Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Требование 1. Установить и поддерживать элементы управления безопасностью сети
Определенные требования к подходу
1.1 Процессы и механизмы установки и обслуживания элементов управления безопасностью сети определяются и понимаются.
| Требования к определенному подходу PCI-DSS | Руководство и рекомендации Microsoft Entra |
|---|---|
|
1.1.1 Все политики безопасности и операционные процедуры, определенные в требовании 1, являются: документированы обновлены используются известны всем задействованным сторонам. |
Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды. |
| 1.1.2 Роли и обязанности по выполнению действий в требованиях 1 документируются, назначаются и понимаются | Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды. |
1.2 Элементы управления безопасностью сети (NSCs) настраиваются и поддерживаются.
| Требования к определенному подходу PCI-DSS | Руководство и рекомендации Microsoft Entra |
|---|---|
|
1.2.1 Стандарты конфигурации для наборов правил NSC: определенные поддерживаемые |
Интегрируйте технологии доступа, такие как VPN, удаленный рабочий стол и сетевые точки доступа, с Microsoft Entra ID для проверки подлинности и авторизации, если технологии доступа поддерживают современную проверку подлинности. Убедитесь, что стандарты NSC, относящиеся к элементам управления удостоверениями, включают определение политик условного доступа, назначение приложений, проверки доступа, управление группами, политики учетных данных и т. д.Справочник по операциям Microsoft Entra |
| 1.2.2 . Все изменения сетевых подключений и конфигурации NSCs утверждены и управляются в соответствии с процессом управления изменениями, определенным в требованиях 6.5.1 | Неприменимо к Microsoft Entra ID. |
| 1.2.3 Поддерживается точная сетевая схема, которая показывает все подключения между средой данных держателей карт (CDE) и другими сетями, включая любые беспроводные сети. | Неприменимо к Microsoft Entra ID. |
|
1.2.4 Поддерживается точную схему потока данных, которая соответствует следующим требованиям: отображает все потоки данных учетной записи в системах и сетях. Обновлено по мере необходимости при изменении среды. |
Неприменимо к Microsoft Entra ID. |
| 1.2.5 Все службы, протоколы и порты разрешены, определены, утверждены и имеют определенные бизнес-потребности. | Неприменимо к Microsoft Entra ID. |
| 1.2.6 Функции безопасности определяются и реализуются для всех служб, протоколов и портов в использовании и считаются небезопасными, таким образом, что риск снижается. | Неприменимо к Microsoft Entra ID. |
| 1.2.7 Конфигурации NSCs проверяются по крайней мере каждые шесть месяцев, чтобы подтвердить, что они релевантны и эффективны. | Используйте проверки microsoft Entra access для автоматизации проверок членства в группах и приложений, таких как VPN-устройства, которые соответствуют элементам управления безопасностью сети в CDE. Что такое проверки доступа? |
|
1.2.8 файлы конфигурации для NSCs: Защищенные от несанкционированного доступа поддерживаются в соответствии с активными конфигурациями сети. |
Неприменимо к Microsoft Entra ID. |
1.3 Сетевой доступ в среду данных держателей карт и из нее ограничен.
| Требования к определенному подходу PCI-DSS | Руководство и рекомендации Microsoft Entra |
|---|---|
|
1.3.1 Входящий трафик к CDE ограничен следующим образом: только необходимым трафиком. Весь остальной трафик в частности запрещён |
Используйте Microsoft Entra ID для настройки именованных расположений для создания политик условного доступа. Определите риск пользователя и риск входа. Microsoft рекомендует клиентам заполнять и обновлять IP-адреса CDE, используя сетевые местоположения. Используйте их для определения требований к политике условного доступа. Использование условия расположения в политике условного доступа |
|
1.3.2 Исходящий трафик из CDE ограничен следующим образом: только для необходимого трафика. Весь остальной трафик в частности запрещён |
Для проектирования NSC включите политики условного доступа для приложений, чтобы разрешить доступ к IP-адресам CDE.
Экстренный доступ или удаленный доступ для установления подключения к CDE, таким как устройства виртуальной частной сети (VPN) и закрытые порталы, могут нуждаться в политиках для предотвращения непреднамеренной блокировки. Использование условия расположения в политике условного Access Управление учетными записями аварийного доступа в Microsoft Entra ID |
|
1.3.3 NSCs устанавливаются между всеми беспроводными сетями и CDE независимо от того, является ли беспроводная сеть частью CDE. Весь беспроводной трафик из беспроводных сетей в CDE по умолчанию запрещен.
В CDE разрешен только беспроводной трафик с авторизованным бизнес-назначением. |
Для проектирования NSC включите политики условного доступа для приложений, чтобы разрешить доступ к IP-адресам CDE.
экстренный доступ или удаленный доступ для установления подключения к CDE, таким как устройства виртуальной частной сети (VPN), каптивные порталы, могут потребоваться политики для предотвращения непреднамеренной блокировки системы. Использование условия расположения в политике условного доступа Управление экстренным доступом учетных записей в Microsoft Entra ID |
1.4 Сетевые подключения между доверенными и ненадежными сетями контролируются.
| Требования к определенному подходу PCI-DSS | Руководство и рекомендации Microsoft Entra |
|---|---|
| 1.4.1 NSCs реализуются между доверенными и ненадежными сетями. | Неприменимо к Microsoft Entra ID. |
|
1.4.2 Входящий трафик из ненадежных сетей к доверенным сетям ограничен: обмен данными с системными компонентами, авторизованными для предоставления общедоступных служб, протоколов и портов. Ответы с отслеживанием состояния на обмен данными, инициированные системными компонентами в доверенной сети. Все остальные трафик запрещены. |
Неприменимо к Microsoft Entra ID. |
| 1.4.3 Меры антиспуфинга реализуются для детектирования и блокировки поддельных исходных IP-адресов от попадания в доверенную сеть. | Неприменимо к Microsoft Entra ID. |
| 1.4.4 Системные компоненты, которые хранят данные заполнителей карт, не доступны напрямую из ненадежных сетей. | Помимо управления на сетевом уровне, приложения в CDE с использованием Microsoft Entra ID могут применять политики условного доступа. Ограничить доступ к приложениям в зависимости от местоположения. Расположение сети в политике условного доступа |
| 1.4.5 Раскрытие внутренних IP-адресов и сведений о маршрутизации ограничено только авторизованными сторонами. | Неприменимо к Microsoft Entra ID. |
1.5 Риски для CDE, возникающие от вычислительных устройств, которые могут подключаться как к ненадежным сетям, так и к CDE, уменьшаются.
| Требования к определенному подходу PCI-DSS | Руководство и рекомендации Microsoft Entra |
|---|---|
|
1.5.1 Элементы управления безопасностью реализуются на любых вычислительных устройствах, включая устройства, принадлежащие компании и сотрудникам, которые подключаются как к ненадежным сетям (включая Интернет), так и CDE следующим образом: определенные параметры конфигурации определяются для предотвращения появления угроз в сети сущности. Контролы безопасности активно функционируют. Элементы управления безопасностью не могут изменяться пользователями вычислительных устройств, если только это не задокументировано и не авторизовано руководством в каждом отдельном случае на ограниченный срок. |
Развертывание политик условного доступа, требующих соответствия устройства.
Используйте политики соответствия требованиям, чтобы задать правила для устройств, управляемых с помощью Intune Интеграция состояния соответствия устройств с решениями для защиты от вредоносных программ. Обеспечение соответствия Microsoft Defender for Endpoint с Условным доступом в Intune Интеграция Mobile Threat Defense с Intune |
Следующие шаги
требованияPCI-DSS 34, 9 и 12 не применимы к Microsoft Entra ID, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.
Сведения о настройке Microsoft Entra ID соответствия требованиям PCI-DSS см. в следующих статьях.
- Руководство Microsoft Entra PCI-DSS
- Требование 1. Установка и обслуживание элементов управления безопасностью сети (здесь)
- Требование 2. Применение безопасных конфигураций ко всем системным компонентам
- Требование 5. Защита всех систем и сетей от вредоносного программного обеспечения
- Требование 6. Разработка и обслуживание безопасных систем и программного обеспечения
- Требование 7: ограничение доступа к системным компонентам и данным держателей карт на основе служебной необходимости
- Требование 8: Определение пользователей и аутентификация доступа к системным компонентам
- Требование 10: ведение журнала и мониторинг всех доступов к системным компонентам и данным держателей карт
- Требование 11. Регулярное тестирование безопасности систем и сетей
- Руководство по многофакторной идентификации Microsoft Entra PCI-DSS