Microsoft Entra ID 和 PCI-DSS 需求 1
需求 1:安裝和維護網路安全性控制
定義的方法需求
1.1 安裝和維護網路安全性控制的程式和機制已定義並瞭解。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 1.1.1 需求 1 中識別的所有安全策略和操作程式皆為: 記載 保持最新 使用 所有受影響合作物件已知 |
使用此處的指引和連結來產生檔,以根據您的環境設定滿足需求。 |
| 1.1.2 需求 1 中執行活動的角色和責任會記載、指派及瞭解 | 使用此處的指引和連結來產生檔,以根據您的環境設定滿足需求。 |
1.2 網路安全性控制(NSC)已設定和維護。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| NSC 規則集的 1.2.1 設定標準為: 已定義 實作 的維護 |
如果存取技術支援新式驗證,請將 VPN、遠端桌面和網路存取點等存取技術與Microsoft Entra ID 整合以進行驗證和授權。 確定與身分識別相關控件相關的 NSC 標準包括條件式存取原則的定義、應用程式指派、存取權檢閱、群組管理、認證原則等。 Microsoft Entra 作業參考指南 |
| 1.2.2 根據需求 6.5.1 所定義的變更控制程式,核准和管理對網路連線和設定的 NSC 所做的所有變更 | 不適用於Microsoft Entra標識符。 |
| 1.2.3 維護精確的網路圖表,顯示持卡人數據環境(CDE)與其他網路之間的所有連線,包括任何無線網路。 | 不適用於Microsoft Entra標識符。 |
| 1.2.4 維護正確的數據流程圖,符合下列各項: 顯示系統與網路的所有帳戶數據流。 在環境變更時視需要更新。 |
不適用於Microsoft Entra標識符。 |
| 1.2.5 所有允許的服務、通訊協定和埠都會經過識別、核准,並具有已定義的商務需求 | 不適用於Microsoft Entra標識符。 |
| 1.2.6 針對使用中的所有服務、通訊協定和埠定義並實作安全性功能,並視為不安全,因此風險會降低。 | 不適用於Microsoft Entra標識符。 |
| 1.2.7 NSC 的設定至少每六個月檢閱一次,以確認其相關且有效。 | 使用Microsoft Entra 存取權檢閱,將群組成員資格檢閱和應用程式自動化,例如 VPN 設備,其符合 CDE 中的網路安全性控制。 什麼是存取權檢閱? |
| 1.2.8 NSC 的組態檔為: 受未經授權的存取 保護,保持與使用中網路設定一致 |
不適用於Microsoft Entra標識符。 |
1.3 持卡人數據環境的進出網路存取受到限制。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 1.3.1 CDE 的輸入流量受限,如下所示: 僅需要流量。 所有其他流量都會特別遭到拒絕 |
使用 Microsoft Entra ID 來設定具名位置來建立條件式存取原則。 計算使用者和登入風險。 Microsoft建議客戶使用網路位置填入和維護 CDE IP 位址。 使用它們來定義條件式存取原則需求。 使用條件式存取原則中的位置條件 (機器翻譯) |
| 1.3.2 來自 CDE 的輸出流量會受到限制,如下所示: 僅需要流量。 所有其他流量都會特別遭到拒絕 |
針對 NSC 設計,包括應用程式的條件式存取原則,以允許存取 CDE IP 位址。 緊急存取或遠端訪問以建立與 CDE 的連線,例如虛擬專用網(VPN) 設備、封存入口網站,可能需要原則來防止非預期的鎖定。 在條件式存取原則 中使用位置條件管理 Microsoft Entra 標識碼中的緊急存取帳戶 |
| 1.3.3 NSC 會安裝在所有無線網路與 CDE 之間,而不論無線網路是否為 CDE,因此: 預設會拒絕從無線網路進入 CDE 的所有無線流量。 只有具有授權商務用途的無線流量才能進入 CDE。 |
針對 NSC 設計,包括應用程式的條件式存取原則,以允許存取 CDE IP 位址。 緊急存取或遠端訪問以建立與 CDE 的連線,例如虛擬專用網(VPN) 設備、封存入口網站,可能需要原則來防止非預期的鎖定。 在條件式存取原則 中使用位置條件管理 Microsoft Entra 標識碼中的緊急存取帳戶 |
1.4 受信任與不受信任的網路之間的網路聯機會受到控制。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 1.4.1 NSC 會在受信任和不受信任的網路之間實作。 | 不適用於Microsoft Entra標識符。 |
| 1.4.2 來自不受信任網路的輸入流量限製為: 與授權提供可公開存取服務、通訊協定和埠的系統元件通訊。 對受信任網路中系統元件所起始之通訊的具狀態回應。 所有其他流量都會遭到拒絕。 |
不適用於Microsoft Entra標識符。 |
| 1.4.3 已實作反詐騙措施,以偵測並封鎖偽造的來源IP位址進入受信任的網路。 | 不適用於Microsoft Entra標識符。 |
| 1.4.4 儲存持卡人數據的系統元件無法直接從不受信任的網路存取。 | 除了網路層的控制之外,使用 Microsoft Entra ID 的 CDE 應用程式也可以使用條件式存取原則。 根據位置限制對應用程式的存取。 使用條件式存取原則中的網路位置 |
| 1.4.5 內部IP位址和路由資訊的洩漏僅限於授權合作物件。 | 不適用於Microsoft Entra標識符。 |
1.5 從能夠連線到不受信任網路和 CDE 的計算裝置,對 CDE 的風險會降低。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 1.5.1 安全性控制措施會在任何運算裝置上實作,包括公司與員工擁有的裝置,這些裝置會連線到不受信任的網路(包括因特網)和 CDE,如下所示: 已定義特定的組態設定,以防止將威脅引入實體的網路。 安全性控制正在主動執行。 除非在有限期間內以案例為基礎,由管理特別記載並授權,否則計算裝置的使用者無法改變安全性控制措施。 |
部署需要裝置合規性的條件式存取原則。 使用合規性政策來設定您使用 Intune 管理之裝置的規則,整合裝置合規性狀態與反惡意程式碼解決方案。 在 Intune Mobile Threat Defense 與 Intune 整合中強制執行條件式存取 適用於端點的 Microsoft Defender 的合規性 |
下一步
PCI-DSS 需求 3、 4、 9 和 12 不適用於 Microsoft Entra ID,因此沒有對應的文章。 若要查看所有需求,請移至 pcisecuritystandards.org: 官方PCI安全性標準委員會網站。
若要設定 Microsoft Entra ID 以符合 PCI-DSS,請參閱下列文章。