Microsoft Entra ID 和 PCI-DSS 需求 11
需求 11:測試系統與網路的安全性
定期定義方法需求
11.1 系統與網路安全性定期測試的程式和機制已定義並瞭解。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 11.1.1 需求 11 中識別的所有安全策略和操作程式皆為: 記載 保持在 最新狀態 使用所有受影響的合作物件已知 |
使用此處的指引和連結來產生檔,以根據您的環境設定滿足需求。 |
| 11.1.2 需求 11 中執行活動的角色和責任記載、指派及瞭解。 | 使用此處的指引和連結來產生檔,以根據您的環境設定滿足需求。 |
11.2 已識別並監視無線存取點,並處理未經授權的無線存取點。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 11.2.1 已授權和未經授權的無線存取點會依下列方式進行管理: 無線 (Wi-Fi) 存取點的存在已經過測試。 偵測到所有已授權和未經授權的無線存取點並加以識別。 測試、偵測和識別至少每三個月發生一次。 如果使用自動化監視,人員會透過產生的警示收到通知。 |
如果您的組織整合網路存取點與 Microsoft Entra ID 進行驗證,請參閱 需求 1:安裝和維護網路安全性控制 |
| 11.2.2 維護授權無線存取點的清查,包括記載的商業理由。 | 不適用於Microsoft Entra標識符。 |
11.3 外部和內部弱點會定期識別、排定優先順序並加以解決。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 11.3.1 內部弱點掃描的執行方式如下: 至少每三個月執行一次。 已解決高風險和重大弱點(根據實體在需求 6.3.1 中定義的弱點風險排名)。 系統會執行重新掃描,以確認已解決所有高風險和重大弱點(如所述)。 掃描工具會保持最新狀態,並包含最新的弱點資訊。 掃描是由合格的人員執行,而且測試人員的組織獨立性存在。 |
包含支援 Microsoft Entra 混合式功能的伺服器。 例如,Microsoft Entra Connect、應用程式 Proxy 連接器等作為內部弱點掃描的一部分。 使用同盟驗證的組織:檢閱並解決同盟系統基礎結構弱點。 何謂 Microsoft Entra ID 的同盟? 檢閱並降低Microsoft Entra ID Protection 所報告的風險偵測。 將訊號與 SIEM 解決方案整合,以整合更多與補救工作流程或自動化。 風險類型和偵測 定期執行 Microsoft Entra 評估工具並解決結果。 AzureADAssessment基礎結構 的安全性作業整合Microsoft Entra 記錄與 Azure 監視器記錄 |
| 11.3.1.1 所有其他適用的弱點(未依實體在需求 6.3.1 所定義的弱點風險排名中列為高風險或重大的弱點)會依照下列方式進行管理: 根據實體目標風險分析中定義的風險來解決,這會根據需求 12.3.1 中指定的所有元素來執行。 視需要重新掃描。 |
包含支援 Microsoft Entra 混合式功能的伺服器。 例如,Microsoft Entra Connect、應用程式 Proxy 連接器等作為內部弱點掃描的一部分。 使用同盟驗證的組織:檢閱並解決同盟系統基礎結構弱點。 何謂 Microsoft Entra ID 的同盟? 檢閱並降低Microsoft Entra ID Protection 所報告的風險偵測。 將訊號與 SIEM 解決方案整合,以整合更多與補救工作流程或自動化。 風險類型和偵測 定期執行 Microsoft Entra 評估工具並解決結果。 AzureAD/AzureADAssessment基礎結構 的安全性作業整合Microsoft Entra 記錄與 Azure 監視器記錄 |
| 11.3.1.2 透過已驗證的掃描執行內部弱點掃描,如下所示: 記錄無法接受已驗證掃描認證的系統。 對於接受掃描認證的系統,會使用足夠的許可權。 如果用於已驗證掃描的帳戶可用於互動式登入,則會根據需求 8.2.2 管理這些帳戶。 |
包含支援 Microsoft Entra 混合式功能的伺服器。 例如,Microsoft Entra Connect、應用程式 Proxy 連接器等作為內部弱點掃描的一部分。 使用同盟驗證的組織:檢閱並解決同盟系統基礎結構弱點。 何謂 Microsoft Entra ID 的同盟? 檢閱並降低Microsoft Entra ID Protection 所報告的風險偵測。 將訊號與 SIEM 解決方案整合,以整合更多與補救工作流程或自動化。 風險類型和偵測 定期執行 Microsoft Entra 評估工具並解決結果。 AzureADAssessment基礎結構 的安全性作業整合Microsoft Entra 記錄與 Azure 監視器記錄 |
| 11.3.1.3 內部弱點掃描會在發生任何重大變更之後執行: 已解決在需求 6.3.1 中定義的高風險和重大弱點(根據實體的弱點風險排名)。 視需要重新掃描。 掃描是由合格的人員和測試人員組織獨立性所執行(不需要是合格的安全性評估工具(QSA)或核准的掃描廠商(ASV)。 |
包含支援 Microsoft Entra 混合式功能的伺服器。 例如,Microsoft Entra Connect、應用程式 Proxy 連接器等作為內部弱點掃描的一部分。 使用同盟驗證的組織:檢閱並解決同盟系統基礎結構弱點。 何謂 Microsoft Entra ID 的同盟? 檢閱並降低Microsoft Entra ID Protection 所報告的風險偵測。 將訊號與 SIEM 解決方案整合,以整合更多與補救工作流程或自動化。 風險類型和偵測 定期執行 Microsoft Entra 評估工具並解決結果。 AzureADAssessment基礎結構 的安全性作業整合Microsoft Entra 記錄與 Azure 監視器記錄 |
| 11.3.2 外部弱點掃描的執行方式如下: 至少每三個月執行一次。 由PCI SSC ASV。 已解決弱點,並符合通過掃描的 ASV 計劃指南需求。 系統會視需要執行重新掃描,以確認已根據 ASV 計劃指南需求來解決通過掃描的弱點。 |
不適用於Microsoft Entra標識符。 |
| 11.3.2.1 外部弱點掃描會在任何重大變更之後執行,如下所示: 已解決 CVSS 評分為 4.0 或更高版本的弱點。 視需要重新掃描。 掃描是由合格的人員和測試人員組織獨立性所執行(不需要是 QSA 或 ASV)。 |
不適用於Microsoft Entra標識符。 |
11.4 外部和內部滲透測試會定期執行,並修正可利用的弱點和安全性弱點。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 11.4.1 實體已定義、記載及實作滲透測試方法,並包括: 業界接受的滲透測試方法。 整個持卡人數據環境 (CDE) 周邊和重要系統的涵蓋範圍。 從網路內外測試。 測試以驗證任何分割和縮減範圍控件。 應用層滲透測試,以至少識別需求 6.2.4 中列出的弱點。 網路層滲透測試,其中包含支持網路功能和操作系統的所有元件。 檢閱和考慮過去 12 個月所經歷的威脅和弱點。 已記載評估及解決滲透測試期間發現可利用弱點和安全性弱點所造成的風險的方法。 至少12個月保留滲透測試結果和補救活動結果。 |
滲透測試參與規則,Microsoft雲端 |
| 11.4.2 執行內部滲透測試: 根據實體定義的方法。 至少每 12 個月一次。 在任何重要的基礎結構或應用程式升級或變更之後。 依合格的內部資源或合格的外部第三方。 測試人員的組織獨立性存在(不需要是 QSA 或 ASV)。 |
滲透測試參與規則,Microsoft雲端 |
| 11.4.3 執行外部滲透測試: 根據實體定義的方法。 至少每 12 個月一次。 在任何重要的基礎結構或應用程式升級或變更之後。 由合格的內部資源或合格的外部第三方。 測試人員的組織獨立性存在(不需要是 QSA 或 ASV)。 |
滲透測試參與規則,Microsoft雲端 |
| 11.4.4 滲透測試期間發現的可惡意探索弱點和安全性弱點已修正如下: 根據實體對安全性問題所造成的風險評估,如需求 6.3.1 中所定義。 滲透測試會重複以驗證更正。 |
滲透測試參與規則,Microsoft雲端 |
| 11.4.5 如果使用分割來隔離 CDE 與其他網路,則滲透測試會在分割控件上執行,如下所示: 至少每 12 個月一次,並在分割控件/方法的任何變更之後執行一次。 涵蓋使用中的所有分割控件/方法。 根據實體定義的滲透測試方法。 確認分割控件/方法可運作且有效,並將 CDE 與所有範圍外系統隔離。 確認任何使用隔離來分隔具有不同安全性等級的系統的有效性(請參閱需求 2.2.3)。 由合格的內部資源或合格的外部第三方執行。 測試人員的組織獨立性存在(不需要是 QSA 或 ASV)。 |
不適用於Microsoft Entra標識符。 |
| 11.4.6 僅限服務提供者的其他需求:如果使用分割來隔離 CDE 與其他網路,滲透測試會執行分割控件,如下所示: 至少每六個月一次,並在分割控件/方法的任何變更之後執行一次。 涵蓋使用中的所有分割控件/方法。 根據實體定義的滲透測試方法。 確認分割控件/方法可運作且有效,並將 CDE 與所有範圍外系統隔離。 確認任何使用隔離來分隔具有不同安全性等級的系統的有效性(請參閱需求 2.2.3)。 由合格的內部資源或合格的外部第三方執行。 測試人員的組織獨立性存在(不需要是 QSA 或 ASV)。 |
不適用於Microsoft Entra標識符。 |
| 11.4.7 僅限多租使用者服務提供者的其他需求:多租用戶服務提供者支援其客戶針對每個需求 11.4.3 和 11.4.4 的外部滲透測試。 | 滲透測試參與規則,Microsoft雲端 |
11.5 網路入侵和未預期的檔案變更會偵測到並回應。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 11.5.1 入侵檢測和/或入侵預防技術可用來偵測和/或防止入侵網路,如下所示: 所有流量都會在 CDE 周邊進行監視。 CDE 中的關鍵點會監視所有流量。 人員會收到可疑入侵的警示。 所有入侵檢測和預防引擎、基準和簽章都會保持在最新狀態。 |
不適用於Microsoft Entra標識符。 |
| 11.5.1.1 僅限服務提供者的其他需求:入侵檢測和/或入侵預防技術偵測、警示/預防,以及解決秘密惡意代碼通道。 | 不適用於Microsoft Entra標識符。 |
| 11.5.2 重大檔案的變更偵測機制(例如檔案完整性監視工具)會部署如下: 提醒人員未經授權的修改(包括變更、新增和刪除)。 若要每周至少執行一次重要的檔案比較。 |
不適用於Microsoft Entra標識符。 |
11.6 偵測到付款頁面上的未經授權變更並加以回應。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導方針和建議 |
|---|---|
| 11.6.1 變更和竄改偵測機制的部署方式如下: 若要提醒人員未經授權的修改(包括入侵、變更、新增和刪除的指標),以及取用者瀏覽器所收到的付款頁面內容。 機制已設定為評估收到的 HTTP 標頭和付款頁面。 機制函式會依下列方式執行:至少每七天 執行一次 OR 定期執行一次,其頻率會根據所有元素執行。 |
不適用於Microsoft Entra標識符。 |
下一步
PCI-DSS 需求 3、 4、 9 和 12 不適用於 Microsoft Entra ID,因此沒有對應的文章。 若要查看所有需求,請移至 pcisecuritystandards.org: 官方PCI安全性標準委員會網站。
若要設定 Microsoft Entra ID 以符合 PCI-DSS,請參閱下列文章。