Regelefterlevnadskontroller för Azure Policy för Azure AI-tjänster
Regelefterlevnad i Azure Policy tillhandahåller Microsoft-skapade och hanterade initiativdefinitioner, så kallade inbyggda, för efterlevnadsdomäner och säkerhetskontroller relaterade till olika efterlevnadsstandarder. På den här sidan visas efterlevnadsdomäner och säkerhetskontroller för Azure AI-tjänster. Du kan tilldela de inbyggda för en säkerhetskontroll individuellt för att göra dina Azure-resurser kompatibla med den specifika standarden.
Rubriken för varje inbyggd principdefinition länkar till principdefinitionen i Azure Portal. Använd länken i kolumnen Principversion för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Viktigt
Varje kontroll är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen. Det finns dock ofta ingen en-till-en-matchning eller en fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan kontroller och Azure Policy Regulatory Compliance-definitioner för dessa efterlevnadsstandarder kan ändras över tid.
Mer information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – CMMC-nivå 3. Mer information om den här efterlevnadsstandarden finns i CmMC (Cybersecurity Maturity Model Certification).
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure Portal) |
Principversion (GitHub) |
|---|---|---|---|---|
| Åtkomstkontroll | AC.1.001 | Begränsa åtkomsten till informationssystemet till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra informationssystem). | Azure AI Services-resurser bör begränsa nätverksåtkomsten | 3.2.0 |
| Åtkomstkontroll | AC.1.002 | Begränsa informationssystemets åtkomst till de typer av transaktioner och funktioner som behöriga användare har behörighet att köra. | Azure AI Services-resurser bör begränsa nätverksåtkomsten | 3.2.0 |
| Åtkomstkontroll | AC.2.016 | Kontrollera flödet av CUI i enlighet med godkända auktoriseringar. | Azure AI Services-resurser bör begränsa nätverksåtkomsten | 3.2.0 |
| Konfigurationshantering | CM.3.068 | Begränsa, inaktivera eller förhindra användning av icke-nödvändiga program, funktioner, portar, protokoll och tjänster. | Azure AI Services-resurser bör begränsa nätverksåtkomsten | 3.2.0 |
| System- och kommunikationsskydd | SC.1.175 | Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem. | Azure AI Services-resurser bör begränsa nätverksåtkomsten | 3.2.0 |
| System- och kommunikationsskydd | SC.3.177 | Använd FIPS-validerad kryptografi när den används för att skydda sekretessen för CUI. | Azure AI Services-resurser ska kryptera vilande data med en kundhanterad nyckel (CMK) | 2.2.0 |
| System- och kommunikationsskydd | SC.3.183 | Neka nätverkskommunikationstrafik som standard och tillåt nätverkskommunikationstrafik med undantag (dvs. neka alla, tillåt med undantag). | Azure AI Services-resurser bör begränsa nätverksåtkomsten | 3.2.0 |
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – FedRAMP High. Mer information om den här efterlevnadsstandarden finns i FedRAMP High.
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – FedRAMP Moderate( FedRAMP Moderate). Mer information om den här efterlevnadsstandarden finns i FedRAMP Moderate.
Microsofts prestandamått för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Information om hur den här tjänsten helt mappar till Microsofts molnsäkerhetsmått finns i mappningsfilerna för Azure Security Benchmark.
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – Microsoft Cloud Security Benchmark.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure Portal) |
Principversion (GitHub) |
|---|---|---|---|---|
| Nätverkssäkerhet | NS-2 | Skydda molntjänster med nätverkskontroller | [Inaktuell]: Cognitive Services bör använda privat länk | 3.0.1-inaktuell |
| Nätverkssäkerhet | NS-2 | Skydda molntjänster med nätverkskontroller | Azure AI Services-resurser bör begränsa nätverksåtkomsten | 3.2.0 |
| Nätverkssäkerhet | NS-2 | Skydda molntjänster med nätverkskontroller | Azure AI Services-resurser bör använda Azure Private Link | 1.0.0 |
| Identitetshantering | IM-1 | Använda centraliserat identitets- och autentiseringssystem | Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | 1.1.0 |
| Dataskydd | DP-5 | Använd alternativet kundhanterad nyckel i vilande datakryptering när det behövs | Azure AI Services-resurser ska kryptera vilande data med en kundhanterad nyckel (CMK) | 2.2.0 |
| Loggning och hotidentifiering | LT-3 | Aktivera loggning för säkerhetsundersökning | Diagnostikloggar i Azure AI-tjänstresurser ska vara aktiverade | 1.0.0 |
Mer information om hur de tillgängliga inbyggda Azure Policy-tjänsterna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – NIST SP 800-171 R2. Mer information om den här efterlevnadsstandarden finns i NIST SP 800-171 R2.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure Portal) |
Principversion (GitHub) |
|---|---|---|---|---|
| Åtkomstkontroll | 3.1.1 | Begränsa systemåtkomsten till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra system). | [Inaktuell]: Cognitive Services bör använda privat länk | 3.0.1-inaktuell |
| Åtkomstkontroll | 3.1.1 | Begränsa systemåtkomsten till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra system). | Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | 1.1.0 |
| Åtkomstkontroll | 3.1.12 | Övervaka och kontrollera fjärråtkomstsessioner. | [Inaktuell]: Cognitive Services bör använda privat länk | 3.0.1-inaktuell |
| Åtkomstkontroll | 3.1.13 | Använd kryptografiska mekanismer för att skydda sekretessen för fjärråtkomstsessioner. | [Inaktuell]: Cognitive Services bör använda privat länk | 3.0.1-inaktuell |
| Åtkomstkontroll | 3.1.14 | Dirigera fjärråtkomst via hanterade åtkomstkontrollpunkter. | [Inaktuell]: Cognitive Services bör använda privat länk | 3.0.1-inaktuell |
| Åtkomstkontroll | 3.1.2 | Begränsa systemåtkomsten till de typer av transaktioner och funktioner som behöriga användare har behörighet att köra. | Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | 1.1.0 |
| Åtkomstkontroll | 3.1.3 | Kontrollera flödet av CUI i enlighet med godkända auktoriseringar. | [Inaktuell]: Cognitive Services bör använda privat länk | 3.0.1-inaktuell |
| Åtkomstkontroll | 3.1.3 | Kontrollera flödet av CUI i enlighet med godkända auktoriseringar. | Azure AI Services-resurser bör begränsa nätverksåtkomsten | 3.2.0 |
| System- och kommunikationsskydd | 3.13.1 | Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem. | [Inaktuell]: Cognitive Services bör använda privat länk | 3.0.1-inaktuell |
| System- och kommunikationsskydd | 3.13.1 | Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem. | Azure AI Services-resurser bör begränsa nätverksåtkomsten | 3.2.0 |
| System- och kommunikationsskydd | 3.13.10 | Upprätta och hantera kryptografiska nycklar för kryptografi som används i organisationssystem. | Azure AI Services-resurser ska kryptera vilande data med en kundhanterad nyckel (CMK) | 2.2.0 |
| System- och kommunikationsskydd | 3.13.2 | Använd arkitekturdesign, programvaruutvecklingstekniker och systemteknikprinciper som främjar effektiv informationssäkerhet i organisationssystem. | [Inaktuell]: Cognitive Services bör använda privat länk | 3.0.1-inaktuell |
| System- och kommunikationsskydd | 3.13.2 | Använd arkitekturdesign, programvaruutvecklingstekniker och systemteknikprinciper som främjar effektiv informationssäkerhet i organisationssystem. | Azure AI Services-resurser bör begränsa nätverksåtkomsten | 3.2.0 |
| System- och kommunikationsskydd | 3.13.5 | Implementera undernät för offentligt tillgängliga systemkomponenter som är fysiskt eller logiskt åtskilda från interna nätverk. | [Inaktuell]: Cognitive Services bör använda privat länk | 3.0.1-inaktuell |
| System- och kommunikationsskydd | 3.13.5 | Implementera undernät för offentligt tillgängliga systemkomponenter som är fysiskt eller logiskt åtskilda från interna nätverk. | Azure AI Services-resurser bör begränsa nätverksåtkomsten | 3.2.0 |
| System- och kommunikationsskydd | 3.13.6 | Neka nätverkskommunikationstrafik som standard och tillåt nätverkskommunikationstrafik med undantag (dvs. neka alla, tillåt med undantag). | Azure AI Services-resurser bör begränsa nätverksåtkomsten | 3.2.0 |
| Identifiering och autentisering | 3.5.1 | Identifiera systemanvändare, processer som agerar på uppdrag av användare och enheter. | Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | 1.1.0 |
| Identifiering och autentisering | 3.5.2 | Autentisera (eller verifiera) identiteterna för användare, processer eller enheter som en förutsättning för att tillåta åtkomst till organisationssystem. | Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | 1.1.0 |
| Identifiering och autentisering | 3.5.5 | Förhindra återanvändning av identifierare under en definierad period. | Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | 1.1.0 |
| Identifiering och autentisering | 3.5.6 | Inaktivera identifierare efter en definierad inaktivitetsperiod. | Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | 1.1.0 |
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappar till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – NIST SP 800-53 Rev. 4. Mer information om den här efterlevnadsstandarden finns i NIST SP 800-53 Rev. 4.
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappar till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – NIST SP 800-53 Rev. 5. Mer information om den här efterlevnadsstandarden finns i NIST SP 800-53 Rev. 5.
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Information om regelefterlevnad i Azure Policy för NL BIO Cloud Theme. Mer information om den här efterlevnadsstandarden finns i Baseline Information Security Government Cybersecurity – Digital Government (digitaleoverheid.nl).
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure Portal) |
Principversion (GitHub) |
|---|---|---|---|---|
| U.05.2 Dataskydd – kryptografiska mått | U.05.2 | Data som lagras i molntjänsten ska skyddas mot den senaste tekniken. | Azure AI Services-resurser ska kryptera vilande data med en kundhanterad nyckel (CMK) | 2.2.0 |
| U.07.1 Dataavgränsning – isolerad | U.07.1 | Permanent isolering av data är en arkitektur för flera klientorganisationer. Korrigeringar realiseras på ett kontrollerat sätt. | [Inaktuell]: Cognitive Services bör använda privat länk | 3.0.1-inaktuell |
| U.07.1 Dataavgränsning – isolerad | U.07.1 | Permanent isolering av data är en arkitektur för flera klientorganisationer. Korrigeringar realiseras på ett kontrollerat sätt. | Azure AI Services-resurser bör begränsa nätverksåtkomsten | 3.2.0 |
| U.07.3-dataavgränsning – hanteringsfunktioner | U.07.3 | U.07.3 – Behörigheterna att visa eller ändra CSC-data och/eller krypteringsnycklar beviljas på ett kontrollerat sätt och användningen loggas. | Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | 1.1.0 |
| U.10.2 Åtkomst till IT-tjänster och data – Användare | U.10.2 | Under csp-programmets ansvar beviljas åtkomst till administratörer. | Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | 1.1.0 |
| U.10.3 Åtkomst till IT-tjänster och data – Användare | U.10.3 | Endast användare med autentiserad utrustning kan komma åt IT-tjänster och data. | Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | 1.1.0 |
| U.10.5 Åtkomst till IT-tjänster och data – Kompetent | U.10.5 | Åtkomsten till IT-tjänster och data begränsas av tekniska åtgärder och har implementerats. | Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | 1.1.0 |
| U.11.3 Cryptoservices – Krypterad | U.11.3 | Känsliga data krypteras alltid med privata nycklar som hanteras av CSC. | Azure AI Services-resurser ska kryptera vilande data med en kundhanterad nyckel (CMK) | 2.2.0 |
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – RBI ITF Banks v2016. Mer information om den här efterlevnadsstandarden finns i RBI ITF Banks v2016 (PDF).
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure Portal) |
Principversion (GitHub) |
|---|---|---|---|---|
| Avancerat realtidsremiss till försvar och ledning | Avancerat i realtid mot försvar och ledning-13,4 | Azure AI Services-resurser ska kryptera vilande data med en kundhanterad nyckel (CMK) | 2.2.0 | |
| Skydd mot nätfiske | Skydd mot nätfiske-14.1 | Azure AI Services-resurser bör begränsa nätverksåtkomsten | 3.2.0 |
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance details for System and Organization Controls (SOC) 2. Mer information om den här efterlevnadsstandarden finns i System- och organisationskontroller (SOC) 2.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure Portal) |
Principversion (GitHub) |
|---|---|---|---|---|
| Logiska och fysiska åtkomstkontroller | CC6.1 | Programvara, infrastruktur och arkitekturer för logisk åtkomstsäkerhet | Azure AI Services-resurser ska kryptera vilande data med en kundhanterad nyckel (CMK) | 2.2.0 |
- Läs mer om regelefterlevnad i Azure Policy.
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.