Идентификатор Microsoft Entra и стандарт PCI-DSS: требование 1
Требование 1. Установка и обслуживание определенных требований к подходу элементов управления
безопасностью сети
1.1 Процессы и механизмы установки и обслуживания элементов управления безопасностью сети определяются и понимаются.
| Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
|---|---|
| 1.1.1 . Все политики безопасности и операционные процедуры, определенные в требовании 1, являются: документировано обновлено в актуальном режиме для всех затронутых сторон. |
Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды. |
| 1.1.2 Роли и обязанности по выполнению действий в требованиях 1 документируются, назначаются и понимаются | Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды. |
1.2 Элементы управления безопасностью сети (NSCs) настраиваются и поддерживаются.
| Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
|---|---|
| 1.2.1 Стандарты конфигурации для наборов правил NSC: определенные поддерживаемые |
Интеграция технологий доступа, таких как VPN, удаленный рабочий стол и точки доступа к сети, с идентификатором Microsoft Entra для проверки подлинности и авторизации, если технологии доступа поддерживают современную проверку подлинности. Убедитесь, что стандарты NSC, относящиеся к элементам управления удостоверениями, включают определение политик условного доступа, назначение приложений, проверки доступа, управление группами, политики учетных данных и т. д. Справочник по операциям Microsoft Entra |
| 1.2.2 . Все изменения сетевых подключений и конфигурации NSCs утверждены и управляются в соответствии с процессом управления изменениями, определенным в требованиях 6.5.1 | Неприменимо к идентификатору Microsoft Entra. |
| 1.2.3 Поддерживается точную сетевую схему, которая показывает все подключения между средой данных карта заполнителя (CDE) и другими сетями, включая любые беспроводные сети. | Неприменимо к идентификатору Microsoft Entra. |
| 1.2.4 Поддерживается точную схему потока данных, которая соответствует следующим требованиям: отображает все потоки данных учетной записи в системах и сетях. Обновлено по мере необходимости при изменении среды. |
Неприменимо к идентификатору Microsoft Entra. |
| 1.2.5 Все службы, протоколы и порты разрешены, определены, утверждены и имеют определенные бизнес-потребности. | Неприменимо к идентификатору Microsoft Entra. |
| 1.2.6 Функции безопасности определяются и реализуются для всех служб, протоколов и портов в использовании и считаются небезопасными, таким образом, что риск снижается. | Неприменимо к идентификатору Microsoft Entra. |
| 1.2.7 Конфигурации NSCs проверяются по крайней мере каждые шесть месяцев, чтобы подтвердить, что они релевантны и эффективны. | Используйте проверки доступа Microsoft Entra для автоматизации проверок членства в группах и приложений, таких как VPN-(модуль), которые соответствуют элементам управления безопасностью сети в CDE. Общие сведения о проверках доступа |
| 1.2.8 Файлы конфигурации для NSCs: защищенный от несанкционированного доступа , согласованный с активными конфигурациями сети |
Неприменимо к идентификатору Microsoft Entra. |
1.3 Сетевой доступ к среде данных карта и из нее ограничен.
| Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
|---|---|
| 1.3.1 Входящий трафик к CDE ограничен следующим образом: только для необходимого трафика. Все остальные трафик в частности запрещены |
Используйте идентификатор Microsoft Entra для настройки именованных расположений для создания политик условного доступа. Вычислите риск входа и пользователя. Корпорация Майкрософт рекомендует клиентам заполнять и поддерживать IP-адреса CDE с помощью сетевых расположений. Используйте их для определения требований политики условного доступа. Использование условия месторасположения в политике условного доступа |
| 1.3.2 Исходящий трафик из CDE ограничен следующим образом: только для необходимого трафика. Все остальные трафик в частности запрещены |
Для проектирования NSC включите политики условного доступа для приложений, чтобы разрешить доступ к IP-адресам CDE. Аварийный доступ или удаленный доступ для установления подключения к CDE, например виртуальных частных сетей (VPN) (модуль), закрытых порталов, может потребоваться политика для предотвращения непреднамеренного блокировки. Использование условия расположения в политике условного доступа для управления учетными записями аварийного доступа в идентификаторе Microsoft Entra |
| 1.3.3 NSCs устанавливаются между всеми беспроводными сетями и CDE независимо от того, является ли беспроводной сеть cdE, таким образом: весь беспроводной трафик из беспроводных сетей в CDE по умолчанию запрещен. В CDE разрешен только беспроводной трафик с авторизованным бизнес-назначением. |
Для проектирования NSC включите политики условного доступа для приложений, чтобы разрешить доступ к IP-адресам CDE. Аварийный доступ или удаленный доступ для установления подключения к CDE, например виртуальных частных сетей (VPN) (модуль), закрытых порталов, может потребоваться политика для предотвращения непреднамеренного блокировки. Использование условия расположения в политике условного доступа для управления учетными записями аварийного доступа в идентификаторе Microsoft Entra |
1.4 Сетевые подключения между доверенными и ненадежными сетями контролируются.
| Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
|---|---|
| 1.4.1 NSCs реализуются между доверенными и ненадежными сетями. | Неприменимо к идентификатору Microsoft Entra. |
| 1.4.2 Входящий трафик из ненадежных сетей к доверенным сетям ограничен: обмен данными с системными компонентами, авторизованными для предоставления общедоступных служб, протоколов и портов. Ответы с отслеживанием состояния на обмен данными, инициированные системными компонентами в доверенной сети. Все остальные трафик запрещены. |
Неприменимо к идентификатору Microsoft Entra. |
| 1.4.3 Меры защиты от подпуфинга реализуются для обнаружения и блокировки исходных IP-адресов от входа в надежную сеть. | Неприменимо к идентификатору Microsoft Entra. |
| 1.4.4 Системные компоненты, которые хранят данные карта заполнителей, не доступны напрямую из ненадежных сетей. | Помимо элементов управления на сетевом уровне приложения в CDE с помощью идентификатора Microsoft Entra могут использовать политики условного доступа. Ограничить доступ к приложениям в зависимости от расположения. Использование сетевого расположения в политике условного доступа |
| 1.4.5 Раскрытие внутренних IP-адресов и сведений о маршрутизации ограничено только авторизованными сторонами. | Неприменимо к идентификатору Microsoft Entra. |
1.5 Риски cdE с вычислительных устройств, которые могут подключаться как к ненадежным сетям, так и CDE, устраняются.
| Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
|---|---|
| 1.5.1 Элементы управления безопасностью реализуются на любых вычислительных устройствах, включая устройства, принадлежащие компании и сотрудникам, которые подключаются как к ненадежным сетям (включая Интернет), так и CDE следующим образом: определенные параметры конфигурации определяются для предотвращения появления угроз в сети сущности. Элементы управления безопасностью активно выполняются. Элементы управления безопасностью не изменяются пользователями вычислительных устройств, если только не задокументированы и авторизованы руководством по регистру в течение ограниченного периода. |
Развертывание политик условного доступа, требующих соответствия устройств. Используйте политики соответствия требованиям, чтобы задать правила для устройств, управляемых с помощью Intune Интеграция состояния соответствия устройств с решениями для защиты от вредоносных программ. Обеспечение соответствия требованиям для Microsoft Defender для конечной точки с помощью условного доступа в Интеграции с Intune Mobile Threat Defense с Intune |
Следующие шаги
Требования PCI-DSS 3, 4, 9 и 12 не применимы к идентификатору Microsoft Entra, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.
Сведения о настройке идентификатора Microsoft Entra для соответствия ТРЕБОВАНИЯМ PCI-DSS см. в следующих статьях.
- Руководство microsoft Entra PCI-DSS
- Требование 1. Установка и обслуживание элементов управления безопасностью сети (здесь)
- Требование 2. Применение безопасных конфигураций ко всем системным компонентам
- Требование 5. Защита всех систем и сетей от вредоносного программного обеспечения
- Требование 6. Разработка и обслуживание безопасных систем и программного обеспечения
- Требование 7. Ограничение доступа к системным компонентам и данным заполнителей карт по бизнесу необходимо знать
- Требование 8. Определение пользователей и проверка подлинности доступа к системным компонентам
- Требование 10. Ведение журнала и мониторинг всех доступа к системным компонентам и данным заполнителей карт
- Требование 11. Регулярное тестирование безопасности систем и сетей
- Руководство по многофакторной идентификации Microsoft Entra PCI-DSS