你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Microsoft Defender for Cloud 中的法规合规性标准

Microsoft Defender for Cloud 通过帮助确定阻碍你满足特定合规性标准或实现合规性认证的问题，简化了法规合规性过程。

行业标准、法规标准和基准在 Defender for Cloud 中表示为安全标准，并显示在“法规合规性”仪表板中。

合规性控件

每个安全标准由多个合规性控制措施组成，这些控制措施是相关安全建议的逻辑组。

Defender for Cloud 会根据可自动评估的任何合规性控制措施持续评估范围内的环境。 根据评估，它显示资源符合或不符合控制措施。

注意

请务必注意，如果标准具有无法自动评估的合规性控制措施，Defender for Cloud 将无法确定资源是否符合该控制措施。 在这种情况下，控制措施将显示为灰色。

查看合规性标准

“法规合规性”仪表板提供合规性状态的交互式概述。

在仪表板中，可以：

• 获取已通过的标准控制措施的摘要。
• 获取资源通过率最低的标准的摘要。
• 查看在所选范围内应用的标准。
• 查看应用的每个标准的合规性控制措施评估。
• 获取特定标准的摘要报告。
• 管理合规性策略，以查看分配给特定范围的标准。
• 运行查询以创建自定义合规性报告
• 创建“随时间推移的合规性工作簿”来跟踪随时间推移的合规性状态。
• 下载审核报告。
• 查看 Microsoft 和第三方审核的合规性产品/服务。

合规性标准详细信息

对于每个合规性标准，可以查看：

• 标准的范围。
• 每个标准细分为一组控制措施和子控制措施。
• 将标准应用于范围时，可针对每个标准控制措施查看范围内资源的合规性评估摘要。
• 评估的状态反映了标准的合规性。 有三种状态：
  • 绿色圆圈表示范围内的资源符合该控制措施。
  • 红色圆圈表示资源不符合该控制措施。
  • 不可用的控制措施是无法自动评估的控制措施，因此 Defender for Cloud 无法评估资源是否合规。

可以向下钻取到控制措施，以获取有关已通过/未通过评估的资源的信息，以及修正步骤。

默认合规性标准

默认情况下，启用 Defender for Cloud 时，会启用以下标准：

• 对于 Azure：Microsoft 云安全基准 (MCSB)。
• 对于 AWS：Microsoft 云安全基准 (MCSB) 和 AWS 基础安全最佳做法标准。
• 对于 GCP：Microsoft 云安全基准 (MCSB) 和 GCP 默认设置。

可用的合规标准

Defender for Cloud 提供了以下标准：

适用于 Azure 订阅的标准	适用于 AWS 帐户的标准	适用于 GCP 项目的标准
澳大利亚政府 ISM PROTECTED	AWS 基础安全最佳做法	巴西通用个人数据保护法 (LGPD)
加拿大联邦 PBMM	AWS 架构良好的框架	《加利福尼亚州消费者隐私法案 (CCPA)》
CIS Azure 基础	巴西通用个人数据保护法 (LGPD)	CIS 控件
CMMC	《加利福尼亚州消费者隐私法案 (CCPA)》	CIS GCP Foundations
FedRAMP“H”和“M”	CIS AWS Foundations	CIS Google Cloud Platform 基础基准
HIPAA/HITRUST	CRI Profile	CIS Google Kubernetes 引擎 (GKE) 基准
ISO/IEC 27001	CSA 云控制矩阵 (CCM)	CRI Profile
限制性的新西兰 ISM	GDPR	CSA 云控制矩阵 (CCM)
NIST SP 800-171	ISO/IEC 27001	网络安全成熟度模型认证 (CMMC)
NIST SP 800-53	ISO/IEC 27002	FFIEC 网络安全评估工具 (CAT)
PCI DSS	NIST 网络安全框架 (CSF)	GDPR
马来西亚 RMIT	NIST SP 800-172	ISO/IEC 27001
SOC 2	PCI DSS	ISO/IEC 27002
SWIFT CSP CSCF		ISO/IEC 27017
英国官方和英国 NHS		NIST 网络安全框架 (CSF)
		NIST SP 800-53
		NIST SP 800-171
		NIST SP 800-172
		PCI DSS
		萨班斯•奥克斯利法案 (SOX)
		SOC 2

相关内容

• 分配法规合规性标准
• 提高法规合规性