoft Entra ID 的同盟? 檢閱並降低Microsoft Entra ID Protection 所報告的風險偵測。 將訊號與 SIEM 解決方案整合,以整合更多具有補救工作流程或自動化。 風險類型和偵測 定期執行 Microsoft Entra 評估工具並解決結果。 AzureADAssessment基礎結構 的安全性作業整合Microsoft Entra 記錄與 Azure 監視器記錄 |
| 11.3.2 外部弱點掃描的執行方式如下: 至少每三個月執行一次。 由 PCI SSC ASV。 弱點已解決,且符合通過掃描的 ASV 計畫指南需求。 會視需要執行重新掃描,以確認已根據 ASV 計畫指南需求來解決通過掃描的弱點。 |
不適用於 Microsoft Entra ID。 |
| 11.3.2.1 外部弱點掃描會在發生任何重大變更之後執行: CVSS 所評分為 4.0 或更高版本的弱點。 視需要重新掃描。 掃描是由合格的人員和測試人員組織獨立性所執行 (無須是 QSA 或 ASV)。 |
不適用於 Microsoft Entra ID。 |
11.4 定期執行外部和內部滲透測試,並更正可惡意探索的漏洞和安全性弱點。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 11.4.1 實體已定義、記載及實作滲透測試方法,並包括: 業界接受的滲透測試方法。 整個持卡人資料環境 (CDE) 周邊和重要系統的涵蓋範圍。 網路內外的測試。 驗證任何分割和減少範圍控制項的測試。 應用層滲透測試,以至少識別需求 6.2.4 中列出的弱點。 網路層滲透測試,其中包含支援網路功能和操作系統的所有元件。 前 12 個月內發生的威脅與弱點檢閱與考量。 在滲透測試期間發現可利用弱點和安全性弱點所造成的評估及解決風險的記錄方法。 保留至少 12 個月滲透測試結果和補救活動結果。 |
滲透測試運作規則,Microsoft Cloud |
| 11.4.2 內部滲透測試執行: 根據實體定義的方法。 至少每12個月一次。 在任何重要的基礎結構或應用程式升級或變更之後。 由合格的內部資源或合格的外部第三方。 測試人員組織獨立性所執行 (無須是 QSA 或 ASV)。 |
滲透測試運作規則,Microsoft Cloud |
| 11.4.3 外部滲透測試執行: 根據實體定義的方法。 至少每12個月一次。 在任何重要的基礎結構或應用程式升級或變更之後。 由合格的內部資源或合格的外部第三方。 測試人員組織獨立性所執行 (無須是 QSA 或 ASV)。 |
滲透測試運作規則,Microsoft Cloud |
| 11.4.4 滲透測試期間發現的惡意探索弱點和安全性弱點,如下所示: 根據需求 6.3.1 中所定義的安全性問題所構成風險的實體評估。 滲透測試重複,以驗證更正。 |
滲透測試運作規則,Microsoft Cloud |
| 11.4.5 如果使用分割來隔離 CDE 與其他網路,則會對分割控制執行滲透測試,如下所示: 至少每 12 個月一次,以及在分割控制/方法的任何變更之後執行一次。 涵蓋使用中的所有分割控制/方法。 根據實體定義的滲透測試方法。 確認分割控制/方法可運作且有效,並將 CDE 與所有範圍外系統隔離。 確認任何隔離使用的有效性,以分隔具有不同安全性層級的系統 (請參閱需求 2.2.3)。 由合格的內部資源或合格的外部第三方執行。 測試人員組織獨立性所執行 (無須是 QSA 或 ASV)。 |
不適用於 Microsoft Entra ID。 |
| 11.4.6 僅限服務提供者的其他需求:如果使用分割來隔離 CDE 與其他網路,滲透測試會執行分割控件,如下所示: 至少每六個月一次,並在分割控件/方法的任何變更之後執行一次。 涵蓋使用中的所有分割控制/方法。 根據實體定義的滲透測試方法。 確認分割控制/方法可運作且有效,並將 CDE 與所有範圍外系統隔離。 確認任何隔離使用的有效性,以分隔具有不同安全性層級的系統 (請參閱需求 2.2.3)。 由合格的內部資源或合格的外部第三方執行。 測試人員組織獨立性所執行 (無須是 QSA 或 ASV)。 |
不適用於 Microsoft Entra ID。 |
| 11.4.7 僅限多租使用者服務提供者的其他需求:多租用戶服務提供者支援其客戶針對每個需求 11.4.3 和 11.4.4 的外部滲透測試。 | 滲透測試運作規則,Microsoft Cloud |
11.5 偵測並回應網路入侵和非預期的檔案變更。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 11.5.1 入侵檢測和/或入侵預防技術可用來偵測和/或防止入侵網路,如下所示: CDE 周邊監視所有流量。 CDE 中的關鍵點會監視所有流量。 人員會收到可疑入侵的警示。 所有入侵檢測和預防引擎、基準及簽章都保持在最新狀態。 |
不適用於 Microsoft Entra ID。 |
| 11.5.1.1 僅限服務提供者的其他需求:入侵檢測和/或入侵預防技術偵測、警示/預防,以及解決秘密惡意代碼通道。 | 不適用於 Microsoft Entra ID。 |
| 11.5.2 重大檔案的變更偵測機制 (例如檔案完整性監視工具) 部署如下: 提醒人員未經授權的修改 (包括變更、新增及刪除)。 每周至少執行一次重要的檔案比較。 |
不適用於 Microsoft Entra ID。 |
11.6 偵測並回應付款頁面上未經授權的變更。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 11.6.1 部署變更和竄改偵測機制,如下所示: 提醒人員注意對取用者瀏覽器收到的 HTTP 標頭和付款頁面內容進行未經授權的修改 (包括入侵、變更、新增及刪除的指示)。 此機制已設定為評估收到的 HTTP 標頭和付款頁面。 機制函式的執行方式如下:至少每七天執行一次, 或 定期以實體目標風險分析中定義的頻率執行一次,這會根據所有元素執行 |
不適用於 Microsoft Entra ID。 |
下一步
PCI-DSS 需求 3、4、9 及 12 不適用於 Microsoft Entra ID,因此沒有對應的文章。 若要查看所有需求,請前往 pcisecuritystandards.org:官方 PCI 安全性標準委員會網站。
若要設定 Microsoft Entra ID 以符合 PCI-DSS,請參閱下列文章。