Поделиться через


Идентификатор Microsoft Entra и стандарт PCI-DSS: требование 1

Требование 1. Установка и обслуживание определенных требований к подходу элементов управления
безопасностью сети

1.1 Процессы и механизмы установки и обслуживания элементов управления безопасностью сети определяются и понимаются.

Требования к определенному подходу PCI-DSS Рекомендации и рекомендации Microsoft Entra
1.1.1 . Все политики безопасности и операционные процедуры, определенные в требовании 1, являются:
документировано
обновлено в актуальном
режиме для всех
затронутых сторон.
Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды.
1.1.2 Роли и обязанности по выполнению действий в требованиях 1 документируются, назначаются и понимаются Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды.

1.2 Элементы управления безопасностью сети (NSCs) настраиваются и поддерживаются.

Требования к определенному подходу PCI-DSS Рекомендации и рекомендации Microsoft Entra
1.2.1 Стандарты конфигурации для наборов правил NSC:
определенные
поддерживаемые
Интеграция технологий доступа, таких как VPN, удаленный рабочий стол и точки доступа к сети, с идентификатором Microsoft Entra для проверки подлинности и авторизации, если технологии доступа поддерживают современную проверку подлинности. Убедитесь, что стандарты NSC, относящиеся к элементам управления удостоверениями, включают определение политик условного доступа, назначение приложений, проверки доступа, управление группами, политики учетных данных и т. д. Справочник по операциям Microsoft Entra
1.2.2 . Все изменения сетевых подключений и конфигурации NSCs утверждены и управляются в соответствии с процессом управления изменениями, определенным в требованиях 6.5.1 Неприменимо к идентификатору Microsoft Entra.
1.2.3 Поддерживается точную сетевую схему, которая показывает все подключения между средой данных заполнителей карт (CDE) и другими сетями, включая любые беспроводные сети. Неприменимо к идентификатору Microsoft Entra.
1.2.4 Поддерживается точную схему потока данных, которая соответствует следующим требованиям:
отображает все потоки данных учетной записи в системах и сетях.
Обновлено по мере необходимости при изменении среды.
Неприменимо к идентификатору Microsoft Entra.
1.2.5 Все службы, протоколы и порты разрешены, определены, утверждены и имеют определенные бизнес-потребности. Неприменимо к идентификатору Microsoft Entra.
1.2.6 Функции безопасности определяются и реализуются для всех служб, протоколов и портов в использовании и считаются небезопасными, таким образом, что риск снижается. Неприменимо к идентификатору Microsoft Entra.
1.2.7 Конфигурации NSCs проверяются по крайней мере каждые шесть месяцев, чтобы подтвердить, что они релевантны и эффективны. Используйте проверки доступа Microsoft Entra для автоматизации проверок членства в группах и приложений, таких как VPN-устройства, которые соответствуют элементам управления безопасностью сети в CDE. Общие сведения о проверках доступа
1.2.8 Файлы конфигурации для NSCs:
защищенный от несанкционированного доступа
, согласованный с активными конфигурациями сети
Неприменимо к идентификатору Microsoft Entra.

1.3 Сетевой доступ к среде данных заполнителей карт и из нее ограничен.

Требования к определенному подходу PCI-DSS Рекомендации и рекомендации Microsoft Entra
1.3.1 Входящий трафик к CDE ограничен следующим образом:
только для необходимого трафика.
Все остальные трафик в частности запрещены
Используйте идентификатор Microsoft Entra для настройки именованных расположений для создания политик условного доступа. Вычислите риск входа и пользователя. Корпорация Майкрософт рекомендует клиентам заполнять и поддерживать IP-адреса CDE с помощью сетевых расположений. Используйте их для определения требований политики условного доступа. Использование условия месторасположения в политике условного доступа
1.3.2 Исходящий трафик из CDE ограничен следующим образом:
только для необходимого трафика.
Все остальные трафик в частности запрещены
Для проектирования NSC включите политики условного доступа для приложений, чтобы разрешить доступ к IP-адресам CDE.
Аварийный доступ или удаленный доступ для установления подключения к CDE, таким как устройства виртуальной частной сети (VPN), закрытые порталы, может потребоваться политика для предотвращения непреднамеренного блокировки. Использование условия расположения в политике
условного доступа для управления учетными записями аварийного доступа в идентификаторе Microsoft Entra
1.3.3 NSCs устанавливаются между всеми беспроводными сетями и CDE независимо от того, является ли беспроводной сеть cdE, таким образом:
весь беспроводной трафик из беспроводных сетей в CDE по умолчанию запрещен.
В CDE разрешен только беспроводной трафик с авторизованным бизнес-назначением.
Для проектирования NSC включите политики условного доступа для приложений, чтобы разрешить доступ к IP-адресам CDE.
Аварийный доступ или удаленный доступ для установления подключения к CDE, таким как устройства виртуальной частной сети (VPN), закрытые порталы, может потребоваться политика для предотвращения непреднамеренного блокировки. Использование условия расположения в политике
условного доступа для управления учетными записями аварийного доступа в идентификаторе Microsoft Entra

1.4 Сетевые подключения между доверенными и ненадежными сетями контролируются.

Требования к определенному подходу PCI-DSS Рекомендации и рекомендации Microsoft Entra
1.4.1 NSCs реализуются между доверенными и ненадежными сетями. Неприменимо к идентификатору Microsoft Entra.
1.4.2 Входящий трафик из ненадежных сетей к доверенным сетям ограничен:
обмен данными с системными компонентами, авторизованными для предоставления общедоступных служб, протоколов и портов.
Ответы с отслеживанием состояния на обмен данными, инициированные системными компонентами в доверенной сети.
Все остальные трафик запрещены.
Неприменимо к идентификатору Microsoft Entra.
1.4.3 Меры защиты от подпуфинга реализуются для обнаружения и блокировки исходных IP-адресов от входа в надежную сеть. Неприменимо к идентификатору Microsoft Entra.
1.4.4 Системные компоненты, которые хранят данные заполнителей карт, не доступны напрямую из ненадежных сетей. Помимо элементов управления на сетевом уровне приложения в CDE с помощью идентификатора Microsoft Entra могут использовать политики условного доступа. Ограничить доступ к приложениям в зависимости от расположения. Использование сетевого расположения в политике условного доступа
1.4.5 Раскрытие внутренних IP-адресов и сведений о маршрутизации ограничено только авторизованными сторонами. Неприменимо к идентификатору Microsoft Entra.

1.5 Риски cdE с вычислительных устройств, которые могут подключаться как к ненадежным сетям, так и CDE, устраняются.

Требования к определенному подходу PCI-DSS Рекомендации и рекомендации Microsoft Entra
1.5.1 Элементы управления безопасностью реализуются на любых вычислительных устройствах, включая устройства, принадлежащие компании и сотрудникам, которые подключаются как к ненадежным сетям (включая Интернет), так и CDE следующим образом:
определенные параметры конфигурации определяются для предотвращения появления угроз в сети сущности.
Элементы управления безопасностью активно выполняются.
Элементы управления безопасностью не изменяются пользователями вычислительных устройств, если только не задокументированы и авторизованы руководством по регистру в течение ограниченного периода.
Развертывание политик условного доступа, требующих соответствия устройств. Используйте политики соответствия требованиям, чтобы задать правила для устройств, управляемых с помощью Intune
Интеграция состояния соответствия устройств с решениями для защиты от вредоносных программ. Обеспечение соответствия требованиям для Microsoft Defender для конечной точки с помощью условного доступа в Интеграции с Intune Mobile Threat Defense с Intune

Следующие шаги

Требования PCI-DSS 3, 4, 9 и 12 не применимы к идентификатору Microsoft Entra, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.

Сведения о настройке идентификатора Microsoft Entra для соответствия ТРЕБОВАНИЯМ PCI-DSS см. в следующих статьях.