Microsoft Entra ID 및 PCI-DSS 요구 사항 11
요구 사항 11: 시스템 및 네트워크의 정기 보안 테스트
테스트정의된 접근 방식 요구 사항
11.1 시스템 및 네트워크의 보안을 정기적으로 테스트하기 위한 프로세스와 메커니즘을 정의하고 이해합니다.
| PCI-DSS 정의된 접근 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 11.1.1 요구 사항 11에서 식별된 모든 보안 정책 및 운영 절차는 다음과 같습니다. 문서화된 최신 상태로 유지됨 사용 중 모든 영향을 받는 당사자에게 알려짐 |
여기에 있는 지침과 링크를 사용하여 환경 구성에 따른 요구 사항을 충족하는 설명서를 생성합니다. |
| 11.1.2 요구 사항 11의 작업을 수행하기 위한 역할과 책임을 문서화하고 할당하고 이해합니다. | 여기에 있는 지침과 링크를 사용하여 환경 구성에 따른 요구 사항을 충족하는 설명서를 생성합니다. |
11.2 무선 액세스 지점이 식별되고 모니터링되며 권한 없는 무선 액세스 지점이 해결됩니다.
| PCI-DSS 정의된 접근 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 11.2.1 권한 있는 무선 액세스 지점 및 권한 없는 무선 액세스 지점은 다음과 같이 관리됩니다. 무선(Wi-Fi) 액세스 지점의 존재가 테스트됩니다. 모든 권한 있는 무선 액세스 지점과 권한이 없는 무선 액세스 지점이 탐지되고 식별됩니다. 테스트, 탐지, 식별은 3개월에 한 번 이상 이루어집니다. 자동화된 모니터링을 사용하는 경우 생성된 경고를 통해 담당자에게 알림이 전송됩니다. |
조직에서 인증을 위해 네트워크 액세스 지점을 Microsoft Entra ID와 통합하는 경우 요구 사항 1: 네트워크 보안 제어 설치 및 유지 관리를 참조하세요. |
| 11.2.2 문서화된 비즈니스 타당성을 포함하여 권한이 있는 무선 액세스 지점의 인벤토리를 유지 관리합니다. | Microsoft Entra ID에는 적용되지 않습니다. |
11.3 외부 및 내부 취약성은 정기적으로 식별, 우선 순위를 지정하여 해결합니다.
| PCI-DSS 정의된 접근 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 11.3.1 내부 취약성 검사는 다음과 같이 수행됩니다. 3개월에 한 번 이상. 위험 수준이 높고 중요한 취약성(요구 사항 6.3.1에 정의된 엔터티의 취약성 위험 순위에 따라)이 해결됩니다. 모든 고위험 및 중요한 취약성(언급된 대로)이 해결되었는지 확인하는 재검사가 수행됩니다. 검사 도구는 최신 취약성 정보를 사용하여 최신 상태로 유지됩니다. 검사는 자격을 갖춘 직원이 수행하며 테스터의 조직 독립성이 존재합니다. |
Microsoft Entra 하이브리드 기능을 지원하는 서버를 포함합니다. 예를 들어, 내부 취약성 검사의 일부로 Microsoft Entra Connect, 애플리케이션 프록시 커넥터 등이 있습니다. 페더레이션 인증을 사용하는 조직: 페더레이션 시스템 인프라 취약성을 검토하고 해결합니다. Microsoft Entra ID와의 페더레이션이란? Microsoft Entra ID Protection에서 보고한 위험 검색을 검토하고 완화합니다. SIEM 솔루션과 신호를 통합하여 수정 워크플로 또는 자동화와 더 많은 것을 통합합니다. 위험 유형 및 검색 Microsoft Entra 평가 도구를 정기적으로 실행하고 결과를 해결합니다. AzureADAssessment인프라 에 대한 보안 작업 Azure Monitor 로그와 Microsoft Entra 로그 통합 |
| 11.3.1.1 기타 모든 적용 가능한 취약성(요구 사항 6.3.1에 정의된 엔터티의 취약성 위험 순위에 따라 위험 수준이 높거나 위험하지 않은 취약성)은 다음과 같이 관리됩니다. 요구 사항 12.3.1에 지정된 모든 요소에 따라 수행되는 엔터티의 대상 위험 분석에 정의된 위험에 따라 해결됩니다. 필요에 따라 다시 검사를 수행합니다. |
Microsoft Entra 하이브리드 기능을 지원하는 서버를 포함합니다. 예를 들어, 내부 취약성 검사의 일부로 Microsoft Entra Connect, 애플리케이션 프록시 커넥터 등이 있습니다. 페더레이션 인증을 사용하는 조직: 페더레이션 시스템 인프라 취약성을 검토하고 해결합니다. Microsoft Entra ID와의 페더레이션이란? Microsoft Entra ID Protection에서 보고한 위험 검색을 검토하고 완화합니다. SIEM 솔루션과 신호를 통합하여 수정 워크플로 또는 자동화와 더 많은 것을 통합합니다. 위험 유형 및 검색 Microsoft Entra 평가 도구를 정기적으로 실행하고 결과를 해결합니다. AzureAD/AzureADAssessment인프라 에 대한 보안 작업 Azure Monitor 로그와 Microsoft Entra 로그 통합 |
| 11.3.1.2 다음과 같이 인증된 검사를 통해 내부 취약성 검사가 수행됩니다. 인증된 검사에 대한 자격 증명을 수락할 수 없는 시스템이 문서화되어 있습니다. 검사를 위해 자격 증명을 수락하는 시스템에 충분한 권한이 사용됩니다. 인증된 검사에 사용되는 계정을 대화형 로그인에 사용할 수 있는 경우 요구 사항 8.2.2에 따라 관리됩니다. |
Microsoft Entra 하이브리드 기능을 지원하는 서버를 포함합니다. 예를 들어, 내부 취약성 검사의 일부로 Microsoft Entra Connect, 애플리케이션 프록시 커넥터 등이 있습니다. 페더레이션 인증을 사용하는 조직: 페더레이션 시스템 인프라 취약성을 검토하고 해결합니다. Microsoft Entra ID와의 페더레이션이란? Microsoft Entra ID Protection에서 보고한 위험 검색을 검토하고 완화합니다. SIEM 솔루션과 신호를 통합하여 수정 워크플로 또는 자동화와 더 많은 것을 통합합니다. 위험 유형 및 검색 Microsoft Entra 평가 도구를 정기적으로 실행하고 결과를 해결합니다. AzureADAssessment인프라 에 대한 보안 작업 Azure Monitor 로그와 Microsoft Entra 로그 통합 |
| 11.3.1.3 내부 취약성 검사는 다음과 같이 중요한 변경 후 수행됩니다. 높은 위험 및 위험 취약성(요구 사항 6.3.1에 정의된 엔터티의 취약성 위험 순위에 따라)이 해결됩니다. 필요에 따라 다시 검사를 수행합니다. 검사는 자격을 갖춘 담당자가 수행하며 테스터의 조직 독립성(QSA(정규화된 보안 평가자) 또는 ASV(승인된 검사 공급업체)일 필요는 없습니다)이 존재합니다. |
Microsoft Entra 하이브리드 기능을 지원하는 서버를 포함합니다. 예를 들어, 내부 취약성 검사의 일부로 Microsoft Entra Connect, 애플리케이션 프록시 커넥터 등이 있습니다. 페더레이션 인증을 사용하는 조직: 페더레이션 시스템 인프라 취약성을 검토하고 해결합니다. Microsoft Entra ID와의 페더레이션이란? Microsoft Entra ID Protection에서 보고한 위험 검색을 검토하고 완화합니다. SIEM 솔루션과 신호를 통합하여 수정 워크플로 또는 자동화와 더 많은 것을 통합합니다. 위험 유형 및 검색 Microsoft Entra 평가 도구를 정기적으로 실행하고 결과를 해결합니다. AzureADAssessment인프라 에 대한 보안 작업 Azure Monitor 로그와 Microsoft Entra 로그 통합 |
| 11.3.2 외부 취약성 검사는 다음과 같이 수행됩니다. 3개월에 한 번 이상. PCI SSC ASV별. 취약성이 해결되고 통과 검사에 대한 ASV 프로그램 가이드 요구 사항이 충족됩니다. 검사 통과에 대한 ASV 프로그램 가이드 요구 사항에 따라 취약성이 해결되었는지 확인하기 위해 필요에 따라 다시 검사가 수행됩니다. |
Microsoft Entra ID에는 적용되지 않습니다. |
| 11.3.2.1 외부 취약성 검사는 다음과 같이 중요한 변경 후 수행됩니다. CVSS에서 4.0 이상을 채점한 취약성이 해결됩니다. 필요에 따라 다시 검사를 수행합니다. 검사는 자격을 갖춘 직원이 수행하며 테스터의 조직 독립성이 존재합니다(QSA 또는 ASV일 필요는 없습니다). |
Microsoft Entra ID에는 적용되지 않습니다. |
11.4 외부 및 내부 침투 테스트가 정기적으로 수행되고 악용 가능한 취약성 및 보안 약점이 수정됩니다.
| PCI-DSS 정의된 접근 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 11.4.1 침투 테스트 방법론은 엔터티에 의해 정의, 문서화, 구현되며 다음을 포함합니다. 업계에서 허용하는 침투 테스트 방법을 포함합니다. 전체 CDE(카드 소유자 데이터 환경) 경계 및 중요 시스템에 대한 적용 범위입니다. 네트워크 내부 및 외부에서 모두 테스트합니다. 모든 조각화 및 범위 감소 제어에 대한 유효성을 검사하는 테스트입니다. 최소한 요구 사항 6.2.4에 나열된 취약성을 식별하기 위한 애플리케이션 계층 침투 테스트입니다. 네트워크 기능 및 운영 체제를 지원하는 모든 구성 요소를 포함하는 네트워크 계층 침투 테스트입니다. 지난 12개월 동안 경험한 위협 및 취약성에 대한 검토 및 고려 사항을 포함합니다. 침투 테스트 중에 발견된 악용 가능한 취약성 및 보안 약점으로 인해 발생하는 위험을 평가하고 해결하는 문서화된 접근 방식입니다. 최소 12개월 동안 침투 테스트 결과 및 수정 작업 결과를 보존합니다. |
침투 테스트 시행 규칙, Microsoft Cloud |
| 11.4.2 내부 침투 테스트가 수행됩니다 엔터티의 정의된 방법론에 따라 수행됩니다. 12개월에 한 번 이상. 중요한 인프라 또는 애플리케이션 업그레이드 또는 변경 후. 정규화된 내부 리소스 또는 정규화된 외부 타사별. 테스터의 조직 독립성이 있습니다(QSA 또는 ASV일 필요는 없음). |
침투 테스트 시행 규칙, Microsoft Cloud |
| 11.4.3 외부 침투 테스트가 수행됩니다. 엔터티의 정의된 방법론에 따라 수행됩니다. 12개월에 한 번 이상. 중요한 인프라 또는 애플리케이션 업그레이드 또는 변경 후. 정규화된 내부 리소스 또는 정규화된 외부 타사별. 테스터의 조직 독립성이 있습니다(QSA 또는 ASV일 필요는 없음). |
침투 테스트 시행 규칙, Microsoft Cloud |
| 11.4.4 침투 테스트 중에 발견된 악용 가능한 취약성 및 보안 약점은 다음과 같이 수정됩니다. 요구 사항 6.3.1에 정의된 대로 보안 문제로 인해 발생하는 위험에 대한 엔터티의 평가에 따라 다음과 같이 수정됩니다. 침투 테스트는 수정을 확인하기 위해 반복됩니다. |
침투 테스트 시행 규칙, Microsoft Cloud |
| 11.4.5 세분화를 사용하여 CDE를 다른 네트워크에서 격리하는 경우 세분화 제어에 대한 침투 테스트를 다음과 같이 수행합니다. 12개월마다 한 번 이상, 세분화 제어/메서드를 변경한 후에 수행됩니다. 사용 중인 모든 세분화 제어/메서드를 다룹니다. 엔터티의 정의된 침투 테스트 방법론을 따릅니다. 세분화 제어/메서드가 작동하고 효과적인지 확인하고 CDE를 모든 범위 밖 시스템에서 격리합니다. 격리를 사용하여 보안 수준이 다른 시스템을 분리하는 효과를 확인합니다(요구 사항 2.2.3 참조). 정규화된 내부 리소스 또는 정규화된 외부 타사별. 테스터의 조직 독립성이 있습니다(QSA 또는 ASV일 필요는 없음). |
Microsoft Entra ID에는 적용되지 않습니다. |
| 11.4.6 서비스 공급자에만 대한 추가 요구 사항: 다른 네트워크에서 CDE를 격리하는 데 세분화를 사용하는 경우 세분화 컨트롤에서 침투 테스트가 다음과 같이 수행됩니다. 최소 6개월마다 한 번 이상 세분화 컨트롤/메서드를 변경한 후에 수행됩니다. 사용 중인 모든 세분화 제어/메서드를 다룹니다. 엔터티의 정의된 침투 테스트 방법론을 따릅니다. 세분화 제어/메서드가 작동하고 효과적인지 확인하고 CDE를 모든 범위 밖 시스템에서 격리합니다. 격리를 사용하여 보안 수준이 다른 시스템을 분리하는 효과를 확인합니다(요구 사항 2.2.3 참조). 정규화된 내부 리소스 또는 정규화된 외부 타사별. 테스터의 조직 독립성이 있습니다(QSA 또는 ASV일 필요는 없음). |
Microsoft Entra ID에는 적용되지 않습니다. |
| 11.4.7 다중 테넌트 서비스 공급자만을 위한 추가 요구 사항: 다중 테넌트 서비스 공급자는 요구 사항 11.4.3 및 11.4.4당 외부 침투 테스트를 위해 고객을 지원합니다. | 침투 테스트 시행 규칙, Microsoft Cloud |
11.5 네트워크 침입 및 예기치 않은 파일 변경 내용을 탐지하고 대응합니다.
| PCI-DSS 정의된 접근 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 11.5.1 침입 탐지 및/또는 침입 방지 기술은 다음과 같이 네트워크 침입을 탐지 및/또는 방지하는 데 사용됩니다. 모든 트래픽은 CDE 경계에서 모니터링됩니다. 모든 트래픽은 CDE의 중요한 지점에서 모니터링됩니다. 직원에게 의심되는 손상에 대한 경고가 전송됩니다. 모든 침입 탐지 및 방지 엔진, 기준, 서명을 최신 상태로 유지합니다. |
Microsoft Entra ID에는 적용되지 않습니다. |
| 11.5.1.1 서비스 공급자만을 위한 추가 요구 사항: 침입 감지 및/또는 침입 방지 기술은 은밀한 맬웨어 통신 채널을 검색, 경고/방지 및 해결합니다. | Microsoft Entra ID에는 적용되지 않습니다. |
| 11.5.2 변경 탐지 메커니즘(예: 파일 무결성 모니터링 도구)은 다음과 같이 배포됩니다. 중요한 파일의 무단 수정(변경, 추가, 삭제 포함)을 담당자에게 경고합니다. 매주 한 번 이상 중요한 파일 비교를 수행합니다. |
Microsoft Entra ID에는 적용되지 않습니다. |
11.6 결제 페이지의 무단 변경 내용이 탐지되어 대응합니다.
| PCI-DSS 정의된 접근 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 11.6.1 변경 및 변조 감지 메커니즘은 다음과 같이 배포됩니다. 담당자에게 HTTP 헤더 및 소비자 브라우저에서 받은 결제 페이지의 콘텐츠에 대한 무단 수정(손상, 변경, 추가 및 삭제 표시기 포함)을 경고합니다. 메커니즘은 수신된 HTTP 헤더 및 결제 페이지를 평가하도록 구성됩니다. 메커니즘 함수는 다음과 같이 수행됩니다. 적어도 7일마다 한 번 또는 모든 요소에 따라 수행되는 엔터티의 대상 위험 분석에 정의된 빈도로 주기적으로 수행됩니다. |
Microsoft Entra ID에는 적용되지 않습니다. |
다음 단계
PCI-DSS 요구 사항 3, 4, 9 및 12는 Microsoft Entra ID에 적용되지 않으므로 해당하는 문서가 없습니다. 모든 요구 사항을 보려면 pcisecuritystandards.org(공식 PCI 보안 표준 위원회 사이트)로 이동합니다.
PCI-DSS를 준수하도록 Microsoft Entra ID를 구성하려면 다음 문서를 참조하세요.
- Microsoft Entra PCI-DSS 지침
- 요구 사항 1: 네트워크 보안 컨트롤 설치 및 유지 관리
- 요구 사항 2: 모든 시스템 구성 요소에 보안 구성 적용
- 요구 사항 5: 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호
- 요구 사항 6: 보안 시스템 및 소프트웨어 개발 및 유지 관리
- 요구 사항 7: 회사별로 시스템 구성 요소 및 카드 소유자 데이터에 대한 액세스 제한 알아야 할 사항
- 요구 사항 8: 사용자 식별 및 시스템 구성 요소에 대한 액세스 인증
- 요구 사항 10: 시스템 구성 요소 및 카드 소유자 데이터에 대한 모든 액세스 기록 및 모니터링
- 요구 사항 11: 정기적으로 시스템 및 네트워크의 보안 테스트(현재 위치)
- Microsoft Entra PCI-DSS Multi-Factor Authentication 지침