你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure AI 服务的 Azure Policy 监管合规性控制措施
Azure Policy 中的法规遵从性为与不同合规性标准相关的“合规性域”和“安全控制”提供由 Microsoft 创建和管理的计划定义,称为“内置项” 。 此页列出了 Azure AI 服务的“合规域”和“安全控制措施”。 可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
重要
每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的“符合”仅指策略本身。 这并不能确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 对于这些合规性标准,控件与 Azure Policy 法规合规性定义之间的关联可能会随时间的推移而发生变化。
CMMC 级别 3
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - CMMC 级别 3。 有关此合规性标准的详细信息,请参阅网络安全成熟度模型认证 (CMMC)。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 访问控制 | AC.2.016 | 根据批准的授权控制 CUI 流。 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 系统和通信保护 | SC.3.177 | 采用经 FIPS 验证的加密模块来保护 CUI 的机密性。 | 认知服务帐户应启用使用客户管理的密钥进行数据加密的功能 | 2.1.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
FedRAMP 高
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP High。 有关此合规性标准的详细信息,请参阅 FedRAMP High。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-2 | 帐户管理 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 访问控制 | AC-2 (1) | 自动系统帐户管理 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 访问控制 | AC-2 (7) | 基于角色的方案 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 访问控制 | AC-3 | 执法机构 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 访问控制 | AC-4 | 信息流强制 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 访问控制 | AC-4 | 信息流强制 | 认知服务应使用专用链接 | 3.0.0 |
| 访问控制 | AC-17 | 远程访问 | 认知服务应使用专用链接 | 3.0.0 |
| 访问控制 | AC-17 (1) | 自动化监视/控制 | 认知服务应使用专用链接 | 3.0.0 |
| 识别和身份验证 | IA-2 | 标识和身份验证(组织用户) | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 识别和身份验证 | IA-4 | 标识符管理 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 系统和通信保护 | SC-7 | 边界保护 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 系统和通信保护 | SC-7 | 边界保护 | 认知服务应使用专用链接 | 3.0.0 |
| 系统和通信保护 | SC-7 (3) | 接入点 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 系统和通信保护 | SC-7 (3) | 接入点 | 认知服务应使用专用链接 | 3.0.0 |
| 系统和通信保护 | SC-12 | 加密密钥建立和管理 | 认知服务帐户应启用使用客户管理的密钥进行数据加密的功能 | 2.1.0 |
FedRAMP 中等
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP Moderate。 有关此合规性标准的详细信息,请参阅 FedRAMP Moderate。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-2 | 帐户管理 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 访问控制 | AC-2 (1) | 自动系统帐户管理 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 访问控制 | AC-2 (7) | 基于角色的方案 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 访问控制 | AC-3 | 执法机构 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 访问控制 | AC-4 | 信息流强制 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 访问控制 | AC-4 | 信息流强制 | 认知服务应使用专用链接 | 3.0.0 |
| 访问控制 | AC-17 | 远程访问 | 认知服务应使用专用链接 | 3.0.0 |
| 访问控制 | AC-17 (1) | 自动化监视/控制 | 认知服务应使用专用链接 | 3.0.0 |
| 识别和身份验证 | IA-2 | 标识和身份验证(组织用户) | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 识别和身份验证 | IA-4 | 标识符管理 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 系统和通信保护 | SC-7 | 边界保护 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 系统和通信保护 | SC-7 | 边界保护 | 认知服务应使用专用链接 | 3.0.0 |
| 系统和通信保护 | SC-7 (3) | 接入点 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 系统和通信保护 | SC-7 (3) | 接入点 | 认知服务应使用专用链接 | 3.0.0 |
| 系统和通信保护 | SC-12 | 加密密钥建立和管理 | 认知服务帐户应启用使用客户管理的密钥进行数据加密的功能 | 2.1.0 |
Microsoft 云安全基准
Microsoft Cloud 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Microsoft Cloud 安全基准,请参阅 Azure 安全基准映射文件。
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - Microsoft Cloud 安全基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 网络安全 | NS-2 | 使用网络控制保护云服务 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 网络安全 | NS-2 | 使用网络控制保护云服务 | 认知服务应使用专用链接 | 3.0.0 |
| 标识管理 | IM-1 | 使用集中式标识和身份验证系统 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 数据保护 | DP-5 | 需要时在静态数据加密中使用客户管理的密钥选项 | 认知服务帐户应启用使用客户管理的密钥进行数据加密的功能 | 2.1.0 |
NIST SP 800-171 R2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-171 R2。 有关此符合性标准的详细信息,请参阅 NIST SP 800-171 R2。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 认知服务应使用专用链接 | 3.0.0 |
| 访问控制 | 3.1.12 | 监视和控制远程访问会话。 | 认知服务应使用专用链接 | 3.0.0 |
| 访问控制 | 3.1.13 | 采用加密机制来保护远程访问会话的机密性。 | 认知服务应使用专用链接 | 3.0.0 |
| 访问控制 | 3.1.14 | 通过托管的访问控制点路由远程访问。 | 认知服务应使用专用链接 | 3.0.0 |
| 访问控制 | 3.1.2 | 仅限授权用户有权执行的事务和函数类型进行系统访问。 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 认知服务应使用专用链接 | 3.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 认知服务应使用专用链接 | 3.0.0 |
| 系统和通信保护 | 3.13.10 | 为组织系统中使用的加密技术建立加密密钥并进行管理。 | 认知服务帐户应启用使用客户管理的密钥进行数据加密的功能 | 2.1.0 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 认知服务应使用专用链接 | 3.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 认知服务应使用专用链接 | 3.0.0 |
| 系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 识别和身份验证 | 3.5.1 | 识别系统用户、代表用户执行的进程以及设备。 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 识别和身份验证 | 3.5.5 | 防止在定义时间段内重复使用标识符。 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 识别和身份验证 | 3.5.6 | 在处于不活动状态的时间超过定义的时间段后禁用标识符。 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
NIST SP 800-53 修订版 4
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - NIST SP 800-53 修订版 4。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 4。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-2 | 帐户管理 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 访问控制 | AC-2 (1) | 自动系统帐户管理 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 访问控制 | AC-2 (7) | 基于角色的方案 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 访问控制 | AC-3 | 执法机构 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 访问控制 | AC-4 | 信息流强制 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 访问控制 | AC-4 | 信息流强制 | 认知服务应使用专用链接 | 3.0.0 |
| 访问控制 | AC-17 | 远程访问 | 认知服务应使用专用链接 | 3.0.0 |
| 访问控制 | AC-17 (1) | 自动化监视/控制 | 认知服务应使用专用链接 | 3.0.0 |
| 识别和身份验证 | IA-2 | 标识和身份验证(组织用户) | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 识别和身份验证 | IA-4 | 标识符管理 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 系统和通信保护 | SC-7 | 边界保护 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 系统和通信保护 | SC-7 | 边界保护 | 认知服务应使用专用链接 | 3.0.0 |
| 系统和通信保护 | SC-7 (3) | 接入点 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 系统和通信保护 | SC-7 (3) | 接入点 | 认知服务应使用专用链接 | 3.0.0 |
| 系统和通信保护 | SC-12 | 加密密钥建立和管理 | 认知服务帐户应启用使用客户管理的密钥进行数据加密的功能 | 2.1.0 |
NIST SP 800-53 Rev. 5
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-53 Rev. 5。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 5。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-2 | 帐户管理 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 访问控制 | AC-2 (1) | 自动系统帐户管理 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 访问控制 | AC-2 (7) | 特权用户帐户 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 访问控制 | AC-3 | 执法机构 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 访问控制 | AC-4 | 信息流强制 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 访问控制 | AC-4 | 信息流强制 | 认知服务应使用专用链接 | 3.0.0 |
| 访问控制 | AC-17 | 远程访问 | 认知服务应使用专用链接 | 3.0.0 |
| 访问控制 | AC-17 (1) | 监视和控制 | 认知服务应使用专用链接 | 3.0.0 |
| 识别和身份验证 | IA-2 | 标识和身份验证(组织用户) | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 识别和身份验证 | IA-4 | 标识符管理 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| 系统和通信保护 | SC-7 | 边界保护 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 系统和通信保护 | SC-7 | 边界保护 | 认知服务应使用专用链接 | 3.0.0 |
| 系统和通信保护 | SC-7 (3) | 接入点 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| 系统和通信保护 | SC-7 (3) | 接入点 | 认知服务应使用专用链接 | 3.0.0 |
| 系统和通信保护 | SC-12 | 加密密钥建立和管理 | 认知服务帐户应启用使用客户管理的密钥进行数据加密的功能 | 2.1.0 |
NL BIO 云主题
若要查看所有 Azure 服务内置的可用 Azure Policy 如何映射到此合规性标准,请参阅 NL BIO 云主题的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅基线信息安全政府网络安全 - 数字政府 (digitaleoverheid.nl)。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| U.05.2 数据保护 - 加密措施 | U.05.2 | 存储在云服务中的数据应受到最先进的保护。 | 认知服务帐户应启用使用客户管理的密钥进行数据加密的功能 | 2.1.0 |
| U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 | Azure AI 服务资源应限制网络访问 | 3.2.0 |
| U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 修补程序以受控的方式实现。 | 认知服务应使用专用链接 | 3.0.0 |
| U.07.3 数据分离 - 管理功能 | U.07.3 | U.07.3 - 以受控方式授予查看或修改 CSC 数据和/或加密密钥的权限,并记录使用。 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| U.10.2 访问 IT 服务和数据 - 用户 | U.10.2 | 根据 CSP 的责任,向管理员授予访问权限。 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| U.10.3 访问 IT 服务和数据 - 用户 | U.10.3 | 只有拥有已进行身份验证的设备的用户才能访问 IT 服务和数据。 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| U.10.5 访问 IT 服务和数据 - 胜任 | U.10.5 | 对 IT 服务和数据的访问受技术措施的限制,并已实施。 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 1.1.0 |
| U.11.3 加密服务 - 加密 | U.11.3 | 敏感数据始终使用 CSC 管理的私钥进行加密。 | 认知服务帐户应启用使用客户管理的密钥进行数据加密的功能 | 2.1.0 |
印度储备银行面向银行的 IT 框架 v2016
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - RBI ITF Banks v2016。 有关此合规性标准的详细信息,请参阅 RBI ITF Banks v2016 (PDF)。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 防网络钓鱼 | 防钓鱼-14.1 | Azure AI 服务资源应限制网络访问 | 3.2.0 | |
| 指标 | 指标-21.1 | 认知服务帐户应启用使用客户管理的密钥进行数据加密的功能 | 2.1.0 |
系统和组织控制 (SOC) 2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅适用于系统和组织控制 (SOC) 2 的 Azure Policy 法规合规性详细信息。 有关此合规性标准的详细信息,请参阅系统和组织控制 (SOC) 2。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 认知服务帐户应启用使用客户管理的密钥进行数据加密的功能 | 2.1.0 |
后续步骤
- 详细了解 Azure Policy 法规符合性。
- 在 Azure Policy GitHub 存储库中查看这些内置项。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈