Freigeben über


Microsoft Entra ID und PCI-DSS-Anforderung 1

Anforderung 1: Installieren und Unterhalten von Netzwerksicherheitskontrollen
Anforderungen des definierten Ansatzes

1.1 Prozesse und Mechanismen zum Installieren und Unterhalten von Netzwerksicherheitskontrollen sind definiert und verstanden.

Anforderungen des durch PCI DSS definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
1.1.1 Alle Sicherheitsrichtlinien und Betriebsabläufe, die in der Anforderung 1 identifiziert werden, sind:
Dokumentiert
Auf dem neuesten Stand
In Gebrauch
Allen betroffenen Parteien bekannt
Verwenden Sie die hierin enthaltenen Anleitungen und Links zur Erstellung der Dokumentation, um die Anforderungen basierend auf Ihrer Umgebungskonfiguration zu erfüllen.
1.1.2 Rollen und Verantwortlichkeiten für die Durchführung von Aktivitäten in der Anforderung 1 sind dokumentiert, zugewiesen und verstanden Verwenden Sie die hierin enthaltenen Anleitungen und Links zur Erstellung der Dokumentation, um die Anforderungen basierend auf Ihrer Umgebungskonfiguration zu erfüllen.

1.2 Netzwerksicherheitskontrollen (Network Security Controls, NSCs) sind konfiguriert und verwaltet.

Anforderungen des durch PCI DSS definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
1.2.1 Konfigurationsstandards für NSC-Regelsätze sind:
Definiert
Implementiert
Unterhalten
Integrieren Sie Zugriffstechnologien wie VPN, Remotedesktop und Netzwerkzugangspunkte für die Authentifizierung und Autorisierung in Microsoft Entra ID, wenn die Zugriffstechnologien die moderne Authentifizierung unterstützen. Stellen Sie sicher, dass NSC-Standards, die sich auf identitätsbezogene Kontrollen beziehen, die Definition von Richtlinien für bedingten Zugriff, Anwendungszuweisungen, Zugriffsüberprüfungen, Gruppenverwaltung, Anmeldeinformationsrichtlinien usw. umfassen. Referenzhandbuch für Microsoft Entra-Vorgänge
1.2.2 Alle Änderungen an Netzwerkverbindungen und an Konfigurationen von NSCs werden gemäß dem Änderungskontrollprozess gemäß Anforderung 6.5.1 genehmigt und verwaltet Gilt nicht für Microsoft Entra ID.
1.2.3 Genaue Netzwerkdiagramme werden unterhalten, die alle Verbindungen zwischen der Karteninhaberdatenumgebung (Cardholder Data Environment, CDE) und anderen Netzwerken zeigt, einschließlich drahtloser Netzwerke. Gilt nicht für Microsoft Entra ID.
1.2.4 Genaue Datenflussdiagramme werden unterhalten, die Folgendes erfüllen:
Zeigt alle Kontodatenflüsse über Systeme und Netzwerke hinweg an.
Wird bei Bedarf bei Änderungen der Umgebung aktualisiert.
Gilt nicht für Microsoft Entra ID.
1.2.5 Alle zulässigen Dienste, Protokolle und Ports sind identifiziert, genehmigt und haben einen definierten geschäftlichen Bedarf Gilt nicht für Microsoft Entra ID.
1.2.6 Sicherheitsfeatures sind für alle verwendeten und als unsicher geltenden Dienste, Protokolle und Ports definiert und implementiert, sodass das Risiko gemindert wird. Gilt nicht für Microsoft Entra ID.
1.2.7 Konfigurationen von NSCs werden mindestens alle sechs Monate überprüft, um sicherzustellen, dass sie relevant und wirksam sind. Verwenden Sie Microsoft Entra-Zugriffsüberprüfungen, um die Überprüfungen von Gruppenmitgliedschaften und Anwendungen zu automatisieren, z. B. VPN-Appliances, die an Netzwerksicherheitskontrollen in Ihrer CDE ausgerichtet sind. Worum handelt es sich bei Zugriffsüberprüfungen?
1.2.8 Konfigurationsdateien für NSCs sind:
Vor nicht autorisiertem Zugriff geschützt
Werden konsistent mit aktiven Netzwerkkonfigurationen gehalten
Gilt nicht für Microsoft Entra ID.

1.3 Der Netzwerkzugriff auf die und von der Karteninhaberdatenumgebung ist eingeschränkt.

Anforderungen des durch PCI DSS definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
1.3.1 Eingehender Datenverkehr zur CDE ist wie folgt eingeschränkt:
Nur auf den erforderlichen Datenverkehr.
Sämtlicher anderer Datenverkehr wird ausdrücklich verweigert
Verwenden Sie Microsoft Entra, um benannte Standorte zum Erstellen von Richtlinien für bedingten Zugriff zu konfigurieren. Berechnen Sie das Benutzer- und Anmelderisiko. Microsoft empfiehlt Kunden, die CDE-IP-Adressen über Netzwerkadressen aufzufüllen und zu unterhalten. Verwenden Sie diese, um Richtlinienanforderungen für bedingten Zugriff zu definieren. Verwenden der Standortbedingung in einer Richtlinie für bedingten Zugriff
1.3.2 Ausgehender Datenverkehr aus der CDE ist wie folgt eingeschränkt:
Nur auf den erforderlichen Datenverkehr.
Sämtlicher anderer Datenverkehr wird ausdrücklich verweigert
Fügen Sie für den NSC-Entwurf Richtlinien für bedingten Zugriff für Anwendungen ein, um den Zugriff auf CDE-IP-Adressen zuzulassen.
Notfallzugriff oder Remotezugriff zum Herstellen der Konnektivität mit der CDE, z. B. VPN (Virtual Private Network)-Appliances oder Captive Portals, benötigen möglicherweise Richtlinien, um ein unbeabsichtigte Sperrung zu verhindern. Verwenden der Standortbedingung in einer Richtlinie für bedingten Zugriff
Verwalten von Notfallzugriffskonten in Microsoft Entra
1.3.3 NSCs werden zwischen allen Drahtlosnetzwerken und der CDE installiert, unabhängig davon, ob es sich bei dem drahtlosen Netzwerk um eine CDE handelt, damit Folgendes gilt:
Der gesamte drahtlose Datenverkehr aus drahtlosen Netzwerken in die CDE wird standardmäßig verweigert.
Nur drahtloser Datenverkehr mit einem autorisierten Geschäftszweck ist in die CDE zugelassen.
Fügen Sie für den NSC-Entwurf Richtlinien für bedingten Zugriff für Anwendungen ein, um den Zugriff auf CDE-IP-Adressen zuzulassen.
Notfallzugriff oder Remotezugriff zum Herstellen der Konnektivität mit der CDE, z. B. VPN (Virtual Private Network)-Appliances oder Captive Portals, benötigen möglicherweise Richtlinien, um ein unbeabsichtigte Sperrung zu verhindern. Verwenden der Standortbedingung in einer Richtlinie für bedingten Zugriff
Verwalten von Notfallzugriffskonten in Microsoft Entra

1.4 Netzwerkverbindungen zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken werden kontrolliert.

Anforderungen des durch PCI DSS definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
1.4.1 NSCs sind zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken implementiert. Gilt nicht für Microsoft Entra ID.
1.4.2 Eingehender Datenverkehr von nicht vertrauenswürdigen Netzwerken zu vertrauenswürdigen Netzwerken ist beschränkt auf:
Kommunikation mit Systemkomponenten, die für die Bereitstellung öffentlich zugänglicher Dienste, Protokolle und Ports autorisiert sind.
Zustandsbehaftete Antworten auf Kommunikationen, die von Systemkomponenten in einem vertrauenswürdigen Netzwerk initiiert werden.
Sämtlicher anderer Datenverkehr wird verweigert.
Gilt nicht für Microsoft Entra ID.
1.4.3 Spoofingbekämpfungsmaßnahmen sind implementiert, um gefälschte Quell-IP-Adressen zu erkennen und am Eindringen in das vertrauenswürdige Netzwerk zu hindern. Gilt nicht für Microsoft Entra ID.
1.4.4 Systemkomponenten, die Karteninhaberdaten speichern, sind nicht direkt über nicht vertrauenswürdige Netzwerke zugänglich. Zusätzlich zu den Kontrollen auf der Netzwerkebene können Anwendungen in der CDE, die Microsoft Entra verwenden, Richtlinien für bedingten Zugriff verwenden. Schränken Sie den Zugriff auf Anwendungen basierend auf dem Standort ein. Verwenden des Netzwerkstandorts in einer Richtlinie für bedingten Zugriff
1.4.5 Die Offenlegung interner IP-Adressen und Routinginformationen ist nur auf autorisierte Parteien beschränkt. Gilt nicht für Microsoft Entra ID.

1.5 Risiken für die CDE durch Computergeräte, die sowohl mit nicht vertrauenswürdigen Netzwerken als auch mit der CDE eine Verbindung herstellen können, werden verringert.

Anforderungen des durch PCI DSS definierten Ansatzes Leitfaden und Empfehlungen für Microsoft Entra
1.5.1 Sicherheitskontrollen werden wie folgt auf allen Computergeräten implementiert, einschließlich unternehmens- und mitarbeitereigenen Geräten, die eine Verbindung mit nicht vertrauenswürdigen Netzwerken (einschließlich des Internets) und der CDE herstellen:
Spezifische Konfigurationseinstellungen sind definiert, um zu verhindern, dass Bedrohungen in das Netzwerk der Entität eingeführt werden.
Sicherheitskontrollen werden aktiv ausgeführt.
Sicherheitskontrollen können von den Benutzern der Computergeräte nicht geändert werden, es sei denn, sie werden vom Management im Einzelfall für einen begrenzten Zeitraum ausdrücklich dokumentiert und autorisiert.
Stellen Sie Richtlinien für bedingten Zugriff bereit, die Gerätekonformität erfordern. Verwenden von Konformitätsrichtlinien zum Festlegen von Regeln für Geräte, die Sie mit Intune verwalten
Integrieren des Gerätekonformitätsstatus in Antischadsoftwarelösungen. Erzwingen der Konformität für Microsoft Defender for Endpoint mit bedingtem Zugriff in Intune
Integration der Bedrohungsabwehr für Mobilgeräte mit Intune

Nächste Schritte

Die Anforderungen des Datensicherheitsstandards der Zahlungskartenbranche (Payment Card Industry Data Security Standard, PCI-DSS) 3, 4, 9 und 12 gelten nicht für Microsoft Entra ID. Daher gibt es keine entsprechenden Artikel. Alle Anforderungen finden Sie auf pcisecuritystandards.org: Offizielle Website des PCI Security Standards Council.

Informationen zum Konfigurieren von Microsoft Entra ID zur Einhaltung der PCI-DSS-Anforderungen finden Sie in den folgenden Artikeln.