Руководство по многофакторной идентификации Microsoft Entra PCI-DSS
Дополнение к информации: Многофакторная идентификация версии 1.0
Используйте следующую таблицу методов проверки подлинности, поддерживаемых идентификатором Microsoft Entra, чтобы соответствовать требованиям в дополнение к сведениям Совета безопасности PCI, Многофакторной идентификации версии 1.0.
| Способ | Соответствие требованиям | Защита | Элемент MFA |
|---|---|---|---|
| Вход без пароля телефона с помощью Microsoft Authenticator | У вас есть (устройство с ключом), то, что вы знаете или являются (ПИН-код или биография метрика) в iOS, Authenticator Secure Element (SE) сохраняет ключ в цепочке ключей. Apple Platform Security, защита данных цепочки ключей в Android, Authenticator использует доверенный модуль выполнения (TEE), сохраняя ключ в хранилище ключей. Разработчики, система Хранилища ключей Android, когда пользователи проходят проверку подлинности с помощью Microsoft Authenticator, идентификатор Microsoft Entra создает случайное число, которое пользователь вводит в приложение. Это действие выполняет требование проверки подлинности вне полосы. |
Клиенты настраивают политики защиты устройств для устранения риска компрометации устройств. Например, политики соответствия Microsoft Intune. | Пользователи разблокируйте ключ жестом, а идентификатор Microsoft Entra проверяет метод проверки подлинности. |
| Обзор необходимых компонентов развертывания Windows Hello для бизнеса | У вас есть что-то (устройство Windows с ключом), а также то, что вы знаете или имеете (ПИН-код или биография метрика). Ключи хранятся с помощью доверенного платформенного модуля устройства (TPM). Клиенты используют устройства с аппаратным TPM 2.0 или более поздней версии для удовлетворения требований к методу проверки подлинности и неувязким требованиям. Уровни сертифицированного аутентификатора |
Настройте политики защиты устройств для устранения риска компрометации устройств. Например, политики соответствия Microsoft Intune. | Пользователи разблокируйте ключ с помощью жеста входа на устройство Windows. |
| Включение входа ключа безопасности без пароля, включение метода ключа безопасности FIDO2 | Что-то, что у вас есть (ключ безопасности FIDO2) и то, что вы знаете или являются (ПИН-код или биография метрика). Ключи хранятся с аппаратными функциями шифрования. Клиенты используют ключи FIDO2, по крайней мере уровень сертификации проверки подлинности 2 (L2) для удовлетворения требований к методу проверки подлинности и вне полосы. |
Приобретение оборудования с защитой от незаконного изменения и компрометации. | Пользователи разблокируйте ключ жестом, а идентификатор Microsoft Entra проверяет учетные данные. |
| Обзор проверки подлинности на основе сертификата Microsoft Entra | У вас есть что-то (умный карта) и то, что вы знаете (ПИН-код). Физические интеллектуальные карта или виртуальные интеллектуальные карта, хранящиеся в TPM 2.0 или более поздней версии, являются безопасным элементом (SE). Это действие соответствует требованиям к методу проверки подлинности и требованиям вне диапазона. |
Приобретение умных карта с защитой от незаконного изменения и компрометации. | Пользователи разблокировки закрытого ключа сертификата с помощью жеста или ПИН-кода, а затем идентификатор Microsoft Entra проверяет учетные данные. |
Следующие шаги
Требования PCI-DSS 3, 4, 9 и 12 не применимы к идентификатору Microsoft Entra, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.
Сведения о настройке идентификатора Microsoft Entra для соответствия ТРЕБОВАНИЯМ PCI-DSS см. в следующих статьях.
- Руководство microsoft Entra PCI-DSS
- Требование 1. Установка и обслуживание элементов управления безопасностью сети
- Требование 2. Применение безопасных конфигураций ко всем системным компонентам
- Требование 5. Защита всех систем и сетей от вредоносного программного обеспечения
- Требование 6. Разработка и обслуживание безопасных систем и программного обеспечения
- Требование 7. Ограничение доступа к системным компонентам и данным заполнителей карт по бизнесу необходимо знать
- Требование 8. Определение пользователей и проверка подлинности доступа к системным компонентам
- Требование 10. Ведение журнала и мониторинг всех доступа к системным компонентам и данным заполнителей карт
- Требование 11. Регулярное тестирование безопасности систем и сетей
- Руководство по многофакторной идентификации Microsoft Entra PCI-DSS (здесь)