Kontrollen zur Einhaltung gesetzlicher Bestimmungen in Azure Policy für Azure API Management
GILT FÜR: Alle API Management-Ebenen
Die Einhaltung gesetzlicher Bestimmungen in Azure Policy bietet von Microsoft erstellte und verwaltete Initiativendefinitionen (als integriert bezeichnet) für die Compliancedomänen und Sicherheitskontrollen, die mit unterschiedlichen Compliancestandards zusammenhängen. Auf dieser Seite werden die Compliancedomänen und Sicherheitskontrollen für Azure API Management aufgeführt. Sie können die integrierten Elemente für eine Sicherheitskontrolle einzeln zuweisen, um Ihre Azure-Ressourcen mit dem jeweiligen Standard kompatibel zu machen.
Die Titel der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Richtlinienversion, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Wichtig
Jeder Kontrollmechanismus ist mindestens einer Azure Policy-Definition zugeordnet. Diese Richtlinien können Ihnen helfen, die Compliance des Kontrollmechanismus zu bewerten. Oft gibt es jedoch keine Eins-zu-eins-Übereinstimmung oder vollständige Übereinstimmung zwischen einem Kontrollmechanismus und mindestens einer Richtlinie. Daher bezieht sich konform in Azure Policy nur auf die Richtlinien selbst. Dadurch wird nicht sichergestellt, dass Sie vollständig mit allen Anforderungen eines Kontrollmechanismus konform sind. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Kontrollelementen und gesetzlichen Konformitätsdefinitionen von Azure Policy für diese Konformitätsstandards können sich im Laufe der Zeit ändern.
FedRAMP High
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: FedRAMP High. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter FedRAMP High.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | AC-4 | Erzwingung des Datenflusses | API Management-Dienste müssen ein virtuelles Netzwerk verwenden | 1.0.2 |
| System- und Kommunikationsschutz | SC-7 | Schutz von Grenzen | API Management-Dienste müssen ein virtuelles Netzwerk verwenden | 1.0.2 |
| System- und Kommunikationsschutz | SC-7 (3) | Zugriffspunkte | API Management-Dienste müssen ein virtuelles Netzwerk verwenden | 1.0.2 |
FedRAMP Moderate
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: FedRAMP Moderate. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter FedRAMP Moderate.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | AC-4 | Erzwingung des Datenflusses | API Management-Dienste müssen ein virtuelles Netzwerk verwenden | 1.0.2 |
| System- und Kommunikationsschutz | SC-7 | Schutz von Grenzen | API Management-Dienste müssen ein virtuelles Netzwerk verwenden | 1.0.2 |
| System- und Kommunikationsschutz | SC-7 (3) | Zugriffspunkte | API Management-Dienste müssen ein virtuelles Netzwerk verwenden | 1.0.2 |
Microsoft Cloud Security Benchmark
Die Microsoft-Cloudsicherheitsbenchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure schützen können. Die vollständige Zuordnung dieses Diensts zum Microsoft-Cloudsicherheitsbenchmark finden Sie in den Zuordnungsdateien zum Azure Security Benchmark.
Um zu überprüfen, wie sich die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste zu diesem Compliancestandard zuordnen lassen, lesen Sie Azure Policy-Einhaltung gesetzlicher Vorschriften – Microsoft-Cloudsicherheitsbenchmark.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Netzwerksicherheit | NS-2 | Schützen von Clouddiensten mit Netzwerksteuerelementen | API Management-Dienste müssen ein virtuelles Netzwerk verwenden | 1.0.2 |
| Netzwerksicherheit | NS-2 | Schützen von Clouddiensten mit Netzwerksteuerelementen | API Management sollte den öffentlichen Netzwerkzugriff auf die Dienstkonfigurationsendpunkte deaktivieren. | 1.0.1 |
| Identitätsverwaltung | IM-4 | Authentifizieren von Servern und Diensten | API-Endpunkte in Azure API Management sollten authentifiziert werden. | 1.0.1 |
| Identitätsverwaltung | IM-4 | Authentifizieren von Servern und Diensten | API Management-Aufrufe an API-Back-Ends sollten authentifiziert werden | 1.0.1 |
| Identitätsverwaltung | IM-4 | Authentifizieren von Servern und Diensten | API Management-Aufrufe von API-Back-Ends sollten den Zertifikatfingerabdruck oder die Namensüberprüfung nicht umgehen | 1.0.2 |
| Identitätsverwaltung | IM-8 | Einschränken der Freisetzung von Anmeldeinformationen und Geheimnissen | Die Mindest-API-Version von API Management muss auf 01.12.2019 oder höher festgelegt werden | 1.0.1 |
| Identitätsverwaltung | IM-8 | Einschränken der Freisetzung von Anmeldeinformationen und Geheimnissen | Geheime benannte API Management-Werte sollten in Azure Key Vault gespeichert werden | 1.0.2 |
| Privilegierter Zugriff | PA-7 | Folgen Sie dem Prinzip der Just Enough Administration (Prinzip der minimalen Berechtigungen) | API Management-Abonnements sollten nicht für alle APIs gelten | 1.1.0 |
| Datenschutz | DP-3 | Verschlüsseln vertraulicher Daten während der Übertragung | API Management-APIs sollten nur verschlüsselte Protokolle verwenden | 2.0.2 |
| Datenschutz | DP-6 | Verwenden eines sicheren Schlüsselverwaltungsprozesses | Geheime benannte API Management-Werte sollten in Azure Key Vault gespeichert werden | 1.0.2 |
| Ressourcenverwaltung | AM-2 | Verwenden ausschließlich genehmigter Dienste | Die Version der Azure API Management-Plattform sollte stv2 sein | 1.0.0 |
| Ressourcenverwaltung | AM-3 | Gewährleisten der Sicherheit der bei der Lebenszyklusverwaltung von Ressourcen | Nicht verwendete API-Endpunkte sollten deaktiviert und aus dem Azure API Management-Dienst entfernt werden. | 1.0.1 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | Überwachen und Erzwingen sicherer Konfigurationen | Direkter API Management-Verwaltungsendpunkt sollte nicht aktiviert sein | 1.0.2 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | Überwachen und Erzwingen sicherer Konfigurationen | Die Mindest-API-Version von API Management muss auf 01.12.2019 oder höher festgelegt werden | 1.0.1 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | Überwachen und Erzwingen sicherer Konfigurationen | Die Version der Azure API Management-Plattform sollte stv2 sein | 1.0.0 |
NIST SP 800-171 R2
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-171 R2. Weitere Informationen zu diesem Compliancestandard finden Sie unter NIST SP 800-171 R2.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | 3.1.3 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | API Management-Dienste müssen ein virtuelles Netzwerk verwenden | 1.0.2 |
| System- und Kommunikationsschutz | 3.13.1 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | API Management-Dienste müssen ein virtuelles Netzwerk verwenden | 1.0.2 |
| System- und Kommunikationsschutz | 3.13.2 | Verwenden Sie Architekturentwürfe, Softwareentwicklungstechniken und Systementwicklungsprinzipien, die zu einer effektiven Informationssicherheit in Organisationssystemen beitragen. | API Management-Dienste müssen ein virtuelles Netzwerk verwenden | 1.0.2 |
| System- und Kommunikationsschutz | 3.13.5 | Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Netzwerken physisch oder logisch getrennt sind. | API Management-Dienste müssen ein virtuelles Netzwerk verwenden | 1.0.2 |
NIST SP 800-53 Rev. 4
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-53 Rev. 4. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 4.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | AC-4 | Erzwingung des Datenflusses | API Management-Dienste müssen ein virtuelles Netzwerk verwenden | 1.0.2 |
| System- und Kommunikationsschutz | SC-7 | Schutz von Grenzen | API Management-Dienste müssen ein virtuelles Netzwerk verwenden | 1.0.2 |
| System- und Kommunikationsschutz | SC-7 (3) | Zugriffspunkte | API Management-Dienste müssen ein virtuelles Netzwerk verwenden | 1.0.2 |
NIST SP 800-53 Rev. 5
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-53 Rev. 5. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 5.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | AC-4 | Erzwingung des Datenflusses | API Management-Dienste müssen ein virtuelles Netzwerk verwenden | 1.0.2 |
| System- und Kommunikationsschutz | SC-7 | Schutz von Grenzen | API Management-Dienste müssen ein virtuelles Netzwerk verwenden | 1.0.2 |
| System- und Kommunikationsschutz | SC-7 (3) | Zugriffspunkte | API Management-Dienste müssen ein virtuelles Netzwerk verwenden | 1.0.2 |
NL BIO-Clouddesign
Wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliance-Standard entsprechen, können Sie unter Azure Policy – Gesetzliche Bestimmungen – Details für PCI-DSS v4.0 nachlesen. Weitere Informationen zu diesem Compliancestandard finden Sie unter Baseline Information Security Government Cybersecurity - Digital Government (digitaleoverheid.nl).
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| U.07.1 Datentrennung – Isoliert | U.07.1 | Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden kontrolliert realisiert. | API Management-Dienste müssen ein virtuelles Netzwerk verwenden | 1.0.2 |
Reserve Bank of India – IT-Framework für Banken v2016
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy – RBI ITF Banks v2016. Weitere Informationen zu diesem Compliancestandard finden Sie unter RBI ITF Banks v2016 (PDF).
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Patches/Sicherheitsrisiken und Change Management | Patches/Sicherheitsrisiken und Change Management-7.7 | API Management-Dienste müssen ein virtuelles Netzwerk verwenden | 1.0.2 |
RMIT Malaysia
Um zu überprüfen, wie die verfügbaren Azure-Richtlinienintegrationen für alle Azure-Dienste diesem Compliancestandard entsprechen, lesen Sie Azure Policy Regulatory Compliance – RMIT Malaysia. Weitere Informationen zu diesem Compliancestandard finden Sie unter RMIT Malaysia.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Netzwerkresilienz | 10.33 | Netzwerkresilienz: 10.33 | API Management-Dienste müssen ein virtuelles Netzwerk verwenden | 1.0.2 |
Nächste Schritte
- Weitere Informationen zur Einhaltung gesetzlicher Bestimmungen in Azure Policy
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.