Microsoft Entra ID и PCI-DSS требование 2

Требование 2. Применение безопасных конфигураций ко всем системным компонентам
определенные требования к подходу

2.1 Процессы и механизмы применения безопасных конфигураций ко всем системным компонентам определяются и понимаются.

Требования к определенному подходу PCI-DSS Руководство и рекомендации Microsoft Entra
2.1.1 Все политики безопасности и операционные процедуры, определенные в требовании 2, являются:
документированы
поддерживаются в актуальном состоянии
используются
известны всем затронутым сторонам.
Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды.
2.1.2 Роли и обязанности по выполнению действий в требованиях 2 документируются, назначаются и понимаются. Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды.

Системные компоненты 2.2 настраиваются и управляются безопасно.

Требования к определенному подходу PCI-DSS Руководство и рекомендации Microsoft Entra
2.2.1 Стандарты конфигурации разрабатываются, реализуются и поддерживаются, чтобы:
охватывать все системные компоненты.
Устранение всех известных уязвимостей системы безопасности.
Соблюдайте соответствие с отраслевыми стандартами усиления защиты системы или рекомендациями поставщиков по ужесточению.
Будьте обновлены по мере выявления новых проблем уязвимостей, как определено в описании требования 6.3.1.
Применяется, когда новые системы настраиваются и проверяются, чтобы быть готовыми к работе, до или сразу после подключения системного компонента к рабочей среде.
См. руководство по операциям безопасности Microsoft Entra
2.2.2 Учетные записи поставщика по умолчанию управляются следующим образом:
если будет использоваться учетная запись поставщика по умолчанию, пароль по умолчанию изменяется на требование 8.3.6.
Если учетные записи поставщика по умолчанию не будут использоваться, учетная запись удаляется или отключается.
Неприменимо к Microsoft Entra ID.
2.2.3 Основные функции, требующие разных уровней безопасности, управляются следующим образом:
только одна основная функция существует в системном компоненте или

первичных функциях с разными уровнями безопасности, которые существуют на одном и том же компоненте системы, изолированы друг от друга,
или
основные функции с различными уровнями безопасности на одном и том же системном компоненте защищены на уровне, необходимом для функции с высокой потребностью в безопасности.
Узнайте об определении наименее привилегированных ролей. Наименее привилегированные роли для задач в Microsoft Entra ID
2.2.4 Включены только необходимые службы, протоколы, daemons и функции, а все ненужные функции удаляются или отключены. Просмотрите параметры Microsoft Entra и отключите неиспользуемые функции. Пять шагов по защите инфраструктуры удостоверений
Руководство по операциям безопасности Microsoft Entra
2.2.5 Если присутствуют какие-либо небезопасные сервисы, протоколы или демоны:
бизнес-обоснование задокументировано.
Дополнительные функции безопасности документируются и реализуются, что снижает риск использования небезопасных служб, протоколов или управляющей программы.
Просмотрите параметры Microsoft Entra и отключите неиспользуемые функции. Пять шагов по защите инфраструктуры удостоверений
Руководство по операциям безопасности Microsoft Entra
Параметры безопасности системы 2.2.6 настроены для предотвращения неправильного использования. Просмотрите параметры Microsoft Entra и отключите неиспользуемые функции. Пять шагов по защите инфраструктуры удостоверений
Руководство по обеспечению безопасности Microsoft Entra
2.2.7 Все неконсольные административные доступы шифруются с использованием сильной криптографии. интерфейсы Microsoft Entra ID, такие как портал управления, Microsoft Graph и PowerShell, шифруются при передаче с помощью TLS. Включите поддержку TLS 1.2 в вашей среде в связи с устареванием Microsoft Entra TLS 1.1 и 1.0

2.3 Беспроводные среды настраиваются и управляются безопасно.

Требования к определенному подходу PCI-DSS Руководство и рекомендации Microsoft Entra
2.3.1 Для беспроводных сред, подключенных к CDE или передающих данные учетной записи, все настройки беспроводной сети по умолчанию изменяются при установке или подтверждены как безопасные, включая, но не ограничиваясь:
Ключи беспроводного шифрования по умолчанию
Пароли для точек доступа беспроводной сети
Настройки SNMP по умолчанию
Любые другие настройки безопасности от поставщиков беспроводной связи по умолчанию
Если ваша организация интегрирует точки доступа с Microsoft Entra ID для аутентификации, см. статью Requirement 1: Установка и обслуживание элементов управления безопасностью сети.
2.3.2 Для беспроводных сред, подключенных к CDE или передачи данных учетной записи, ключи беспроводного шифрования изменяются следующим образом:
Всякий раз, когда сотрудники с знанием ключа покидают компанию или роль, для которой необходимы знания.
Всякий раз, когда ключ подозревается или известен как скомпрометированный.
Неприменимо к Microsoft Entra ID.

Следующие шаги

требованияPCI-DSS 34, 9 и 12 не применимы к Microsoft Entra ID, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.

Сведения о настройке Microsoft Entra ID соответствия требованиям PCI-DSS см. в следующих статьях.