Поделиться через


Идентификатор Microsoft Entra и стандарт PCI-DSS: требование 2

Требование 2. Применение безопасных конфигураций ко всем системным
компонентам, определенным требованиям к подходу

2.1 Процессы и механизмы применения безопасных конфигураций ко всем системным компонентам определяются и понимаются.

Требования к определенному подходу PCI-DSS Рекомендации и рекомендации Microsoft Entra
2.1.1 . Все политики безопасности и операционные процедуры, определенные в требовании 2, являются:
документировано
в актуальном
состоянии для всех
затронутых сторон.
Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды.
2.1.2 Роли и обязанности по выполнению действий в требованиях 2 документируются, назначаются и понимаются. Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды.

Системные компоненты 2.2 настраиваются и управляются безопасно.

Требования к определенному подходу PCI-DSS Рекомендации и рекомендации Microsoft Entra
2.2.1 Стандарты конфигурации разрабатываются, реализуются и поддерживаются:
охватывают все системные компоненты.
Устранение всех известных уязвимостей системы безопасности.
Будьте согласованы с отраслевыми стандартами защиты системы или рекомендациями по ужесточения поставщиков.
Будьте обновлены по мере выявления новых проблем уязвимостей, как определено в описании требования 6.3.1.
Применяется при настройке и проверке новых систем как на месте до или сразу после подключения системного компонента к рабочей среде.
См. руководство по операциям безопасности Microsoft Entra
2.2.2 Учетные записи поставщика по умолчанию управляются следующим образом:
если будет использоваться учетная запись поставщика по умолчанию, пароль по умолчанию изменяется на требование 8.3.6.
Если учетные записи поставщика по умолчанию не будут использоваться, учетная запись удаляется или отключается.
Неприменимо к идентификатору Microsoft Entra.
2.2.3 Основные функции, требующие разных уровней безопасности, управляются следующим образом:
только одна основная функция существует в системном компоненте или

первичных функциях с разными уровнями безопасности, которые существуют на одном и том же компоненте системы, изолированы друг от друга,
или
основные функции с различными уровнями безопасности на одном и том же системном компоненте защищены на уровне, необходимом для функции с высокой потребностью в безопасности.
Узнайте об определении наименее привилегированных ролей. Роли с минимально необходимыми привилегиями для разных задач в Microsoft Entra ID
2.2.4 Включены только необходимые службы, протоколы, daemons и функции, а все ненужные функции удаляются или отключены. Просмотрите параметры Microsoft Entra и отключите неиспользуемые функции. Пять шагов по защите инфраструктуры
удостоверений Microsoft Entra security operations
2.2.5 Если присутствуют какие-либо небезопасные службы, протоколы или управляющая программа:
документируется обоснование бизнеса.
Дополнительные функции безопасности документируются и реализуются, что снижает риск использования небезопасных служб, протоколов или управляющей программы.
Просмотрите параметры Microsoft Entra и отключите неиспользуемые функции. Пять шагов по защите инфраструктуры
удостоверений Microsoft Entra security operations
Параметры безопасности системы 2.2.6 настроены для предотвращения неправильного использования. Просмотрите параметры Microsoft Entra и отключите неиспользуемые функции. Пять шагов по защите инфраструктуры
удостоверений Microsoft Entra security operations
2.2.7 Все неконсолейные административные доступы шифруются с помощью строгой криптографии. Интерфейсы идентификатора Microsoft Entra, такие как портал управления, Microsoft Graph и PowerShell, шифруются при передаче с помощью TLS. Включение поддержки TLS 1.2 в вашей среде для Microsoft Entra TLS 1.1 и 1.0 нерекомендуемой

2.3 Беспроводные среды настраиваются и управляются безопасно.

Требования к определенному подходу PCI-DSS Рекомендации и рекомендации Microsoft Entra
2.3.1 Для беспроводных сред, подключенных к CDE или передачи данных учетной записи, все поставщики беспроводной сети по умолчанию изменяются при установке или подтверждаются безопасными, включая, но не ограничивается:
пароли ключей
беспроводного шифрования по умолчанию для точек
беспроводного доступа по умолчанию по умолчанию
любые другие поставщики беспроводной связи, связанные с безопасностью.
Если ваша организация интегрирует точки доступа к сети с идентификатором Microsoft Entra для проверки подлинности, см . требование 1. Установка и обслуживание элементов управления безопасностью сети.
2.3.2 Для беспроводных сред, подключенных к CDE или передачи данных учетной записи, ключи беспроводного шифрования изменяются следующим образом:
Всякий раз, когда сотрудники с знанием ключа покидают компанию или роль, для которой необходимы знания.
Всякий раз, когда ключ подозревается или известен как скомпрометированный.
Неприменимо к идентификатору Microsoft Entra.

Следующие шаги

Требования PCI-DSS 3, 4, 9 и 12 не применимы к идентификатору Microsoft Entra, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.

Сведения о настройке идентификатора Microsoft Entra для соответствия ТРЕБОВАНИЯМ PCI-DSS см. в следующих статьях.