Kontrollen zur Einhaltung gesetzlicher Bestimmungen in Azure Policy für Azure Synapse Analytics
Die Einhaltung gesetzlicher Bestimmungen in Azure Policy bietet von Microsoft erstellte und verwaltete Initiativendefinitionen (als integriert bezeichnet) für die Compliancedomänen und Sicherheitskontrollen, die mit unterschiedlichen Compliancestandards zusammenhängen. Auf dieser Seite werden die Compliancedomänen und Sicherheitskontrollen für Azure App Configuration aufgeführt. Sie können die integrierten Elemente für eine Sicherheitskontrolle einzeln zuweisen, um Ihre Azure-Ressourcen mit dem jeweiligen Standard kompatibel zu machen.
Die Titel der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Richtlinienversion, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Wichtig
Jeder Kontrollmechanismus ist mindestens einer Azure Policy-Definition zugeordnet. Diese Richtlinien können Ihnen helfen, die Compliance des Kontrollmechanismus zu bewerten. Oft gibt es jedoch keine Eins-zu-eins-Übereinstimmung oder vollständige Übereinstimmung zwischen einem Kontrollmechanismus und mindestens einer Richtlinie. Daher bezieht sich konform in Azure Policy nur auf die Richtlinien selbst. Dadurch wird nicht sichergestellt, dass Sie vollständig mit allen Anforderungen eines Kontrollmechanismus konform sind. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Kontrollelementen und gesetzlichen Konformitätsdefinitionen von Azure Policy für diese Konformitätsstandards können sich im Laufe der Zeit ändern.
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: CMMC Level 3. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter Cybersecurity Maturity Model Certification (CMMC).
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| System- und Kommunikationsschutz | SC.3.177 | Nutzen Sie FIPS-konforme Kryptografie zum Schützen der Vertraulichkeit von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI). | Azure Synapse-Arbeitsbereiche müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | 1.0.0 |
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: FedRAMP High. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter FedRAMP High.
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: FedRAMP Moderate. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter FedRAMP Moderate.
Die Microsoft-Cloudsicherheitsbenchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure schützen können. Die vollständige Zuordnung dieses Diensts zum Microsoft-Cloudsicherheitsbenchmark finden Sie in den Zuordnungsdateien zum Azure Security Benchmark.
Um zu überprüfen, wie sich die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste zu diesem Compliancestandard zuordnen lassen, lesen Sie Azure Policy-Einhaltung gesetzlicher Vorschriften – Microsoft-Cloudsicherheitsbenchmark.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Identitätsverwaltung | IM-1 | Verwenden eines zentralen Identitäts- und Authentifizierungssystems | Für Synapse-Arbeitsbereiche muss die Microsoft Entra-only-Authentifizierung aktiviert sein | 1.0.0 |
| Identitätsverwaltung | IM-1 | Verwenden eines zentralen Identitäts- und Authentifizierungssystems | Synapse-Arbeitsbereiche müssen die Microsoft Entra-only-Identitäten für die Authentifizierung während der Arbeitsbereichserstellung verwenden- | 1.2.0 |
| Protokollierung und Bedrohungserkennung | LT-1 | Aktivieren von Bedrohungserkennungsfunktionen | Microsoft Defender für SQL muss für ungeschützte Synapse-Arbeitsbereiche aktiviert sein. | 1.0.0 |
| Protokollierung und Bedrohungserkennung | LT-2 | Aktivieren von Bedrohungserkennung für die Identitäts- und Zugriffsverwaltung | Microsoft Defender für SQL muss für ungeschützte Synapse-Arbeitsbereiche aktiviert sein. | 1.0.0 |
| Reaktion auf Vorfälle | IR-3 | Erkennung und Analyse – Erstellen von Incidents basierend auf Warnungen mit hoher Qualität | Microsoft Defender für SQL muss für ungeschützte Synapse-Arbeitsbereiche aktiviert sein. | 1.0.0 |
| Reaktion auf Vorfälle | AIR-5 | Erkennung und Analyse – Priorisieren von Vorfällen | Microsoft Defender für SQL muss für ungeschützte Synapse-Arbeitsbereiche aktiviert sein. | 1.0.0 |
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-171 R2. Weitere Informationen zu diesem Compliancestandard finden Sie unter NIST SP 800-171 R2.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | 3.1.1 | Beschränken Sie den Systemzugriff auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Systeme). | Azure Synapse-Arbeitsbereiche müssen Private Link verwenden | 1.0.1 |
| Zugriffssteuerung | 3.1.12 | Überwachen und Steuern von Remotezugriffssitzungen | Azure Synapse-Arbeitsbereiche müssen Private Link verwenden | 1.0.1 |
| Zugriffssteuerung | 3.1.13 | Implementieren Sie Kryptografiemechanismen zum Schutz der Vertraulichkeit von Remotezugriffssitzungen. | Azure Synapse-Arbeitsbereiche müssen Private Link verwenden | 1.0.1 |
| Zugriffssteuerung | 3.1.14 | Leiten Sie Remotezugriff über verwaltete Zugriffssteuerungspunkte. | Azure Synapse-Arbeitsbereiche müssen Private Link verwenden | 1.0.1 |
| Zugriffssteuerung | 3.1.3 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | Azure Synapse-Arbeitsbereiche müssen Private Link verwenden | 1.0.1 |
| Risikobewertung | 3.11.2 | Führen Sie in regelmäßigen Abständen – und bei Identifizierung neuer Sicherheitsrisiken – in den Unternehmenssystemen und -anwendungen eine Überprüfung auf Sicherheitsrisiken durch. | Für Ihre Synapse-Arbeitsbereiche muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.0 |
| Risikobewertung | 3.11.3 | Beheben Sie Sicherheitsrisiken in Übereinstimmung mit Risikobewertungen. | Für Ihre Synapse-Arbeitsbereiche muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.0 |
| System- und Kommunikationsschutz | 3.13.1 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Azure Synapse-Arbeitsbereiche müssen Private Link verwenden | 1.0.1 |
| System- und Kommunikationsschutz | 3.13.10 | Sie können Kryptografieschlüssel für die Kryptografie einrichten und verwalten, die in den Organisationssystemen eingesetzt wird. | Azure Synapse-Arbeitsbereiche müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | 1.0.0 |
| System- und Kommunikationsschutz | 3.13.2 | Verwenden Sie Architekturentwürfe, Softwareentwicklungstechniken und Systementwicklungsprinzipien, die zu einer effektiven Informationssicherheit in Organisationssystemen beitragen. | Azure Synapse-Arbeitsbereiche müssen Private Link verwenden | 1.0.1 |
| System- und Kommunikationsschutz | 3.13.5 | Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Netzwerken physisch oder logisch getrennt sind. | Azure Synapse-Arbeitsbereiche müssen Private Link verwenden | 1.0.1 |
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-53 Rev. 4. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 4.
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-53 Rev. 5. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 5.
Wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliance-Standard entsprechen, können Sie unter Azure Policy – Gesetzliche Bestimmungen – Details für PCI-DSS v4.0 nachlesen. Weitere Informationen zu diesem Compliancestandard finden Sie unter Baseline Information Security Government Cybersecurity - Digital Government (digitaleoverheid.nl).
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| C.04.3 Technische Sicherheitsrisikoverwaltung – Zeitachsen | C.04.3 | Wenn die Wahrscheinlichkeit eines Missbrauchs und der erwartete Schaden beide hoch sind, werden Patches nicht später als innerhalb einer Woche installiert. | Für Ihre Synapse-Arbeitsbereiche muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.0 |
| U.05.2 Datenschutz: kryptografische Maßnahmen | U.05.2 | Die im Clouddienst gespeicherten Daten sind auf dem neuesten Stand der Technik zu schützen. | Azure Synapse-Arbeitsbereiche müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | 1.0.0 |
| U.07.1 Datentrennung – Isoliert | U.07.1 | Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden kontrolliert realisiert. | Azure Synapse-Arbeitsbereiche müssen Private Link verwenden | 1.0.1 |
| U.11.3 Cryptoservices – verschlüsselt | U.11.3 | Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom CSC verwaltet werden. | Azure Synapse-Arbeitsbereiche müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | 1.0.0 |
| U.17.1 Multimandantenarchitektur – Verschlüsselt | U.17.1 | CSC-Daten zum Transport und ruhenden Daten werden verschlüsselt. | Für Ihre Synapse-Arbeitsbereiche muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.0 |
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy – Reserve Bank of India – IT-Framework für NBFC (Nichtbanken-Finanzgesellschaft). Weitere Informationen zu diesem Compliancestandard finden Sie unter Reserve Bank of India – IT Framework für NBFC (Nichtbanken-Finanzgesellschaft).
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Informations- und Cybersicherheit | 3.3 | Sicherheitsrisikoverwaltung-3.3 | Für Ihre Synapse-Arbeitsbereiche muss eine Sicherheitsrisikobewertung aktiviert sein | 1.0.0 |
| Überwachung von Informationssystemen | 5 | Richtlinie für die Überwachung von Informationssystemen (IS Audit)-5 | IP-Firewallregeln für Azure Synapse-Arbeitsbereiche müssen entfernt werden | 1.0.0 |
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Details zur Einhaltung gesetzlicher Vorschriften für die spanische ENS von Azure Policy. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CCN-STIC 884.
- Weitere Informationen zur Einhaltung gesetzlicher Bestimmungen in Azure Policy
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.