Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zgodność z przepisami w usłudze Azure Policy udostępnia definicje inicjatyw utworzonych i zarządzanych przez firmę Microsoft, znanych jako wbudowane, dla domen zgodności i mechanizmów kontroli zabezpieczeń związanych z różnymi standardami zgodności. Ta strona zawiera listę domen zgodności i mechanizmów kontroli zabezpieczeń dla usługi Azure Virtual Network. Możesz przypisać wbudowane role dla kontroli zabezpieczeń indywidualnie, aby pomóc we wdrażaniu zgodności zasobów platformy Azure z określonym standardem.
Tytuł każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja Zasad, aby wyświetlić źródło w repozytorium Azure Policy w serwisie GitHub.
Ważne
Każda kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą. Jednak często nie ma dokładnego ani pełnego dopasowania między kontrolką a jedną lub większą liczbą zasad. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między kontrolami a definicjami zgodności z przepisami w usłudze Azure Policy dla standardów zgodności mogą ulec zmianie z czasem.
Australijski Rząd ISM PROTECTED
Aby sprawdzić, jak dostępne wbudowane elementy Azure Policy dla wszystkich usług platformy Azure odpowiadają temu standardowi zgodności, sprawdź Zgodność z przepisami usługi Azure Policy — Australian Government ISM PROTECTED. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Australian Government ISM PROTECTED.
| Domena | Identyfikator kontrolki | Tytuł kontrolki | Policy (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Wytyczne dotyczące sieci — ciągłość usług dla Usługi online | 1431 | Strategie odmowy usługi — 1431 | Usługa Azure DDoS Protection powinna być włączona | 3.0.1 |
Federalny PBMM Kanady
Aby przejrzeć, jak dostępne wbudowane funkcje Azure Policy dla wszystkich usług Azure odnoszą się do tego standardu zgodności, zobacz Zgodność z przepisami usługi Azure Policy — Canada Federal PBMM. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Canada Federal PBMM.
| Domena | Identyfikator kontrolki | Tytuł kontrolki | Policy (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Ochrona systemu i komunikacji | SC-5 | Odmowa ochrony usługi | Usługa Azure DDoS Protection powinna być włączona | 3.0.1 |
CIS Microsoft Azure Foundations Benchmark 1.1.0
Aby sprawdzić, jak dostępne wbudowane zasady Azure Policy dla wszystkich usług platformy Azure odnoszą się do tego standardu zgodności, zobacz Zgodność z przepisami usługi Azure Policy — CIS Microsoft Azure Foundations Benchmark 1.1.0. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark.
| Domena | Identyfikator kontrolki | Tytuł kontrolki | Policy (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| 2 Centrum zabezpieczeń | 2.9 | Upewnij się, że domyślne ustawienie zasad ASC "Włącz monitorowanie zapory nowej generacji (NGFW)" nie jest "wyłączone" | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| 6 Sieci | 6.5 | Upewnij się, że usługa Network Watcher jest włączona | Usługa Network Watcher powinna być włączona | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — CIS Microsoft Azure Foundations Benchmark 1.3.0. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark.
| Domena | Identyfikator kontrolki | Tytuł kontrolki | Policy (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| 6 Sieci | 6.5 | Upewnij się, że usługa Network Watcher jest włączona | Usługa Network Watcher powinna być włączona | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Aby sprawdzić, jak dostępne wbudowane zasady Azure Policy dla wszystkich usług platformy Azure odnoszą się do tego standardu zgodności, zobacz Szczegóły zgodności regulacyjnej usługi Azure Policy dla modelu CIS w wersji 1.4.0. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark.
| Domena | Identyfikator kontrolki | Tytuł kontrolki | Policy (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| 6 Sieci | 6.5 | Upewnij się, że usługa Network Watcher jest włączona | Usługa Network Watcher powinna być włączona | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
Aby dowiedzieć się, jak dostępne wbudowane definicje Azure Policy dla wszystkich usług platformy Azure są powiązane z tym standardem zgodności, przejrzyj Azure Policy Regulatory Compliance details for CIS v2.0.0. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark.
| Domena | Identyfikator kontrolki | Tytuł kontrolki | Policy (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| 5,1 | 5.1.6 | Upewnij się, że dzienniki przepływu grupy zabezpieczeń sieciowych są przechwytywane i wysyłane do usługi Log Analytics | Wszystkie zasoby dziennika przepływu powinny być w stanie włączonym | 1.0.1 |
| 5,1 | 5.1.6 | Upewnij się, że dzienniki przepływu grupy zabezpieczeń sieciowych są przechwytywane i wysyłane do usługi Log Analytics | Audytuj konfigurację dzienników przepływu dla każdej sieci wirtualnej | 1.0.1 |
| 5,1 | 5.1.6 | Upewnij się, że dzienniki przepływu grupy zabezpieczeń sieciowych są przechwytywane i wysyłane do usługi Log Analytics | Dzienniki przepływu należy skonfigurować dla każdej sieciowej grupy zabezpieczeń | 1.1.0 |
| 6 | 6.6 | Upewnij się, że usługa Network Watcher jest włączona | Usługa Network Watcher powinna być włączona | 3.0.0 |
CMMC Poziom 3
Aby sprawdzić, jak dostępne wbudowane zasady Azure Policy dla wszystkich usług platformy Azure są przypisane do tego standardu zgodności, zobacz Azure Policy Regulatory Compliance - CMMC Level 3. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Certyfikacja modelu dojrzałości cyberbezpieczeństwa (CMMC).
| Domena | Identyfikator kontrolki | Tytuł kontrolki | Policy (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Access Control | AC.1.003 | Weryfikowanie i kontrolowanie/ograniczanie połączeń z zewnętrznymi systemami informacyjnym i korzystanie z nich. | [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | 3.0.0-preview |
| Access Control | AC.2.013 | Monitorowanie i kontrolowanie sesji dostępu zdalnego. | Usługa Network Watcher powinna być włączona | 3.0.0 |
| Access Control | AC.2.016 | Kontroluj przepływ CUI zgodnie z zatwierdzonymi autoryzacjami. | [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | 3.0.0-preview |
| Zarządzanie konfiguracją | CM.2.064 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | 3.0.0-preview |
| Zarządzanie konfiguracją | CM.2.064 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | 1.0.2 |
| Zarządzanie konfiguracją | CM.2.064 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | 2.0.0 |
| Zarządzanie konfiguracją | CM.2.064 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Application Gateway | 1.0.0 |
| Zarządzanie konfiguracją | CM.2.064 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Azure Front Door Service | 1.0.0 |
| Zarządzanie konfiguracją | CM.3.068 | Ogranicz, wyłącz lub uniemożliwiaj korzystanie z nieistotnych programów, funkcji, portów, protokołów i usług. | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| Reagowania na incydenty | IR.2.093 | Wykrywanie i zgłaszanie zdarzeń. | [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | 3.0.0-preview |
| Reagowania na incydenty | IR.2.093 | Wykrywanie i zgłaszanie zdarzeń. | Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | 1.0.2 |
| Reagowania na incydenty | IR.2.093 | Wykrywanie i zgłaszanie zdarzeń. | Dzienniki przepływu należy skonfigurować dla każdej sieciowej grupy zabezpieczeń | 1.1.0 |
| Reagowania na incydenty | IR.2.093 | Wykrywanie i zgłaszanie zdarzeń. | Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | 2.0.0 |
| Reagowania na incydenty | IR.2.093 | Wykrywanie i zgłaszanie zdarzeń. | Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Application Gateway | 1.0.0 |
| Reagowania na incydenty | IR.2.093 | Wykrywanie i zgłaszanie zdarzeń. | Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Azure Front Door Service | 1.0.0 |
| Ochrona systemu i komunikacji | SC.1.175 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | 1.0.2 |
| Ochrona systemu i komunikacji | SC.1.175 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Dzienniki przepływu należy skonfigurować dla każdej sieciowej grupy zabezpieczeń | 1.1.0 |
| Ochrona systemu i komunikacji | SC.1.175 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Usługa Network Watcher powinna być włączona | 3.0.0 |
| Ochrona systemu i komunikacji | SC.1.175 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | 2.0.0 |
| Ochrona systemu i komunikacji | SC.1.175 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Application Gateway | 1.0.0 |
| Ochrona systemu i komunikacji | SC.1.175 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Azure Front Door Service | 1.0.0 |
| Ochrona systemu i komunikacji | SC.1.176 | Zaimplementuj podsieć dla publicznie dostępnych składników systemowych, które są fizycznie lub logicznie oddzielone od sieci wewnętrznych. | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| Ochrona systemu i komunikacji | SC.3.180 | Stosowanie projektów architektonicznych, technik tworzenia oprogramowania i zasad inżynierii systemów, które promują skuteczne zabezpieczenia informacji w systemach organizacyjnych. | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| Ochrona systemu i komunikacji | SC.3.183 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | 3.0.0-preview |
| Ochrona systemu i komunikacji | SC.3.183 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | 1.0.2 |
| Ochrona systemu i komunikacji | SC.3.183 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Dzienniki przepływu należy skonfigurować dla każdej sieciowej grupy zabezpieczeń | 1.1.0 |
| Ochrona systemu i komunikacji | SC.3.183 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Usługa Network Watcher powinna być włączona | 3.0.0 |
| Ochrona systemu i komunikacji | SC.3.183 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| Ochrona systemu i komunikacji | SC.3.183 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | 2.0.0 |
| Ochrona systemu i komunikacji | SC.3.183 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Application Gateway | 1.0.0 |
| Ochrona systemu i komunikacji | SC.3.183 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Azure Front Door Service | 1.0.0 |
| Integralność systemu i informacji | SI.2.216 | Monitorowanie systemów organizacyjnych, w tym ruchu komunikacji przychodzącej i wychodzącej, w celu wykrywania ataków i wskaźników potencjalnych ataków. | [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | 3.0.0-preview |
| Integralność systemu i informacji | SI.2.216 | Monitorowanie systemów organizacyjnych, w tym ruchu komunikacji przychodzącej i wychodzącej, w celu wykrywania ataków i wskaźników potencjalnych ataków. | Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | 1.0.2 |
| Integralność systemu i informacji | SI.2.216 | Monitorowanie systemów organizacyjnych, w tym ruchu komunikacji przychodzącej i wychodzącej, w celu wykrywania ataków i wskaźników potencjalnych ataków. | Dzienniki przepływu należy skonfigurować dla każdej sieciowej grupy zabezpieczeń | 1.1.0 |
| Integralność systemu i informacji | SI.2.216 | Monitorowanie systemów organizacyjnych, w tym ruchu komunikacji przychodzącej i wychodzącej, w celu wykrywania ataków i wskaźników potencjalnych ataków. | Usługa Network Watcher powinna być włączona | 3.0.0 |
| Integralność systemu i informacji | SI.2.216 | Monitorowanie systemów organizacyjnych, w tym ruchu komunikacji przychodzącej i wychodzącej, w celu wykrywania ataków i wskaźników potencjalnych ataków. | Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | 2.0.0 |
| Integralność systemu i informacji | SI.2.216 | Monitorowanie systemów organizacyjnych, w tym ruchu komunikacji przychodzącej i wychodzącej, w celu wykrywania ataków i wskaźników potencjalnych ataków. | Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Application Gateway | 1.0.0 |
| Integralność systemu i informacji | SI.2.216 | Monitorowanie systemów organizacyjnych, w tym ruchu komunikacji przychodzącej i wychodzącej, w celu wykrywania ataków i wskaźników potencjalnych ataków. | Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Azure Front Door Service | 1.0.0 |
| Integralność systemu i informacji | SI.2.217 | Identyfikowanie nieautoryzowanego użycia systemów organizacyjnych. | Usługa Network Watcher powinna być włączona | 3.0.0 |
FedRAMP High
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz zgodność z przepisami usługi Azure Policy — FedRAMP High. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz FedRAMP High.
FedRAMP Moderate
Aby sprawdzić, jak dostępne wbudowane zasady Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz w Zgodność z przepisami usługi Azure Policy — FedRAMP Moderate. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz FedRAMP Moderate.
HIPAA HITRUST
Aby sprawdzić, jak dostępne wbudowane zasady Azure Policy dla wszystkich usług Azure są odwzorowywane w ramach tego standardu zgodności, proszę sprawdzić Zgodność z przepisami usługi Azure Policy — HIPAA HITRUST. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz HIPAA HITRUST.
| Domena | Identyfikator kontrolki | Tytuł kontrolki | Policy (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| 08 Ochrona sieci | 0805.01m1Organizacja.12-01.m | 0805.01m1Organizational.12-01.m 01.04 Kontrola Dostępu do Sieci | Podsieci bramy nie powinny być skonfigurowane z sieciową grupą zabezpieczeń | 1.0.0 |
| 08 Ochrona sieci | 0805.01m1Organizacja.12-01.m | 0805.01m1Organizational.12-01.m 01.04 Kontrola Dostępu do Sieci | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| 08 Ochrona sieci | 0805.01m1Organizacja.12-01.m | 0805.01m1Organizational.12-01.m 01.04 Kontrola Dostępu do Sieci | Maszyny wirtualne powinny być połączone z zatwierdzoną siecią wirtualną | 1.0.0 |
| 08 Ochrona sieci | 0806.01m2Organizacja.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 Kontrola Dostępu do Sieci | Podsieci bramy nie powinny być skonfigurowane z sieciową grupą zabezpieczeń | 1.0.0 |
| 08 Ochrona sieci | 0806.01m2Organizacja.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 Kontrola Dostępu do Sieci | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| 08 Ochrona sieci | 0806.01m2Organizacja.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 Kontrola Dostępu do Sieci | Maszyny wirtualne powinny być połączone z zatwierdzoną siecią wirtualną | 1.0.0 |
| 08 Ochrona sieci | 0809.01n2Organizacyjny.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Kontrola Dostępu do Sieci | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| 08 Ochrona sieci | 0809.01n2Organizacyjny.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Kontrola Dostępu do Sieci | Maszyny wirtualne powinny być połączone z zatwierdzoną siecią wirtualną | 1.0.0 |
| 08 Ochrona sieci | 0810.01n2Organizacyjne.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Kontrola Dostępu do Sieci | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| 08 Ochrona sieci | 0810.01n2Organizacyjne.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Kontrola Dostępu do Sieci | Maszyny wirtualne powinny być połączone z zatwierdzoną siecią wirtualną | 1.0.0 |
| 08 Ochrona sieci | 0811.01n2Organizacyjne.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Kontrola Dostępu do Sieci | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| 08 Ochrona sieci | 0811.01n2Organizacyjne.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Kontrola Dostępu do Sieci | Maszyny wirtualne powinny być połączone z zatwierdzoną siecią wirtualną | 1.0.0 |
| 08 Ochrona sieci | 0812.01n2Organizacyjne.8-01.n | 0812.01n2Organizational.8-01.n 01.04 Kontrola Dostępu do Sieci | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| 08 Ochrona sieci | 0812.01n2Organizacyjne.8-01.n | 0812.01n2Organizational.8-01.n 01.04 Kontrola Dostępu do Sieci | Maszyny wirtualne powinny być połączone z zatwierdzoną siecią wirtualną | 1.0.0 |
| 08 Ochrona sieci | 0814.01n1Organizacja.12-01.n | 0814.01n1Organizational.12-01.n 01.04 Kontrola dostępu do sieci | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| 08 Ochrona sieci | 0814.01n1Organizacja.12-01.n | 0814.01n1Organizational.12-01.n 01.04 Kontrola dostępu do sieci | Maszyny wirtualne powinny być połączone z zatwierdzoną siecią wirtualną | 1.0.0 |
| 08 Ochrona sieci | 0837.09.n2Organizacyjny.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 Zarządzanie bezpieczeństwem sieciowym | Usługa Network Watcher powinna być włączona | 3.0.0 |
| 08 Ochrona sieci | 0860.09m1Organizacja.9-09.m | 0860.09m1Organizational.9-09.m 09.06 Zarządzanie Bezpieczeństwem Sieci | Wdrażanie ustawień diagnostycznych dla sieciowych grup zabezpieczeń | 2.0.1 |
| 08 Ochrona sieci | 0886.09n2Organizacyjny.4-09.n | 0886.09n2Organizational.4-09.n 09.06 Zarządzanie Bezpieczeństwem Sieciowym | Usługa Network Watcher powinna być włączona | 3.0.0 |
| 08 Ochrona sieci | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 Zarządzanie bezpieczeństwem sieci | Usługa Network Watcher powinna być włączona | 3.0.0 |
| 08 Ochrona sieci | 0894.01m2Organizacyjne.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Kontrola Dostępu do Sieci | Wdrażanie usługi Network Watcher podczas tworzenia sieci wirtualnych | 1.0.0 |
| 08 Ochrona sieci | 0894.01m2Organizacyjne.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Kontrola Dostępu do Sieci | Podsieci bramy nie powinny być skonfigurowane z sieciową grupą zabezpieczeń | 1.0.0 |
| 08 Ochrona sieci | 0894.01m2Organizacyjne.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Kontrola Dostępu do Sieci | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| 08 Ochrona sieci | 0894.01m2Organizacyjne.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Kontrola Dostępu do Sieci | Maszyny wirtualne powinny być połączone z zatwierdzoną siecią wirtualną | 1.0.0 |
IRS 1075 września 2016 r.
Aby sprawdzić, jak dostępne wbudowane zasady Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — IRS 1075 wrzesień 2016. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz IRS 1075 wrzesień 2016.
| Domena | Identyfikator kontrolki | Tytuł kontrolki | Policy (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Ochrona systemu i komunikacji | 9.3.16.4 | Odmowa ochrony usługi (SC-5) | Usługa Azure DDoS Protection powinna być włączona | 3.0.1 |
Wzorzec bezpieczeństwa w chmurze Microsoft
Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Aby zobaczyć, jak ta usługa całkowicie mapuje się na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pliki mapowania testów porównawczych zabezpieczeń platformy Azure.
Aby dowiedzieć się, jak dostępne wbudowane zasady Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — test porównawczy zabezpieczeń w chmurze firmy Microsoft.
NIST SP 800-171 R2
Aby sprawdzić, jak dostępne wbudowane zasady Azure Policy odnoszą się do tego standardu zgodności dla wszystkich usług platformy Azure, zobacz Zgodność z przepisami usługi Azure Policy — NIST SP 800-171 R2. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-171 R2.
| Domena | Identyfikator kontrolki | Tytuł kontrolki | Policy (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Access Control | 3.1.3 | Kontroluj przepływ CUI zgodnie z zatwierdzonymi autoryzacjami. | [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | 3.0.0-preview |
| Access Control | 3.1.3 | Kontroluj przepływ CUI zgodnie z zatwierdzonymi autoryzacjami. | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.1 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | 3.0.0-preview |
| Ochrona systemu i komunikacji | 3.13.1 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | 1.0.2 |
| Ochrona systemu i komunikacji | 3.13.1 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.1 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | 2.0.0 |
| Ochrona systemu i komunikacji | 3.13.2 | Stosowanie projektów architektonicznych, technik tworzenia oprogramowania i zasad inżynierii systemów, które promują skuteczne zabezpieczenia informacji w systemach organizacyjnych. | [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | 3.0.0-preview |
| Ochrona systemu i komunikacji | 3.13.2 | Stosowanie projektów architektonicznych, technik tworzenia oprogramowania i zasad inżynierii systemów, które promują skuteczne zabezpieczenia informacji w systemach organizacyjnych. | Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | 1.0.2 |
| Ochrona systemu i komunikacji | 3.13.2 | Stosowanie projektów architektonicznych, technik tworzenia oprogramowania i zasad inżynierii systemów, które promują skuteczne zabezpieczenia informacji w systemach organizacyjnych. | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.2 | Stosowanie projektów architektonicznych, technik tworzenia oprogramowania i zasad inżynierii systemów, które promują skuteczne zabezpieczenia informacji w systemach organizacyjnych. | Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | 2.0.0 |
| Ochrona systemu i komunikacji | 3.13.5 | Zaimplementuj podsieć dla publicznie dostępnych składników systemowych, które są fizycznie lub logicznie oddzielone od sieci wewnętrznych. | [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | 3.0.0-preview |
| Ochrona systemu i komunikacji | 3.13.5 | Zaimplementuj podsieć dla publicznie dostępnych składników systemowych, które są fizycznie lub logicznie oddzielone od sieci wewnętrznych. | Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | 1.0.2 |
| Ochrona systemu i komunikacji | 3.13.5 | Zaimplementuj podsieć dla publicznie dostępnych składników systemowych, które są fizycznie lub logicznie oddzielone od sieci wewnętrznych. | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.5 | Zaimplementuj podsieć dla publicznie dostępnych składników systemowych, które są fizycznie lub logicznie oddzielone od sieci wewnętrznych. | Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | 2.0.0 |
| Ochrona systemu i komunikacji | 3.13.6 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | 3.0.0-preview |
| Ochrona systemu i komunikacji | 3.13.6 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | 1.0.2 |
| Ochrona systemu i komunikacji | 3.13.6 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.6 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | 2.0.0 |
| Integralność systemu i informacji | 3.14.6 | Monitorowanie systemów organizacyjnych, w tym ruchu komunikacji przychodzącej i wychodzącej, w celu wykrywania ataków i wskaźników potencjalnych ataków. | [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | 3.0.0-preview |
| Integralność systemu i informacji | 3.14.6 | Monitorowanie systemów organizacyjnych, w tym ruchu komunikacji przychodzącej i wychodzącej, w celu wykrywania ataków i wskaźników potencjalnych ataków. | Usługa Network Watcher powinna być włączona | 3.0.0 |
| Integralność systemu i informacji | 3.14.7 | Identyfikowanie nieautoryzowanego użycia systemów organizacyjnych. | [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | 3.0.0-preview |
| Integralność systemu i informacji | 3.14.7 | Identyfikowanie nieautoryzowanego użycia systemów organizacyjnych. | Usługa Network Watcher powinna być włączona | 3.0.0 |
| Inspekcja i odpowiedzialność | 3.3.1 | Tworzenie i przechowywanie dzienników i rekordów inspekcji systemu w zakresie wymaganym do włączenia monitorowania, analizy, badania i raportowania bezprawnej lub nieautoryzowanej aktywności systemu | Usługa Network Watcher powinna być włączona | 3.0.0 |
| Inspekcja i odpowiedzialność | 3.3.2 | Upewnij się, że działania poszczególnych użytkowników systemu mogą być jednoznacznie śledzone dla tych użytkowników, dzięki czemu mogą być pociągnięci do odpowiedzialności za swoje działania. | Usługa Network Watcher powinna być włączona | 3.0.0 |
NIST SP 800-53 Rev. 4
Aby sprawdzić, jak dostępne wbudowane elementy Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zapoznaj się z Zgodność z przepisami usługi Azure Policy — NIST SP 800-53 Rev. 4. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Aby sprawdzić, jak dostępne wbudowane zasady usługi Azure Policy dla wszystkich usług Azure są mapowane na ten standard zgodności, zapoznaj się z Zgodność z przepisami usługi Azure Policy — NIST SP 800-53 Rev. 5. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-53 Rev. 5.
Motyw chmury NL BIO
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla tematu NL BIO Cloud Theme. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Baseline Information Security Government Cybersecurity - Digital Government (digitaleoverheid.nl).
| Domena | Identyfikator kontrolki | Tytuł kontrolki | Policy (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Separacja danych U.07.1 — izolowana | U.07.1 | Stała izolacja danych jest architekturą wielodostępną. Poprawki są realizowane w kontrolowany sposób. | Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | 1.0.2 |
| Separacja danych U.07.1 — izolowana | U.07.1 | Stała izolacja danych jest architekturą wielodostępną. Poprawki są realizowane w kontrolowany sposób. | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| Separacja danych U.07.1 — izolowana | U.07.1 | Stała izolacja danych jest architekturą wielodostępną. Poprawki są realizowane w kontrolowany sposób. | Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | 2.0.0 |
| Separacja danych U.07.3 — funkcje zarządzania | U.07.3 | U.07.3 — uprawnienia do wyświetlania lub modyfikowania danych CSC i/lub kluczy szyfrowania są przyznawane w kontrolowany sposób i są rejestrowane. | Bramy sieci VPN powinny używać tylko uwierzytelniania Azure Active Directory (Azure AD) dla użytkowników punkt-do-sieci | 1.0.0 |
| Ochrona przed złośliwym oprogramowaniem u.09.3 — wykrywanie, zapobieganie i odzyskiwanie | U.09.3 | Ochrona przed złośliwym oprogramowaniem jest uruchamiana w różnych środowiskach. | Usługa Azure DDoS Protection powinna być włączona | 3.0.1 |
| Ochrona przed złośliwym oprogramowaniem u.09.3 — wykrywanie, zapobieganie i odzyskiwanie | U.09.3 | Ochrona przed złośliwym oprogramowaniem jest uruchamiana w różnych środowiskach. | Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | 1.0.2 |
| Ochrona przed złośliwym oprogramowaniem u.09.3 — wykrywanie, zapobieganie i odzyskiwanie | U.09.3 | Ochrona przed złośliwym oprogramowaniem jest uruchamiana w różnych środowiskach. | Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | 2.0.0 |
| U.10.2 Dostęp do usług i danych IT — użytkownicy | U.10.2 | W ramach odpowiedzialności dostawcy CSP dostęp jest udzielany administratorom. | Bramy sieci VPN powinny używać tylko uwierzytelniania Azure Active Directory (Azure AD) dla użytkowników punkt-do-sieci | 1.0.0 |
| U.10.3 Dostęp do usług i danych IT — użytkownicy | U.10.3 | Tylko użytkownicy z uwierzytelnionymi sprzętami mogą uzyskiwać dostęp do usług i danych IT. | Bramy sieci VPN powinny używać tylko uwierzytelniania Azure Active Directory (Azure AD) dla użytkowników punkt-do-sieci | 1.0.0 |
| U.10.5 Dostęp do usług i danych IT — kompetentny | U.10.5 | Dostęp do usług i danych IT jest ograniczony przez środki techniczne i został wdrożony. | Bramy sieci VPN powinny używać tylko uwierzytelniania Azure Active Directory (Azure AD) dla użytkowników punkt-do-sieci | 1.0.0 |
| Interfejsy U.12.1 — połączenia sieciowe | U.12.1 | W punktach połączenia ze strefami zewnętrznymi lub niezaufanymi środki są podejmowane przeciwko atakom. | Usługa Azure DDoS Protection powinna być włączona | 3.0.1 |
| Interfejsy U.12.1 — połączenia sieciowe | U.12.1 | W punktach połączenia ze strefami zewnętrznymi lub niezaufanymi środki są podejmowane przeciwko atakom. | Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | 1.0.2 |
| Interfejsy U.12.1 — połączenia sieciowe | U.12.1 | W punktach połączenia ze strefami zewnętrznymi lub niezaufanymi środki są podejmowane przeciwko atakom. | Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | 2.0.0 |
| Interfejsy U.12.2 — połączenia sieciowe | U.12.2 | Składniki sieci są tak skonstruowane, że połączenia sieciowe między zaufanymi i niezaufanymi sieciami są ograniczone. | Usługa Azure DDoS Protection powinna być włączona | 3.0.1 |
| Interfejsy U.12.2 — połączenia sieciowe | U.12.2 | Składniki sieci są tak skonstruowane, że połączenia sieciowe między zaufanymi i niezaufanymi sieciami są ograniczone. | Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | 1.0.2 |
| Interfejsy U.12.2 — połączenia sieciowe | U.12.2 | Składniki sieci są tak skonstruowane, że połączenia sieciowe między zaufanymi i niezaufanymi sieciami są ograniczone. | Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | 2.0.0 |
| U.15.1 Rejestrowanie i monitorowanie — zarejestrowane zdarzenia | U.15.1 | Naruszenie zasad jest rejestrowane przez CSP i CSC. | Usługa Azure Front Door powinna mieć włączone dzienniki zasobów | 1.0.0 |
| U.15.1 Rejestrowanie i monitorowanie — zarejestrowane zdarzenia | U.15.1 | Naruszenie zasad jest rejestrowane przez CSP i CSC. | Usługa Network Watcher powinna być włączona | 3.0.0 |
Bank rezerw Indii — struktura IT dla NBFC
Aby sprawdzić, jak dostępne wbudowane zasady Azure Policy dla wszystkich usług platformy Azure odnoszą się do niniejszego standardu zgodności, zobacz Zgodność z przepisami usługi Azure Policy — Reserve Bank of India — IT Framework for NBFC. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Reserve Bank of India — struktura IT dla NBFC.
Ramy IT dla Banków Banku Rezerw Indii v2016
Aby sprawdzić, jak dostępne wbudowane zasady Azure Policy są przyporządkowywane do tego standardu zgodności dla wszystkich usług platformy Azure, zobacz Zgodność z przepisami usługi Azure Policy — RBI ITF Banks v2016. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz RBI ITF Banks v2016 (PDF).
| Domena | Identyfikator kontrolki | Tytuł kontrolki | Policy (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Zarządzanie siecią i zabezpieczenia | Spis sieci 4.2 | [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | 3.0.0-preview | |
| Konserwacja, monitorowanie i analiza dzienników inspekcji | Konserwacja, monitorowanie i analiza dzienników inspekcji-16.1 | Wszystkie zasoby dziennika przepływu powinny być w stanie włączonym | 1.0.1 | |
| Kryminalistyka | Kryminaliści-22.1 | Usługa Azure DDoS Protection powinna być włączona | 3.0.1 | |
| Zarządzanie siecią i zabezpieczenia | Zarządzanie konfiguracją urządzeń sieciowych-4.3 | Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | 1.0.2 | |
| Konserwacja, monitorowanie i analiza dzienników inspekcji | Konserwacja, monitorowanie i analiza dzienników inspekcji-16.1 | Dzienniki przepływu należy skonfigurować dla każdej sieciowej grupy zabezpieczeń | 1.1.0 | |
| Zarządzanie siecią i zabezpieczenia | Spis sieci 4.2 | Dzienniki przepływu usługi Network Watcher powinny mieć włączoną analizę ruchu | 1.0.1 | |
| Zarządzanie siecią i zabezpieczenia | Centrum Operacji Bezpieczeństwa-4.9 | Usługa Network Watcher powinna być włączona | 3.0.0 | |
| Zarządzanie siecią i zabezpieczenia | Zarządzanie konfiguracją urządzeń sieciowych-4.3 | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 | |
| Zarządzanie siecią i zabezpieczenia | Zarządzanie konfiguracją urządzeń sieciowych-4.3 | Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | 2.0.0 | |
| Cykl życia zabezpieczeń aplikacji (Aslc) | Cykl życia zabezpieczeń aplikacji (Aslc)-6.7 | Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Application Gateway | 1.0.0 |
RMIT Malezja
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure odpowiadają temu standardowi zgodności, zobacz Zgodność z przepisami usługi Azure Policy — RMIT Malaysia. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz RMIT Malaysia.
| Domena | Identyfikator kontrolki | Tytuł kontrolki | Policy (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Odporność sieci | 10.33 | Odporność sieci — 10.33 | Wszystkie zasoby dziennika przepływu powinny być w stanie włączonym | 1.0.1 |
| Odporność sieci | 10.33 | Odporność sieci — 10.33 | Bramy sieci VPN platformy Azure nie powinny używać jednostki SKU "podstawowa" | 1.0.0 |
| Odporność sieci | 10.33 | Odporność sieci — 10.33 | Dzienniki przepływu należy skonfigurować dla każdej sieciowej grupy zabezpieczeń | 1.1.0 |
| Odporność sieci | 10.33 | Odporność sieci — 10.33 | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| Odporność sieci | 10.33 | Odporność sieci — 10.33 | Maszyny wirtualne powinny być połączone z zatwierdzoną siecią wirtualną | 1.0.0 |
| Odporność sieci | 10.33 | Odporność sieci — 10.33 | Sieci wirtualne powinny używać określonej bramy sieci wirtualnej | 1.0.0 |
| Odporność sieci | 10.35 | Odporność sieci — 10,35 | Usługa Network Watcher powinna być włączona | 3.0.0 |
| Odporność sieci | 10,39 | Odporność sieci — 10.39 | Do wszystkich połączeń bramy wirtualnej sieci Azure muszą być stosowane niestandardowe zasady IPsec/IKE | 1.0.0 |
| Rozproszona odmowa usługi (DDoS) | 11.13 | Rozproszona odmowa usługi (DDoS) — 11.13 | Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | 1.0.2 |
| Security Operations Centre (SOC) | 11.18 | Security Operations Centre (SOC) — 11.18 | Usługa Azure DDoS Protection powinna być włączona | 3.0.1 |
| Środki kontroli nad cyberbezpieczeństwem | Dodatek 5.5 | Środki kontroli nad cyberbezpieczeństwem - dodatek 5.5 | Do wszystkich połączeń bramy wirtualnej sieci Azure muszą być stosowane niestandardowe zasady IPsec/IKE | 1.0.0 |
| Środki kontroli nad cyberbezpieczeństwem | Dodatek 5.6 | Środki kontroli nad cyberbezpieczeństwem - dodatek 5.6 | Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | 2.0.0 |
| Środki kontroli nad cyberbezpieczeństwem | Dodatek 5.6 | Środki kontroli nad cyberbezpieczeństwem - dodatek 5.6 | Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Application Gateway | 1.0.0 |
| Środki kontroli nad cyberbezpieczeństwem | Dodatek 5.6 | Środki kontroli nad cyberbezpieczeństwem - dodatek 5.6 | Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Azure Front Door Service | 1.0.0 |
| Środki kontroli nad cyberbezpieczeństwem | Dodatek 5.7 | Środki kontroli nad cyberbezpieczeństwem - dodatek 5.7 | Wszystkie zasoby dziennika przepływu powinny być w stanie włączonym | 1.0.1 |
| Środki kontroli nad cyberbezpieczeństwem | Dodatek 5.7 | Środki kontroli nad cyberbezpieczeństwem - dodatek 5.7 | Usługa Azure DDoS Protection powinna być włączona | 3.0.1 |
| Środki kontroli nad cyberbezpieczeństwem | Dodatek 5.7 | Środki kontroli nad cyberbezpieczeństwem - dodatek 5.7 | Dzienniki przepływu należy skonfigurować dla każdej sieciowej grupy zabezpieczeń | 1.1.0 |
| Środki kontroli nad cyberbezpieczeństwem | Dodatek 5.7 | Środki kontroli nad cyberbezpieczeństwem - dodatek 5.7 | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
Hiszpania ENS
Aby sprawdzić, jak wbudowane zasady Azure Policy dla wszystkich usług platformy Azure są powiązane z tym standardem zgodności, zobacz Szczegóły zgodności z przepisami Azure Policy dla Hiszpanii ENS. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CCN-STIC 884.
SWIFT CSP-CSCF v2021
Aby sprawdzić, jak dostępne wbudowane zasady Azure Policy dla wszystkich usług platformy Azure odpowiadają temu standardowi zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla SWIFT CSP-CSCF v2021. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz SWIFT CSP CSCF v2021.
| Domena | Identyfikator kontrolki | Tytuł kontrolki | Policy (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Ochrona środowiska SWIFT | 1.1 | Ochrona środowiska SWIFT | [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | 3.0.0-preview |
| Ochrona środowiska SWIFT | 1.1 | Ochrona środowiska SWIFT | Usługa Azure DDoS Protection powinna być włączona | 3.0.1 |
| Ochrona środowiska SWIFT | 1.1 | Ochrona środowiska SWIFT | Usługa Network Watcher powinna być włączona | 3.0.0 |
| Ochrona środowiska SWIFT | 1.1 | Ochrona środowiska SWIFT | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| Wykrywanie nietypowych działań w systemach lub rekordach transakcji | 6.5A | Wykrywanie nieautoryzowanego dostępu | Usługa Network Watcher powinna być włączona | 3.0.0 |
SWIFT CSP-CSCF v2022
Aby dowiedzieć się, jak dostępne wbudowane zasady Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami dla Azure Policy dla SWIFT CSP-CSCF v2022. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz SWIFT CSP CSCF v2022.
| Domena | Identyfikator kontrolki | Tytuł kontrolki | Policy (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1.1 | Zapewnij ochronę lokalnej infrastruktury SWIFT użytkownika przed potencjalnie naruszonymi elementami ogólnego środowiska IT i z otoczenia zewnętrznego. | [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | 3.0.0-preview |
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1.1 | Zapewnij ochronę lokalnej infrastruktury SWIFT użytkownika przed potencjalnie naruszonymi elementami ogólnego środowiska IT i z otoczenia zewnętrznego. | Usługa Network Watcher powinna być włączona | 3.0.0 |
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1.1 | Zapewnij ochronę lokalnej infrastruktury SWIFT użytkownika przed potencjalnie naruszonymi elementami ogólnego środowiska IT i z otoczenia zewnętrznego. | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1.4 | Kontrolowanie/ochrona dostępu do Internetu z komputerów i systemów operatora w strefie zabezpieczonej. | [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | 3.0.0-preview |
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1,5 A | Zapewnienie ochrony infrastruktury łączności klienta ze środowiska zewnętrznego i potencjalnie naruszonych elementów ogólnego środowiska IT. | [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | 3.0.0-preview |
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1,5 A | Zapewnienie ochrony infrastruktury łączności klienta ze środowiska zewnętrznego i potencjalnie naruszonych elementów ogólnego środowiska IT. | Usługa Azure DDoS Protection powinna być włączona | 3.0.1 |
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1,5 A | Zapewnienie ochrony infrastruktury łączności klienta ze środowiska zewnętrznego i potencjalnie naruszonych elementów ogólnego środowiska IT. | Usługa Network Watcher powinna być włączona | 3.0.0 |
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1,5 A | Zapewnienie ochrony infrastruktury łączności klienta ze środowiska zewnętrznego i potencjalnie naruszonych elementów ogólnego środowiska IT. | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| 6. Wykrywanie nietypowych działań w systemach lub rekordach transakcji | 6.4 | Rejestruj zdarzenia zabezpieczeń i wykrywaj nietypowe akcje i operacje w lokalnym środowisku SWIFT. | Wszystkie zasoby dziennika przepływu powinny być w stanie włączonym | 1.0.1 |
| 6. Wykrywanie nietypowych działań w systemach lub rekordach transakcji | 6.4 | Rejestruj zdarzenia zabezpieczeń i wykrywaj nietypowe akcje i operacje w lokalnym środowisku SWIFT. | Dzienniki przepływu należy skonfigurować dla każdej sieciowej grupy zabezpieczeń | 1.1.0 |
| 6. Wykrywanie nietypowych działań w systemach lub rekordach transakcji | 6.4 | Rejestruj zdarzenia zabezpieczeń i wykrywaj nietypowe akcje i operacje w lokalnym środowisku SWIFT. | Dzienniki przepływu usługi Network Watcher powinny mieć włączoną analizę ruchu | 1.0.1 |
| 6. Wykrywanie nietypowych działań w systemach lub rekordach transakcji | 6.5A | Wykrywanie i ograniczanie anomalnych działań sieciowych w lokalnym lub zdalnym środowisku SWIFT. | Usługa Network Watcher powinna być włączona | 3.0.0 |
Kontrolki systemu i organizacji (SOC) 2
Aby sprawdzić, w jaki sposób dostępne wbudowane zasady usługi Azure Policy odnoszą się do tego standardu zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla kontroli systemu i organizacji (SOC) 2. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz System and Organization Controls (SOC) 2.
| Domena | Identyfikator kontrolki | Tytuł kontrolki | Policy (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Kontrola dostępu logicznego i fizycznego | CC6.1 | Oprogramowanie zabezpieczeń dostępu logicznego, infrastruktura i architektury | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.6 | Środki bezpieczeństwa przed zagrożeniami poza granicami systemu | [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | 3.0.0-preview |
| Kontrola dostępu logicznego i fizycznego | CC6.6 | Środki bezpieczeństwa przed zagrożeniami poza granicami systemu | Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | 1.0.2 |
| Kontrola dostępu logicznego i fizycznego | CC6.6 | Środki bezpieczeństwa przed zagrożeniami poza granicami systemu | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.6 | Środki bezpieczeństwa przed zagrożeniami poza granicami systemu | Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | 2.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.7 | Ograniczanie przenoszenia informacji do autoryzowanych użytkowników | Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | 3.0.0 |
| Operacje systemowe | CC7.4 | Reagowanie na zdarzenia zabezpieczeń | Usługa Network Watcher powinna być włączona | 3.0.0 |
| Operacje systemowe | CC7.5 | Odzyskiwanie po zidentyfikowanych incydentach bezpieczeństwa | Usługa Network Watcher powinna być włączona | 3.0.0 |
OFICJALNY WIELKIEJ BRYTANII i Narodowa Służba Zdrowia w Wielkiej Brytanii
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — UK OFFICIAL i UK NHS. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz UK OFFICIAL.
| Domena | Identyfikator kontrolki | Tytuł kontrolki | Policy (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Bezpieczeństwo działania | 5.3 | Monitorowanie ochronne | Usługa Azure DDoS Protection powinna być włączona | 3.0.1 |
Następne kroki
- Dowiedz się więcej o zgodności z przepisami Azure Policy.
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.