Microsoft Entra ID 및 PCI-DSS 요구 사항 1
요구 사항 1: 네트워크 보안 제어
정의 접근 방식 요구 사항 설치 및 유지 관리
1.1 네트워크 보안 컨트롤을 설치 및 유지 관리하기 위한 프로세스 및 메커니즘을 정의하고 이해합니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 1.1.1 요구 사항 1에 식별된 모든 보안 정책 및 운영 절차는 다음과 같습니다. 문서화됨 최신 상태 유지 사용 중 영향을 받는 모든 당사자에게 알려짐 |
여기에 있는 지침과 링크를 사용하여 환경 구성에 따른 요구 사항을 충족하는 설명서를 생성합니다. |
| 1.1.2 요구 사항 1의 작업을 수행하기 위한 역할과 책임을 문서화하고 할당하고 이해합니다. | 여기에 있는 지침과 링크를 사용하여 환경 구성에 따른 요구 사항을 충족하는 설명서를 생성합니다. |
1.2 NSC(네트워크 보안 제어)가 구성되고 유지 관리됩니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 1.2.1 NSC 규칙 집합에 대한 구성 표준은 다음과 같습니다. 정의됨 구현됨 유지 관리 |
액세스 기술이 최신 인증을 지원하는 경우 인증 및 권한 부여를 위해 VPN, 원격 데스크톱, 네트워크 액세스 지점과 같은 액세스 기술을 Microsoft Entra ID와 통합합니다. 조건부 액세스 정책, 애플리케이션 할당, 액세스 검토, 그룹 관리, 자격 증명 정책 등의 정의가 ID 관련 제어와 관련된 NSC 표준에 포함되어 있는지 확인합니다. Microsoft Entra 작업 참조 가이드 |
| 1.2.2 네트워크 연결 및 NSC 구성에 대한 모든 변경은 요구 사항 6.5.1에 정의된 변경 제어 프로세스에 따라 승인되고 관리됩니다. | Microsoft Entra ID에는 적용되지 않습니다. |
| 1.2.3 CDE(카드 소유자 데이터 환경)과 무선 네트워크를 포함한 기타 네트워크 간의 모든 연결을 보여주는 정확한 네트워크 다이어그램이 유지됩니다. | Microsoft Entra ID에는 적용되지 않습니다. |
| 1.2.4 다음을 충족하는 정확한 데이터 흐름 다이어그램이 유지됩니다. 시스템과 네트워크 전반에 걸쳐 모든 계정 데이터 흐름을 표시합니다. 환경 변경 시 필요에 따라 업데이트됩니다. |
Microsoft Entra ID에는 적용되지 않습니다. |
| 1.2.5 허용되는 모든 서비스, 프로토콜 및 포트는 식별되고 승인되며 비즈니스 요구 사항이 정의되어 있습니다. | Microsoft Entra ID에는 적용되지 않습니다. |
| 1.2.6 사용 중이고 안전하지 않은 것으로 간주되는 모든 서비스, 프로토콜, 포트에 대해 보안 기능이 정의되고 구현되어 위험이 완화됩니다. | Microsoft Entra ID에는 적용되지 않습니다. |
| 1.2.7 NSC 구성은 최소 6개월에 한 번씩 검토하여 적절하고 효과적인지 확인합니다. | Microsoft Entra 액세스 검토를 사용하여 그룹 멤버 자격 검토 및 VPN 어플라이언스와 같은 애플리케이션을 자동화하여 CDE의 네트워크 보안 제어에 맞게 조정합니다. 액세스 검토란? |
| 1.2.8 NSC용 구성 파일은 다음과 같습니다. 무단 액세스로부터 보안 유지 활성 네트워크 구성과 일관성 유지 |
Microsoft Entra ID에는 적용되지 않습니다. |
1.3 카드 소유자 데이터 환경에 대한 네트워크 액세스가 제한됩니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 1.3.1 CDE에 대한 인바운드 트래픽은 다음과 같이 제한됩니다. 필요한 트래픽에만 적용됩니다. 다른 모든 트래픽은 특별히 거부됩니다. |
조건부 액세스 정책을 만들기 위해 Microsoft Entra ID를 사용하여 명명된 위치를 구성합니다. 사용자 및 로그인 위험을 계산합니다. Microsoft는 고객이 네트워크 위치를 사용하여 CDE IP 주소를 채우고 유지 관리하는 것이 좋습니다. 이를 사용하여 조건부 액세스 정책 요구 사항을 정의합니다. 조건부 액세스 정책에서 위치 조건 사용 |
| 1.3.2 CDE의 아웃바운드 트래픽은 다음과 같이 제한됩니다. 필요한 트래픽에만 적용됩니다. 다른 모든 트래픽은 특별히 거부됩니다. |
NSC 설계의 경우 CDE IP 주소에 대한 액세스를 허용하는 애플리케이션에 대한 조건부 액세스 정책을 포함합니다. VPN(가상 사설망) 어플라이언스, 종속 포털 등 CDE에 대한 연결을 설정하기 위한 긴급 액세스 또는 원격 액세스에는 의도하지 않은 잠금을 방지하는 정책이 필요할 수 있습니다. 조건부 액세스 정책 에서 위치 조건 사용 Microsoft Entra ID에서 응급 액세스 계정 관리 |
| 1.3.3 NSC는 무선 네트워크가 CDE인지 여부와 관계없이 모든 무선 네트워크와 CDE 사이에 설치됩니다. 무선 네트워크에서 CDE로 향하는 모든 무선 트래픽은 기본적으로 거부됩니다. 인증된 업무 목적이 있는 무선 트래픽만 CDE로 들어갈 수 있습니다. |
NSC 설계의 경우 CDE IP 주소에 대한 액세스를 허용하는 애플리케이션에 대한 조건부 액세스 정책을 포함합니다. VPN(가상 사설망) 어플라이언스, 종속 포털 등 CDE에 대한 연결을 설정하기 위한 긴급 액세스 또는 원격 액세스에는 의도하지 않은 잠금을 방지하는 정책이 필요할 수 있습니다. 조건부 액세스 정책 에서 위치 조건 사용 Microsoft Entra ID에서 응급 액세스 계정 관리 |
1.4 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 1.4.1 NSC는 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간에 구현됩니다. | Microsoft Entra ID에는 적용되지 않습니다. |
| 1.4.2 신뢰할 수 없는 네트워크에서 신뢰할 수 있는 네트워크로의 인바운드 트래픽은 다음으로 제한됩니다. 퍼블릭 액세스 가능한 서비스, 프로토콜, 포트를 제공하도록 승인된 시스템 구성 요소와의 통신. 신뢰할 수 있는 네트워크의 시스템 구성 요소에 의해 시작된 통신에 대한 상태 저장 응답입니다. 다른 모든 트래픽은 거부됩니다. |
Microsoft Entra ID에는 적용되지 않습니다. |
| 1.4.3 위조된 원본 IP 주소가 신뢰할 수 있는 네트워크에 유입되는 것을 탐지하고 차단하기 위해 스푸핑 방지 조치가 구현됩니다. | Microsoft Entra ID에는 적용되지 않습니다. |
| 1.4.4 카드 소유자 데이터를 저장하는 시스템 구성 요소는 신뢰할 수 없는 네트워크에서 직접 액세스할 수 없습니다. | 네트워킹 계층의 제어 외에도 Microsoft Entra ID를 사용하는 CDE의 애플리케이션은 조건부 액세스 정책을 사용할 수 있습니다. 위치에 따라 애플리케이션에 대한 액세스를 제한합니다. 조건부 액세스 정책에서 네트워크 위치 사용 |
| 1.4.5 내부 IP 주소 및 라우팅 정보의 공개는 권한 있는 당사자에게만 제한됩니다. | Microsoft Entra ID에는 적용되지 않습니다. |
1.5 신뢰할 수 없는 네트워크와 CDE 둘 다에 연결할 수 있는 컴퓨팅 디바이스의 CDE에 대한 위험이 완화됩니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 1.5.1 보안 제어는 신뢰할 수 없는 네트워크(인터넷 포함)와 CDE에 모두 연결되는 회사 및 직원 소유 디바이스를 포함한 모든 컴퓨팅 디바이스에 다음과 같이 구현됩니다. 특정 구성 설정은 엔터티의 네트워크에 위협이 발생하지 않도록 정의됩니다. 보안 제어가 활발하게 실행되고 있습니다. 보안 제어는 제한된 기간 동안 사례별로 경영진이 구체적으로 문서화하고 승인하지 않는 한 컴퓨팅 디바이스 사용자가 변경할 수 없습니다. |
디바이스 규정 준수가 필요한 조건부 액세스 정책을 배포합니다. 준수 정책을 사용하여 Intune 에서 관리하는 디바이스에 대한 규칙을 맬웨어 방지 솔루션과 디바이스 준수 상태를 통합합니다. Intune과 Intune Mobile Threat Defense 통합에서 조건부 액세스를 사용하여 엔드포인트용 Microsoft Defender 규정 준수 적용 |
다음 단계
PCI-DSS 요구 사항 3, 4, 9 및 12는 Microsoft Entra ID에 적용되지 않으므로 해당하는 문서가 없습니다. 모든 요구 사항을 보려면 pcisecuritystandards.org(공식 PCI 보안 표준 위원회 사이트)로 이동합니다.
PCI-DSS를 준수하도록 Microsoft Entra ID를 구성하려면 다음 문서를 참조하세요.
- Microsoft Entra PCI-DSS 지침
- 요구 사항 1: 네트워크 보안 제어 설치 및 유지 관리(현재 위치)
- 요구 사항 2: 모든 시스템 구성 요소에 보안 구성 적용
- 요구 사항 5: 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호
- 요구 사항 6: 보안 시스템 및 소프트웨어 개발 및 유지 관리
- 요구 사항 7: 회사별로 시스템 구성 요소 및 카드 소유자 데이터에 대한 액세스 제한 알아야 할 사항
- 요구 사항 8: 사용자 식별 및 시스템 구성 요소에 대한 액세스 인증
- 요구 사항 10: 시스템 구성 요소 및 카드 소유자 데이터에 대한 모든 액세스 기록 및 모니터링
- 요구 사항 11: 정기적으로 시스템 및 네트워크의 보안 테스트
- Microsoft Entra PCI-DSS Multi-Factor Authentication 지침