Microsoft Entra ID 및 PCI-DSS 요구 사항 8
요구 사항 8: 사용자 식별 및 시스템 구성 요소에 대한 액세스 인증
정의된 방식 요구 사항
8.1 사용자를 식별하고 시스템 구성 요소에 대한 액세스를 인증하는 프로세스와 메커니즘이 정의되고 이해됩니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 8.1.1 요구 사항8에 식별된 모든 보안 정책 및 운영 절차는 다음과 같습니다. 문서화됨 최신 상태 유지 사용 중 영향을 받는 모든 당사자에게 알려짐 |
여기에 있는 지침과 링크를 사용하여 환경 구성에 따른 요구 사항을 충족하는 설명서를 생성합니다. |
| 8.1.2 요구 사항 8의 작업을 수행하기 위한 역할과 책임을 문서화하고 할당하고 이해합니다. | 여기에 있는 지침과 링크를 사용하여 환경 구성에 따른 요구 사항을 충족하는 설명서를 생성합니다. |
8.2 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 전반에 걸쳐 엄격하게 관리됩니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 8.2.1 시스템 구성 요소 또는 카드 소지자 데이터에 대한 액세스가 허용되기 전에 모든 사용자에게 고유 ID가 할당됩니다. | Microsoft Entra ID를 사용하는 CDE 애플리케이션의 경우 고유 사용자 ID는 UPN(사용자 계정 이름) 특성입니다. Microsoft Entra UserPrincipalName 채우기 |
| 8.2.2 그룹, 공유 또는 일반 계정이나 기타 공유 인증 정보는 예외적으로 필요한 경우에만 사용되며 다음과 같이 관리됩니다. 예외적인 상황이 아닌 이상 계정 사용이 금지됩니다. 예외적인 상황에 필요한 시간으로 사용이 제한됩니다. 사용에 대한 비즈니스 타당성이 문서화되어 있습니다. 관리자가 명시적으로 사용을 승인했습니다. 계정에 대한 액세스 권한이 부여되기 전에 개별 사용자 ID가 확인됩니다. 취해진 모든 작업은 개별 사용자에게 귀속됩니다. |
애플리케이션 액세스를 위해 Microsoft Entra ID를 사용하는 CDE에 공유 계정을 방지하는 프로세스가 있는지 확인합니다. 승인이 필요한 예외로 만듭니다. Azure에 배포된 CDE 리소스의 경우 공유 서비스 계정을 만드는 대신 Azure 리소스에 대한 관리 ID를 사용하여 워크로드 ID를 나타냅니다. Azure 리소스에 대한 관리 ID란? 관리 ID를 사용할 수 없고 액세스된 리소스가 OAuth 프로토콜을 사용하는 경우 서비스 주체를 사용하여 워크로드 ID를 나타냅니다. OAuth 범위를 통해 ID에 최소 권한 있는 액세스를 부여합니다. 관리자는 액세스를 제한하고 승인 워크플로를 정의하여 이를 만들 수 있습니다. 워크로드 ID란? |
| 8.2.3 서비스 공급자에만 적용되는 추가 요구 사항: 고객 구내에 원격으로 액세스할 수 있는 서비스 공급자는 각 고객 구내에 대해 고유한 인증 요소를 사용합니다. | Microsoft Entra ID에는 하이브리드 기능을 사용하도록 설정하는 온-프레미스 커넥터가 있습니다. 커넥터는 식별 가능하며 고유하게 생성된 자격 증명을 사용합니다. Microsoft Entra Connect 동기화: 동기화 이해 및 사용자 지정 클라우드 동기화 심층 분석 Microsoft Entra 온-프레미스 애플리케이션 프로비전 아키텍처 Microsoft Entra 사용자 프로비저닝을 위한 클라우드 HR 애플리케이션 계획 Microsoft Entra Connect Health 에이전트 설치 |
| 8.2.4 사용자 ID, 인증 요소 및 기타 식별자 개체의 추가, 삭제 및 수정은 다음과 같이 관리됩니다. 적절한 인증을 통해 인증됩니다. 문서화된 승인에 지정된 권한으로만 구현됩니다. |
Microsoft Entra ID에는 HR 시스템에서 자동화된 사용자 계정 프로비전이 있습니다. 이 기능을 사용하여 수명 주기를 만듭니다. HR 기반 프로비저닝이란? Microsoft Entra ID에는 입사자, 이직자 및 퇴직자 프로세스에 대한 사용자 지정 논리를 사용하도록 설정하는 수명 주기 워크플로가 있습니다. 수명 주기 워크플로란? Microsoft Entra ID에는 Microsoft Graph를 사용하여 인증 방법을 관리하기 위한 프로그래밍 인터페이스가 있습니다. 비즈니스용 Windows Hello 및 FIDO2 키와 같은 일부 인증 방법을 사용하려면 등록하려면 사용자 개입이 필요합니다. Graph 인증 방법 API 시작 관리자 및/또는 자동화는 Graph API를 사용하여 임시 액세스 패스 자격 증명을 생성합니다. 암호 없는 온보딩을 위해 이 자격 증명을 사용합니다. 암호 없는 인증 방법을 등록하기 위해 Microsoft Entra ID에서 임시 액세스 패스 구성 |
| 8.2.5 종료된 사용자의 액세스 권한은 즉시 철회됩니다. | 계정에 대한 액세스를 철회하려면 Microsoft Entra ID에서 동기화된 하이브리드 계정에 대한 온-프레미스 계정을 사용하지 않도록 설정하고, Microsoft Entra ID에서 계정을 사용하지 않도록 설정하고, 토큰을 해지합니다. Microsoft Entra ID에서 사용자 액세스 취소 Microsoft Entra ID와 양방향 대화를 하려면 호환되는 애플리케이션에 대해 CAE(지속적인 액세스 권한 평가)를 사용합니다. 앱은 계정 종료, 토큰 거부 등의 이벤트에 대한 알림을 받을 수 있습니다. 지속적인 액세스 평가 |
| 8.2.6 비활성 사용자 계정은 비활성 후 90일 이내에 제거되거나 사용하지 않도록 설정됩니다. | 하이브리드 계정의 경우 관리자는 90일마다 Active Directory 및 Microsoft Entra의 작업을 확인합니다. Microsoft Entra ID의 경우 Microsoft Graph를 사용하여 마지막 로그인 날짜를 찾습니다. 방법: Microsoft Entra ID에서 비활성 사용자 계정 관리 |
| 8.2.7 원격 액세스를 통해 시스템 구성 요소에 액세스, 지원 또는 유지 관리하기 위해 제3자가 사용하는 계정은 다음과 같이 관리됩니다. 필요한 기간 동안에만 사용하도록 설정되고 사용하지 않을 때는 사용하지 않도록 설정됩니다. 예기치 못한 작업이 있는지 사용이 모니터링됩니다. |
Microsoft Entra ID에는 외부 ID 관리 기능이 있습니다. 권한 관리와 함께 관리되는 게스트 수명 주기를 사용합니다. 외부 사용자는 제한된 기간 동안 부여할 수 있고 정기적인 액세스 검토가 필요한 앱, 리소스 및 액세스 패키지의 컨텍스트에서 온보딩됩니다. 검토로 인해 계정이 삭제되거나 사용하지 않도록 설정될 수 있습니다. 권한 관리에서 외부 사용자에 대한 액세스 관리 Microsoft Entra ID는 사용자 및 세션 수준에서 위험 이벤트를 생성합니다. 예기치 못한 작업을 보호하고 검색하고 이에 대응하는 방법을 알아봅니다. 위험이란? |
| 8.2.8 사용자 세션이 15분 이상 유휴 상태인 경우 터미널이나 세션을 다시 활성화하려면 사용자를 다시 인증해야 합니다. | Intune 및 Microsoft Endpoint Manager에서 엔드포인트 관리 정책을 사용합니다. 그런 다음 조건부 액세스를 사용하여 규격 디바이스에서의 액세스를 허용합니다. 규정 준수 정책을 사용하여 Intune으로 관리하는 디바이스에 대한 규칙 설정 CDE 환경이 GPO(그룹 정책 개체)를 사용하는 경우 GPO를 구성하여 유휴 시간 제한을 설정합니다. Microsoft Entra 하이브리드 조인 디바이스에서 액세스할 수 있도록 Microsoft Entra ID를 구성합니다. Microsoft Entra 하이브리드 조인 디바이스 |
8.3 사용자 및 관리자에 대한 강력한 인증을 구축하고 관리합니다.
PCI 요구 사항을 충족하는 Microsoft Entra 인증 방법에 대한 자세한 내용은 정보 보충 자료: Multi-Factor Authentication을 참조하세요.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 8.3.1 사용자 및 관리자를 위한 시스템 구성 요소에 대한 모든 사용자 액세스는 다음 인증 요소 중 하나 이상을 통해 인증됩니다. 암호나 전달 구 등 사용자가 알고 있는 것. 토큰 디바이스 또는 스마트 카드 등 사용자가 가진 항목 생체 인식 요소와 같은 사용자의 존재입니다. |
Microsoft Entra ID에는 PCI 요구 사항을 충족하기 위해 암호 없는 방법 필요 전체적인 암호 없는 배포를 참조하세요. Microsoft Entra ID에서 암호 없는 인증 배포 계획 |
| 8.3.2 모든 시스템 구성 요소에서 전송 및 저장하는 동안 모든 인증 요소를 읽을 수 없도록 만드는 데 강력한 암호화가 사용됩니다. | Microsoft Entra ID에서 사용하는 암호화는 강력한 암호화에 대한 PCI 정의를 준수합니다. Microsoft Entra 데이터 보호 고려 사항 |
| 8.3.3 인증 요소를 수정하기 전에 사용자 ID를 확인합니다. | Microsoft Entra ID에서는 사용자가 mysecurityinfo 포털 및 SSPR(셀프 서비스 암호 재설정) 포털과 같은 셀프 서비스를 사용하여 인증 방법을 업데이트하도록 인증해야 합니다. 로그인 페이지에서 보안 정보 설정 일반 조건부 액세스 정책: 보안 정보 등록 보안 Microsoft Entra 셀프 서비스 암호 재설정 권한 있는 역할을 가진 관리자는 인증 요소(글로벌, 암호, 사용자, 인증 및 권한 있는 인증)를 수정할 수 있습니다. Microsoft Entra ID의 태스크별 최소 권한 역할. Microsoft에서는 Microsoft Entra Privileged Identity Management를 사용하여 권한 있는 액세스에 대해 JIT 액세스 및 거버넌스를 사용하도록 설정하는 것이 좋습니다. |
| 8.3.4 유효하지 않은 인증 시도는 다음으로 제한됩니다. 10회 이하의 시도 후에 사용자 ID를 잠급니다. 잠금 기간을 최소 30분 또는 사용자 ID가 확인될 때까지 설정합니다. |
하드웨어 TPM(신뢰할 수 있는 플랫폼 모듈) 2.0 이상을 지원하는 Windows 디바이스에 대한 비즈니스용 Windows Hello를 배포합니다. 비즈니스용 Windows Hello의 경우 잠금은 디바이스와 관련됩니다. 제스처, PIN 또는 생체 인식을 통해 로컬 TPM에 대한 액세스가 잠금 해제됩니다. 관리자는 GPO 또는 Intune 정책을 사용하여 잠금 동작을 구성합니다. TPM 그룹 정책 설정 디바이스가 Intune에 등록될 때 디바이스에서 비즈니스용 Windows Hello 관리 TPM 기본 사항 비즈니스용 Windows Hello는 Microsoft Entra ID의 Active Directory 및 클라우드 리소스에 대한 온-프레미스 인증을 위해 작동합니다. FIDO2 보안 키의 경우 무차별 암호 대입 보호가 키와 관련됩니다. 제스처, PIN 또는 생체 인식을 통해 로컬 키 스토리지에 대한 액세스가 잠금 해제됩니다. 관리자는 PCI 요구 사항에 맞는 제조업체의 FIDO2 보안 키 등록을 허용하도록 Microsoft Entra ID를 구성합니다. 암호 없는 보안 키 로그인 사용 Microsoft Authenticator 앱 Microsoft Authenticator 앱 암호 없는 로그인을 사용하여 무차별 암호 대입 공격을 완화하려면 숫자 일치 및 추가 컨텍스트를 사용하도록 설정합니다. Microsoft Entra ID는 인증 흐름에서 난수를 생성합니다. 사용자가 인증 앱에 이를 입력합니다. 모바일 앱 인증 프롬프트에는 위치, 요청 IP 주소, 요청 애플리케이션이 표시됩니다. MFA 알림에서 숫자 일치를 사용하는 방법 Microsoft Authenticator 알림에서 추가 컨텍스트를 사용하는 방법 |
| 8.3.5 요구 사항 8.3.1을 충족하기 위해 암호/전달 구가 인증 요소로 사용되는 경우 각 사용자에 대해 다음과 같이 설정 및 초기화됩니다. 처음 사용할 때와 재설정할 때 고유한 값으로 설정합니다. 처음 사용 후 즉시 강제로 변경되어야 합니다. |
Microsoft Entra ID에는 적용되지 않습니다. |
| 8.3.6 요구 사항 8.3.1을 충족하기 위해 암호/전달 구를 인증 요소로 사용하는 경우 다음과 같은 최소 복잡성 수준을 충족합니다. 최소 길이는 12자(또는 시스템이 12자를 지원하지 않는 경우 최소 8자)입니다. 숫자와 문자를 모두 포함합니다. |
Microsoft Entra ID에는 적용되지 않습니다. |
| 8.3.7 개인은 마지막으로 사용한 4개의 암호/전달 구와 동일한 새 암호/전달 구를 제출할 수 없습니다. | Microsoft Entra ID에는 적용되지 않습니다. |
| 8.3.8 다음을 포함하여 인증 정책 및 절차가 문서화되어 모든 사용자에게 전달됩니다. 강력한 인증 요소 선택에 대한 지침입니다. 사용자가 인증 요소를 보호해야 하는 방법에 대한 지침입니다. 이전에 사용한 암호/전달 구를 재사용하지 말라는 지침입니다. 암호/전달 구가 손상되었다고 의심되거나 인지되는 경우 암호/전달 구를 변경하는 방법과 인시던트를 보고하는 방법에 대한 지침입니다. |
정책과 절차를 문서화한 다음 이 요구 사항에 따라 사용자에게 전달합니다. Microsoft는 다운로드 센터에서 사용자 지정 가능한 템플릿을 제공합니다. |
| 8.3.9 암호/전달 구가 사용자 액세스에 대한 유일한 인증 요소로 사용되는 경우(즉, 단일 요소 인증 구현에서) 다음 중 하나를 수행합니다. 암호/전달 구는 90일마다 한 번 이상 변경됩니다. 또는 계정의 보안 태세가 동적으로 분석되고 이에 따라 리소스에 대한 실시간 액세스가 자동으로 결정됩니다. |
Microsoft Entra ID에는 적용되지 않습니다. |
| 8.3.10 서비스 공급자에만 적용되는 추가 요구 사항: 고객 사용자가 카드 소지자 데이터에 액세스할 때 암호/전달 구가 유일한 인증 요소로 사용되는 경우(즉, 단일 요소 인증에서) 구현) 그런 다음 고객 사용자에게 다음을 포함한 지침이 제공됩니다. 고객이 사용자 암호/전달 구를 주기적으로 변경하도록 안내합니다. 언제, 어떤 상황에서 암호/전달 구를 변경해야 하는지에 대한 지침입니다. |
Microsoft Entra ID에는 적용되지 않습니다. |
| 8.3.10.1 서비스 공급자에만 적용되는 추가 요구 사항: 암호/전달 구가 고객 사용자 액세스에 대한 유일한 인증 요소로 사용되는 경우(즉, 단일 요소 인증 구현에서) 다음 중 하나를 수행합니다. 암호/전달 구는 최소 90일마다 한 번씩 변경됩니다. 또는 계정의 보안 태세가 동적으로 분석되고 이에 따라 리소스에 대한 실시간 액세스가 자동으로 결정됩니다. |
Microsoft Entra ID에는 적용되지 않습니다. |
| 8.3.11 실제 또는 논리적 보안 토큰, 스마트 카드 또는 인증서와 같은 인증 요소가 사용되는 경우: 요소는 개별 사용자에게 할당되며 여러 사용자 간에 공유되지 않습니다. 실제 및/또는 논리적 제어를 통해 의도된 사용자만 해당 요소를 사용하여 액세스할 수 있습니다. |
비즈니스용 Windows Hello, FIDO2 보안 키, 전화 로그인용 Microsoft Authenticator 앱과 같은 암호 없는 인증 방법을 사용합니다. 재사용을 방지하려면 사용자와 연결된 공용 또는 프라이빗 키 쌍을 기반으로 하는 스마트 카드를 사용합니다. |
8.4 MFA(다단계 인증)는 CDE(카드 소유자 데이터 환경)에 대한 액세스를 보호하기 위해 구현됩니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 8.4.1 MFA는 관리 액세스 권한이 있는 직원의 CDE에 대한 모든 비콘솔 액세스에 대해 구현됩니다. | 조건부 액세스를 사용하여 CDE 리소스에 액세스하기 위해 강력한 인증을 요구합니다. 관리 역할 또는 애플리케이션에 대한 관리 액세스를 나타내는 보안 그룹을 대상으로 하는 정책을 정의합니다. 관리 액세스의 경우 Microsoft Entra PIM(Privileged Identity Management)을 사용하여 권한 있는 역할의 JIT(Just-In-Time) 활성화를 사용하도록 설정합니다. 조건부 액세스란? 조건부 액세스 템플릿 PIM 사용 시작 |
| 8.4.2 MFA는 CDE에 대한 모든 액세스에 대해 구현됩니다. | 강력한 인증을 지원하지 않는 레거시 프로토콜에 대한 액세스를 차단합니다. 조건부 액세스가 포함된 Microsoft Entra ID로 레거시 인증 차단 |
| 8.4.3 MFA는 다음과 같이 CDE에 액세스하거나 영향을 줄 수 있는 엔터티 네트워크 외부에서 발생하는 모든 원격 네트워크 액세스에 대해 구현됩니다. 사용자와 관리자 등 모든 직원이 기업 네트워크 외부에서 발생하는 모든 원격 액세스입니다. 타사 및 공급업체에 의한 모든 원격 액세스. |
인증 및 권한 부여를 위해 VPN(가상 사설망), 원격 데스크톱, 네트워크 액세스 지점과 같은 액세스 기술을 Microsoft Entra ID와 통합합니다. 원격 액세스 애플리케이션에 액세스하기 위해 강력한 인증을 요구하려면 조건부 액세스를 사용합니다. 조건부 액세스 템플릿 |
8.5 MFA(다단계 인증) 시스템은 오용을 방지하도록 구성됩니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 8.5.1 MFA 시스템은 다음과 같이 구현됩니다. MFA 시스템은 재생 공격에 취약하지 않습니다. 제한된 기간 동안 특별히 문서화되고 예외적으로 경영진의 권한 부여를 받지 않는 한 관리자를 포함한 모든 사용자는 MFA 시스템을 무시할 수 없습니다. 최소한 두 가지 형식의 인증 요소가 사용됩니다. 액세스 권한을 부여하려면 모든 인증 요소에 성공해야 합니다. |
권장되는 Microsoft Entra 인증 방법은 nonce 또는 챌린지를 사용합니다. Microsoft Entra ID는 재생된 인증 트랜잭션을 검색하므로 이러한 방법은 재생 공격을 방지합니다. 비즈니스용 Windows Hello, FIDO2 및 암호 없는 전화 로그인을 위한 Microsoft Authenticator 앱은 nonce를 사용하여 요청을 식별하고 재생 시도를 검색합니다. CDE의 사용자에 대해 암호 없는 자격 증명을 사용합니다. 인증서 기반 인증은 챌린지를 사용하여 재생 시도를 검색합니다. Microsoft Entra ID를 사용한 NIST 인증자 보증 수준 2 Microsoft Entra ID를 사용한 NIST 인증자 보증 수준 3 |
8.6 애플리케이션 및 시스템 계정과 관련 인증 요소의 사용은 엄격하게 관리됩니다.
| PCI-DSS 정의된 방식 요구 사항 | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| 8.6.1 시스템이나 애플리케이션에서 사용하는 계정을 대화형 로그인에 사용할 수 있는 경우 다음과 같이 관리됩니다. 예외적인 상황에 필요한 경우를 제외하고 대화형 사용은 금지됩니다. 대화형 사용은 예외적인 상황에 필요한 시간으로 제한됩니다. 대화형 사용에 대한 비즈니스 타당성이 문서화되어 있습니다. 대화형 사용은 경영진의 명시적인 승인을 받았습니다. 계정에 대한 액세스 권한이 부여되기 전에 개별 사용자 ID가 확인됩니다. 취해진 모든 작업은 개별 사용자에게 귀속됩니다. |
최신 인증을 사용하는 CDE 애플리케이션과 최신 인증을 사용하는 Azure에 배포된 CDE 리소스의 경우 Microsoft Entra ID에는 관리 ID와 서비스 주체라는 두 가지 애플리케이션용 서비스 계정 유형이 있습니다. Microsoft Entra 서비스 계정 거버넌스(계획, 프로비전, 수명 주기, 모니터링, 액세스 검토 등)에 대해 알아봅니다. Microsoft Entra 서비스 계정 관리 Microsoft Entra 서비스 계정을 보호합니다. Microsoft Entra ID에서 관리 ID 보호 Microsoft Entra ID에서 서비스 주체 보호 액세스가 필요한 Azure 외부 리소스가 있는 CDE의 경우 비밀 또는 대화형 로그인을 관리하지 않고 워크로드 ID 페더레이션을 구성합니다. 워크로드 ID 페더레이션 요구 사항을 충족하기 위한 승인 및 추적 프로세스를 사용하도록 설정하려면 ITSM(IT 서비스 관리) 및 CMDB(구성 관리 데이터베이스)를 사용하여 워크플로를 조정합니다. 이러한 도구는 MS Graph API를 사용하여 Microsoft Entra ID와 상호 작용하고 서비스 계정을 관리합니다. 온-프레미스 Active Directory와 호환되는 서비스 계정이 필요한 CDE의 경우 GMSA(그룹 관리 서비스 계정) 및 sMSA(독립형 관리 서비스 계정), 컴퓨터 계정 또는 사용자 계정을 사용합니다. 온-프레미스 서비스 계정 보안 |
| 8.6.2 대화형 로그인에 사용할 수 있는 모든 애플리케이션 및 시스템 계정의 암호/전달 구는 스크립트, 구성/속성 파일 또는 사용자 지정 및 사용자 지정 소스 코드에 하드 코딩되어 있지 않습니다. | Azure 관리 ID 및 암호가 필요하지 않은 서비스 주체와 같은 최신 서비스 계정을 사용합니다. Microsoft Entra 관리 ID 자격 증명은 클라우드에서 프로비전되고 회전되므로 암호 및 전달 구와 같은 공유 암호를 사용할 수 없습니다. 시스템 할당 관리 ID를 사용하는 경우 수명 주기는 기본 Azure 리소스 수명 주기에 연결됩니다. 서비스 주체를 사용하여 인증서를 자격 증명으로 사용하면 암호 및 전달 구와 같은 공유 암호의 사용을 방지할 수 있습니다. 인증서를 사용할 수 없는 경우 Azure Key Vault를 사용하여 서비스 주체 클라이언트 암호를 저장합니다. Azure Key Vault 사용 모범 사례 액세스가 필요한 Azure 외부 리소스가 있는 CDE의 경우 비밀 또는 대화형 로그인을 관리하지 않고 워크로드 ID 페더레이션을 구성합니다. 워크로드 ID 페더레이션 워크로드 ID에 대한 조건부 액세스를 배포하여 위치 및/또는 위험 수준에 따라 권한 부여를 제어합니다. 워크로드 ID에 대한 조건부 액세스 이전 지침 외에도 코드 분석 도구를 사용하여 코드 및 구성 파일에서 하드 코딩된 비밀을 검색합니다. 코드에서 노출된 비밀 검색 보안 규칙 |
| 8.6.3 모든 애플리케이션 및 시스템 계정의 암호/전달 구는 다음과 같이 오용으로부터 보호됩니다. 암호/전달 구는 주기적으로(요구 사항 12.3.1에 지정된 모든 요소에 따라 수행되는 기업의 목표 위험 분석에 정의된 빈도로) 의심되거나 손상이 확인된 경우 변경됩니다. 암호/전달 구는 엔터티가 암호/전달 구를 변경하는 빈도에 맞게 충분히 복잡하게 구성됩니다. |
Azure 관리 ID 및 암호가 필요하지 않은 서비스 주체와 같은 최신 서비스 계정을 사용합니다. 비밀이 있는 서비스 주체가 필요한 예외의 경우 서비스 주체에 임의의 비밀을 설정하고 정기적으로 회전하며 위험 이벤트에 대응하는 워크플로 및 자동화를 통해 비밀 수명 주기를 추상화합니다. 보안 운영팀은 위험한 워크로드 ID와 같이 Microsoft Entra에서 생성된 보고서를 검토하고 수정할 수 있습니다. Microsoft Entra ID Protection을 사용하여 워크로드 ID 보호 |
다음 단계
PCI-DSS 요구 사항 3, 4, 9 및 12는 Microsoft Entra ID에 적용되지 않으므로 해당하는 문서가 없습니다. 모든 요구 사항을 보려면 pcisecuritystandards.org(공식 PCI 보안 표준 위원회 사이트)로 이동합니다.
PCI-DSS를 준수하도록 Microsoft Entra ID를 구성하려면 다음 문서를 참조하세요.
- Microsoft Entra PCI-DSS 지침
- 요구 사항 1: 네트워크 보안 컨트롤 설치 및 유지 관리
- 요구 사항 2: 모든 시스템 구성 요소에 보안 구성 적용
- 요구 사항 5: 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호
- 요구 사항 6: 보안 시스템 및 소프트웨어 개발 및 유지 관리
- 요구 사항 7: 회사별로 시스템 구성 요소 및 카드 소유자 데이터에 대한 액세스 제한 알아야 할 사항
- 요구 사항 8: 사용자 식별 및 시스템 구성 요소에 대한 액세스 인증(현재 위치)
- 요구 사항 10: 시스템 구성 요소 및 카드 소유자 데이터에 대한 모든 액세스 기록 및 모니터링
- 요구 사항 11: 정기적으로 시스템 및 네트워크의 보안 테스트
- Microsoft Entra PCI-DSS Multi-Factor Authentication 지침