Requisito 1 di Microsoft Entra ID e PCI-DSS
Requisito 1: Installare e gestire i requisiti di approccio definiti per i controlli
di sicurezza di rete
1.1 I processi e i meccanismi per l'installazione e la gestione dei controlli di sicurezza di rete sono definiti e riconosciuti.
Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
---|---|
1.1.1 Tutti i criteri di sicurezza e le procedure operative identificate nel requisito 1 sono: Documentati mantenuti aggiornati In uso noti a tutte le parti interessate |
Usare le linee guida e i collegamenti qui riportati per produrre la documentazione per soddisfare i requisiti in base alla configurazione dell'ambiente. |
1.1.2 Ruoli e responsabilità per l'esecuzione di attività nel requisito 1 sono documentati, assegnati e riconosciuti | Usare le linee guida e i collegamenti qui riportati per produrre la documentazione per soddisfare i requisiti in base alla configurazione dell'ambiente. |
1.2 I controlli di sicurezza di rete (NSC) sono configurati e gestiti.
Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
---|---|
1.2.1 Gli standard di configurazione per i set di regole NSC sono: Definito implementato gestito |
Integrare tecnologie di accesso come VPN, desktop remoto e punti di accesso di rete con l'ID Entra di Microsoft per l'autenticazione e l'autorizzazione, se le tecnologie di accesso supportano l'autenticazione moderna. Assicurarsi che gli standard NSC, che riguardano i controlli correlati all'identità, includano la definizione dei criteri di accesso condizionale, l'assegnazione di applicazioni, le verifiche di accesso, la gestione dei gruppi, i criteri delle credenziali e così via. Guida di riferimento alle operazioni di Microsoft Entra |
1.2.2 Tutte le modifiche apportate alle connessioni di rete e alle configurazioni dei controller di rete vengono approvate e gestite in conformità al processo di controllo delle modifiche definito nel requisito 6.5.1 | Non applicabile all'ID Microsoft Entra. |
1.2.3 Viene mantenuto uno o più diagrammi di rete accurati che mostrano tutte le connessioni tra l'ambiente dei dati dei titolari di carte (CDE) e altre reti, incluse le reti wireless. | Non applicabile all'ID Microsoft Entra. |
1.2.4 Viene mantenuto uno o più diagrammi di flusso dei dati accurati che soddisfano quanto segue: mostra tutti i flussi di dati degli account tra sistemi e reti. Aggiornato in base alle esigenze in caso di modifiche all'ambiente. |
Non applicabile all'ID Microsoft Entra. |
1.2.5 Tutti i servizi, i protocolli e le porte consentiti vengono identificati, approvati e hanno una necessità aziendale definita | Non applicabile all'ID Microsoft Entra. |
1.2.6 Le funzionalità di sicurezza vengono definite e implementate per tutti i servizi, i protocolli e le porte in uso e considerati non sicuri, in modo da ridurre il rischio. | Non applicabile all'ID Microsoft Entra. |
1.2.7 Le configurazioni dei controller di rete vengono esaminate almeno una volta ogni sei mesi per verificare che siano pertinenti ed efficaci. | Usare le verifiche di accesso di Microsoft Entra per automatizzare le verifiche e le applicazioni di appartenenza ai gruppi, ad esempio le appliance VPN, allineate ai controlli di sicurezza di rete nell'ambiente CDE. Informazioni sulle verifiche di accesso |
1.2.8 I file di configurazione per i controller di rete sono: protetto dall'accesso non autorizzato Mantenuto coerente con le configurazioni di rete attive |
Non applicabile all'ID Microsoft Entra. |
1.3 L'accesso alla rete da e verso l'ambiente dei dati dei titolari di carte è limitato.
Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
---|---|
1.3.1 Il traffico in ingresso verso la rete CDE è limitato come indicato di seguito: Per solo il traffico necessario. Tutto l'altro traffico viene negato in modo specifico |
Usare Microsoft Entra ID per configurare le posizioni denominate per creare criteri di accesso condizionale. Calcolare il rischio per l'utente e l'accesso. Microsoft consiglia ai clienti di popolare e gestire gli indirizzi IP cde usando i percorsi di rete. Usarli per definire i requisiti dei criteri di accesso condizionale. Uso della condizione relativa alla posizione in un criterio di accesso condizionale |
1.3.2 Il traffico in uscita dalla rete CDE è limitato come indicato di seguito: Per solo il traffico necessario. Tutto l'altro traffico viene negato in modo specifico |
Per la progettazione NSC, includere i criteri di accesso condizionale per le applicazioni per consentire l'accesso agli indirizzi IP cde. L'accesso di emergenza o l'accesso remoto per stabilire la connettività all'ambiente CDE, ad esempio le appliance VPN (Virtual Private Network), i portali captive, potrebbero avere bisogno di criteri per impedire il blocco imprevisto. Uso della condizione di posizione in un criterio di accesso condizionale Gestire gli account di accesso di emergenza in Microsoft Entra ID |
1.3.3 I NSC vengono installati tra tutte le reti wireless e la rete CDE, indipendentemente dal fatto che la rete wireless sia una rete CDE, in modo che: tutto il traffico wireless dalle reti wireless nell'ambiente CDE viene negato per impostazione predefinita. Solo il traffico wireless con uno scopo aziendale autorizzato è consentito nell'ambiente CDE. |
Per la progettazione NSC, includere i criteri di accesso condizionale per le applicazioni per consentire l'accesso agli indirizzi IP cde. L'accesso di emergenza o l'accesso remoto per stabilire la connettività all'ambiente CDE, ad esempio le appliance VPN (Virtual Private Network), i portali captive, potrebbero avere bisogno di criteri per impedire il blocco imprevisto. Uso della condizione di posizione in un criterio di accesso condizionale Gestire gli account di accesso di emergenza in Microsoft Entra ID |
1.4 Le connessioni di rete tra reti attendibili e non attendibili sono controllate.
Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
---|---|
1.4.1 I NSC vengono implementati tra reti attendibili e non attendibili. | Non applicabile all'ID Microsoft Entra. |
1.4.2 Il traffico in ingresso da reti non attendibili a reti attendibili è limitato a: comunicazioni con componenti di sistema autorizzati a fornire servizi, protocolli e porte accessibili pubblicamente. Risposte con stato alle comunicazioni avviate dai componenti di sistema in una rete attendibile. Tutto l'altro traffico viene negato. |
Non applicabile all'ID Microsoft Entra. |
1.4.3 Le misure anti-spoofing vengono implementate per rilevare e bloccare l'immissione di indirizzi IP di origine contraffatti nella rete attendibile. | Non applicabile all'ID Microsoft Entra. |
1.4.4 Componenti di sistema che archiviano i dati dei titolari di carte non sono direttamente accessibili da reti non attendibili. | Oltre ai controlli nel livello di rete, le applicazioni nell'ambiente CDE che usano Microsoft Entra ID possono usare i criteri di accesso condizionale. Limitare l'accesso alle applicazioni in base alla posizione. Uso del percorso di rete in un criterio di accesso condizionale |
1.4.5 La divulgazione di indirizzi IP interni e informazioni di routing è limitata solo alle parti autorizzate. | Non applicabile all'ID Microsoft Entra. |
1.5 I rischi per la rete CDE dai dispositivi di calcolo che sono in grado di connettersi a reti non attendibili e cde sono mitigati.
Requisiti di approccio definiti da PCI-DSS | Indicazioni e consigli per Microsoft Entra |
---|---|
1.5.1 I controlli di sicurezza vengono implementati in qualsiasi dispositivo di elaborazione, inclusi i dispositivi aziendali e di proprietà dei dipendenti, che si connettono a entrambe le reti non attendibili (incluso Internet) e alla rete CDE come indicato di seguito: sono definite impostazioni di configurazione specifiche per impedire l'introduzione di minacce nella rete dell'entità. I controlli di sicurezza vengono eseguiti attivamente. I controlli di sicurezza non sono modificabili dagli utenti dei dispositivi di elaborazione, a meno che non siano documentati e autorizzati specificamente dalla gestione per caso per un periodo limitato. |
Distribuire criteri di accesso condizionale che richiedono la conformità dei dispositivi. Usare i criteri di conformità per impostare le regole per i dispositivi gestiti con Intune Integrare lo stato di conformità dei dispositivi con soluzioni antimalware. Applicare la conformità per Microsoft Defender per endpoint con l'accesso condizionale nell'integrazione di Intune Mobile Threat Defense con Intune |
Passaggi successivi
I requisiti PCI-DSS 3, 4, 9 e 12 non sono applicabili all'ID Microsoft Entra, pertanto non esistono articoli corrispondenti. Per visualizzare tutti i requisiti, passare a pcisecuritystandards.org: Sito ufficiale del Consiglio per gli standard di sicurezza PCI.
Per configurare Microsoft Entra ID in modo che sia conforme a PCI-DSS, vedere gli articoli seguenti.
- Linee guida per Microsoft Entra PCI-DSS
- Requisito 1: Installare e gestire i controlli di sicurezza di rete (qui)
- Requisito 2: Applicare configurazioni sicure a tutti i componenti di sistema
- Requisito 5: Proteggere tutti i sistemi e le reti da software dannoso
- Requisito 6: Sviluppare e gestire sistemi e software sicuri
- Requisito 7: Limitare l'accesso ai componenti di sistema e ai dati dei titolari di carte in base alle esigenze aziendali
- Requisito 8: Identificare gli utenti e autenticare l'accesso ai componenti di sistema
- Requisito 10: Registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati dei titolari di carte
- Requisito 11: Testare regolarmente la sicurezza dei sistemi e delle reti
- Linee guida per Microsoft Entra PCI-DSS Multi-Factor Authentication