Microsoft Entra ID och PCI-DSS Krav 1
Krav 1: Installera och underhålla krav för nätverkssäkerhetskontroller
Definierade metodkrav
1.1 Processer och mekanismer för att installera och underhålla nätverkssäkerhetskontroller definieras och förstås.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 1.1.1 Alla säkerhetsprinciper och operativa procedurer som identifieras i krav 1 är: Dokumenterad uppdaterad Användning Känd för alla berörda parter |
Använd vägledningen och länkarna häri för att skapa dokumentationen för att uppfylla kraven baserat på din miljökonfiguration. |
| 1.1.2 Roller och ansvarsområden för att utföra aktiviteter i krav 1 dokumenteras, tilldelas och förstås | Använd vägledningen och länkarna häri för att skapa dokumentationen för att uppfylla kraven baserat på din miljökonfiguration. |
1.2 Nätverkssäkerhetskontroller (NSC) konfigureras och underhålls.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 1.2.1 Konfigurationsstandarder för NSC-regeluppsättningar är: Definierade implementerade underhålls |
Integrera åtkomsttekniker som VPN, fjärrskrivbord och nätverksåtkomstpunkter med Microsoft Entra-ID för autentisering och auktorisering, om åtkomstteknikerna stöder modern autentisering. Se till att NSC-standarder, som gäller identitetsrelaterade kontroller, inkluderar definition av principer för villkorsstyrd åtkomst, programtilldelning, åtkomstgranskningar, grupphantering, principer för autentiseringsuppgifter osv. Referensguide för Microsoft Entra-åtgärder |
| 1.2.2 Alla ändringar av nätverksanslutningar och konfigurationer av nätverkssäkerhetsgrupper godkänns och hanteras i enlighet med ändringskontrollprocessen som definieras i krav 6.5.1 | Gäller inte för Microsoft Entra-ID. |
| 1.2.3 Ett korrekt nätverksdiagram bibehålls som visar alla anslutningar mellan korthållardatamiljön (CDE) och andra nätverk, inklusive trådlösa nätverk. | Gäller inte för Microsoft Entra-ID. |
| 1.2.4 Ett korrekt dataflödesdiagram bibehålls som uppfyller följande: Visar alla kontodataflöden mellan system och nätverk. Uppdaterad efter behov vid ändringar i miljön. |
Gäller inte för Microsoft Entra-ID. |
| 1.2.5 Alla tjänster, protokoll och portar som tillåts identifieras, godkänns och har ett definierat affärsbehov | Gäller inte för Microsoft Entra-ID. |
| 1.2.6 Säkerhetsfunktioner definieras och implementeras för alla tjänster, protokoll och portar som används och anses vara osäkra, så att risken minimeras. | Gäller inte för Microsoft Entra-ID. |
| 1.2.7 Konfigurationer av nätverkssäkerhetsgrupper granskas minst en gång var sjätte månad för att bekräfta att de är relevanta och effektiva. | Använd Microsoft Entra-åtkomstgranskningar för att automatisera granskningar och program för gruppmedlemskap, till exempel VPN-enheter, som överensstämmer med nätverkssäkerhetskontroller i din CDE. Vad är åtkomstgranskningar? |
| 1.2.8 Konfigurationsfiler för nätverkssäkerhetsgrupper är: Skyddade från obehörig åtkomst Hålls konsekvent med aktiva nätverkskonfigurationer |
Gäller inte för Microsoft Entra-ID. |
1.3 Nätverksåtkomsten till och från korthållardatamiljön är begränsad.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 1.3.1 Inkommande trafik till CDE är begränsad enligt följande: Till endast trafik som är nödvändig. All annan trafik nekas specifikt |
Använd Microsoft Entra-ID för att konfigurera namngivna platser för att skapa principer för villkorsstyrd åtkomst. Beräkna användar- och inloggningsrisk. Microsoft rekommenderar att kunder fyller i och underhåller CDE-IP-adresserna med hjälp av nätverksplatser. Använd dem för att definiera principkrav för villkorsstyrd åtkomst. Använda platsvillkoret i en policy för villkorsstyrd åtkomst |
| 1.3.2 Utgående trafik från CDE är begränsad enligt följande: Till endast trafik som är nödvändig. All annan trafik nekas specifikt |
För NSC-design inkluderar du principer för villkorsstyrd åtkomst för program för att tillåta åtkomst till CDE IP-adresser. Nödåtkomst eller fjärråtkomst för att upprätta anslutning till CDE, till exempel VPN-apparater (virtual private network), captive portals, kan behöva principer för att förhindra oavsiktlig utelåsning. Använda platsvillkoret i en princip för villkorlig åtkomst Hantera konton för nödåtkomst i Microsoft Entra-ID |
| 1.3.3 Nätverkssäkerhetsgrupper installeras mellan alla trådlösa nätverk och CDE, oavsett om det trådlösa nätverket är en CDE, så att: All trådlös trafik från trådlösa nätverk till CDE nekas som standard. Endast trådlös trafik med ett auktoriserat affärssyfte tillåts i CDE. |
För NSC-design inkluderar du principer för villkorsstyrd åtkomst för program för att tillåta åtkomst till CDE IP-adresser. Nödåtkomst eller fjärråtkomst för att upprätta anslutning till CDE, till exempel VPN-apparater (virtual private network), captive portals, kan behöva principer för att förhindra oavsiktlig utelåsning. Använda platsvillkoret i en princip för villkorlig åtkomst Hantera konton för nödåtkomst i Microsoft Entra-ID |
1.4 Nätverksanslutningar mellan betrodda och ej betrodda nätverk styrs.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 1.4.1 Nätverkssäkerhetsgrupper implementeras mellan betrodda och ej betrodda nätverk. | Gäller inte för Microsoft Entra-ID. |
| 1.4.2 Inkommande trafik från ej betrodda nätverk till betrodda nätverk är begränsad till: Kommunikation med systemkomponenter som har behörighet att tillhandahålla offentligt tillgängliga tjänster, protokoll och portar. Tillståndskänsliga svar på kommunikation som initieras av systemkomponenter i ett betrott nätverk. All annan trafik nekas. |
Gäller inte för Microsoft Entra-ID. |
| 1.4.3 Åtgärder mot förfalskning implementeras för att identifiera och blockera förfalskade käll-IP-adresser från att komma in i det betrodda nätverket. | Gäller inte för Microsoft Entra-ID. |
| 1.4.4 Systemkomponenter som lagrar korthållardata är inte direkt åtkomliga från ej betrodda nätverk. | Förutom kontroller i nätverksskiktet kan program i CDE med Microsoft Entra-ID använda principer för villkorsstyrd åtkomst. Begränsa åtkomsten till program baserat på plats. Använda nätverksplats i en princip för villkorsstyrd åtkomst |
| 1.4.5 Avslöjandet av interna IP-adresser och routningsinformation är begränsad till endast auktoriserade parter. | Gäller inte för Microsoft Entra-ID. |
1.5 Risker för CDE från beräkningsenheter som kan ansluta till både ej betrodda nätverk och CDE minimeras.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 1.5.1 Säkerhetskontroller implementeras på alla datorenheter, inklusive företags- och personalägda enheter, som ansluter till både ej betrodda nätverk (inklusive Internet) och CDE enligt följande: Specifika konfigurationsinställningar definieras för att förhindra att hot introduceras i entitetens nätverk. Säkerhetskontroller körs aktivt. Säkerhetskontroller kan inte ändras av användare av databehandlingsenheterna om de inte är specifikt dokumenterade och auktoriserade av ledningen från fall till fall under en begränsad period. |
Distribuera principer för villkorsstyrd åtkomst som kräver enhetsefterlevnad. Använd efterlevnadsprinciper för att ange regler för enheter som du hanterar med Intune Integrera enhetsefterlevnadstillstånd med lösningar mot skadlig kod. Framtvinga efterlevnad för Microsoft Defender för Endpoint med villkorlig åtkomst i Intune Mobile Threat Defense-integrering med Intune |
Nästa steg
PCI-DSS-kraven 3, 4, 9 och 12 gäller inte för Microsoft Entra-ID, därför finns det inga motsvarande artiklar. Om du vill se alla krav går du till pcisecuritystandards.org: Officiell PCI Security Standards Council Site.
Information om hur du konfigurerar Microsoft Entra-ID för att följa PCI-DSS finns i följande artiklar.
- Vägledning för Microsoft Entra PCI-DSS
- Krav 1: Installera och underhålla nätverkssäkerhetskontroller (du är här)
- Krav 2: Tillämpa säkra konfigurationer på alla systemkomponenter
- Krav 5: Skydda alla system och nätverk mot skadlig programvara
- Krav 6: Utveckla och underhålla säkra system och programvara
- Krav 7: Begränsa åtkomsten till systemkomponenter och korthållardata per företag behöver veta
- Krav 8: Identifiera användare och autentisera åtkomst till systemkomponenter
- Krav 10: Logga och övervaka all åtkomst till systemkomponenter och korthållardata
- Krav 11: Testa säkerheten för system och nätverk regelbundet
- Vägledning för Microsoft Entra PCI-DSS Multi-Factor Authentication