Microsoft Entra ID 및 PCI-DSS 요구 사항 5
요구 사항 5: 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호
정의된 방식 요구 사항
5.1 악성 소프트웨어로부터 모든 시스템 및 네트워크를 보호하기 위한 프로세스 및 메커니즘이 정의되고 이해됩니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 5.1.1 요구 사항 5에 식별된 모든 보안 정책 및 운영 절차는 다음과 같습니다. 문서화됨 최신 상태 유지 사용 중 영향을 받는 모든 당사자에게 알려짐 |
여기에 있는 지침과 링크를 사용하여 환경 구성에 따른 요구 사항을 충족하는 설명서를 생성합니다. |
| 5.1.2 요구 사항 5의 작업을 수행하기 위한 역할과 책임을 문서화하고 할당하고 이해합니다. | 여기에 있는 지침과 링크를 사용하여 환경 구성에 따른 요구 사항을 충족하는 설명서를 생성합니다. |
5.2 악성 소프트웨어(맬웨어)가 방지되거나 검색되어 처리됩니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 5.2.1 맬웨어 방지 솔루션은 요구 사항 5.2.3에 대한 주기적 평가에서 시스템 구성 요소가 맬웨어의 위험에 노출되지 않았다고 식별된 시스템 구성 요소를 제외하고 모든 시스템 구성 요소에 배포됩니다. | 디바이스 규정 준수가 필요한 조건부 액세스 정책을 배포합니다. 준수 정책을 사용하여 Intune 에서 관리하는 디바이스에 대한 규칙을 맬웨어 방지 솔루션과 디바이스 준수 상태를 통합합니다. Intune과 Intune Mobile Threat Defense 통합에서 조건부 액세스를 사용하여 엔드포인트용 Microsoft Defender 규정 준수 적용 |
| 5.2.2 배포된 맬웨어 방지 솔루션: 알려진 모든 유형의 맬웨어를 감지합니다. 알려진 모든 유형의 맬웨어를 제거, 차단 또는 포함합니다. |
Microsoft Entra ID에는 적용되지 않습니다. |
| 5.2.3 맬웨어의 위험에 노출되지 않은 시스템 구성 요소는 주기적으로 평가하여 다음을 포함하도록 합니다. 맬웨어의 위험이 없는 시스템 구성 요소의 문서화된 목록. 이러한 시스템 구성 요소에 대해 진화하는 맬웨어 위협 식별 및 평가. 이러한 시스템 구성 요소에 맬웨어 방지 보호가 계속 필요하지 않은지 확인. |
Microsoft Entra ID에는 적용되지 않습니다. |
| 5.2.3.1 맬웨어의 위험에 노출되지 않았다고 식별된 시스템 구성 요소의 주기적 평가 빈도는 요구 사항 12.3.1에 지정된 모든 요소에 따라 수행되는 엔터티의 대상 위험 분석에 의해 정의됩니다. | Microsoft Entra ID에는 적용되지 않습니다. |
5.3 맬웨어 방지 메커니즘 및 프로세스가 활성, 유지 관리 및 모니터링됩니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 5.3.1 맬웨어 방지 솔루션은 자동 업데이트를 통해 최신 상태로 유지됩니다. | Microsoft Entra ID에는 적용되지 않습니다. |
| 5.3.2 맬웨어 방지 솔루션: 주기적 검사와 활성 또는 실시간 검사를 수행합니다. 또는 시스템이나 프로세스의 지속적인 동작 분석을 수행합니다. |
Microsoft Entra ID에는 적용되지 않습니다. |
| 5.3.2.1 요구 사항 5.3.2를 충족하기 위해 주기적 맬웨어 검사를 수행하는 경우 검사 빈도는 요구 사항 12.3.1에 지정된 모든 요소에 따라 수행되는 엔터티의 대상 위험 분석에 의해 정의됩니다. | Microsoft Entra ID에는 적용되지 않습니다. |
| 5.3.3 이동식 전자 미디어의 경우 맬웨어 방지 솔루션: 미디어를 삽입, 연결 또는 논리적으로 탑재할 때 자동 검사를 수행 또는 미디어가 삽입, 연결 또는 논리적으로 탑재될 때 시스템 또는 프로세스의 지속적인 동작 분석을 수행합니다. |
Microsoft Entra ID에는 적용되지 않습니다. |
| 5.3.4 맬웨어 방지 솔루션에 대한 감사 로그는 요구 사항 10.5.1에 따라 활성화되고 유지됩니다. | Microsoft Entra ID에는 적용되지 않습니다. |
| 5.3.5 제한된 기간에 사례별로 경영진이 특별히 문서화하고 승인하지 않는 한 사용자가 맬웨어 방지 메커니즘을 사용하지 않도록 설정하거나 변경할 수 없습니다. | Microsoft Entra ID에는 적용되지 않습니다. |
5.4 피싱 방지 메커니즘은 피싱 공격으로부터 사용자를 보호합니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 5.4.1 피싱 공격으로부터 직원을 보호하고 이를 감지하기 위한 프로세스와 자동화된 메커니즘이 마련되어 있습니다. | 피싱 방지 자격 증명을 사용하도록 Microsoft Entra ID를 구성합니다. 피싱 방지 MFA 에 대한 구현 고려 사항은 조건부 액세스의 컨트롤을 사용하여 피싱 방지 자격 증명으로 인증을 요구합니다. 조건부 액세스 인증 강도 지침은 ID 및 액세스 관리 구성과 관련이 있습니다. 피싱 공격을 완화하려면 Microsoft 365와 같은 워크로드 기능을 배포합니다. Microsoft 365의 피싱 방지 보호 |
다음 단계
PCI-DSS 요구 사항 3, 4, 9 및 12는 Microsoft Entra ID에 적용되지 않으므로 해당하는 문서가 없습니다. 모든 요구 사항을 보려면 pcisecuritystandards.org(공식 PCI 보안 표준 위원회 사이트)로 이동합니다.
PCI-DSS를 준수하도록 Microsoft Entra ID를 구성하려면 다음 문서를 참조하세요.
- Microsoft Entra PCI-DSS 지침
- 요구 사항 1: 네트워크 보안 컨트롤 설치 및 유지 관리
- 요구 사항 2: 모든 시스템 구성 요소에 보안 구성 적용
- 요구 사항 5: 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호(현재 위치)
- 요구 사항 6: 보안 시스템 및 소프트웨어 개발 및 유지 관리
- 요구 사항 7: 회사별로 시스템 구성 요소 및 카드 소유자 데이터에 대한 액세스 제한 알아야 할 사항
- 요구 사항 8: 사용자 식별 및 시스템 구성 요소에 대한 액세스 인증
- 요구 사항 10: 시스템 구성 요소 및 카드 소유자 데이터에 대한 모든 액세스 기록 및 모니터링
- 요구 사항 11: 정기적으로 시스템 및 네트워크의 보안 테스트
- Microsoft Entra PCI-DSS Multi-Factor Authentication 지침