Kontrollen zur Einhaltung gesetzlicher Bestimmungen in Azure Policy für Azure Machine Learning
Die Einhaltung gesetzlicher Bestimmungen in Azure Policy bietet von Microsoft erstellte und verwaltete Initiativendefinitionen (als integriert bezeichnet) für die Compliancedomänen und Sicherheitskontrollen, die mit unterschiedlichen Compliancestandards zusammenhängen. Auf dieser Seite sind die Compliancedomänen und Sicherheitskontrollen für Azure Machine Learning aufgeführt. Sie können die integrierten Elemente für eine Sicherheitskontrolle einzeln zuweisen, um Ihre Azure-Ressourcen mit dem jeweiligen Standard kompatibel zu machen.
Die Titel der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Richtlinienversion, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Wichtig
Jeder Kontrollmechanismus ist mindestens einer Azure Policy-Definition zugeordnet. Diese Richtlinien können Ihnen helfen, die Compliance des Kontrollmechanismus zu bewerten. Oft gibt es jedoch keine Eins-zu-eins-Übereinstimmung oder vollständige Übereinstimmung zwischen einem Kontrollmechanismus und mindestens einer Richtlinie. Daher bezieht sich konform in Azure Policy nur auf die Richtlinien selbst. Dadurch wird nicht sichergestellt, dass Sie vollständig mit allen Anforderungen eines Kontrollmechanismus konform sind. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Kontrollelementen und gesetzlichen Konformitätsdefinitionen von Azure Policy für diese Konformitätsstandards können sich im Laufe der Zeit ändern.
FedRAMP High
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: FedRAMP High. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter FedRAMP High.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | AC-4 | Erzwingung des Datenflusses | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| Zugriffssteuerung | AC-17 | Remotezugriff | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| Zugriffssteuerung | AC-17 (1) | Automatisierte Überwachung/Steuerung | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| System- und Kommunikationsschutz | SC-7 | Schutz von Grenzen | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| System- und Kommunikationsschutz | SC-7 (3) | Zugriffspunkte | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| System- und Kommunikationsschutz | SC-12 | Einrichtung und Verwaltung von Kryptografieschlüsseln | Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | 1.0.3 |
FedRAMP Moderate
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: FedRAMP Moderate. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter FedRAMP Moderate.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | AC-4 | Erzwingung des Datenflusses | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| Zugriffssteuerung | AC-17 | Remotezugriff | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| Zugriffssteuerung | AC-17 (1) | Automatisierte Überwachung/Steuerung | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| System- und Kommunikationsschutz | SC-7 | Schutz von Grenzen | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| System- und Kommunikationsschutz | SC-7 (3) | Zugriffspunkte | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| System- und Kommunikationsschutz | SC-12 | Einrichtung und Verwaltung von Kryptografieschlüsseln | Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | 1.0.3 |
Microsoft Cloud Security Benchmark
Die Microsoft-Cloudsicherheitsbenchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure schützen können. Die vollständige Zuordnung dieses Diensts zum Microsoft-Cloudsicherheitsbenchmark finden Sie in den Zuordnungsdateien zum Azure Security Benchmark.
Um zu überprüfen, wie sich die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste zu diesem Compliancestandard zuordnen lassen, lesen Sie Azure Policy-Einhaltung gesetzlicher Vorschriften – Microsoft-Cloudsicherheitsbenchmark.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Netzwerksicherheit | NS-2 | Schützen von Clouddiensten mit Netzwerksteuerelementen | Azure Machine Learning Computeressourcen sollten sich in einem virtuellen Netzwerk befinden | 1.0.1 |
| Netzwerksicherheit | NS-2 | Schützen von Clouddiensten mit Netzwerksteuerelementen | Für Azure Machine Learning-Arbeitsbereiche sollte der Zugriff über öffentliche Netzwerke deaktiviert sein | 2.0.1 |
| Netzwerksicherheit | NS-2 | Schützen von Clouddiensten mit Netzwerksteuerelementen | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| Identitätsverwaltung | IM-1 | Verwenden eines zentralen Identitäts- und Authentifizierungssystems | Bei Azure Machine Learning-Computeressourcen sollten lokale Authentifizierungsmethoden deaktiviert sein | 2.1.0 |
| Schutz von Daten | DP-5 | Verwenden der Option „Kundenseitig verwalteter Schlüssel“ bei der Verschlüsselung ruhender Daten bei Bedarf | Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | 1.0.3 |
| Protokollierung und Bedrohungserkennung | LT-3 | Aktivieren der Protokollierung für die Sicherheitsuntersuchung | Ressourcenprotokolle im Azure Machine Learning-Arbeitsbereich sollten aktiviert sein. | 1.0.1 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | Überwachen und Erzwingen sicherer Konfigurationen | Azure Machine Learning-Computeinstanzen sollten neu erstellt werden, um die neuesten Softwareupdates zu erhalten. | 1.0.3 |
NIST SP 800-171 R2
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-171 R2. Weitere Informationen zu diesem Compliancestandard finden Sie unter NIST SP 800-171 R2.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | 3.1.1 | Beschränken Sie den Systemzugriff auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Systeme). | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| Zugriffssteuerung | 3.1.12 | Überwachen und Steuern von Remotezugriffssitzungen | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| Zugriffssteuerung | 3.1.13 | Implementieren Sie Kryptografiemechanismen zum Schutz der Vertraulichkeit von Remotezugriffssitzungen. | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| Zugriffssteuerung | 3.1.14 | Leiten Sie Remotezugriff über verwaltete Zugriffssteuerungspunkte. | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| Zugriffssteuerung | 3.1.3 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| System- und Kommunikationsschutz | 3.13.1 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| System- und Kommunikationsschutz | 3.13.10 | Sie können Kryptografieschlüssel für die Kryptografie einrichten und verwalten, die in den Organisationssystemen eingesetzt wird. | Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | 1.0.3 |
| System- und Kommunikationsschutz | 3.13.2 | Verwenden Sie Architekturentwürfe, Softwareentwicklungstechniken und Systementwicklungsprinzipien, die zu einer effektiven Informationssicherheit in Organisationssystemen beitragen. | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| System- und Kommunikationsschutz | 3.13.5 | Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Netzwerken physisch oder logisch getrennt sind. | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
NIST SP 800-53 Rev. 4
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-53 Rev. 4. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 4.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | AC-4 | Erzwingung des Datenflusses | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| Zugriffssteuerung | AC-17 | Remotezugriff | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| Zugriffssteuerung | AC-17 (1) | Automatisierte Überwachung/Steuerung | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| System- und Kommunikationsschutz | SC-7 | Schutz von Grenzen | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| System- und Kommunikationsschutz | SC-7 (3) | Zugriffspunkte | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| System- und Kommunikationsschutz | SC-12 | Einrichtung und Verwaltung von Kryptografieschlüsseln | Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | 1.0.3 |
NIST SP 800-53 Rev. 5
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-53 Rev. 5. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 5.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | AC-4 | Erzwingung des Datenflusses | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| Zugriffssteuerung | AC-17 | Remotezugriff | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| Zugriffssteuerung | AC-17 (1) | Überwachung und Steuerung | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| System- und Kommunikationsschutz | SC-7 | Schutz von Grenzen | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| System- und Kommunikationsschutz | SC-7 (3) | Zugriffspunkte | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| System- und Kommunikationsschutz | SC-12 | Einrichtung und Verwaltung von Kryptografieschlüsseln | Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | 1.0.3 |
NL BIO Cloud Design
Wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliance-Standard entsprechen, können Sie unter Azure Policy – Gesetzliche Bestimmungen – Details für PCI-DSS v4.0 nachlesen. Weitere Informationen zu diesem Compliancestandard finden Sie unter Baseline Information Security Government Cybersecurity - Digital Government (digitaleoverheid.nl).
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| C.04.6 Technische Sicherheitsrisikoverwaltung – Zeitachsen | C.04.6 | Technische Schwachstellen können durch zeitnahe Durchführung des Patchmanagements behoben werden. | Azure Machine Learning-Computeinstanzen sollten neu erstellt werden, um die neuesten Softwareupdates zu erhalten. | 1.0.3 |
| U.05.2 Datenschutz: kryptografische Maßnahmen | U.05.2 | Die im Clouddienst gespeicherten Daten sind auf dem neuesten Stand der Technik zu schützen. | Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | 1.0.3 |
| U.07.1 Datentrennung - Isoliert | U.07.1 | Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden kontrolliert realisiert. | Azure Machine Learning Computeressourcen sollten sich in einem virtuellen Netzwerk befinden | 1.0.1 |
| U.07.1 Datentrennung – isoliert | U.07.1 | Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden kontrolliert realisiert. | Für Azure Machine Learning-Arbeitsbereiche sollte der Zugriff über öffentliche Netzwerke deaktiviert sein | 2.0.1 |
| U.07.1 Datentrennung: isoliert | U.07.1 | Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden kontrolliert realisiert. | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
| U.10.2 Zugriff auf IT-Dienste und -Daten – Benutzer | U.10.2 | Unter der Verantwortung des CSP wird Administrator*innen der Zugriff gewährt. | Bei Azure Machine Learning-Computeressourcen sollten lokale Authentifizierungsmethoden deaktiviert sein | 2.1.0 |
| U.10.3 Zugriff auf IT-Dienste und -Daten – Benutzer | U.10.3 | Nur Benutzer*innen mit authentifizierten Geräten können auf IT-Dienste und -Daten zugreifen. | Bei Azure Machine Learning-Computeressourcen sollten lokale Authentifizierungsmethoden deaktiviert sein | 2.1.0 |
| U.10.5 Zugriff auf IT-Dienste und -Daten - Kompetent | U.10.5 | Der Zugriff auf IT-Dienste und -Daten ist durch technische Maßnahmen begrenzt und wurde implementiert. | Bei Azure Machine Learning-Computeressourcen sollten lokale Authentifizierungsmethoden deaktiviert sein | 2.1.0 |
| U.11.3 Cryptoservices – verschlüsselt | U.11.3 | Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel von CSC verwaltet werden. | Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | 1.0.3 |
| U.15.1 Protokollierung und Überwachung – protokollierte Ereignisse | U.15.1 | Die Verletzung der Richtlinienregeln wird von CSP und CSC aufgezeichnet. | Ressourcenprotokolle im Azure Machine Learning-Arbeitsbereich sollten aktiviert sein. | 1.0.1 |
Reserve Bank of India – IT-Framework für Banken v2016
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy – RBI ITF Banks v2016. Weitere Informationen zu diesem Compliancestandard finden Sie unter RBI ITF Banks v2016 (PDF).
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Metriken | Metriken-21.1 | Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | 1.0.3 | |
| Patches/Sicherheitsrisiken und Change Management | Patches/Sicherheitsrisiken und Change Management-7.7 | Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | 1.0.0 |
System- und Organisationssteuerelemente (SOC) 2
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliancestandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen für „System and Organization Controls 2“ (SOC 2) mit Azure Policy. Weitere Informationen zu diesem Compliancestandard finden Sie unter System and Organization Controls (SOC) 2.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Logische und physische Zugriffssteuerung | CC6.1 | Software, Infrastruktur und Architekturen für die Sicherheit des logischen Zugriffs | Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | 1.0.3 |
Nächste Schritte
- Weitere Informationen zur Einhaltung gesetzlicher Bestimmungen in Azure Policy
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.