Microsoft Entra ID en PCI-DSS-vereiste 1
Vereiste 1: Gedefinieerde vereisten voor netwerkbeveiligingsbesturingselementen
installeren en onderhouden
1.1 Processen en mechanismen voor het installeren en onderhouden van netwerkbeveiligingscontroles worden gedefinieerd en begrepen.
| Vereisten voor gedefinieerde PCI-DSS-benadering | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| 1.1.1 Alle beveiligingsbeleidsregels en operationele procedures die zijn geïdentificeerd in vereiste 1 zijn: Gedocumenteerd up-to-date in gebruik Bekend bij alle betrokken partijen |
Gebruik de richtlijnen en koppelingen hier om de documentatie te produceren om te voldoen aan de vereisten op basis van uw omgevingsconfiguratie. |
| 1.1.2 Rollen en verantwoordelijkheden voor het uitvoeren van activiteiten in vereiste 1 worden gedocumenteerd, toegewezen en begrepen | Gebruik de richtlijnen en koppelingen hier om de documentatie te produceren om te voldoen aan de vereisten op basis van uw omgevingsconfiguratie. |
1.2 Netwerkbeveiligingscontroles (NSC's) worden geconfigureerd en onderhouden.
| Vereisten voor gedefinieerde PCI-DSS-benadering | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| 1.2.1 Configuratiestandaarden voor NSC-regelsets zijn: Gedefinieerd Geïmplementeerd onderhouden |
Integreer toegangstechnologieën zoals VPN, extern bureaublad en netwerktoegangspunten met Microsoft Entra ID voor verificatie en autorisatie als de toegangstechnologieën moderne verificatie ondersteunen. Zorg ervoor dat NSC-standaarden, die betrekking hebben op identiteitsgerelateerde controles, definitie van beleid voor voorwaardelijke toegang, toepassingstoewijzing, toegangsbeoordelingen, groepsbeheer, referentiebeleid, enzovoort omvatten. Naslaghandleiding voor Microsoft Entra-bewerkingen |
| 1.2.2 Alle wijzigingen in netwerkverbindingen en configuraties van NSC's worden goedgekeurd en beheerd volgens het wijzigingsbeheerproces dat is gedefinieerd bij Vereiste 6.5.1 | Niet van toepassing op Microsoft Entra-id. |
| 1.2.3 Een nauwkeurig netwerkdiagram(en) wordt onderhouden met alle verbindingen tussen de gegevensomgeving van de kaarthouder (CDE) en andere netwerken, inclusief eventuele draadloze netwerken. | Niet van toepassing op Microsoft Entra-id. |
| 1.2.4 Een of meer nauwkeurige gegevensstroomdiagrammen worden onderhouden die voldoen aan het volgende: Toont alle accountgegevensstromen in systemen en netwerken. Indien nodig bijgewerkt na wijzigingen in de omgeving. |
Niet van toepassing op Microsoft Entra-id. |
| 1.2.5 Alle services, protocollen en poorten die zijn toegestaan, worden geïdentificeerd, goedgekeurd en hebben een gedefinieerde bedrijfsbehoefte | Niet van toepassing op Microsoft Entra-id. |
| 1.2.6 Beveiligingsfuncties worden gedefinieerd en geïmplementeerd voor alle services, protocollen en poorten die in gebruik zijn en als onveilig worden beschouwd, zodat het risico wordt beperkt. | Niet van toepassing op Microsoft Entra-id. |
| 1.2.7 Configuraties van NSC's worden ten minste eenmaal per zes maanden gecontroleerd om te bevestigen dat ze relevant en effectief zijn. | Gebruik Microsoft Entra-toegangsbeoordelingen om beoordelingen en toepassingen voor groepslidmaatschap te automatiseren, zoals VPN-apparaten, die zijn afgestemd op netwerkbeveiligingscontroles in uw CDE. Wat zijn toegangsbeoordelingen? |
| 1.2.8-configuratiebestanden voor NSC's zijn: Beveiligd tegen onbevoegde toegang Consistent gehouden met actieve netwerkconfiguraties |
Niet van toepassing op Microsoft Entra-id. |
1.3 Netwerktoegang tot en van de gegevensomgeving van de kaarthouder is beperkt.
| Vereisten voor gedefinieerde PCI-DSS-benadering | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| 1.3.1 Binnenkomend verkeer naar de CDE wordt als volgt beperkt: Alleen verkeer dat nodig is. Al het andere verkeer wordt specifiek geweigerd |
Gebruik Microsoft Entra ID om benoemde locaties te configureren voor het maken van beleid voor voorwaardelijke toegang. Bereken gebruikers- en aanmeldingsrisico's. Microsoft raadt klanten aan om de CDE-IP-adressen te vullen en te onderhouden met behulp van netwerklocaties. Gebruik deze om beleidsvereisten voor voorwaardelijke toegang te definiëren. De locatievoorwaarde gebruiken in beleid voor voorwaardelijke toegang |
| 1.3.2 Uitgaand verkeer van de CDE wordt als volgt beperkt: Alleen verkeer dat nodig is. Al het andere verkeer wordt specifiek geweigerd |
Neem voor NSC-ontwerp beleidsregels voor voorwaardelijke toegang op voor toepassingen om toegang tot CDE-IP-adressen toe te staan. Toegang tot noodgevallen of externe toegang voor het tot stand brengen van connectiviteit met CDE, zoals VPN-apparaten (virtual private network), captive portals, heeft mogelijk beleid nodig om onbedoelde vergrendeling te voorkomen. De locatievoorwaarde gebruiken in een beleid voor voorwaardelijke toegang Beheren accounts voor toegang tot noodgevallen in Microsoft Entra-id |
| 1.3.3 NSCs worden geïnstalleerd tussen alle draadloze netwerken en de CDE, ongeacht of het draadloze netwerk een CDE is, zodat: al het draadloze verkeer van draadloze netwerken naar de CDE standaard wordt geweigerd. Alleen draadloos verkeer met een geautoriseerd bedrijfsdoel is toegestaan in de CDE. |
Neem voor NSC-ontwerp beleidsregels voor voorwaardelijke toegang op voor toepassingen om toegang tot CDE-IP-adressen toe te staan. Toegang tot noodgevallen of externe toegang voor het tot stand brengen van connectiviteit met CDE, zoals VPN-apparaten (virtual private network), captive portals, heeft mogelijk beleid nodig om onbedoelde vergrendeling te voorkomen. De locatievoorwaarde gebruiken in een beleid voor voorwaardelijke toegang Beheren accounts voor toegang tot noodgevallen in Microsoft Entra-id |
1.4 Netwerkverbindingen tussen vertrouwde en niet-vertrouwde netwerken worden beheerd.
| Vereisten voor gedefinieerde PCI-DSS-benadering | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| 1.4.1 NSC's worden geïmplementeerd tussen vertrouwde en niet-vertrouwde netwerken. | Niet van toepassing op Microsoft Entra-id. |
| 1.4.2 Binnenkomend verkeer van niet-vertrouwde netwerken naar vertrouwde netwerken is beperkt tot: Communicatie met systeemonderdelen die gemachtigd zijn om openbaar toegankelijke services, protocollen en poorten te bieden. Stateful reacties op communicatie die is geïnitieerd door systeemonderdelen in een vertrouwd netwerk. Al het andere verkeer wordt geweigerd. |
Niet van toepassing op Microsoft Entra-id. |
| 1.4.3 Anti-adresvervalsingsmaatregelen worden geïmplementeerd om vervalste bron-IP-adressen in het vertrouwde netwerk te detecteren en te blokkeren. | Niet van toepassing op Microsoft Entra-id. |
| 1.4.4 Systeemonderdelen die gegevens van de kaarthouder opslaan, zijn niet rechtstreeks toegankelijk vanuit niet-vertrouwde netwerken. | Naast besturingselementen in de netwerklaag kunnen toepassingen in de CDE met behulp van Microsoft Entra ID beleid voor voorwaardelijke toegang gebruiken. Toegang tot toepassingen beperken op basis van locatie. Netwerklocatie gebruiken in beleid voor voorwaardelijke toegang |
| 1.4.5 De openbaarmaking van interne IP-adressen en routeringsinformatie is beperkt tot alleen geautoriseerde partijen. | Niet van toepassing op Microsoft Entra-id. |
1.5 Risico's voor de CDE van computerapparaten die verbinding kunnen maken met zowel niet-vertrouwde netwerken als de CDE worden beperkt.
| Vereisten voor gedefinieerde PCI-DSS-benadering | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| 1.5.1 Beveiligingscontroles worden geïmplementeerd op alle computerapparaten, waaronder apparaten in bedrijfs- en werknemerseigendom, die als volgt verbinding maken met niet-vertrouwde netwerken (inclusief internet) en de CDE: Specifieke configuratie-instellingen worden gedefinieerd om te voorkomen dat bedreigingen in het netwerk van de entiteit worden geïntroduceerd. Beveiligingscontroles worden actief uitgevoerd. Beveiligingscontroles kunnen niet worden gewijzigd door gebruikers van de computerapparaten, tenzij specifiek gedocumenteerd en geautoriseerd door beheer gedurende een beperkte periode. |
Beleid voor voorwaardelijke toegang implementeren waarvoor apparaatcompatibiliteit is vereist. Gebruik nalevingsbeleid om regels in te stellen voor apparaten die u beheert met Intune Apparaatnalevingsstatus integreren met antimalwareoplossingen. Naleving afdwingen voor Microsoft Defender voor Eindpunt met voorwaardelijke toegang in Intune Mobile Threat Defense-integratie met Intune |
Volgende stappen
PCI-DSS-vereisten 3, 4, 9 en 12 zijn niet van toepassing op Microsoft Entra-id, daarom zijn er geen bijbehorende artikelen. Als u alle vereisten wilt zien, gaat u naar pcisecuritystandards.org: officiële site van de PCI Security Standards Council.
Zie de volgende artikelen voor het configureren van Microsoft Entra ID om te voldoen aan PCI-DSS.
- Richtlijnen voor Microsoft Entra PCI-DSS
- Vereiste 1: Netwerkbeveiligingsbeheer installeren en onderhouden (u bent hier)
- Vereiste 2: Veilige configuraties toepassen op alle systeemonderdelen
- Vereiste 5: Alle systemen en netwerken beschermen tegen schadelijke software
- Vereiste 6: Veilige systemen en software ontwikkelen en onderhouden
- Vereiste 7: Toegang tot systeemonderdelen en kaartaanduidingsgegevens beperken door zakelijke noodzaak
- Vereiste 8: Gebruikers identificeren en toegang tot systeemonderdelen verifiëren
- Vereiste 10: Alle toegang tot systeemonderdelen en kaartaanduidingsgegevens registreren en bewaken
- Vereiste 11: De beveiliging van systemen en netwerken regelmatig testen
- Richtlijnen voor Microsoft Entra PCI-DSS Multi-Factor Authentication
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor