你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
FedRAMP High 法规合规性内置计划的详细信息
下文详细说明了 Azure Policy 法规合规性内置计划定义如何映射到 FedRAMP High 中的合规性域和控制措施 。 有关此合规性标准的详细信息,请参阅 FedRAMP High。 若要了解所有权,请参阅 Azure Policy 策略定义和云中责任分担。
以下映射是到 FedRAMP High 控制的映射。 许多控制措施都是使用 Azure Policy 计划定义实现的。 若要查看完整计划定义,请在 Azure 门户中打开“策略”,并选择“定义”页 。 然后,找到并选择 FedRAMP High 法规合规性内置计划定义。
重要
下面的每个控件都与一个或多个 Azure Policy 定义关联。 这些策略有助于评估控制的合规性;但是,控制与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的符合性仅引用策略定义本身;这并不能确保你完全符合某个控制措施的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 此符合性标准的符合性域、控制措施和 Azure Policy 定义之间的关联可能会随着时间的推移而发生变化。 若要查看更改历史记录,请参阅 GitHub 提交历史记录。
访问控制
访问控制策略和过程
ID:FedRAMP High AC-1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定访问控制策略和过程 | CMA_0144 - 制定访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 治理策略和过程 | CMA_0292 - 治理策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看访问控制策略和过程 | CMA_0457 - 查看访问控制策略和过程 | 手动、已禁用 | 1.1.0 |
帐户管理
ID:FedRAMP High AC-2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 只多只为订阅指定 3 个所有者 | 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 3.0.0 |
| 分配客户经理 | CMA_0015 - 分配客户经理 | 手动、已禁用 | 1.1.0 |
| 审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | Audit、Disabled | 1.0.1 |
| 审核用户帐户状态 | CMA_0020 - 审核用户帐户状态 | 手动、已禁用 | 1.1.0 |
| Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://aka.ms/AI/auth | Audit、Deny、Disabled | 1.1.0 |
| 应删除对 Azure 资源拥有所有者权限的已封锁帐户 | 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取和写入权限的已封锁帐户 | 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 定义并强制执行共享帐户和组帐户的条件 | CMA_0117 - 定义并强制执行共享帐户和组帐户的条件 | 手动、已禁用 | 1.1.0 |
| 定义信息系统帐户类型 | CMA_0121 - 定义信息系统帐户类型 | 手动、已禁用 | 1.1.0 |
| 记录访问特权 | CMA_0186 - 记录访问特权 | 手动、已禁用 | 1.1.0 |
| 为角色成员资格设定条件 | CMA_0269 - 为角色成员资格设定条件 | 手动、已禁用 | 1.1.0 |
| 函数应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 3.0.0 |
| 应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取权限的来宾帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 监视帐户活动 | CMA_0377 - 监视帐户活动 | 手动、已禁用 | 1.1.0 |
| 通知客户控制帐户的帐户经理 | CMA_C1009 - 通知客户控制帐户的帐户经理 | 手动、已禁用 | 1.1.0 |
| 重新颁发已更改的组和帐户的验证器 | CMA_0426 - 重新颁发用于已更改的组和帐户的验证器 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问权限 | 手动、已禁用 | 1.1.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 审查用户帐户 | CMA_0480 - 审查用户帐户 | 手动、已禁用 | 1.1.0 |
| Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 | 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 | Audit、Deny、Disabled | 1.1.0 |
自动系统帐户管理
ID:FedRAMP High AC-2 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
| 自动执行帐户管理 | CMA_0026 - 自动执行帐户管理 | 手动、已禁用 | 1.1.0 |
| Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://aka.ms/AI/auth | Audit、Deny、Disabled | 1.1.0 |
| 管理系统和管理员帐户 | CMA_0368 - 管理系统和管理员帐户 | 手动、已禁用 | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 当不需要帐户时通知 | CMA_0383 - 当不需要帐户时通知 | 手动、已禁用 | 1.1.0 |
| Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 | 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 | Audit、Deny、Disabled | 1.1.0 |
禁用非活动帐户
ID:FedRAMP High AC-2 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 终止时禁用验证器 | CMA_0169 - 终止时禁用验证器 | 手动、已禁用 | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | 手动、已禁用 | 1.1.0 |
自动审核操作
ID:FedRAMP High AC-2 (4) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核用户帐户状态 | CMA_0020 - 审核用户帐户状态 | 手动、已禁用 | 1.1.0 |
| 自动执行帐户管理 | CMA_0026 - 自动执行帐户管理 | 手动、已禁用 | 1.1.0 |
| 管理系统和管理员帐户 | CMA_0368 - 管理系统和管理员帐户 | 手动、已禁用 | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 当不需要帐户时通知 | CMA_0383 - 当不需要帐户时通知 | 手动、已禁用 | 1.1.0 |
非活动状态注销
ID:FedRAMP High AC-2 (5) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义和强制实施非活动日志策略 | CMA_C1017 - 定义和强制实施非活动日志策略 | 手动、已禁用 | 1.1.0 |
基于角色的方案
ID:FedRAMP High AC-2 (7) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
| 审核特权函数 | CMA_0019 - 审核特权函数 | 手动、已禁用 | 1.1.0 |
| 审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | Audit、Disabled | 1.0.1 |
| Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://aka.ms/AI/auth | Audit、Deny、Disabled | 1.1.0 |
| 监视帐户活动 | CMA_0377 - 监视帐户活动 | 手动、已禁用 | 1.1.0 |
| 监视特权角色分配 | CMA_0378 - 监视特权角色分配 | 手动、已禁用 | 1.1.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问权限 | 手动、已禁用 | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | 手动、已禁用 | 1.1.0 |
| Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 | 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 | Audit、Deny、Disabled | 1.1.0 |
| 使用特权标识管理 | CMA_0533 - 使用特权标识管理 | 手动、已禁用 | 1.1.0 |
共享组/帐户的使用限制
ID:FedRAMP High AC-2 (9) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义并强制执行共享帐户和组帐户的条件 | CMA_0117 - 定义并强制执行共享帐户和组帐户的条件 | 手动、已禁用 | 1.1.0 |
共享/组帐户凭据终止
ID:FedRAMP High AC-2 (10) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 终止客户控制的帐户凭据 | CMA_C1022 - 终止客户控制的帐户凭据 | 手动、已禁用 | 1.1.0 |
使用条件
ID:FedRAMP High AC-2 (11) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 强制所有帐户的适当使用 | CMA_C1023 - 强制所有帐户的适当使用 | 手动、已禁用 | 1.1.0 |
帐户监视/非典型使用
ID:FedRAMP High AC-2 (12) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展 | 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| 应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于 Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用 Azure Defender for Resource Manager | Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于计算机上的 SQL 服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 审核所有未启用高级数据安全的 SQL 托管实例。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应通过即时网络访问控制来保护虚拟机的管理端口 | 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 | AuditIfNotExists、Disabled | 3.0.0 |
| 应启用 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 监视帐户活动 | CMA_0377 - 监视帐户活动 | 手动、已禁用 | 1.1.0 |
| 报告用户帐户的异常行为 | CMA_C1025 - 报告用户帐户的异常行为 | 手动、已禁用 | 1.1.0 |
针对高风险个人禁用帐户
ID:FedRAMP High AC-2 (13) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 禁用面临重大风险的用户帐户 | CMA_C1026 - 禁用存在重大风险的用户帐户 | 手动、已禁用 | 1.1.0 |
执法机构
ID:FedRAMP High AC-3 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对 Azure 资源拥有所有者权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有读取权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有写入权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 3.0.0 |
| 审核具有不使用密码的帐户的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机具有不使用密码的帐户,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
| 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 虽然 SSH 本身提供加密连接,但是将密码用于 SSH 仍会使 VM 易受到暴力攻击。 通过 SSH 对 Azure Linux 虚拟机进行身份验证时,最安全的方法是使用公钥-私钥对,也称为 SSH 密钥。 了解详细信息:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed。 | AuditIfNotExists、Disabled | 3.2.0 |
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://aka.ms/AI/auth | Audit、Deny、Disabled | 1.1.0 |
| 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 函数应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 3.0.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
| Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 | 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 | Audit、Deny、Disabled | 1.1.0 |
| 存储帐户应迁移到新的 Azure 资源管理器资源 | 使用新的 Azure 资源管理器为存储帐户提供安全增强功能,例如:更强大的访问控制 (RBAC)、更好的审核、基于 Azure 资源管理器的部署和监管、对托管标识的访问权限、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及对标记和资源组的支持,以简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
| 应将虚拟机迁移到新的 Azure 资源管理器资源 | 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
信息流强制
ID:FedRAMP High AC-4 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | Azure 安全中心已确认,你的某些子网未使用下一代防火墙进行保护。 通过使用 Azure 防火墙或受支持的下一代防火墙限制对子网的访问,保护子网免受潜在威胁的危害 | AuditIfNotExists、Disabled | 3.0.0-preview |
| [预览]:应禁止存储帐户公共访问 | 对 Azure 存储中的容器和 blob 进行匿名公共读取访问虽然是共享数据的一种简便方法,但可能会带来安全风险。 为了防止不希望的匿名访问导致数据泄露,Microsoft 建议禁止对存储帐户的公共访问,除非你的方案需要。 | audit、Audit、deny、Deny、disabled、Disabled | 3.1.0-preview |
| 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | Azure 安全中心会分析面向虚拟机的 Internet 的流量模式,并提供可减小潜在攻击面的网络安全组规则建议 | AuditIfNotExists、Disabled | 3.0.0 |
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| API 管理服务应使用虚拟网络 | Azure 虚拟网络部署提供了增强的安全性和隔离,并允许你将 API 管理服务放置在不可经 Internet 路由的网络(你控制对其的访问权限)中。 然后,可以使用各种 VPN 技术将这些网络连接到本地网络,这样就能够访问网络中的和/或本地的后端服务。 可以将开发人员门户和 API 网关配置为可以从 Internet 访问或只能在虚拟网络内访问。 | Audit、Deny、Disabled | 1.0.2 |
| 应用程序配置应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许所需的域与应用交互。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应在 Kubernetes 服务上定义经授权的 IP 范围 | 通过仅向特定范围内的 IP 地址授予 API 访问权限,来限制对 Kubernetes 服务管理 API 的访问。 建议将访问权限限制给已获授权的 IP 范围,以确保只有受允许网络中的应用程序可以访问群集。 | Audit、Disabled | 2.0.1 |
| Azure AI 服务资源应限制网络访问 | 通过限制网络访问,可以确保只有允许的网络才能访问该服务。 这可以通过配置网络规则来实现,从其确保只有允许的网络中的应用程序才可以访问 Azure AI 服务。 | Audit、Deny、Disabled | 3.2.0 |
| Azure API for FHIR 应使用专用链接 | Azure API for FHIR 应至少具有一个获得批准的专用终结点连接。 虚拟网络中的客户端可以安全地访问通过专用链接获得专用终结点连接的资源。 有关详细信息,请访问:https://aka.ms/fhir-privatelink。 | Audit、Disabled | 1.0.0 |
| Azure Cache for Redis 应使用专用链接 | 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 实例,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure 认知搜索服务应使用支持专用链接的 SKU | 使用 Azure 认知搜索的受支持的 SKU,可以通过 Azure 专用链接在源位置或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 认知搜索服务应禁用公用网络访问 | 禁用公用网络访问可确保 Azure 认知搜索服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制搜索服务的公开。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 认知搜索服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure 认知搜索可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit、Disabled | 1.0.0 |
| Azure Cosmos DB 帐户应有防火墙规则 | 应在 Azure Cosmos DB 帐户上定义防火墙规则,以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。 | Audit、Deny、Disabled | 2.0.0 |
| Azure 数据工厂应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure 事件网格域应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints。 | Audit、Disabled | 1.0.2 |
| Azure 事件网格主题应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格主题(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints。 | Audit、Disabled | 1.0.2 |
| Azure 文件同步应使用专用链接 | 为指定的存储同步服务资源创建专用终结点,可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源,而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure 密钥保管库应启用防火墙 | 启用密钥保管库防火墙,以便默认情况下,任何公共 IP 都无法访问密钥保管库。 (可选)可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息:https://docs.microsoft.com/azure/key-vault/general/network-security | Audit、Deny、Disabled | 3.2.1 |
| Azure 密钥保管库应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到密钥保管库,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/akvprivatelink。 | [parameters('audit_effect')] | 1.2.1 |
| Azure 机器学习工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | Audit、Disabled | 1.0.0 |
| Azure 服务总线命名空间应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SignalR 服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure SignalR 服务资源而不是整个服务,可降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/asrs/privatelink。 | Audit、Disabled | 1.0.0 |
| Azure Synapse 工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Synapse 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | Audit、Disabled | 1.0.1 |
| Azure Web PubSub 服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure Web PubSub 服务可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://aka.ms/awps/privatelink。 | Audit、Disabled | 1.0.0 |
| 认知服务帐户应禁用公用网络访问 | 若要提高认知服务帐户的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如 https://go.microsoft.com/fwlink/?linkid=2129800 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | Audit、Deny、Disabled | 3.0.1 |
| 认知服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800。 | Audit、Disabled | 3.0.0 |
| 容器注册表不得允许无限制的网络访问 | 默认情况下,Azure 容器注册表接受来自任何网络上的主机的 Internet 连接。 为了防止注册表受到潜在的威胁,只允许来自特定的专用终结点、公共 IP 地址或地址范围的访问。 如果注册表没有配置网络规则,它将出现在不正常资源中。 有关容器注册表网络规则的详细信息,请访问:https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/vnet。 | Audit、Deny、Disabled | 2.0.0 |
| 容器注册表应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。通过将专用终结点映射到容器注册表,而不是整个服务,还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/acr/private-link。 | Audit、Disabled | 1.0.1 |
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| CosmosDB 帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。 | Audit、Disabled | 1.0.0 |
| 磁盘访问资源应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 diskAccesses,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/disksprivatelinksdoc。 | AuditIfNotExists、Disabled | 1.0.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | 手动、已禁用 | 1.1.0 |
| 事件中心命名空间应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | AuditIfNotExists、Disabled | 1.0.0 |
| 面向 Internet 的虚拟机应使用网络安全组进行保护 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
| IoT 中心设备预配服务实例应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/iotdpsvnet。 | Audit、Disabled | 1.0.0 |
| 应禁用虚拟机上的 IP 转发 | 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应通过即时网络访问控制来保护虚拟机的管理端口 | 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 | AuditIfNotExists、Disabled | 3.0.0 |
| 应关闭虚拟机上的管理端口 | 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应使用网络安全组来保护非面向 Internet 的虚拟机 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
| 应启用 Azure SQL 数据库上的专用终结点连接 | 专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。 | Audit、Disabled | 1.1.0 |
| 应为 MariaDB 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for MariaDB 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为 MySQL 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for MySQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为 PostgreSQL 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for PostgreSQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应禁用 Azure SQL 数据库上的公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure SQL 数据库,从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 | Audit、Deny、Disabled | 1.1.0 |
| 应为 MariaDB 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MariaDB。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 2.0.0 |
| 应为 MySQL 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MySQL。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 2.0.0 |
| 应为 PostgreSQL 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for PostgreSQL。 此配置禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 2.0.1 |
| 应限制对存储帐户的网络访问 | 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 | Audit、Deny、Disabled | 1.1.1 |
| 存储帐户应使用虚拟网络规则来限制网络访问 | 使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 | Audit、Deny、Disabled | 1.0.1 |
| 存储帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview。 | AuditIfNotExists、Disabled | 2.0.0 |
| 子网应与网络安全组关联 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 | AuditIfNotExists、Disabled | 3.0.0 |
| VM 映像生成器模板应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 VM 映像生成器生成资源可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet。 | 审核、已禁用、拒绝 | 1.1.0 |
安全策略筛选器
ID:FedRAMP High AC-4 (8) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使用安全策略筛选器的信息流控制 | CMA_C1029 - 使用安全策略筛选器的信息流控制 | 手动、已禁用 | 1.1.0 |
信息流的物理/逻辑分离
ID:FedRAMP High AC-4 (21) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 建立防火墙和路由器配置标准 | CMA_0272 - 建立防火墙和路由器配置标准 | 手动、已禁用 | 1.1.0 |
| 为持卡人数据环境建立网络分段 | CMA_0273 - 为持卡人数据环境建立网络分段 | 手动、已禁用 | 1.1.0 |
| 标识和管理下游信息交换 | CMA_0298 - 标识和管理下游信息交换 | 手动、已禁用 | 1.1.0 |
职责划分
ID:FedRAMP High AC-5 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义访问授权以支持职责划分 | CMA_0116 - 定义访问授权以支持职责划分 | 手动、已禁用 | 1.1.0 |
| 记录职责划分 | CMA_0204 - 记录职责划分 | 手动、已禁用 | 1.1.0 |
| 个人的独立职责 | CMA_0492 - 个人的独立职责 | 手动、已禁用 | 1.1.0 |
| 应为订阅分配了多个所有者 | 建议指定多个订阅所有者,这样才会有管理员访问冗余。 | AuditIfNotExists、Disabled | 3.0.0 |
最小特权
ID:FedRAMP High AC-6 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 只多只为订阅指定 3 个所有者 | 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 | AuditIfNotExists、Disabled | 3.0.0 |
| 审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | Audit、Disabled | 1.0.1 |
| 设计访问控制模型 | CMA_0129 - 设计访问控制模型 | 手动、已禁用 | 1.1.0 |
| 采用最小特权访问 | CMA_0212 - 采用最小特权访问 | 手动、已禁用 | 1.1.0 |
授权对安全性函数的访问
ID:FedRAMP High AC-6 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
特权帐户
ID:FedRAMP High AC-6 (5) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问权限 | 手动、已禁用 | 1.1.0 |
用户特权评审
ID:FedRAMP High AC-6 (7) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 只多只为订阅指定 3 个所有者 | 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 | AuditIfNotExists、Disabled | 3.0.0 |
| 审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | Audit、Disabled | 1.0.1 |
| 根据需要重新分配或移除用户权限 | CMA_C1040 - 根据需要重新分配或移除用户权限 | 手动、已禁用 | 1.1.0 |
| 查看用户权限 | CMA_C1039 - 查看用户权限 | 手动、已禁用 | 1.1.0 |
代码执行的特权级别
ID:FedRAMP High AC-6 (8) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 强制实施软件执行特权 | CMA_C1041 - 强制实施软件执行特权 | 手动、已禁用 | 1.1.0 |
审核特权函数的使用
ID:FedRAMP High AC-6 (9) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核特权函数 | CMA_0019 - 审核特权函数 | 手动、已禁用 | 1.1.0 |
| 对已记录的特权命令进行全文分析 | CMA_0056 - 对已记录的特权命令进行全文分析 | 手动、已禁用 | 1.1.0 |
| 监视特权角色分配 | CMA_0378 - 监视特权角色分配 | 手动、已禁用 | 1.1.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问权限 | 手动、已禁用 | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | 手动、已禁用 | 1.1.0 |
| 使用特权标识管理 | CMA_0533 - 使用特权标识管理 | 手动、已禁用 | 1.1.0 |
失败的登录尝试次数
ID:FedRAMP High AC-7 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 强制限制连续失败的登录尝试次数 | CMA_C1044 - 强制限制连续失败的登录尝试次数 | 手动、已禁用 | 1.1.0 |
并发会话控制
ID:FedRAMP High AC-10 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义并强制执行并发会话的限制 | CMA_C1050 - 定义和强制执行并发会话的限制 | 手动、已禁用 | 1.1.0 |
会话终止
ID:FedRAMP High AC-12 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 自动终止用户会话 | CMA_C1054 - 自动终止用户会话 | 手动、已禁用 | 1.1.0 |
用户发起的注销/消息显示
ID:FedRAMP High AC-12 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 显示明确的注销消息 | CMA_C1056 - 显示明确的注销消息 | 手动、已禁用 | 1.1.0 |
| 提供注销功能 | CMA_C1055 - 提供注销功能 | 手动、已禁用 | 1.1.0 |
允许的操作,无需标识或身份验证
ID:FedRAMP High AC-14 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 识别未经身份验证允许的操作 | CMA_0295 - 识别未经身份验证允许的操作 | 手动、已禁用 | 1.1.0 |
远程访问
ID:FedRAMP High AC-17 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 应用程序配置应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应用服务应用应已禁用远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 2.0.0 |
| 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机允许通过没有密码的帐户进行远程连接,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| Azure API for FHIR 应使用专用链接 | Azure API for FHIR 应至少具有一个获得批准的专用终结点连接。 虚拟网络中的客户端可以安全地访问通过专用链接获得专用终结点连接的资源。 有关详细信息,请访问:https://aka.ms/fhir-privatelink。 | Audit、Disabled | 1.0.0 |
| Azure Cache for Redis 应使用专用链接 | 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 实例,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure 认知搜索服务应使用支持专用链接的 SKU | 使用 Azure 认知搜索的受支持的 SKU,可以通过 Azure 专用链接在源位置或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 认知搜索服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure 认知搜索可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit、Disabled | 1.0.0 |
| Azure 数据工厂应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure 事件网格域应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints。 | Audit、Disabled | 1.0.2 |
| Azure 事件网格主题应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格主题(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints。 | Audit、Disabled | 1.0.2 |
| Azure 文件同步应使用专用链接 | 为指定的存储同步服务资源创建专用终结点,可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源,而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure 密钥保管库应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到密钥保管库,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/akvprivatelink。 | [parameters('audit_effect')] | 1.2.1 |
| Azure 机器学习工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | Audit、Disabled | 1.0.0 |
| Azure 服务总线命名空间应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SignalR 服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure SignalR 服务资源而不是整个服务,可降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/asrs/privatelink。 | Audit、Disabled | 1.0.0 |
| Azure Spring Cloud 应使用网络注入 | Azure Spring Cloud 实例应使用虚拟网络注入实现以下目的:1. 将 Azure Spring Cloud 与 Internet 隔离。 2. 使 Azure Spring Cloud 能够与本地数据中心内的系统和/或其他虚拟网络中的 Azure 服务内的系统进行交互。 3. 授权客户控制 Azure Spring Cloud 的入站和出站网络通信。 | 审核、已禁用、拒绝 | 1.2.0 |
| Azure Synapse 工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Synapse 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | Audit、Disabled | 1.0.1 |
| Azure Web PubSub 服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure Web PubSub 服务可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://aka.ms/awps/privatelink。 | Audit、Disabled | 1.0.0 |
| 认知服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800。 | Audit、Disabled | 3.0.0 |
| 容器注册表应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。通过将专用终结点映射到容器注册表,而不是整个服务,还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/acr/private-link。 | Audit、Disabled | 1.0.1 |
| CosmosDB 帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。 | Audit、Disabled | 1.0.0 |
| 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 磁盘访问资源应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 diskAccesses,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/disksprivatelinksdoc。 | AuditIfNotExists、Disabled | 1.0.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 事件中心命名空间应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | AuditIfNotExists、Disabled | 1.0.0 |
| 函数应用应已禁用远程调试 | 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 2.0.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| IoT 中心设备预配服务实例应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/iotdpsvnet。 | Audit、Disabled | 1.0.0 |
| 应启用 Azure SQL 数据库上的专用终结点连接 | 专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。 | Audit、Disabled | 1.1.0 |
| 应为 MariaDB 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for MariaDB 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为 MySQL 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for MySQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为 PostgreSQL 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for PostgreSQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.2 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 应限制对存储帐户的网络访问 | 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 | Audit、Deny、Disabled | 1.1.1 |
| 存储帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview。 | AuditIfNotExists、Disabled | 2.0.0 |
| VM 映像生成器模板应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 VM 映像生成器生成资源可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet。 | 审核、已禁用、拒绝 | 1.1.0 |
自动监视/控制
ID:FedRAMP High AC-17 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 应用程序配置应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应用服务应用应已禁用远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 2.0.0 |
| 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机允许通过没有密码的帐户进行远程连接,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
| Azure API for FHIR 应使用专用链接 | Azure API for FHIR 应至少具有一个获得批准的专用终结点连接。 虚拟网络中的客户端可以安全地访问通过专用链接获得专用终结点连接的资源。 有关详细信息,请访问:https://aka.ms/fhir-privatelink。 | Audit、Disabled | 1.0.0 |
| Azure Cache for Redis 应使用专用链接 | 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 实例,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure 认知搜索服务应使用支持专用链接的 SKU | 使用 Azure 认知搜索的受支持的 SKU,可以通过 Azure 专用链接在源位置或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 认知搜索服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure 认知搜索可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit、Disabled | 1.0.0 |
| Azure 数据工厂应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure 事件网格域应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints。 | Audit、Disabled | 1.0.2 |
| Azure 事件网格主题应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格主题(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints。 | Audit、Disabled | 1.0.2 |
| Azure 文件同步应使用专用链接 | 为指定的存储同步服务资源创建专用终结点,可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源,而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure 密钥保管库应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到密钥保管库,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/akvprivatelink。 | [parameters('audit_effect')] | 1.2.1 |
| Azure 机器学习工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | Audit、Disabled | 1.0.0 |
| Azure 服务总线命名空间应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SignalR 服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure SignalR 服务资源而不是整个服务,可降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/asrs/privatelink。 | Audit、Disabled | 1.0.0 |
| Azure Spring Cloud 应使用网络注入 | Azure Spring Cloud 实例应使用虚拟网络注入实现以下目的:1. 将 Azure Spring Cloud 与 Internet 隔离。 2. 使 Azure Spring Cloud 能够与本地数据中心内的系统和/或其他虚拟网络中的 Azure 服务内的系统进行交互。 3. 授权客户控制 Azure Spring Cloud 的入站和出站网络通信。 | 审核、已禁用、拒绝 | 1.2.0 |
| Azure Synapse 工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Synapse 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | Audit、Disabled | 1.0.1 |
| Azure Web PubSub 服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure Web PubSub 服务可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://aka.ms/awps/privatelink。 | Audit、Disabled | 1.0.0 |
| 认知服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800。 | Audit、Disabled | 3.0.0 |
| 容器注册表应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。通过将专用终结点映射到容器注册表,而不是整个服务,还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/acr/private-link。 | Audit、Disabled | 1.0.1 |
| CosmosDB 帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。 | Audit、Disabled | 1.0.0 |
| 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 磁盘访问资源应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 diskAccesses,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/disksprivatelinksdoc。 | AuditIfNotExists、Disabled | 1.0.0 |
| 事件中心命名空间应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | AuditIfNotExists、Disabled | 1.0.0 |
| 函数应用应已禁用远程调试 | 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 2.0.0 |
| IoT 中心设备预配服务实例应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/iotdpsvnet。 | Audit、Disabled | 1.0.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 应启用 Azure SQL 数据库上的专用终结点连接 | 专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。 | Audit、Disabled | 1.1.0 |
| 应为 MariaDB 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for MariaDB 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为 MySQL 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for MySQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为 PostgreSQL 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for PostgreSQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应限制对存储帐户的网络访问 | 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 | Audit、Deny、Disabled | 1.1.1 |
| 存储帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview。 | AuditIfNotExists、Disabled | 2.0.0 |
| VM 映像生成器模板应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 VM 映像生成器生成资源可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet。 | 审核、已禁用、拒绝 | 1.1.0 |
使用加密机制的机密性/完整性保护
ID:FedRAMP High AC-17 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 通知用户系统登录或访问 | CMA_0382 - 在系统登录或访问时通知用户 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
托管的访问控制点
ID:FedRAMP High AC-17 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 通过托管网络访问点路由流量 | CMA_0484 - 通过托管网络访问点路由流量 | 手动、已禁用 | 1.1.0 |
特权命令/访问
ID:FedRAMP High AC-17 (4) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 授权远程访问特权命令 | CMA_C1064 - 授权远程访问特权命令 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
断开连接/禁用访问
ID:FedRAMP High AC-17 (9) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 提供断开或禁用远程访问的功能 | CMA_C1066 - 提供断开或禁用远程访问的功能 | 手动、已禁用 | 1.1.0 |
无线访问
ID:FedRAMP High AC-18 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
身份验证和加密
ID:FedRAMP High AC-18 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
移动设备的访问控制
ID:FedRAMP High AC-19 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义移动设备要求 | CMA_0122 - 定义移动设备要求 | 手动、已禁用 | 1.1.0 |
基于完整设备/容器的加密
ID:FedRAMP High AC-19 (5) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义移动设备要求 | CMA_0122 - 定义移动设备要求 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
使用外部信息系统
ID:FedRAMP High AC-20 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定访问资源的条款和条件 | CMA_C1076 - 制定访问资源的条款和条件 | 手动、已禁用 | 1.1.0 |
| 制定处理资源的条款和条件 | CMA_C1077 - 制定处理资源的条款和条件 | 手动、已禁用 | 1.1.0 |
授权使用的限制
ID:FedRAMP High AC-20 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 验证外部信息系统的安全控制 | CMA_0541 - 验证外部信息系统的安全控制 | 手动、已禁用 | 1.1.0 |
便携式存储设备
ID:FedRAMP High AC-20 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 控制便携式存储设备的使用 | CMA_0083 - 控制便携式存储设备的使用 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
信息共享
ID:FedRAMP High AC-21 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 自动化信息共享决策 | CMA_0028 - 自动化信息共享决策 | 手动、已禁用 | 1.1.0 |
| 促进信息共享 | CMA_0284 - 促进信息共享 | 手动、已禁用 | 1.1.0 |
可公开访问的内容
ID:FedRAMP High AC-22 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 指定发布可公开访问的信息的授权人员 | CMA_C1083 - 指定发布可公开访问的信息的授权人员 | 手动、已禁用 | 1.1.0 |
| 在发布可公开访问的信息之前审阅内容 | CMA_C1085 - 在发布可公开访问的信息之前审阅内容 | 手动、已禁用 | 1.1.0 |
| 审阅非公开信息的可公开访问内容 | CMA_C1086 - 审阅非公开信息的可公开访问内容 | 手动、已禁用 | 1.1.0 |
| 对人员进行关于披露非公开信息的培训 | CMA_C1084 - 对人员进行关于披露非公开信息的培训 | 手动、已禁用 | 1.1.0 |
意识和培训
安全意识和培训策略及程序
ID:FedRAMP High AT-1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录安全和隐私培训活动 | CMA_0198 - 记录安全和隐私培训活动 | 手动、已禁用 | 1.1.0 |
| 更新信息安全策略 | CMA_0518 - 更新信息安全策略 | 手动、已禁用 | 1.1.0 |
安全意识培训
ID:FedRAMP High AT-2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 提供定期安全意识培训 | CMA_C1091 - 提供定期安全意识培训 | 手动、已禁用 | 1.1.0 |
| 为新用户提供安全培训 | CMA_0419 - 为新用户提供安全培训 | 手动、已禁用 | 1.1.0 |
| 提供更新的安全意识培训 | CMA_C1090 - 提供更新的安全意识培训 | 手动、已禁用 | 1.1.0 |
内部威胁
ID:FedRAMP High AT-2 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 提供关于内部威胁的安全意识培训 | CMA_0417 - 提供关于内部威胁的安全意识培训 | 手动、已禁用 | 1.1.0 |
基于角色的安全培训
ID:FedRAMP High AT-3 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定期提供基于角色的安全训练 | CMA_C1095 - 定期提供基于角色的安全训练 | 手动、已禁用 | 1.1.0 |
| 提供基于角色的安全培训 | CMA_C1094 - 提供基于角色的安全培训 | 手动、已禁用 | 1.1.0 |
| 在提供访问权限之前提供安全培训 | CMA_0418 - 在提供访问权限之前提供安全培训 | 手动、已禁用 | 1.1.0 |
实践练习
ID:FedRAMP High AT-3 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 提供基于角色的实用练习 | CMA_C1096 - 提供基于角色的实用练习 | 手动、已禁用 | 1.1.0 |
可疑的通信和异常系统行为
ID:FedRAMP High AT-3 (4) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 提供针对可疑活动的基于角色的培训 | CMA_C1097 - 提供针对可疑活动的基于角色的培训 | 手动、已禁用 | 1.1.0 |
安全培训记录
ID:FedRAMP High AT-4 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录安全和隐私培训活动 | CMA_0198 - 记录安全和隐私培训活动 | 手动、已禁用 | 1.1.0 |
| 监视安全和隐私培训完成情况 | CMA_0379 - 监视安全和隐私培训完成情况 | 手动、已禁用 | 1.1.0 |
| 保留培训记录 | CMA_0456 - 保留培训记录 | 手动、已禁用 | 1.1.0 |
审核和责任
审核和责任策略和过程
ID:FedRAMP High AU-1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定审核和责任策略和过程 | CMA_0154- 制定审核和责任策略及过程 | 手动、已禁用 | 1.1.0 |
| 制定信息安全策略和过程 | CMA_0158 - 制定信息安全策略和过程 | 手动、已禁用 | 1.1.0 |
| 治理策略和过程 | CMA_0292 - 治理策略和过程 | 手动、已禁用 | 1.1.0 |
| 更新信息安全策略 | CMA_0518 - 更新信息安全策略 | 手动、已禁用 | 1.1.0 |
审核事件
ID:FedRAMP High AU-2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | 手动、已禁用 | 1.1.0 |
审阅和更新
ID:FedRAMP High AU-2 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看和更新 AU-02 中定义的事件 | CMA_C1106 - 查看和更新 AU-02 中定义的事件 | 手动、已禁用 | 1.1.0 |
审核记录的内容
ID:FedRAMP High AU-3 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | 手动、已禁用 | 1.1.0 |
其他审核信息
ID:FedRAMP High AU-3 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 配置 Azure 审核功能 | CMA_C1108 - 配置 Azure 审核功能 | 手动、已禁用 | 1.1.1 |
审核存储容量
ID:FedRAMP High AU-4 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 治理并监视审核处理活动 | CMA_0289 - 治理并监视审核处理活动 | 手动、已禁用 | 1.1.0 |
对审核处理失败的响应
ID:FedRAMP High AU-5 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 治理并监视审核处理活动 | CMA_0289 - 治理并监视审核处理活动 | 手动、已禁用 | 1.1.0 |
实时警报
ID:FedRAMP High AU-5 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 为审核事件失败提供实时警报 | CMA_C1114 - 为审核事件失败提供实时警报 | 手动、已禁用 | 1.1.0 |
审核评审、分析和报告
ID:FedRAMP High AU-6 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展 | 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| 应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于 Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用 Azure Defender for Resource Manager | Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于计算机上的 SQL 服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 SQL 服务器 | AuditIfNotExists、Disabled | 2.0.1 |
| 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 审核所有未启用高级数据安全的 SQL 托管实例。 | AuditIfNotExists、Disabled | 1.0.2 |
| 关联审核记录 | CMA_0087 - 关联审核记录 | 手动、已禁用 | 1.1.0 |
| 建立审核评审与报告要求 | CMA_0277 - 建立审核评审与报告的要求 | 手动、已禁用 | 1.1.0 |
| 集成审核评审、分析和报告 | CMA_0339 - 集成审核评审、分析和报告 | 手动、已禁用 | 1.1.0 |
| 将云应用安全与 SIEM 集成 | CMA_0340 - 将云应用安全与 SIEM 集成 | 手动、已禁用 | 1.1.0 |
| 应启用 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用网络观察程序 | 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 | AuditIfNotExists、Disabled | 3.0.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 每周检查管理员分配任务 | CMA_0461 - 每周检查管理员分配 | 手动、已禁用 | 1.1.0 |
| 查看审核数据 | CMA_0466 - 查看审核数据 | 手动、已禁用 | 1.1.0 |
| 查看云标识报告概述 | CMA_0468 - 查看云标识报告概述 | 手动、已禁用 | 1.1.0 |
| 查看受控文件夹访问事件 | CMA_0471 - 查看受控文件夹访问权限事件 | 手动、已禁用 | 1.1.0 |
| 查看文件和文件夹活动 | CMA_0473 - 查看文件和文件夹活动 | 手动、已禁用 | 1.1.0 |
| 每周评审角色组更改 | CMA_0476 - 每周评审角色组更改 | 手动、已禁用 | 1.1.0 |
过程集成
ID:FedRAMP High AU-6 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 关联审核记录 | CMA_0087 - 关联审核记录 | 手动、已禁用 | 1.1.0 |
| 建立审核评审与报告要求 | CMA_0277 - 建立审核评审与报告的要求 | 手动、已禁用 | 1.1.0 |
| 集成审核评审、分析和报告 | CMA_0339 - 集成审核评审、分析和报告 | 手动、已禁用 | 1.1.0 |
| 将云应用安全与 SIEM 集成 | CMA_0340 - 将云应用安全与 SIEM 集成 | 手动、已禁用 | 1.1.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 每周检查管理员分配任务 | CMA_0461 - 每周检查管理员分配 | 手动、已禁用 | 1.1.0 |
| 查看审核数据 | CMA_0466 - 查看审核数据 | 手动、已禁用 | 1.1.0 |
| 查看云标识报告概述 | CMA_0468 - 查看云标识报告概述 | 手动、已禁用 | 1.1.0 |
| 查看受控文件夹访问事件 | CMA_0471 - 查看受控文件夹访问权限事件 | 手动、已禁用 | 1.1.0 |
| 查看文件和文件夹活动 | CMA_0473 - 查看文件和文件夹活动 | 手动、已禁用 | 1.1.0 |
| 每周评审角色组更改 | CMA_0476 - 每周评审角色组更改 | 手动、已禁用 | 1.1.0 |
关联审核存储库
ID:FedRAMP High AU-6 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 关联审核记录 | CMA_0087 - 关联审核记录 | 手动、已禁用 | 1.1.0 |
| 将云应用安全与 SIEM 集成 | CMA_0340 - 将云应用安全与 SIEM 集成 | 手动、已禁用 | 1.1.0 |
集中评审和分析
ID:FedRAMP High AU-6 (4) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展 | 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [预览版]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机中 | 此策略审核是否有 Linux Azure Arc 计算机未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| [预览版]:Log Analytics 扩展应安装在 Windows Azure Arc 计算机中 | 此策略审核是否有 Windows Azure Arc 计算机未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| 应用服务应用应已启用资源日志 | 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists、Disabled | 2.0.1 |
| 应启用 SQL 服务器上的审核 | 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 | AuditIfNotExists、Disabled | 2.0.0 |
| 你的订阅应启用 Log Analytics 代理自动预配 | 为了监视安全漏洞和威胁,Azure 安全中心会从 Azure 虚拟机收集数据。 数据是使用 Log Analytics 代理收集的,该代理以前称为 Microsoft Monitoring Agent (MMA),它从计算机中读取各种安全相关的配置和事件日志,然后将数据复制到 Log Analytics 工作区以用于分析。 建议启用自动预配,将代理自动部署到所有受支持的 Azure VM 和任何新创建的 VM。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于 Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用 Azure Defender for Resource Manager | Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于计算机上的 SQL 服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 SQL 服务器 | AuditIfNotExists、Disabled | 2.0.1 |
| 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 审核所有未启用高级数据安全的 SQL 托管实例。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应在计算机上安装来宾配置扩展 | 若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾内策略将可用,如“应启用 Windows 攻击防护”。 更多信息请访问 https://aka.ms/gcpol。 | AuditIfNotExists、Disabled | 1.0.3 |
| Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 | 此策略审核是否有任何 Windows/Linux 虚拟机 (VM) 没有安装安全中心用于监视安全漏洞和威胁的 Log Analytics 代理 | AuditIfNotExists、Disabled | 1.0.0 |
| Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 | 安全中心从 Azure 虚拟机 (VM) 收集数据,以监视安全漏洞和威胁。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用网络观察程序 | 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应启用 Azure Data Lake Store 中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 Azure 流分析中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 Batch 帐户中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 Data Lake Analytics 中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用事件中心内的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 IoT 中心内的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 3.1.0 |
| 应启用 Key Vault 中的资源日志 | 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用逻辑应用中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.1.0 |
| 应启用搜索服务中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用服务总线中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息,请访问 https://aka.ms/gcpol | AuditIfNotExists、Disabled | 1.0.1 |
集成/扫描和监视功能
ID:FedRAMP High AU-6 (5) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展 | 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [预览版]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机中 | 此策略审核是否有 Linux Azure Arc 计算机未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| [预览版]:Log Analytics 扩展应安装在 Windows Azure Arc 计算机中 | 此策略审核是否有 Windows Azure Arc 计算机未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| 应用服务应用应已启用资源日志 | 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists、Disabled | 2.0.1 |
| 应启用 SQL 服务器上的审核 | 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 | AuditIfNotExists、Disabled | 2.0.0 |
| 你的订阅应启用 Log Analytics 代理自动预配 | 为了监视安全漏洞和威胁,Azure 安全中心会从 Azure 虚拟机收集数据。 数据是使用 Log Analytics 代理收集的,该代理以前称为 Microsoft Monitoring Agent (MMA),它从计算机中读取各种安全相关的配置和事件日志,然后将数据复制到 Log Analytics 工作区以用于分析。 建议启用自动预配,将代理自动部署到所有受支持的 Azure VM 和任何新创建的 VM。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于 Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用 Azure Defender for Resource Manager | Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于计算机上的 SQL 服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 SQL 服务器 | AuditIfNotExists、Disabled | 2.0.1 |
| 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 审核所有未启用高级数据安全的 SQL 托管实例。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应在计算机上安装来宾配置扩展 | 若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾内策略将可用,如“应启用 Windows 攻击防护”。 更多信息请访问 https://aka.ms/gcpol。 | AuditIfNotExists、Disabled | 1.0.3 |
| 集成审核记录分析 | CMA_C1120 - 集成审核记录分析 | 手动、已禁用 | 1.1.0 |
| Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 | 此策略审核是否有任何 Windows/Linux 虚拟机 (VM) 没有安装安全中心用于监视安全漏洞和威胁的 Log Analytics 代理 | AuditIfNotExists、Disabled | 1.0.0 |
| Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 | 安全中心从 Azure 虚拟机 (VM) 收集数据,以监视安全漏洞和威胁。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用网络观察程序 | 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应启用 Azure Data Lake Store 中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 Azure 流分析中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 Batch 帐户中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 Data Lake Analytics 中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用事件中心内的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 IoT 中心内的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 3.1.0 |
| 应启用 Key Vault 中的资源日志 | 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用逻辑应用中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.1.0 |
| 应启用搜索服务中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用服务总线中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息,请访问 https://aka.ms/gcpol | AuditIfNotExists、Disabled | 1.0.1 |
允许的操作
ID:FedRAMP High AU-6 (7) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 指定与客户审核信息关联的允许操作 | CMA_C1122 - 指定与客户审核信息关联的允许操作 | 手动、已禁用 | 1.1.0 |
审核等级调整
ID:FedRAMP High AU-6 (10) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 调整审核评审、分析和报告级别 | CMA_C1123 - 调整审核评审、分析和报告级别 | 手动、已禁用 | 1.1.0 |
审核缩减和报表生成
ID:FedRAMP High AU-7 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确保不会更改审核记录 | CMA_C1125 - 确保不会更改审核记录 | 手动、已禁用 | 1.1.0 |
| 提供审核评审、分析和报告功能 | CMA_C1124 - 提供审核评审、分析和报告功能 | 手动、已禁用 | 1.1.0 |
自动处理
ID:FedRAMP High AU-7 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 提供处理客户控制的审核记录的功能 | CMA_C1126 - 提供处理客户控制的审核记录的功能 | 手动、已禁用 | 1.1.0 |
时间戳
ID:FedRAMP High AU-8 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对审核记录使用系统时钟 | CMA_0535 - 对审核记录使用系统时钟 | 手动、已禁用 | 1.1.0 |
与权威时间源同步
ID:FedRAMP High AU-8 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对审核记录使用系统时钟 | CMA_0535 - 对审核记录使用系统时钟 | 手动、已禁用 | 1.1.0 |
审核信息保护
ID:FedRAMP High AU-9 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 启用双重或联合授权 | CMA_0226 - 启用双重或联合授权 | 手动、已禁用 | 1.1.0 |
| 保护审核信息 | CMA_0401 - 保护审核信息 | 手动、已禁用 | 1.1.0 |
对单独物理系统/组件的审核备份
ID:FedRAMP High AU-9 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立备份策略和过程 | CMA_0268 - 制定备份策略和过程 | 手动、已禁用 | 1.1.0 |
加密保护
ID:FedRAMP High AU-9 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 维护审核系统的完整性 | CMA_C1133 - 维护审核系统的完整性 | 手动、已禁用 | 1.1.0 |
由特权用户的子集访问
ID:FedRAMP High AU-9 (4) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 保护审核信息 | CMA_0401 - 保护审核信息 | 手动、已禁用 | 1.1.0 |
不可否认性
ID:FedRAMP High AU-10 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定电子签名和证书要求 | CMA_0271 - 制定电子签名和证书要求 | 手动、已禁用 | 1.1.0 |
审核记录保留期
ID:FedRAMP High AU-11 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守定义的保持期 | CMA_0004 - 遵守定义的保持期 | 手动、已禁用 | 1.1.0 |
| 保留安全策略和过程 | CMA_0454 - 保留安全策略和过程 | 手动、已禁用 | 1.1.0 |
| 保留终止的用户数据 | CMA_0455 - 保留终止的用户数据 | 手动、已禁用 | 1.1.0 |
| 对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 | 为便于调查事件,建议将 SQL Server 审核数据在存储帐户目标中的数据保留期设置为至少 90 天。 确认你遵守所运营区域的必要保留规则。 为了符合监管标准,有时需要这样做。 | AuditIfNotExists、Disabled | 3.0.0 |
审核生成
ID:FedRAMP High AU-12 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展 | 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [预览版]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机中 | 此策略审核是否有 Linux Azure Arc 计算机未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| [预览版]:Log Analytics 扩展应安装在 Windows Azure Arc 计算机中 | 此策略审核是否有 Windows Azure Arc 计算机未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| 应用服务应用应已启用资源日志 | 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists、Disabled | 2.0.1 |
| 审核特权函数 | CMA_0019 - 审核特权函数 | 手动、已禁用 | 1.1.0 |
| 审核用户帐户状态 | CMA_0020 - 审核用户帐户状态 | 手动、已禁用 | 1.1.0 |
| 应启用 SQL 服务器上的审核 | 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 | AuditIfNotExists、Disabled | 2.0.0 |
| 你的订阅应启用 Log Analytics 代理自动预配 | 为了监视安全漏洞和威胁,Azure 安全中心会从 Azure 虚拟机收集数据。 数据是使用 Log Analytics 代理收集的,该代理以前称为 Microsoft Monitoring Agent (MMA),它从计算机中读取各种安全相关的配置和事件日志,然后将数据复制到 Log Analytics 工作区以用于分析。 建议启用自动预配,将代理自动部署到所有受支持的 Azure VM 和任何新创建的 VM。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于 Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用 Azure Defender for Resource Manager | Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于计算机上的 SQL 服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 SQL 服务器 | AuditIfNotExists、Disabled | 2.0.1 |
| 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 审核所有未启用高级数据安全的 SQL 托管实例。 | AuditIfNotExists、Disabled | 1.0.2 |
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | 手动、已禁用 | 1.1.0 |
| 应在计算机上安装来宾配置扩展 | 若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾内策略将可用,如“应启用 Windows 攻击防护”。 更多信息请访问 https://aka.ms/gcpol。 | AuditIfNotExists、Disabled | 1.0.3 |
| Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 | 此策略审核是否有任何 Windows/Linux 虚拟机 (VM) 没有安装安全中心用于监视安全漏洞和威胁的 Log Analytics 代理 | AuditIfNotExists、Disabled | 1.0.0 |
| Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 | 安全中心从 Azure 虚拟机 (VM) 收集数据,以监视安全漏洞和威胁。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用网络观察程序 | 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应启用 Azure Data Lake Store 中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 Azure 流分析中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 Batch 帐户中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 Data Lake Analytics 中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用事件中心内的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 IoT 中心内的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 3.1.0 |
| 应启用 Key Vault 中的资源日志 | 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用逻辑应用中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.1.0 |
| 应启用搜索服务中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用服务总线中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 查看审核数据 | CMA_0466 - 查看审核数据 | 手动、已禁用 | 1.1.0 |
| 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息,请访问 https://aka.ms/gcpol | AuditIfNotExists、Disabled | 1.0.1 |
系统范围/时间相关的审核线索
ID:FedRAMP High AU-12 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展 | 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [预览版]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机中 | 此策略审核是否有 Linux Azure Arc 计算机未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| [预览版]:Log Analytics 扩展应安装在 Windows Azure Arc 计算机中 | 此策略审核是否有 Windows Azure Arc 计算机未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| 应用服务应用应已启用资源日志 | 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists、Disabled | 2.0.1 |
| 应启用 SQL 服务器上的审核 | 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 | AuditIfNotExists、Disabled | 2.0.0 |
| 你的订阅应启用 Log Analytics 代理自动预配 | 为了监视安全漏洞和威胁,Azure 安全中心会从 Azure 虚拟机收集数据。 数据是使用 Log Analytics 代理收集的,该代理以前称为 Microsoft Monitoring Agent (MMA),它从计算机中读取各种安全相关的配置和事件日志,然后将数据复制到 Log Analytics 工作区以用于分析。 建议启用自动预配,将代理自动部署到所有受支持的 Azure VM 和任何新创建的 VM。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于 Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用 Azure Defender for Resource Manager | Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于计算机上的 SQL 服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 SQL 服务器 | AuditIfNotExists、Disabled | 2.0.1 |
| 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 审核所有未启用高级数据安全的 SQL 托管实例。 | AuditIfNotExists、Disabled | 1.0.2 |
| 将审核记录编入系统范围的审核 | CMA_C1140 - 将审核记录编入系统范围的审核 | 手动、已禁用 | 1.1.0 |
| 应在计算机上安装来宾配置扩展 | 若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾内策略将可用,如“应启用 Windows 攻击防护”。 更多信息请访问 https://aka.ms/gcpol。 | AuditIfNotExists、Disabled | 1.0.3 |
| Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 | 此策略审核是否有任何 Windows/Linux 虚拟机 (VM) 没有安装安全中心用于监视安全漏洞和威胁的 Log Analytics 代理 | AuditIfNotExists、Disabled | 1.0.0 |
| Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 | 安全中心从 Azure 虚拟机 (VM) 收集数据,以监视安全漏洞和威胁。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用网络观察程序 | 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应启用 Azure Data Lake Store 中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 Azure 流分析中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 Batch 帐户中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 Data Lake Analytics 中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用事件中心内的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 IoT 中心内的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 3.1.0 |
| 应启用 Key Vault 中的资源日志 | 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用逻辑应用中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.1.0 |
| 应启用搜索服务中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用服务总线中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息,请访问 https://aka.ms/gcpol | AuditIfNotExists、Disabled | 1.0.1 |
获授权个人所做的更改
ID:FedRAMP High AU-12 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 提供对客户部署的资源进行扩展或限制审核的功能 | CMA_C1141 - 提供对客户部署的资源进行扩展或限制审核的功能 | 手动、已禁用 | 1.1.0 |
安全评估和授权
安全评估和授权策略和过程
ID:FedRAMP High CA-1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看安全评估和授权策略及过程 | CMA_C1143 - 查看安全评估和授权策略及过程 | 手动、已禁用 | 1.1.0 |
安全评估
ID:FedRAMP High CA-2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 评估安全控制措施 | CMA_C1145 - 评估安全控制 | 手动、已禁用 | 1.1.0 |
| 提供安全评估结果 | CMA_C1147 - 提供安全评估结果 | 手动、已禁用 | 1.1.0 |
| 制定安全评估计划 | CMA_C1144 - 制定安全评估计划 | 手动、已禁用 | 1.1.0 |
| 生成安全评估报告 | CMA_C1146 - 生成安全评估报告 | 手动、已禁用 | 1.1.0 |
独立评估者
ID:FedRAMP High CA-2 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使用独立评估员执行安全控制评估 | CMA_C1148 - 使用独立评估员执行安全控制评估 | 手动、已禁用 | 1.1.0 |
专业评估
ID:FedRAMP High CA-2 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 为安全控制评估选择其他测试 | CMA_C1149 - 为安全控制评估选择其他测试 | 手动、已禁用 | 1.1.0 |
外部组织
ID:FedRAMP High CA-2 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 接受评估结果 | CMA_C1150 - 接受评估结果 | 手动、已禁用 | 1.1.0 |
系统互连
ID:FedRAMP High CA-3 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 需要互连安全协议 | CMA_C1151 - 需要互连安全协议 | 手动、已禁用 | 1.1.0 |
| 更新互连安全协议 | CMA_0519 - 更新互连安全协议 | 手动、已禁用 | 1.1.0 |
未分类的非国内安全系统连接
ID:FedRAMP High CA-3 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
外部系统连接的限制
ID:FedRAMP High CA-3 (5) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对外部系统连接应用限制 | CMA_C1155 - 对外部系统连接应用限制 | 手动、已禁用 | 1.1.0 |
操作和里程碑计划
ID:FedRAMP High CA-5 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 开发 POAM(&M) | CMA_C1156 - 制定 POA&M | 手动、已禁用 | 1.1.0 |
| 更新 POAM 项(&M) | CMA_C1157 - 更新 POA&M 项 | 手动、已禁用 | 1.1.0 |
安全授权
ID:FedRAMP High CA-6 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 分配授权官方(AO) | CMA_C1158 - 分配授权官方 (AO) | 手动、已禁用 | 1.1.0 |
| 确保资源已获得授权 | CMA_C1159 - 确保资源已获得授权 | 手动、已禁用 | 1.1.0 |
| 更新安全授权 | CMA_C1160 - 更新安全授权 | 手动、已禁用 | 1.1.0 |
持续监视
ID:FedRAMP High CA-7 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 配置检测允许列表 | CMA_0068 - 配置检测允许列表 | 手动、已禁用 | 1.1.0 |
| 打开终结点安全解决方案的传感器 | CMA_0514 - 打开终结点安全解决方案的传感器 | 手动、已禁用 | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
独立评估
ID:FedRAMP High CA-7 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使用独立评估员进行持续监视 | CMA_C1168 - 使用独立评估员进行持续监视 | 手动、已禁用 | 1.1.0 |
趋势分析
ID:FedRAMP High CA-7 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 分析从持续监视中获取的数据 | CMA_C1169 - 分析从持续监视中获取的数据 | 手动、已禁用 | 1.1.0 |
独立的渗透代理或团队
ID:FedRAMP High CA-8 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 聘请独立团队进行渗透测试 | CMA_C1171 - 聘请独立团队进行渗透测试 | 手动、已禁用 | 1.1.0 |
内部系统连接
ID:FedRAMP High CA-9 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立内部连接之前检查隐私和安全合规性 | CMA_0053 - 建立内部连接之前检查隐私和安全合规性 | 手动、已禁用 | 1.1.0 |
配置管理
配置管理策略和过程
ID:FedRAMP High CM-1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看和更新配置管理策略和过程 | CMA_C1175 - 查看和更新配置管理策略和过程 | 手动、已禁用 | 1.1.0 |
基线配置
ID:FedRAMP High CM-2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 为非合规设备配置操作 | CMA_0062 - 为非合规设备配置操作 | 手动、已禁用 | 1.1.0 |
| 开发并维护基线配置 | CMA_0153 - 设计并维护基线配置 | 手动、已禁用 | 1.1.0 |
| 强制执行安全配置设置 | CMA_0249 - 强制执行安全配置设置 | 手动、已禁用 | 1.1.0 |
| 建立配置控制委员会 | CMA_0254 - 建立配置控制委员会 | 手动、已禁用 | 1.1.0 |
| 建立并记录配置管理计划 | CMA_0264 - 建立并记录配置管理计划 | 手动、已禁用 | 1.1.0 |
| 实现自动配置管理工具 | CMA_0311 - 实现自动配置管理工具 | 手动、已禁用 | 1.1.0 |
准确度/货币的自动化支持
ID:FedRAMP High CM-2 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 为非合规设备配置操作 | CMA_0062 - 为非合规设备配置操作 | 手动、已禁用 | 1.1.0 |
| 开发并维护基线配置 | CMA_0153 - 设计并维护基线配置 | 手动、已禁用 | 1.1.0 |
| 强制执行安全配置设置 | CMA_0249 - 强制执行安全配置设置 | 手动、已禁用 | 1.1.0 |
| 建立配置控制委员会 | CMA_0254 - 建立配置控制委员会 | 手动、已禁用 | 1.1.0 |
| 建立并记录配置管理计划 | CMA_0264 - 建立并记录配置管理计划 | 手动、已禁用 | 1.1.0 |
| 实现自动配置管理工具 | CMA_0311 - 实现自动配置管理工具 | 手动、已禁用 | 1.1.0 |
保留以前的配置
ID:FedRAMP High CM-2 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 保留基线配置的以前版本 | CMA_C1181 - 保留基线配置的以前版本 | 手动、已禁用 | 1.1.0 |
为高风险区域配置系统、组件或设备
ID:FedRAMP High CM-2 (7) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确保在个人返回时不需要安全保护措施 | CMA_C1183 - 确保在个人返回时不需要安全保护措施 | 手动、已禁用 | 1.1.0 |
| 不允许信息系统随附于个人 | CMA_C1182 - 不允许信息系统随附于个人 | 手动、已禁用 | 1.1.0 |
配置变更控制措施
ID:FedRAMP High CM-3 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | 手动、已禁用 | 1.1.0 |
| 制定和维护漏洞管理标准 | CMA_0152 - 制定和维护漏洞管理标准 | 手动、已禁用 | 1.1.0 |
| 建立风险管理策略 | CMA_0258 - 建立风险管理策略 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 为开发人员建立配置管理要求 | CMA_0270 - 为开发人员设定配置管理要求 | 手动、已禁用 | 1.1.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | 手动、已禁用 | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置变更控制执行审核 | 手动、已禁用 | 1.1.0 |
自动化记录/通知/禁止更改
ID:FedRAMP High CM-3 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对建议的更改自动执行审批请求 | CMA_C1192 - 对建议的更改自动执行审批请求 | 手动、已禁用 | 1.1.0 |
| 自动实现已批准的更改通知 | CMA_C1196 - 自动实现已批准的更改通知 | 手动、已禁用 | 1.1.0 |
| 将记录已实现的更改的流程自动化 | CMA_C1195 - 将记录已实现的更改的流程自动化 | 手动、已禁用 | 1.1.0 |
| 自动执行流程以突出未审阅的更改建议 | CMA_C1193 - 自动执行流程以突出未审阅的更改建议 | 手动、已禁用 | 1.1.0 |
| 自动执行进程以禁止实现未经批准的更改 | CMA_C1194 - 自动执行进程以禁止实现未经批准的更改 | 手动、已禁用 | 1.1.0 |
| 自动执行建议的已记录更改 | CMA_C1191 - 自动执行建议的已记录更改 | 手动、已禁用 | 1.1.0 |
测试/验证/记录变更
ID:FedRAMP High CM-3 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 为开发人员建立配置管理要求 | CMA_0270 - 为开发人员设定配置管理要求 | 手动、已禁用 | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置变更控制执行审核 | 手动、已禁用 | 1.1.0 |
安全代表
ID:FedRAMP High CM-3 (4) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 向变更控制分配信息安全代表 | CMA_C1198 - 向变更控制分配信息安全代表 | 手动、已禁用 | 1.1.0 |
加密管理
ID:FedRAMP High CM-3 (6) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确保加密机制由配置管理 | CMA_C1199 - 确保加密机制由配置管理 | 手动、已禁用 | 1.1.0 |
安全影响分析
ID:FedRAMP High CM-4 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | 手动、已禁用 | 1.1.0 |
| 制定和维护漏洞管理标准 | CMA_0152 - 制定和维护漏洞管理标准 | 手动、已禁用 | 1.1.0 |
| 建立风险管理策略 | CMA_0258 - 建立风险管理策略 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 为开发人员建立配置管理要求 | CMA_0270 - 为开发人员设定配置管理要求 | 手动、已禁用 | 1.1.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | 手动、已禁用 | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置变更控制执行审核 | 手动、已禁用 | 1.1.0 |
单独的测试环境
ID:FedRAMP High CM-4 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 为开发人员建立配置管理要求 | CMA_0270 - 为开发人员设定配置管理要求 | 手动、已禁用 | 1.1.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | 手动、已禁用 | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置变更控制执行审核 | 手动、已禁用 | 1.1.0 |
变更的访问限制
ID:FedRAMP High CM-5 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
自动化访问强制执行/审核
ID:FedRAMP High CM-5 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 强制和审核访问限制 | CMA_C1203 - 强制和审核访问限制 | 手动、已禁用 | 1.1.0 |
查看系统变更
ID:FedRAMP High CM-5 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看任何未经授权的更改的更改 | CMA_C1204 - 查看任何未经授权的更改的更改 | 手动、已禁用 | 1.1.0 |
已签名的组件
ID:FedRAMP High CM-5 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 限制未经授权的软件和固件安装 | CMA_C1205 - 限制未经授权的软件和固件安装 | 手动、已禁用 | 1.1.0 |
限制生产/操作权限
ID:FedRAMP High CM-5 (5) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 限制在生产环境中进行更改的特权 | CMA_C1206 - 限制在生产环境中进行更改的特权 | 手动、已禁用 | 1.1.0 |
| 审阅并重新评估特权 | CMA_C1207 - 审阅并重新评估特权 | 手动、已禁用 | 1.1.0 |
配置设置
ID:FedRAMP High CM-6 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应用服务应用应启用“客户端证书(传入客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用应已禁用远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许所需的域与应用交互。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应在群集上安装并启用用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项 | 用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项扩展了 Gatekeeper v3(用于开放策略代理 (OPA) 的许可控制器 Webhook),以集中、一致的方式在群集上应用大规模强制措施和安全措施。 | Audit、Disabled | 1.0.2 |
| 强制执行安全配置设置 | CMA_0249 - 强制执行安全配置设置 | 手动、已禁用 | 1.1.0 |
| 确保函数应用已启用“客户端证书(传入客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、Disabled | 1.0.0 |
| 函数应用应已禁用远程调试 | 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 2.0.0 |
| 函数应用不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。 | AuditIfNotExists、Disabled | 2.0.0 |
| Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制 | 强制实施容器 CPU 和内存资源限制,以防止 Kubernetes 群集中发生资源耗尽攻击。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 9.2.0 |
| Kubernetes 群集容器不得共享主机进程 ID 命名空间或主机 IPC 命名空间 | 阻止 Pod 容器在 Kubernetes 群集中共享主机进程 ID 命名空间和主机 IPC 命名空间。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.2 和 CIS 5.2.3 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 5.1.0 |
| Kubernetes 群集容器只应使用允许的 AppArmor 配置文件 | 容器只应使用 Kubernetes 群集中允许的 AppArmor 配置文件。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 6.1.1 |
| Kubernetes 群集容器只应使用允许的功能 | 限制功能以减小 Kubernetes 群集中容器的受攻击面。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.8 和 CIS 5.2.9 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 6.1.0 |
| Kubernetes 群集容器应只使用允许的映像 | 使用受信任注册表中的映像,以降低 Kubernetes 群集暴露于未知漏洞、安全问题和恶意映像的风险。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 9.2.0 |
| Kubernetes 群集容器应使用只读根文件系统运行 | 运行使用只读根文件系统的容器,以防止在运行时发生更改而导致恶意二进制文件添加到 Kubernetes 群集中的 PATH。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径 | 仅限将 Pod HostPath 卷装载到 Kubernetes 群集中允许的主机路径。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 6.1.1 |
| Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 | 控制 Pod 和容器可以使用哪些用户、主要组、补充组和文件系统组 ID 在 Kubernetes 群集中运行。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 6.1.1 |
| Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 | 限制 Pod 在 Kubernetes 群集中对主机网络和允许的主机端口范围的访问。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.4 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 6.1.0 |
| Kubernetes 群集服务应只侦听允许的端口 | 将服务限制为只侦听允许的端口,以确保对 Kubernetes 群集进行的访问安全。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 8.1.0 |
| Kubernetes 群集不应允许特权容器 | 不允许在 Kubernetes 群集中创建特权容器。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.1 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 9.1.0 |
| Kubernetes 群集不得允许容器特权提升 | 不允许容器使用特权提升运行,从而进入 Kubernetes 群集的根。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.5 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 7.1.0 |
| Linux 计算机应符合 Azure 计算安全基线的要求 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未根据 Azure 计算安全基线中的某条建议进行正确配置,则计算机不合规。 | AuditIfNotExists、Disabled | 2.2.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
| Windows 计算机应符合 Azure 计算安全基线的要求 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未根据 Azure 计算安全基线中的某条建议进行正确配置,则计算机不合规。 | AuditIfNotExists、Disabled | 2.0.0 |
自动化的集中管理/应用/验证
ID:FedRAMP High CM-6 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 强制执行安全配置设置 | CMA_0249 - 强制执行安全配置设置 | 手动、已禁用 | 1.1.0 |
| 治理云服务提供商的合规性 | CMA_0290 - 治理云服务提供商的合规性 | 手动、已禁用 | 1.1.0 |
| 查看并配置系统诊断数据 | CMA_0544 - 查看并配置系统诊断数据 | 手动、已禁用 | 1.1.0 |
最少的功能
ID:FedRAMP High CM-7 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应更新自适应应用程序控制策略中的允许列表规则 | 监视配置为供 Azure 安全中心的自适应应用程序控制进行审核的计算机组是否有行为变化。 安全中心使用机器学习来分析计算机上的运行过程,并建议已知安全应用程序的列表。 这些应用程序作为推荐的应用显示,在自适应应用程序控制策略中允许使用。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
阻止程序执行
ID:FedRAMP High CM-7 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应更新自适应应用程序控制策略中的允许列表规则 | 监视配置为供 Azure 安全中心的自适应应用程序控制进行审核的计算机组是否有行为变化。 安全中心使用机器学习来分析计算机上的运行过程,并建议已知安全应用程序的列表。 这些应用程序作为推荐的应用显示,在自适应应用程序控制策略中允许使用。 | AuditIfNotExists、Disabled | 3.0.0 |
授权软件/允许列表
ID:FedRAMP High CM-7 (5) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应更新自适应应用程序控制策略中的允许列表规则 | 监视配置为供 Azure 安全中心的自适应应用程序控制进行审核的计算机组是否有行为变化。 安全中心使用机器学习来分析计算机上的运行过程,并建议已知安全应用程序的列表。 这些应用程序作为推荐的应用显示,在自适应应用程序控制策略中允许使用。 | AuditIfNotExists、Disabled | 3.0.0 |
信息系统组件清单
ID:FedRAMP High CM-8 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 创建数据清单 | CMA_0096 - 创建数据清单 | 手动、已禁用 | 1.1.0 |
| 维护个人数据的处理记录 | CMA_0353 - 维护个人数据的处理记录 | 手动、已禁用 | 1.1.0 |
在安装/删除过程中更新
ID:FedRAMP High CM-8 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 创建数据清单 | CMA_0096 - 创建数据清单 | 手动、已禁用 | 1.1.0 |
| 维护个人数据的处理记录 | CMA_0353 - 维护个人数据的处理记录 | 手动、已禁用 | 1.1.0 |
自动检测未经授权的组件
ID:FedRAMP High CM-8 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 启用网络设备检测 | CMA_0220 - 启用网络设备检测 | 手动、已禁用 | 1.1.0 |
| 为组织中的新云应用程序和热门云应用程序设置自动通知 | CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 | 手动、已禁用 | 1.1.0 |
责任制信息
ID:FedRAMP High CM-8 (4) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 创建数据清单 | CMA_0096 - 创建数据清单 | 手动、已禁用 | 1.1.0 |
| 建立和维护资产清单 | CMA_0266 - 建立和维护资产清单 | 手动、已禁用 | 1.1.0 |
配置管理计划
ID:FedRAMP High CM-9 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 创建配置计划保护 | CMA_C1233 - 创建配置计划保护 | 手动、已禁用 | 1.1.0 |
| 开发并维护基线配置 | CMA_0153 - 设计并维护基线配置 | 手动、已禁用 | 1.1.0 |
| 制定配置项目标识计划 | CMA_C1231 - 制定配置项目标识计划 | 手动、已禁用 | 1.1.0 |
| 制定配置管理计划 | CMA_C1232 - 制定配置管理计划 | 手动、已禁用 | 1.1.0 |
| 建立并记录配置管理计划 | CMA_0264 - 建立并记录配置管理计划 | 手动、已禁用 | 1.1.0 |
| 实现自动配置管理工具 | CMA_0311 - 实现自动配置管理工具 | 手动、已禁用 | 1.1.0 |
软件使用限制
ID:FedRAMP High CM-10 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应更新自适应应用程序控制策略中的允许列表规则 | 监视配置为供 Azure 安全中心的自适应应用程序控制进行审核的计算机组是否有行为变化。 安全中心使用机器学习来分析计算机上的运行过程,并建议已知安全应用程序的列表。 这些应用程序作为推荐的应用显示,在自适应应用程序控制策略中允许使用。 | AuditIfNotExists、Disabled | 3.0.0 |
| 要求遵守知识产权 | CMA_0432 - 要求遵守知识产权 | 手动、已禁用 | 1.1.0 |
| 跟踪软件许可证使用情况 | CMA_C1235 - 跟踪软件许可证使用情况 | 手动、已禁用 | 1.1.0 |
开放源代码软件
ID:FedRAMP High CM-10 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 限制开放源代码软件的使用 | CMA_C1237 - 限制开放源代码软件的使用 | 手动、已禁用 | 1.1.0 |
用户安装的软件
ID:FedRAMP High CM-11 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应更新自适应应用程序控制策略中的允许列表规则 | 监视配置为供 Azure 安全中心的自适应应用程序控制进行审核的计算机组是否有行为变化。 安全中心使用机器学习来分析计算机上的运行过程,并建议已知安全应用程序的列表。 这些应用程序作为推荐的应用显示,在自适应应用程序控制策略中允许使用。 | AuditIfNotExists、Disabled | 3.0.0 |
应变规划
应变计划策略和流程
ID:FedRAMP High CP-1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看和更新应变规划策略和过程 | CMA_C1243 - 查看和更新应变规划策略和过程 | 手动、已禁用 | 1.1.0 |
应变计划
ID:FedRAMP High CP-2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 传达应变计划更改 | CMA_C1249 - 传达应变计划更改 | 手动、已禁用 | 1.1.0 |
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
| 制定并记录业务连续性和灾难恢复计划 | CMA_0146 - 制定并记录业务连续性和灾难恢复计划 | 手动、已禁用 | 1.1.0 |
| 制定应变计划 | CMA_C1244 - 制定应变计划 | 手动、已禁用 | 1.1.0 |
| 制定应变计划策略和过程 | CMA_0156 - 制定应变计划策略和过程 | 手动、已禁用 | 1.1.0 |
| 分配策略和过程 | CMA_0185 - 分配策略和过程 | 手动、已禁用 | 1.1.0 |
| 查看应变计划 | CMA_C1247 - 查看应变计划 | 手动、已禁用 | 1.1.0 |
| 更新应变计划 | CMA_C1248 - 更新应变计划 | 手动、已禁用 | 1.1.0 |
与相关计划进行协调
ID:FedRAMP High CP-2 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
容量规划
ID:FedRAMP High CP-2 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行产能规划 | CMA_C1252 - 执行产能规划 | 手动、已禁用 | 1.1.0 |
恢复关键任务/业务功能
ID:FedRAMP High CP-2 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 规划恢复基本业务功能 | CMA_C1253 - 规划恢复基本业务功能 | 手动、已禁用 | 1.1.0 |
恢复所有任务/业务功能
ID:FedRAMP High CP-2 (4) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 恢复所有任务和业务功能 | CMA_C1254 - 恢复所有任务和业务功能 | 手动、已禁用 | 1.1.0 |
继续执行基本任务/业务功能
ID:FedRAMP High CP-2 (5) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 规划基本业务功能的持续性 | CMA_C1255 - 规划基本业务功能的持续性 | 手动、已禁用 | 1.1.0 |
识别关键资产
ID:FedRAMP High CP-2 (8) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行业务影响评估和应用过程关键性评估 | CMA_0386 - 执行业务影响评估和应用程序关键性评估 | 手动、已禁用 | 1.1.0 |
应变培训
ID:FedRAMP High CP-3 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 提供应变培训 | CMA_0412 - 提供应变训练 | 手动、已禁用 | 1.1.0 |
模拟事件
ID:FedRAMP High CP-3 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 合并模拟的应变训练 | CMA_C1260 - 合并模拟的应变训练 | 手动、已禁用 | 1.1.0 |
应变计划测试
ID:FedRAMP High CP-4 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 启动应变计划测试纠正措施 | CMA_C1263 - 启动应变计划测试纠正措施 | 手动、已禁用 | 1.1.0 |
| 查看应变计划测试的结果 | CMA_C1262 - 查看应变计划测试的结果 | 手动、已禁用 | 1.1.0 |
| 测试业务连续性和灾难恢复计划 | CMA_0509 - 测试业务连续性和灾难恢复计划 | 手动、已禁用 | 1.1.0 |
与相关计划进行协调
ID:FedRAMP High CP-4 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
备用处理站点
ID:FedRAMP High CP-4 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 评估备用处理站点功能 | CMA_C1266 - 评估备用处理站点功能 | 手动、已禁用 | 1.1.0 |
| 在备用处理位置测试应变计划 | CMA_C1265 - 在备用处理位置测试应变计划 | 手动、已禁用 | 1.1.0 |
备用存储站点
ID:FedRAMP High CP-6 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确保备用存储站点保护功能与主站点等效 | CMA_C1268 - 确保备用存储站点保护功能与主站点等效 | 手动、已禁用 | 1.1.0 |
| 建立备用存储站点以存储和检索备份信息 | CMA_C1267 - 建立备用存储站点以存储和检索备份信息 | 手动、已禁用 | 1.1.0 |
| 应为 Azure Database for MariaDB 启用异地冗余备份 | 通过 Azure Database for MariaDB,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Database for MySQL 启用异地冗余备份 | 通过 Azure Database for MySQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Database for PostgreSQL 启用异地冗余备份 | 通过 Azure Database for PostgreSQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为存储帐户启用异地冗余存储 | 使用异地冗余创建高可用性应用程序 | Audit、Disabled | 1.0.0 |
| 应为 Azure SQL 数据库启用长期异地冗余备份 | 此策略将审核未启用长期异地冗余备份的任何 Azure SQL 数据库。 | AuditIfNotExists、Disabled | 2.0.0 |
从主站点分离
ID:FedRAMP High CP-6 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 创建单独的备用和主存储站点 | CMA_C1269 - 创建单独的备用和主存储站点 | 手动、已禁用 | 1.1.0 |
| 应为 Azure Database for MariaDB 启用异地冗余备份 | 通过 Azure Database for MariaDB,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Database for MySQL 启用异地冗余备份 | 通过 Azure Database for MySQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Database for PostgreSQL 启用异地冗余备份 | 通过 Azure Database for PostgreSQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为存储帐户启用异地冗余存储 | 使用异地冗余创建高可用性应用程序 | Audit、Disabled | 1.0.0 |
| 应为 Azure SQL 数据库启用长期异地冗余备份 | 此策略将审核未启用长期异地冗余备份的任何 Azure SQL 数据库。 | AuditIfNotExists、Disabled | 2.0.0 |
恢复时间/点目标
ID:FedRAMP High CP-6 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立可促进恢复运营的备用存储站点 | CMA_C1270 - 建立可促进恢复运营的备用存储站点 | 手动、已禁用 | 1.1.0 |
可访问性
ID:FedRAMP High CP-6 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确定并缓解备用存储站点的潜在问题 | CMA_C1271 - 识别和缓解备用存储站点的潜在问题 | 手动、已禁用 | 1.1.0 |
备用处理站点
ID:FedRAMP High CP-7 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核未配置灾难恢复的虚拟机 | 审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc。 | auditIfNotExists | 1.0.0 |
| 建立备用处理站点 | CMA_0262 - 建立备用处理站点 | 手动、已禁用 | 1.1.0 |
从主站点分离
ID:FedRAMP High CP-7 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立备用处理站点 | CMA_0262 - 建立备用处理站点 | 手动、已禁用 | 1.1.0 |
可访问性
ID:FedRAMP High CP-7 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立备用处理站点 | CMA_0262 - 建立备用处理站点 | 手动、已禁用 | 1.1.0 |
服务优先级
ID:FedRAMP High CP-7 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立备用处理站点 | CMA_0262 - 建立备用处理站点 | 手动、已禁用 | 1.1.0 |
| 确立对 Internet 服务提供商的要求 | CMA_0278 - 确立对 Internet 服务提供商的要求 | 手动、已禁用 | 1.1.0 |
使用准备
ID:FedRAMP High CP-7 (4) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 准备备用处理站点以用作运营站点 | CMA_C1278 - 准备备用处理站点以用作运营站点 | 手动、已禁用 | 1.1.0 |
服务条款优先级
ID:FedRAMP High CP-8 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确立对 Internet 服务提供商的要求 | CMA_0278 - 确立对 Internet 服务提供商的要求 | 手动、已禁用 | 1.1.0 |
信息系统备份
ID:FedRAMP High CP-9 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应为虚拟机启用 Azure 备份 | 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 | AuditIfNotExists、Disabled | 3.0.0 |
| 执行信息系统文档的备份 | CMA_C1289 - 执行信息系统文档备份 | 手动、已禁用 | 1.1.0 |
| 建立备份策略和过程 | CMA_0268 - 制定备份策略和过程 | 手动、已禁用 | 1.1.0 |
| 应为 Azure Database for MariaDB 启用异地冗余备份 | 通过 Azure Database for MariaDB,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Database for MySQL 启用异地冗余备份 | 通过 Azure Database for MySQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Database for PostgreSQL 启用异地冗余备份 | 通过 Azure Database for PostgreSQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| Key Vault 应启用删除保护 | 恶意删除密钥保管库可能会导致永久丢失数据。 可以通过启用清除保护和软删除来防止永久数据丢失。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 你的组织内的任何人都无法在软删除保留期内清除你的密钥保管库。 请记住,在 2019 年 9 月 1 日之后创建的密钥保管库默认启用软删除。 | Audit、Deny、Disabled | 2.1.0 |
| 密钥保管库应启用软删除 | 在未启用软删除的情况下删除密钥保管库,将永久删除密钥保管库中存储的所有机密、密钥和证书。 意外删除密钥保管库可能会导致永久丢失数据。 软删除允许在可配置的保持期内恢复意外删除的密钥保管库。 | Audit、Deny、Disabled | 3.0.0 |
关键信息的独立存储
ID:FedRAMP High CP-9 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 单独存储备份信息 | CMA_C1293 - 单独存储备份信息 | 手动、已禁用 | 1.1.0 |
转移到备用存储站点
ID:FedRAMP High CP-9 (5) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 将备份信息传输到备用存储站点 | CMA_C1294 - 将备份信息传输到备用存储站点 | 手动、已禁用 | 1.1.0 |
信息系统恢复与重建
ID:FedRAMP High CP-10 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在任何中断后恢复和重建资源 | CMA_C1295 - 在任何中断后恢复和重建资源 | 手动、已禁用 | 1.1.1 |
事务恢复
ID:FedRAMP High CP-10 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实现基于事务的恢复 | CMA_C1296 - 实现基于事务的恢复 | 手动、已禁用 | 1.1.0 |
时间段内还原
ID:FedRAMP High CP-10 (4) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 将资源还原到运行状态 | CMA_C1297 - 将资源还原到运行状态 | 手动、已禁用 | 1.1.1 |
识别和身份验证
标识和身份验证策略和过程
ID:FedRAMP High IA-1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看和更新标识以及身份验证策略和过程 | CMA_C1299 - 查看和更新标识以及身份验证策略和过程 | 手动、已禁用 | 1.1.0 |
标识和身份验证(组织用户)
ID:FedRAMP High IA-2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对 Azure 资源拥有所有者权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有读取权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有写入权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://aka.ms/AI/auth | Audit、Deny、Disabled | 1.1.0 |
| 强制执行用户唯一性 | CMA_0250 - 强制执行用户唯一性 | 手动、已禁用 | 1.1.0 |
| 函数应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 3.0.0 |
| Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 | 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 | Audit、Deny、Disabled | 1.1.0 |
| 支持由法律机构颁发的个人验证凭据 | CMA_0507 - 支持由法律机构颁发的个人验证凭据 | 手动、已禁用 | 1.1.0 |
对特权帐户的网络访问
ID:FedRAMP High IA-2 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对 Azure 资源拥有所有者权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有写入权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
对非特权帐户的网络访问
ID:FedRAMP High IA-2 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对 Azure 资源拥有读取权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
对特权帐户的本地访问
ID:FedRAMP High IA-2 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
组身份验证
ID:FedRAMP High IA-2 (5) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 需要使用单个验证器 | CMA_C1305 - 需要使用单个验证器 | 手动、已禁用 | 1.1.0 |
远程访问 - 单独的设备
ID:FedRAMP High IA-2 (11) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
接受 Piv 凭据
ID:FedRAMP High IA-2 (12) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 支持由法律机构颁发的个人验证凭据 | CMA_0507 - 支持由法律机构颁发的个人验证凭据 | 手动、已禁用 | 1.1.0 |
标识符管理
ID:FedRAMP High IA-4 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 3.0.0 |
| 分配系统标识符 | CMA_0018 - 分配系统标识符 | 手动、已禁用 | 1.1.0 |
| Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://aka.ms/AI/auth | Audit、Deny、Disabled | 1.1.0 |
| 函数应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 3.0.0 |
| 阻止在定义的时间段内重复使用标识符 | CMA_C1314 - 阻止在定义的时间段内重复使用标识符 | 手动、已禁用 | 1.1.0 |
| Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 | 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 | Audit、Deny、Disabled | 1.1.0 |
标识用户状态
ID:FedRAMP High IA-4 (4) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 标识单个用户的状态 | CMA_C1316 - 标识单个用户的状态 | 手动、已禁用 | 1.1.0 |
验证器管理
ID:FedRAMP High IA-5 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 审核未将密码文件权限设为 0644 的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机未将密码文件权限设为 0644,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
| 审核未存储使用可逆加密的密码的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未存储使用可逆加密的密码,则计算机不合规 | AuditIfNotExists、Disabled | 2.0.0 |
| 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 虽然 SSH 本身提供加密连接,但是将密码用于 SSH 仍会使 VM 易受到暴力攻击。 通过 SSH 对 Azure Linux 虚拟机进行身份验证时,最安全的方法是使用公钥-私钥对,也称为 SSH 密钥。 了解详细信息:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed。 | AuditIfNotExists、Disabled | 3.2.0 |
| 证书应具有指定的最长有效期 | 通过指定证书在密钥保管库中的最长有效时间,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.2.1 |
| 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 建立验证器类型和进程 | CMA_0267 - 建立验证器类型和流程 | 手动、已禁用 | 1.1.0 |
| 建立初始验证器分配过程 | CMA_0276 - 建立初始验证器分配过程 | 手动、已禁用 | 1.1.0 |
| 进行验证器保护培训 | CMA_0329 - 进行验证器保护的培训 | 手动、已禁用 | 1.1.0 |
| Key Vault 密钥应具有到期日期 | 应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 | Audit、Deny、Disabled | 1.0.2 |
| Key Vault 机密应具有到期日期 | 应为机密定义非永久性到期日期。 机密永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为机密设置到期日期。 | Audit、Deny、Disabled | 1.0.2 |
| 管理验证器生存期并重新使用 | CMA_0355 - 管理验证器生存期并重新使用 | 手动、已禁用 | 1.1.0 |
| 管理验证器 | CMA_C1321 - 管理验证器 | 手动、已禁用 | 1.1.0 |
| 刷新验证器 | CMA_0425 - 刷新验证器 | 手动、已禁用 | 1.1.0 |
| 重新颁发已更改的组和帐户的验证器 | CMA_0426 - 重新颁发用于已更改的组和帐户的验证器 | 手动、已禁用 | 1.1.0 |
| 在分发验证器之前验证标识 | CMA_0538 - 在分发验证器之前验证标识 | 手动、已禁用 | 1.1.0 |
基于密码的身份验证
ID:FedRAMP High IA-5 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 审核未将密码文件权限设为 0644 的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机未将密码文件权限设为 0644,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
| 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机允许在指定数量的唯一密码后重新使用密码,则这些计算机是不合规的。 唯一密码的默认值为 24 | AuditIfNotExists、Disabled | 2.1.0 |
| 审核未将最长密码期限设置为指定天数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最长密码期限设置为指定天数,则这些计算机是不合规的。 最长密码期限的默认值为 70 天 | AuditIfNotExists、Disabled | 2.1.0 |
| 审核未将最短密码期限设置为指定天数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最短密码期限设置为指定天数,则这些计算机是不合规的。 最短密码期限的默认值为 1 天 | AuditIfNotExists、Disabled | 2.1.0 |
| 审核未启用密码复杂性设置的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未启用密码复杂性设置,则计算机不合规 | AuditIfNotExists、Disabled | 2.0.0 |
| 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机没有将最短密码长度限制为特定字符数,则这些计算机是不合规的。 最短密码长度的默认值为 14 个字符 | AuditIfNotExists、Disabled | 2.1.0 |
| 审核未存储使用可逆加密的密码的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未存储使用可逆加密的密码,则计算机不合规 | AuditIfNotExists、Disabled | 2.0.0 |
| 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 制定密码策略 | CMA_0256 - 制定密码策略 | 手动、已禁用 | 1.1.0 |
| 实现记住的机密验证过程的参数 | CMA_0321 - 实现记住的机密验证工具的参数 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
基于 PKI 的身份验证
ID:FedRAMP High IA-5 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 动态绑定验证器和标识 | CMA_0035 - 动态绑定验证器和标识 | 手动、已禁用 | 1.1.0 |
| 建立验证器类型和进程 | CMA_0267 - 建立验证器类型和流程 | 手动、已禁用 | 1.1.0 |
| 建立用于搜索机密验证器和验证工具的参数 | CMA_0274 - 确定用于搜索机密验证器和验证工具的参数 | 手动、已禁用 | 1.1.0 |
| 建立初始验证器分配过程 | CMA_0276 - 建立初始验证器分配过程 | 手动、已禁用 | 1.1.0 |
| 将已验证的标识映射到个人 | CMA_0372 - 将已验证的标识映射到个人 | 手动、已禁用 | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问权限 | 手动、已禁用 | 1.1.0 |
| 在分发验证器之前验证标识 | CMA_0538 - 在分发验证器之前验证标识 | 手动、已禁用 | 1.1.0 |
亲自或受信任的第三方注册
ID:FedRAMP High IA-5 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 分配验证器 | CMA_0184 - 分配验证器 | 手动、已禁用 | 1.1.0 |
密码强度确定自动化支持
ID:FedRAMP High IA-5 (4) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 制定密码策略 | CMA_0256 - 制定密码策略 | 手动、已禁用 | 1.1.0 |
| 实现记住的机密验证过程的参数 | CMA_0321 - 实现记住的机密验证工具的参数 | 手动、已禁用 | 1.1.0 |
验证器保护
ID:FedRAMP High IA-5 (6) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确保授权用户保护所提供的身份验证器 | CMA_C1339 - 确保授权用户保护所提供的身份验证器 | 手动、已禁用 | 1.1.0 |
无嵌入式未加密的静态验证器
ID:FedRAMP High IA-5 (7) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确保没有未加密的静态验证器 | CMA_C1340 - 确保没有未加密的静态验证器 | 手动、已禁用 | 1.1.0 |
基于令牌的硬件身份验证
ID:FedRAMP High IA-5 (11) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 满足令牌质量要求 | CMA_0487 - 满足令牌质量要求 | 手动、已禁用 | 1.1.0 |
缓存验证器的过期
ID:FedRAMP High IA-5 (13) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 强制缓存的验证器过期 | CMA_C1343 - 强制缓存的验证器过期 | 手动、已禁用 | 1.1.0 |
验证器反馈
ID:FedRAMP High IA-6 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 身份验证过程中模糊的反馈信息 | CMA_C1344 - 身份验证过程中模糊的反馈信息 | 手动、已禁用 | 1.1.0 |
加密模块身份验证
ID:FedRAMP High IA-7 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对加密模块进行身份验证 | CMA_0021 - 对加密模块进行身份验证 | 手动、已禁用 | 1.1.0 |
标识和身份验证(非组织用户)
ID:FedRAMP High IA-8 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 识别非组织用户并对其进行身份验证 | CMA_C1346 - 识别非组织用户并对其进行身份验证 | 手动、已禁用 | 1.1.0 |
接受来自其他机构的 PIV 凭据
ID:FedRAMP High IA-8 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 接受 PIV 凭据 | CMA_C1347 - 接受 PIV 凭据 | 手动、已禁用 | 1.1.0 |
接受第三方凭据
ID:FedRAMP High IA-8 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 仅接受经 FICAM 批准的第三方凭据 | CMA_C1348 - 仅接受经 FICAM 批准的第三方凭据 | 手动、已禁用 | 1.1.0 |
使用 Ficam 批准的产品
ID:FedRAMP High IA-8 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使用经 FICAM 批准的资源接受第三方凭据 | CMA_C1349 - 使用经 FICAM 批准的资源接受第三方凭据 | 手动、已禁用 | 1.1.0 |
使用 Ficam 发布的配置文件
ID:FedRAMP High IA-8 (4) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 符合 FICAM 发布的配置文件 | CMA_C1350 - 符合 FICAM 发布的配置文件 | 手动、已禁用 | 1.1.0 |
事件响应
事件响应策略和过程
ID:FedRAMP High IR-1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看并更新事件响应策略和过程 | CMA_C1352 - 查看并更新事件响应策略和过程 | 手动、已禁用 | 1.1.0 |
事件响应培训
ID:FedRAMP High IR-2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 提供信息溢写培训 | CMA_0413 - 提供信息溢写培训 | 手动、已禁用 | 1.1.0 |
模拟事件
ID:FedRAMP High IR-2 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 将模拟事件合并到事件响应培训中 | CMA_C1356 - 将模拟事件合并到事件响应培训中 | 手动、已禁用 | 1.1.0 |
自动化培训环境
ID:FedRAMP High IR-2 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用自动化培训环境 | CMA_C1357 - 采用自动化培训环境 | 手动、已禁用 | 1.1.0 |
事件响应测试
ID:FedRAMP High IR-3 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行事件响应测试 | CMA_0060 - 执行事件响应测试 | 手动、已禁用 | 1.1.0 |
| 建立信息安全计划 | CMA_0263 - 制定信息安全计划 | 手动、已禁用 | 1.1.0 |
| 运行模拟攻击 | CMA_0486 - 运行模拟攻击 | 手动、已禁用 | 1.1.0 |
与相关计划的协调
ID:FedRAMP High IR-3 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行事件响应测试 | CMA_0060 - 执行事件响应测试 | 手动、已禁用 | 1.1.0 |
| 建立信息安全计划 | CMA_0263 - 制定信息安全计划 | 手动、已禁用 | 1.1.0 |
| 运行模拟攻击 | CMA_0486 - 运行模拟攻击 | 手动、已禁用 | 1.1.0 |
事件处理
ID:FedRAMP High IR-4 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 访问信息安全事件 | CMA_0013 - 访问信息安全事件 | 手动、已禁用 | 1.1.0 |
| 应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于 Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用 Azure Defender for Resource Manager | Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于计算机上的 SQL 服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 SQL 服务器 | AuditIfNotExists、Disabled | 2.0.1 |
| 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 审核所有未启用高级数据安全的 SQL 托管实例。 | AuditIfNotExists、Disabled | 1.0.2 |
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | 手动、已禁用 | 1.1.0 |
| 制定安全防护措施 | CMA_0161 - 制定安全防护措施 | 手动、已禁用 | 1.1.0 |
| 应启用高严重性警报的电子邮件通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请在安全中心为高严重性警报启用电子邮件通知。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应启用向订阅所有者发送高严重性警报的电子邮件通知 | 当订阅中存在潜在的安全漏洞时,若要确保订阅所有者收到通知,请在安全中心设置向订阅所有者发送高严重性警报的电子邮件通知。 | AuditIfNotExists、Disabled | 2.0.0 |
| 启用网络保护 | CMA_0238 - 启用网络保护 | 手动、已禁用 | 1.1.0 |
| 根除被污染的信息 | CMA_0253 - 根除被污染的信息 | 手动、已禁用 | 1.1.0 |
| 执行操作以响应信息溢写 | CMA_0281 - 执行操作以响应信息溢写 | 手动、已禁用 | 1.1.0 |
| 实现事件处理 | CMA_0318 - 实现事件处理 | 手动、已禁用 | 1.1.0 |
| 维护事件响应计划 | CMA_0352 - 维护事件响应计划 | 手动、已禁用 | 1.1.0 |
| 应启用 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请设置一个安全联系人,以接收来自安全中心的电子邮件通知。 | AuditIfNotExists、Disabled | 1.0.1 |
| 查看并调查受限制的用户 | CMA_0545 - 查看并调查受限制的用户 | 手动、已禁用 | 1.1.0 |
自动化事件处理过程
ID:FedRAMP High IR-4 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | 手动、已禁用 | 1.1.0 |
| 启用网络保护 | CMA_0238 - 启用网络保护 | 手动、已禁用 | 1.1.0 |
| 实现事件处理 | CMA_0318 - 实现事件处理 | 手动、已禁用 | 1.1.0 |
动态重新配置
ID:FedRAMP High IR-4 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 包括客户部署的资源的动态重新配置 | CMA_C1364 - 包括客户部署的资源的动态重新配置 | 手动、已禁用 | 1.1.0 |
操作连续性
ID:FedRAMP High IR-4 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确定事件和所采取的行动的类别 | CMA_C1365 - 确定事件和所采取的行动的类别 | 手动、已禁用 | 1.1.0 |
信息关联
ID:FedRAMP High IR-4 (4) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实现事件处理 | CMA_0318 - 实现事件处理 | 手动、已禁用 | 1.1.0 |
内部威胁 - 特定力量
ID:FedRAMP High IR-4 (6) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实现事件处理功能 | CMA_C1367 - 实现事件处理功能 | 手动、已禁用 | 1.1.0 |
与外部组织的关联
ID:FedRAMP High IR-4 (8) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 与外部组织协调以获得跨组织见解 | CMA_C1368 - 与外部组织协调以获得跨组织见解 | 手动、已禁用 | 1.1.0 |
事件监视
ID:FedRAMP High IR-5 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于 Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用 Azure Defender for Resource Manager | Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于计算机上的 SQL 服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 SQL 服务器 | AuditIfNotExists、Disabled | 2.0.1 |
| 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 审核所有未启用高级数据安全的 SQL 托管实例。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应启用高严重性警报的电子邮件通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请在安全中心为高严重性警报启用电子邮件通知。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应启用向订阅所有者发送高严重性警报的电子邮件通知 | 当订阅中存在潜在的安全漏洞时,若要确保订阅所有者收到通知,请在安全中心设置向订阅所有者发送高严重性警报的电子邮件通知。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应启用 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请设置一个安全联系人,以接收来自安全中心的电子邮件通知。 | AuditIfNotExists、Disabled | 1.0.1 |
自动化报告
ID:FedRAMP High IR-6 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录安全操作 | CMA_0202 - 记录安全操作 | 手动、已禁用 | 1.1.0 |
事件响应协助
ID:FedRAMP High IR-7 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录安全操作 | CMA_0202 - 记录安全操作 | 手动、已禁用 | 1.1.0 |
对信息/支持可用性的自动化支持
ID:FedRAMP High IR-7 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | 手动、已禁用 | 1.1.0 |
| 启用网络保护 | CMA_0238 - 启用网络保护 | 手动、已禁用 | 1.1.0 |
| 根除被污染的信息 | CMA_0253 - 根除被污染的信息 | 手动、已禁用 | 1.1.0 |
| 执行操作以响应信息溢写 | CMA_0281 - 执行操作以响应信息溢写 | 手动、已禁用 | 1.1.0 |
| 实现事件处理 | CMA_0318 - 实现事件处理 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 查看并调查受限制的用户 | CMA_0545 - 查看并调查受限制的用户 | 手动、已禁用 | 1.1.0 |
与外部访问接口的协调
ID:FedRAMP High IR-7 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在事件响应功能和外部提供程序之间建立关系 | CMA_C1376 - 在事件响应功能和外部提供程序之间建立关系 | 手动、已禁用 | 1.1.0 |
| 标识事件响应人员 | CMA_0301 - 确定事件响应人员 | 手动、已禁用 | 1.1.0 |
事件响应计划
ID:FedRAMP High IR-8 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 访问信息安全事件 | CMA_0013 - 访问信息安全事件 | 手动、已禁用 | 1.1.0 |
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | 手动、已禁用 | 1.1.0 |
| 实现事件处理 | CMA_0318 - 实现事件处理 | 手动、已禁用 | 1.1.0 |
| 维护数据泄露记录 | CMA_0351 - 维护数据泄露记录 | 手动、已禁用 | 1.1.0 |
| 维护事件响应计划 | CMA_0352 - 维护事件响应计划 | 手动、已禁用 | 1.1.0 |
| 保护事件响应计划 | CMA_0405 - 保护事件响应计划 | 手动、已禁用 | 1.1.0 |
信息泄漏响应
ID:FedRAMP High IR-9 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 向人员发出信息溢写警报 | CMA_0007 - 向人员发出信息溢写警报 | 手动、已禁用 | 1.1.0 |
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | 手动、已禁用 | 1.1.0 |
| 根除被污染的信息 | CMA_0253 - 根除被污染的信息 | 手动、已禁用 | 1.1.0 |
| 执行操作以响应信息溢写 | CMA_0281 - 执行操作以响应信息溢写 | 手动、已禁用 | 1.1.0 |
| 识别受感染的系统和组件 | CMA_0300 - 识别受到感染的系统和组件 | 手动、已禁用 | 1.1.0 |
| 标识溢写的信息 | CMA_0303 - 标识溢写的信息 | 手动、已禁用 | 1.1.0 |
| 隔离信息溢写 | CMA_0346 - 隔离信息溢写 | 手动、已禁用 | 1.1.0 |
负责人员
ID:FedRAMP High IR-9 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 标识事件响应人员 | CMA_0301 - 确定事件响应人员 | 手动、已禁用 | 1.1.0 |
培训
ID:FedRAMP High IR-9 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 提供信息溢写培训 | CMA_0413 - 提供信息溢写培训 | 手动、已禁用 | 1.1.0 |
溢后操作
ID:FedRAMP High IR-9 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定溢出响应过程 | CMA_0162 - 制定溢出响应过程 | 手动、已禁用 | 1.1.0 |
曝光未经授权人员
ID:FedRAMP High IR-9 (4) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定安全防护措施 | CMA_0161 - 制定安全防护措施 | 手动、已禁用 | 1.1.0 |
维护
系统维护策略和流程
ID:FedRAMP High MA-1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看和更新系统维护策略及过程 | CMA_C1395 - 查看和更新系统维护策略及过程 | 手动、已禁用 | 1.1.0 |
受控性维护
ID:FedRAMP High MA-2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制维护和修复活动 | CMA_0080 - 控制维护和修复活动 | 手动、已禁用 | 1.1.0 |
| 使用媒体清理机制 | CMA_0208 - 使用媒体清理机制 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 管理非本地维护和诊断活动 | CMA_0364 - 管理非本地维护和诊断活动 | 手动、已禁用 | 1.1.0 |
自动化维护活动
ID:FedRAMP High MA-2 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 自动执行远程维护活动 | CMA_C1402 - 自动执行远程维护活动 | 手动、已禁用 | 1.1.0 |
| 生成远程维护活动的完整记录 | CMA_C1403 - 生成远程维护活动的完整记录 | 手动、已禁用 | 1.1.0 |
维护工具
ID:FedRAMP High MA-3 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制维护和修复活动 | CMA_0080 - 控制维护和修复活动 | 手动、已禁用 | 1.1.0 |
| 管理非本地维护和诊断活动 | CMA_0364 - 管理非本地维护和诊断活动 | 手动、已禁用 | 1.1.0 |
检查工具
ID:FedRAMP High MA-3 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制维护和修复活动 | CMA_0080 - 控制维护和修复活动 | 手动、已禁用 | 1.1.0 |
| 管理非本地维护和诊断活动 | CMA_0364 - 管理非本地维护和诊断活动 | 手动、已禁用 | 1.1.0 |
检查媒体
ID:FedRAMP High MA-3 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制维护和修复活动 | CMA_0080 - 控制维护和修复活动 | 手动、已禁用 | 1.1.0 |
| 管理非本地维护和诊断活动 | CMA_0364 - 管理非本地维护和诊断活动 | 手动、已禁用 | 1.1.0 |
防止未经授权的删除
ID:FedRAMP High MA-3 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制维护和修复活动 | CMA_0080 - 控制维护和修复活动 | 手动、已禁用 | 1.1.0 |
| 使用媒体清理机制 | CMA_0208 - 使用媒体清理机制 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 管理非本地维护和诊断活动 | CMA_0364 - 管理非本地维护和诊断活动 | 手动、已禁用 | 1.1.0 |
非本地维护
ID:FedRAMP High MA-4 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 管理非本地维护和诊断活动 | CMA_0364 - 管理非本地维护和诊断活动 | 手动、已禁用 | 1.1.0 |
记录非本地维护
ID:FedRAMP High MA-4 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 管理非本地维护和诊断活动 | CMA_0364 - 管理非本地维护和诊断活动 | 手动、已禁用 | 1.1.0 |
等效安全性/清理
ID:FedRAMP High MA-4 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行所有非本地维护 | CMA_C1417 - 执行所有非本地维护 | 手动、已禁用 | 1.1.0 |
加密保护
ID:FedRAMP High MA-4 (6) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实现加密机制 | CMA_C1419 - 实现加密机制 | 手动、已禁用 | 1.1.0 |
维护人员
ID:FedRAMP High MA-5 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 指定监督未经授权的维护活动的人员 | CMA_C1422 - 指定监督未经授权的维护活动的人员 | 手动、已禁用 | 1.1.0 |
| 保留授权远程维护人员的清单 | CMA_C1420 - 保留授权远程维护人员的清单 | 手动、已禁用 | 1.1.0 |
| 管理维护人员 | CMA_C1421 - 管理维护人员 | 手动、已禁用 | 1.1.0 |
不具备相应访问权限的人员
ID:FedRAMP High MA-5 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使用媒体清理机制 | CMA_0208 - 使用媒体清理机制 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
及时维护
ID:FedRAMP High MA-6 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 提供及时的维护支持 | CMA_C1425 - 提供及时的维护支持 | 手动、已禁用 | 1.1.0 |
媒体保护
媒体保护策略和过程
ID:FedRAMP High MP-1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看和更新媒体保护策略及过程 | CMA_C1427 - 查看和更新媒体保护策略及过程 | 手动、已禁用 | 1.1.0 |
媒体访问
ID:FedRAMP High MP-2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
媒体标记
ID:FedRAMP High MP-3 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
媒体存储
ID:FedRAMP High MP-4 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使用媒体清理机制 | CMA_0208 - 使用媒体清理机制 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
媒体传输
ID:FedRAMP High MP-5 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 管理资产的运输 | CMA_0370 - 管理资产的运输 | 手动、已禁用 | 1.1.0 |
加密保护
ID:FedRAMP High MP-5 (4) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 管理资产的运输 | CMA_0370 - 管理资产的运输 | 手动、已禁用 | 1.1.0 |
媒体清理
ID:FedRAMP High MP-6 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使用媒体清理机制 | CMA_0208 - 使用媒体清理机制 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
评审/审核/跟踪/记录/验证
ID:FedRAMP High MP-6 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使用媒体清理机制 | CMA_0208 - 使用媒体清理机制 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
设备测试
ID:FedRAMP High MP-6 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使用媒体清理机制 | CMA_0208 - 使用媒体清理机制 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
媒体使用
ID:FedRAMP High MP-7 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 控制便携式存储设备的使用 | CMA_0083 - 控制便携式存储设备的使用 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 限制媒体使用 | CMA_0450 - 限制媒体使用 | 手动、已禁用 | 1.1.0 |
禁止使用没有所有者的媒体资产
ID:FedRAMP High MP-7 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 控制便携式存储设备的使用 | CMA_0083 - 控制便携式存储设备的使用 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 限制媒体使用 | CMA_0450 - 限制媒体使用 | 手动、已禁用 | 1.1.0 |
物理保护和环境保护
物理保护和环境保护政策与过程
ID:FedRAMP High PE-1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看和更新物理与环境策略和过程 | CMA_C1446 - 查看和更新物理与环境策略和过程 | 手动、已禁用 | 1.1.0 |
物理访问授权
ID:FedRAMP High PE-2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
物理访问控制
ID:FedRAMP High PE-3 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 建立和维护资产清单 | CMA_0266 - 建立和维护资产清单 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
传输媒体的访问控制
ID:FedRAMP High PE-4 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
输出设备的访问控制
ID:FedRAMP High PE-5 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
| 管理数据的输入、输出、处理和存储 | CMA_0369 - 管理数据的输入、输出、处理和存储 | 手动、已禁用 | 1.1.0 |
入侵警报/监视设备
ID:FedRAMP High PE-6 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 安装警报系统 | CMA_0338 - 安装警报系统 | 手动、已禁用 | 1.1.0 |
| 管理安全监控摄像头系统 | CMA_0354 - 管理安全监控摄像头系统 | 手动、已禁用 | 1.1.0 |
访客访问记录
ID:FedRAMP High PE-8 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
应急照明
ID:FedRAMP High PE-12 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采用自动紧急照明 | CMA_0209 - 采用自动紧急照明 | 手动、已禁用 | 1.1.0 |
消防
ID:FedRAMP High PE-13 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
检测设备/系统
ID:FedRAMP High PE-13 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实现渗透测试方法 | CMA_0306 - 实现渗透测试方法 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
| 运行模拟攻击 | CMA_0486 - 运行模拟攻击 | 手动、已禁用 | 1.1.0 |
灭火设备/系统
ID:FedRAMP High PE-13 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
自动灭火
ID:FedRAMP High PE-13 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
温度和湿度控制
ID:FedRAMP High PE-14 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
通过警报/通知监视
ID:FedRAMP High PE-14 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
| 安装警报系统 | CMA_0338 - 安装警报系统 | 手动、已禁用 | 1.1.0 |
水害保护
ID:FedRAMP High PE-15 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
传递和删除
ID:FedRAMP High PE-16 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义管理资产的要求 | CMA_0125 - 定义管理资产的要求 | 手动、已禁用 | 1.1.0 |
| 管理资产的运输 | CMA_0370 - 管理资产的运输 | 手动、已禁用 | 1.1.0 |
备用工作站点
ID:FedRAMP High PE-17 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
信息系统组件的位置
ID:FedRAMP High PE-18 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
规划
安全计划政策和程序
ID:FedRAMP High PL-1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看和更新规划策略及过程 | CMA_C1491 - 查看和更新规划策略和过程 | 手动、已禁用 | 1.1.0 |
系统安全计划
ID:FedRAMP High PL-2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定并建立系统安全计划 | CMA_0151 - 制定并建立系统安全计划 | 手动、已禁用 | 1.1.0 |
| 制定信息安全策略和过程 | CMA_0158 - 制定信息安全策略和过程 | 手动、已禁用 | 1.1.0 |
| 开发符合条件的 SSP | CMA_C1492 - 开发符合条件的 SSP | 手动、已禁用 | 1.1.0 |
| 制定隐私计划 | CMA_0257 - 制定隐私计划 | 手动、已禁用 | 1.1.0 |
| 制定连接设备制造的安全要求 | CMA_0279 - 制定连接设备制造的安全要求 | 手动、已禁用 | 1.1.0 |
| 实现信息系统的安全工程原则 | CMA_0325 - 实现信息系统的安全工程原则 | 手动、已禁用 | 1.1.0 |
与其他组织实体进行规划/协调
ID:FedRAMP High PL-2 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定并建立系统安全计划 | CMA_0151 - 制定并建立系统安全计划 | 手动、已禁用 | 1.1.0 |
| 制定连接设备制造的安全要求 | CMA_0279 - 制定连接设备制造的安全要求 | 手动、已禁用 | 1.1.0 |
| 实现信息系统的安全工程原则 | CMA_0325 - 实现信息系统的安全工程原则 | 手动、已禁用 | 1.1.0 |
行为规则
ID:FedRAMP High PL-4 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定可接受的使用策略和过程 | CMA_0143 - 制定可接受的使用策略和过程 | 手动、已禁用 | 1.1.0 |
| 制定组织行为准则策略 | CMA_0159 - 制定组织行为准则策略 | 手动、已禁用 | 1.1.0 |
| 记录人员接受隐私要求 | CMA_0193 - 记录人员对隐私要求的接受情况 | 手动、已禁用 | 1.1.0 |
| 强制执行行为和访问协议规则 | CMA_0248 - 强制执行行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 禁止不公平做法 | CMA_0396 - 禁止不公平做法 | 手动、已禁用 | 1.1.0 |
| 审阅和签署修订的行为规则 | CMA_0465 - 审阅和签署修订的行为规则 | 手动、已禁用 | 1.1.0 |
| 更新信息安全策略 | CMA_0518 - 更新信息安全策略 | 手动、已禁用 | 1.1.0 |
| 更新行为和访问协议规则 | CMA_0521 - 更新行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 每 3 年更新一次行为和访问协议规则 | CMA_0522 - 每 3 年更新一次行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
社交媒体和网络限制
ID:FedRAMP High PL-4 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定可接受的使用策略和过程 | CMA_0143 - 制定可接受的使用策略和过程 | 手动、已禁用 | 1.1.0 |
信息安全体系结构
ID:FedRAMP High PL-8 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 开发操作概念 (CONOPS) | CMA_0141 - 开发操作概念 (CONOPS) | 手动、已禁用 | 1.1.0 |
| 查看和更新信息安全体系结构 | CMA_C1504 - 查看和更新信息安全体系结构 | 手动、已禁用 | 1.1.0 |
人员安全
人员安全政策和程序
ID:FedRAMP High PS-1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看和更新人员安全策略及过程 | CMA_C1507 - 查看和更新人员安全策略及过程 | 手动、已禁用 | 1.1.0 |
岗位风险指示
ID:FedRAMP High PS-2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 分配风险指定 | CMA_0016 - 分配风险指定 | 手动、已禁用 | 1.1.0 |
人员筛选
ID:FedRAMP High PS-3 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 清除有权访问机密信息的人员 | CMA_0054 - 清除有权访问机密信息的人员 | 手动、已禁用 | 1.1.0 |
| 实施人员筛查 | CMA_0322 - 实施人员筛查 | 手动、已禁用 | 1.1.0 |
| 按定义的频率重新筛选个人 | CMA_C1512 - 按定义的频率重新筛选个人 | 手动、已禁用 | 1.1.0 |
具有特殊保护措施的信息
ID:FedRAMP High PS-3 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 保护特殊信息 | CMA_0409 - 保护特殊信息 | 手动、已禁用 | 1.1.0 |
人员解职
ID:FedRAMP High PS-4 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 离职时进行离职面谈 | CMA_0058 - 离职时进行离职面谈 | 手动、已禁用 | 1.1.0 |
| 终止时禁用验证器 | CMA_0169 - 终止时禁用验证器 | 手动、已禁用 | 1.1.0 |
| 终止或传输时通知 | CMA_0381 - 离职或调动时通知 | 手动、已禁用 | 1.1.0 |
| 防范并阻止离职员工窃取数据 | CMA_0398 - 防范并阻止离职员工窃取数据 | 手动、已禁用 | 1.1.0 |
| 保留终止的用户数据 | CMA_0455 - 保留终止的用户数据 | 手动、已禁用 | 1.1.0 |
自动化通知
ID:FedRAMP High PS-4 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 自动通知员工离职 | CMA_C1521 - 自动通知员工离职 | 手动、已禁用 | 1.1.0 |
人事调动
ID:FedRAMP High PS-5 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 启动传输或重新分配操作 | CMA_0333 - 启动调动或重新分配操作 | 手动、已禁用 | 1.1.0 |
| 在人员调动时修改访问授权 | CMA_0374 - 在人员调动时修改访问授权 | 手动、已禁用 | 1.1.0 |
| 终止或传输时通知 | CMA_0381 - 离职或调动时通知 | 手动、已禁用 | 1.1.0 |
| 在个人传输时重新评估访问权限 | CMA_0424 - 在个人调动时重新评估访问权限 | 手动、已禁用 | 1.1.0 |
访问协议
ID:FedRAMP High PS-6 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录组织访问协议 | CMA_0192 - 记录组织访问协议 | 手动、已禁用 | 1.1.0 |
| 强制执行行为和访问协议规则 | CMA_0248 - 强制执行行为和访问协议规则 | 手动、已禁用 | 1.1.0 |
| 确保及时签署或重新签署访问协议 | CMA_C1528 - 确保及时签署或重新签署访问协议 | 手动、已禁用 | 1.1.0 |
| 要求用户签署访问协议 | CMA_0440 - 要求用户签署访问协议 | 手动、已禁用 | 1.1.0 |
| 更新组织访问协议 | CMA_0520 - 更新组织访问协议 | 手动、已禁用 | 1.1.0 |
第三方人员的安全
ID:FedRAMP High PS-7 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定第三方人员安全要求 | CMA_C1531 - 制定第三方人员安全要求 | 手动、已禁用 | 1.1.0 |
| 制定第三方人员安全要求 | CMA_C1529 - 制定第三方人员安全要求 | 手动、已禁用 | 1.1.0 |
| 监视第三方提供程序符合性 | CMA_C1533 - 监视第三方提供程序符合性 | 手动、已禁用 | 1.1.0 |
| 要求通知第三方人员调动或离职 | CMA_C1532 - 需要第三方人员调动或离职通知 | 手动、已禁用 | 1.1.0 |
| 要求第三方提供商遵守人员安全策略和过程 | CMA_C1530 - 要求第三方提供商遵守人员安全策略和过程 | 手动、已禁用 | 1.1.0 |
人事处分
ID:FedRAMP High PS-8 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实施正式解除程序 | CMA_0317 - 实施正式处罚流程 | 手动、已禁用 | 1.1.0 |
| 接受处罚时通知人员 | CMA_0380 - 在人员受到处罚时通知他们 | 手动、已禁用 | 1.1.0 |
风险评估
风险评估政策和程序
ID:FedRAMP High RA-1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看和更新风险评估策略及过程 | CMA_C1537 - 查看和更新风险评估策略及过程 | 手动、已禁用 | 1.1.0 |
安全分类
ID:FedRAMP High RA-2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对信息进行分类 | CMA_0052 - 对信息进行分类 | 手动、已禁用 | 1.1.0 |
| 制定业务分类方案 | CMA_0155 - 制定业务分类方案 | 手动、已禁用 | 1.1.0 |
| 确保已批准安全分类 | CMA_C1540 - 确保已批准安全分类 | 手动、已禁用 | 1.1.0 |
| 查看标签活动和分析 | CMA_0474 - 查看标签活动和分析 | 手动、已禁用 | 1.1.0 |
风险评估
ID:FedRAMP High RA-3 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行风险评估 | CMA_C1543 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
| 执行风险评估并分配其结果 | CMA_C1544 - 执行风险评估并分配其结果 | 手动、已禁用 | 1.1.0 |
| 执行风险评估并记录其结果 | CMA_C1542 - 执行风险评估并记录其结果 | 手动、已禁用 | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
漏洞扫描
ID:FedRAMP High RA-5 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于 Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用 Azure Defender for Resource Manager | Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于计算机上的 SQL 服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 SQL 服务器 | AuditIfNotExists、Disabled | 2.0.1 |
| 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 审核所有未启用高级数据安全的 SQL 托管实例。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应启用 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
| SQL 数据库应已解决漏洞结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 计算机上的 SQL Server 应已解决漏洞结果 | SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,例如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应修正容器安全配置中的漏洞 | 在安装了 Docker 的计算机上审核安全配置中的漏洞,并在 Azure 安全中心显示为建议。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应修复计算机上安全配置中的漏洞 | 建议通过 Azure 安全中心监视不满足配置的基线的服务器 | AuditIfNotExists、Disabled | 3.1.0 |
| 应修复虚拟机规模集上安全配置中的漏洞 | 审核虚拟机规模集上的 OS 漏洞,以保护其免受攻击。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应在 SQL 托管实例上启用漏洞评估 | 审核未启用定期漏洞评估扫描的每个 SQL 托管实例。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应对 SQL 服务器启用漏洞评估 | 审核未正确配置漏洞评估的 Azure SQL 服务器。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应对 Synapse 工作区启用漏洞评估 | 通过在 Synapse 工作区上配置定期 SQL 漏洞评估扫描来发现、跟踪和修复潜在的漏洞。 | AuditIfNotExists、Disabled | 1.0.0 |
更新工具功能
ID:FedRAMP High RA-5 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
按频率/新扫描前/遭识别时更新
ID:FedRAMP High RA-5 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
覆盖范围的广度/深度
ID:FedRAMP High RA-5 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
可发现的信息
ID:FedRAMP High RA-5 (4) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 采取措施以响应客户信息 | CMA_C1554 - 采取措施以响应客户信息 | 手动、已禁用 | 1.1.0 |
特权访问
ID:FedRAMP High RA-5 (5) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 为执行漏洞扫描活动实现特权访问 | CMA_C1555 - 为执行漏洞扫描活动实现特权访问 | 手动、已禁用 | 1.1.0 |
自动趋势分析
ID:FedRAMP High RA-5 (6) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 观察并报告安全漏洞 | CMA_0384 - 观察并报告安全漏洞 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 执行威胁建模 | CMA_0392 - 执行威胁建模 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
审查历史审核日志
ID:FedRAMP High RA-5 (8) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核特权函数 | CMA_0019 - 审核特权函数 | 手动、已禁用 | 1.1.0 |
| 审核用户帐户状态 | CMA_0020 - 审核用户帐户状态 | 手动、已禁用 | 1.1.0 |
| 关联审核记录 | CMA_0087 - 关联审核记录 | 手动、已禁用 | 1.1.0 |
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | 手动、已禁用 | 1.1.0 |
| 建立审核评审与报告要求 | CMA_0277 - 建立审核评审与报告的要求 | 手动、已禁用 | 1.1.0 |
| 集成审核评审、分析和报告 | CMA_0339 - 集成审核评审、分析和报告 | 手动、已禁用 | 1.1.0 |
| 将云应用安全与 SIEM 集成 | CMA_0340 - 将云应用安全与 SIEM 集成 | 手动、已禁用 | 1.1.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 每周检查管理员分配任务 | CMA_0461 - 每周检查管理员分配 | 手动、已禁用 | 1.1.0 |
| 查看审核数据 | CMA_0466 - 查看审核数据 | 手动、已禁用 | 1.1.0 |
| 查看云标识报告概述 | CMA_0468 - 查看云标识报告概述 | 手动、已禁用 | 1.1.0 |
| 查看受控文件夹访问事件 | CMA_0471 - 查看受控文件夹访问权限事件 | 手动、已禁用 | 1.1.0 |
| 查看攻击保护事件 | CMA_0472 - 查看攻击保护事件 | 手动、已禁用 | 1.1.0 |
| 查看文件和文件夹活动 | CMA_0473 - 查看文件和文件夹活动 | 手动、已禁用 | 1.1.0 |
| 每周评审角色组更改 | CMA_0476 - 每周评审角色组更改 | 手动、已禁用 | 1.1.0 |
关联扫描信息
ID:FedRAMP High RA-5 (10) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 关联漏洞扫描信息 | CMA_C1558 - 关联漏洞扫描信息 | 手动、已禁用 | 1.1.1 |
系统和服务获取
系统和服务采购政策与流程
ID:FedRAMP High SA-1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看和更新系统和服务采购政策和过程 | CMA_C1560 - 查看和更新系统和服务采购政策和过程 | 手动、已禁用 | 1.1.0 |
资源分配
ID:FedRAMP High SA-2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 协调业务目标和 IT 目标 | CMA_0008 - 协调业务目标和 IT 目标 | 手动、已禁用 | 1.1.0 |
| 在确定信息系统要求时分配资源 | CMA_C1561 - 在确定信息系统要求时分配资源 | 手动、已禁用 | 1.1.0 |
| 在预算文档中建立单独的行项 | CMA_C1563 - 在预算文档中建立单独的行项 | 手动、已禁用 | 1.1.0 |
| 制定隐私计划 | CMA_0257 - 制定隐私计划 | 手动、已禁用 | 1.1.0 |
| 管理资源分配 | CMA_0293 - 管理资源分配 | 手动、已禁用 | 1.1.0 |
| 落实领导的承诺 | CMA_0489 - 落实领导的承诺 | 手动、已禁用 | 1.1.0 |
系统开发生命周期
ID:FedRAMP High SA-3 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义信息安全角色和职责 | CMA_C1565 - 定义信息安全角色和职责 | 手动、已禁用 | 1.1.0 |
| 标识具有安全角色和职责的用户 | CMA_C1566 - 标识具有安全角色和职责的用户 | 手动、已禁用 | 1.1.1 |
| 将风险管理过程集成到 SDLC 中 | CMA_C1567 - 将风险管理过程集成到 SDLC 中 | 手动、已禁用 | 1.1.0 |
采购流程
ID:FedRAMP High SA-4 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 记录收购合同验收条件 | CMA_0187 - 记录收购合同验收条件 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的个人数据保护 | CMA_0194 - 记录收购合同中的个人数据保护 | 手动、已禁用 | 1.1.0 |
| 收购合同中安全信息的文档保护 | CMA_0195 - 记录收购合同中安全信息的保护 | 手动、已禁用 | 1.1.0 |
| 记录在合同中使用共享数据的要求 | CMA_0197 - 记录在合同中使用共享数据的要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全保证要求 | CMA_0199 - 记录收购合同中的安全保证要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全记录要求 | CMA_0200 - 收购合同中的文档安全记录要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全功能要求 | CMA_0201 - 记录收购合同中的安全功能要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 记录第三方合同中的持卡人数据保护 | CMA_0207 - 记录第三方合同中的持卡人数据保护 | 手动、已禁用 | 1.1.0 |
安全控件的功能属性
ID:FedRAMP High SA-4 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 获取安全控件的功能属性 | CMA_C1575 - 获取安全控件的功能属性 | 手动、已禁用 | 1.1.0 |
安全控件的设计/实现信息
ID:FedRAMP High SA-4 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 获取安全控件的设计和实现信息 | CMA_C1576 - 获取安全控件的设计和实现信息 | 手动、已禁用 | 1.1.1 |
持续监控计划
ID:FedRAMP High SA-4 (8) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 获取安全控制的持续监视计划 | CMA_C1577 - 获取安全控制的持续监视计划 | 手动、已禁用 | 1.1.0 |
使用的功能/端口/协议/服务
ID:FedRAMP High SA-4 (9) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 要求开发人员识别 SDLC 端口、协议和服务 | CMA_C1578 - 要求开发人员识别 SDLC 端口、协议和服务 | 手动、已禁用 | 1.1.0 |
使用已批准的 PIV 产品
ID:FedRAMP High SA-4 (10) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 为 PIV 使用经 FIPS 201 批准的技术 | CMA_C1579 - 为 PIV 采用经 FIPS 201 批准的技术 | 手动、已禁用 | 1.1.0 |
信息系统文档
ID:FedRAMP High SA-5 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 分布信息系统文档 | CMA_C1584 - 分布信息系统文档 | 手动、已禁用 | 1.1.0 |
| 记录客户定义的操作 | CMA_C1582 - 记录客户定义的操作 | 手动、已禁用 | 1.1.0 |
| 获取管理员文档 | CMA_C1580 - 获取管理员文档 | 手动、已禁用 | 1.1.0 |
| 获取用户安全性函数文档 | CMA_C1581 - 获取用户安全性函数文档 | 手动、已禁用 | 1.1.0 |
| 保护管理员和用户文档 | CMA_C1583 - 保护管理员和用户文档 | 手动、已禁用 | 1.1.0 |
外部信息系统服务
ID:FedRAMP High SA-9 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义和记录政府监督 | CMA_C1587 - 定义和记录政府监督 | 手动、已禁用 | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
| 查看云服务提供商对策略和协议的符合性 | CMA_0469 - 查看云服务提供商对策略和协议的符合性 | 手动、已禁用 | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
风险评估/组织审批
ID:FedRAMP High SA-9 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 评估第三方关系中的风险 | CMA_0014 - 评估第三方关系中的风险 | 手动、已禁用 | 1.1.0 |
| 获取收购和外包审批 | CMA_C1590 - 获取收购和外包审批 | 手动、已禁用 | 1.1.0 |
功能/端口/协议/服务的标识
ID:FedRAMP High SA-9 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 标识外部服务提供程序 | CMA_C1591 - 标识外部服务提供程序 | 手动、已禁用 | 1.1.0 |
使用者和提供者的一致利益
ID:FedRAMP High SA-9 (4) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确保外部提供商保持满足客户的需求 | CMA_C1592 - 确保外部提供商保持满足客户的需求 | 手动、已禁用 | 1.1.0 |
处理、存储和服务位置
ID:FedRAMP High SA-9 (5) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 限制信息处理、存储和服务的位置 | CMA_C1593 - 限制信息处理、存储和服务的位置 | 手动、已禁用 | 1.1.0 |
开发商配置管理
ID:FedRAMP High SA-10 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 解决编码漏洞 | CMA_0003 - 解决编码漏洞 | 手动、已禁用 | 1.1.0 |
| 制定和记录应用程序安全要求 | CMA_0148 - 制定和记录应用程序安全要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 建立安全软件开发计划 | CMA_0259 - 制定安全软件开发计划 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
| 要求开发人员记录已批准的更改和潜在影响 | CMA_C1597 - 要求开发人员记录已批准的更改和潜在影响 | 手动、已禁用 | 1.1.0 |
| 要求开发人员仅实现已批准的更改 | CMA_C1596 - 要求开发人员仅实现已批准的更改 | 手动、已禁用 | 1.1.0 |
| 要求开发人员管理更改完整性 | CMA_C1595 - 要求开发人员管理更改完整性 | 手动、已禁用 | 1.1.0 |
软件/固件完整性验证
ID:FedRAMP High SA-10 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 验证软件、固件和信息完整性 | CMA_0542 - 验证软件、固件和信息完整性 | 手动、已禁用 | 1.1.0 |
开发商安全测试和评估
ID:FedRAMP High SA-11 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
| 要求开发人员生成安全评估计划执行的证据 | CMA_C1602 - 要求开发人员生成安全评估计划执行的证据 | 手动、已禁用 | 1.1.0 |
供应链保护
ID:FedRAMP High SA-12 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 评估第三方关系中的风险 | CMA_0014 - 评估第三方关系中的风险 | 手动、已禁用 | 1.1.0 |
| 定义提供货物和服务的要求 | CMA_0126 - 定义供应货物和服务的要求 | 手动、已禁用 | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 制定供应链风险管理策略 | CMA_0275 - 制定供应链风险管理策略 | 手动、已禁用 | 1.1.0 |
开发流程、标准和工具
ID:FedRAMP High SA-15 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看开发流程、标准和工具 | CMA_C1610 - 查看开发流程、标准和工具 | 手动、已禁用 | 1.1.0 |
开发商提供的培训
ID:FedRAMP High SA-16 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 要求开发人员提供培训 | CMA_C1611 - 要求开发人员提供培训 | 手动、已禁用 | 1.1.0 |
开发人员安全体系结构和设计
ID:FedRAMP High SA-17 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 要求开发人员构建安全体系结构 | CMA_C1612 - 要求开发人员构建安全体系结构 | 手动、已禁用 | 1.1.0 |
| 要求开发人员准确描述安全功能 | CMA_C1613 - 要求开发人员准确描述安全功能 | 手动、已禁用 | 1.1.0 |
| 要求开发人员提供统一的安全保护方法 | CMA_C1614 - 要求开发人员提供统一的安全保护方法 | 手动、已禁用 | 1.1.0 |
系统和通信保护
系统和通信保护策略及过程
ID:FedRAMP High SC-1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看和更新系统和通信保护策略及过程 | CMA_C1616 - 查看和更新系统和通信保护策略及过程 | 手动、已禁用 | 1.1.0 |
应用分区
ID:FedRAMP High SC-2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 单独的用户和信息系统管理功能 | CMA_0493 - 单独的用户和信息系统管理功能 | 手动、已禁用 | 1.1.0 |
| 使用专用计算机执行管理任务 | CMA_0527 - 使用专用计算机执行管理任务 | 手动、已禁用 | 1.1.0 |
安全功能隔离
ID:FedRAMP High SC-3 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应在虚拟机规模集上安装终结点保护解决方案 | 审核终结点保护解决方案在虚拟机规模集上的存在性和运行状况 ,以保护其免受威胁和漏洞的侵害。 | AuditIfNotExists、Disabled | 3.0.0 |
| 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 建议通过 Azure 安全中心监视未安装 Endpoint Protection 代理的服务器 | AuditIfNotExists、Disabled | 3.0.0 |
| 应在计算机上启用 Windows Defender 攻击防护 | Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 | AuditIfNotExists、Disabled | 2.0.0 |
拒绝服务保护
ID:FedRAMP High SC-5 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应启用 Azure DDoS 防护 | 应对具有相关子网(属于具有公共 IP 的应用程序网关)的所有虚拟网络启用 DDoS 防护。 | AuditIfNotExists、Disabled | 3.0.1 |
| 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 1.0.2 |
| 制定并记录 DDoS 响应计划 | CMA_0147 - 制定并记录 DDoS 响应计划 | 手动、已禁用 | 1.1.0 |
| 应禁用虚拟机上的 IP 转发 | 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 2.0.0 |
资源可用性
ID:FedRAMP High SC-6 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 管理资源分配 | CMA_0293 - 管理资源分配 | 手动、已禁用 | 1.1.0 |
| 管理可用性和容量 | CMA_0356 - 管理可用性和容量 | 手动、已禁用 | 1.1.0 |
| 落实领导的承诺 | CMA_0489 - 落实领导的承诺 | 手动、已禁用 | 1.1.0 |
边界保护
ID:FedRAMP High SC-7 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | Azure 安全中心已确认,你的某些子网未使用下一代防火墙进行保护。 通过使用 Azure 防火墙或受支持的下一代防火墙限制对子网的访问,保护子网免受潜在威胁的危害 | AuditIfNotExists、Disabled | 3.0.0-preview |
| [预览]:应禁止存储帐户公共访问 | 对 Azure 存储中的容器和 blob 进行匿名公共读取访问虽然是共享数据的一种简便方法,但可能会带来安全风险。 为了防止不希望的匿名访问导致数据泄露,Microsoft 建议禁止对存储帐户的公共访问,除非你的方案需要。 | audit、Audit、deny、Deny、disabled、Disabled | 3.1.0-preview |
| 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | Azure 安全中心会分析面向虚拟机的 Internet 的流量模式,并提供可减小潜在攻击面的网络安全组规则建议 | AuditIfNotExists、Disabled | 3.0.0 |
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| API 管理服务应使用虚拟网络 | Azure 虚拟网络部署提供了增强的安全性和隔离,并允许你将 API 管理服务放置在不可经 Internet 路由的网络(你控制对其的访问权限)中。 然后,可以使用各种 VPN 技术将这些网络连接到本地网络,这样就能够访问网络中的和/或本地的后端服务。 可以将开发人员门户和 API 网关配置为可以从 Internet 访问或只能在虚拟网络内访问。 | Audit、Deny、Disabled | 1.0.2 |
| 应用程序配置应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应在 Kubernetes 服务上定义经授权的 IP 范围 | 通过仅向特定范围内的 IP 地址授予 API 访问权限,来限制对 Kubernetes 服务管理 API 的访问。 建议将访问权限限制给已获授权的 IP 范围,以确保只有受允许网络中的应用程序可以访问群集。 | Audit、Disabled | 2.0.1 |
| Azure AI 服务资源应限制网络访问 | 通过限制网络访问,可以确保只有允许的网络才能访问该服务。 这可以通过配置网络规则来实现,从其确保只有允许的网络中的应用程序才可以访问 Azure AI 服务。 | Audit、Deny、Disabled | 3.2.0 |
| Azure API for FHIR 应使用专用链接 | Azure API for FHIR 应至少具有一个获得批准的专用终结点连接。 虚拟网络中的客户端可以安全地访问通过专用链接获得专用终结点连接的资源。 有关详细信息,请访问:https://aka.ms/fhir-privatelink。 | Audit、Disabled | 1.0.0 |
| Azure Cache for Redis 应使用专用链接 | 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 实例,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure 认知搜索服务应使用支持专用链接的 SKU | 使用 Azure 认知搜索的受支持的 SKU,可以通过 Azure 专用链接在源位置或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 认知搜索服务应禁用公用网络访问 | 禁用公用网络访问可确保 Azure 认知搜索服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制搜索服务的公开。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 认知搜索服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure 认知搜索可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit、Disabled | 1.0.0 |
| Azure Cosmos DB 帐户应有防火墙规则 | 应在 Azure Cosmos DB 帐户上定义防火墙规则,以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。 | Audit、Deny、Disabled | 2.0.0 |
| Azure 数据工厂应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure 事件网格域应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints。 | Audit、Disabled | 1.0.2 |
| Azure 事件网格主题应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格主题(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints。 | Audit、Disabled | 1.0.2 |
| Azure 文件同步应使用专用链接 | 为指定的存储同步服务资源创建专用终结点,可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源,而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure 密钥保管库应启用防火墙 | 启用密钥保管库防火墙,以便默认情况下,任何公共 IP 都无法访问密钥保管库。 (可选)可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息:https://docs.microsoft.com/azure/key-vault/general/network-security | Audit、Deny、Disabled | 3.2.1 |
| Azure 密钥保管库应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到密钥保管库,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/akvprivatelink。 | [parameters('audit_effect')] | 1.2.1 |
| Azure 机器学习工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | Audit、Disabled | 1.0.0 |
| Azure 服务总线命名空间应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SignalR 服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure SignalR 服务资源而不是整个服务,可降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/asrs/privatelink。 | Audit、Disabled | 1.0.0 |
| Azure Synapse 工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Synapse 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 1.0.2 |
| Azure Web PubSub 服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure Web PubSub 服务可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://aka.ms/awps/privatelink。 | Audit、Disabled | 1.0.0 |
| 认知服务帐户应禁用公用网络访问 | 若要提高认知服务帐户的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如 https://go.microsoft.com/fwlink/?linkid=2129800 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | Audit、Deny、Disabled | 3.0.1 |
| 认知服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800。 | Audit、Disabled | 3.0.0 |
| 容器注册表不得允许无限制的网络访问 | 默认情况下,Azure 容器注册表接受来自任何网络上的主机的 Internet 连接。 为了防止注册表受到潜在的威胁,只允许来自特定的专用终结点、公共 IP 地址或地址范围的访问。 如果注册表没有配置网络规则,它将出现在不正常资源中。 有关容器注册表网络规则的详细信息,请访问:https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/vnet。 | Audit、Deny、Disabled | 2.0.0 |
| 容器注册表应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。通过将专用终结点映射到容器注册表,而不是整个服务,还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/acr/private-link。 | Audit、Disabled | 1.0.1 |
| CosmosDB 帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。 | Audit、Disabled | 1.0.0 |
| 磁盘访问资源应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 diskAccesses,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/disksprivatelinksdoc。 | AuditIfNotExists、Disabled | 1.0.0 |
| 事件中心命名空间应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | AuditIfNotExists、Disabled | 1.0.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 面向 Internet 的虚拟机应使用网络安全组进行保护 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
| IoT 中心设备预配服务实例应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/iotdpsvnet。 | Audit、Disabled | 1.0.0 |
| 应禁用虚拟机上的 IP 转发 | 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应通过即时网络访问控制来保护虚拟机的管理端口 | 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 | AuditIfNotExists、Disabled | 3.0.0 |
| 应关闭虚拟机上的管理端口 | 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应使用网络安全组来保护非面向 Internet 的虚拟机 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
| 应启用 Azure SQL 数据库上的专用终结点连接 | 专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。 | Audit、Disabled | 1.1.0 |
| 应为 MariaDB 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for MariaDB 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为 MySQL 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for MySQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为 PostgreSQL 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for PostgreSQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应禁用 Azure SQL 数据库上的公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure SQL 数据库,从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 | Audit、Deny、Disabled | 1.1.0 |
| 应为 MariaDB 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MariaDB。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 2.0.0 |
| 应为 MySQL 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MySQL。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 2.0.0 |
| 应为 PostgreSQL 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for PostgreSQL。 此配置禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 2.0.1 |
| 应限制对存储帐户的网络访问 | 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 | Audit、Deny、Disabled | 1.1.1 |
| 存储帐户应使用虚拟网络规则来限制网络访问 | 使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 | Audit、Deny、Disabled | 1.0.1 |
| 存储帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview。 | AuditIfNotExists、Disabled | 2.0.0 |
| 子网应与网络安全组关联 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 | AuditIfNotExists、Disabled | 3.0.0 |
| VM 映像生成器模板应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 VM 映像生成器生成资源可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet。 | 审核、已禁用、拒绝 | 1.1.0 |
| 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 2.0.0 |
接入点
ID:FedRAMP High SC-7 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | Azure 安全中心已确认,你的某些子网未使用下一代防火墙进行保护。 通过使用 Azure 防火墙或受支持的下一代防火墙限制对子网的访问,保护子网免受潜在威胁的危害 | AuditIfNotExists、Disabled | 3.0.0-preview |
| [预览]:应禁止存储帐户公共访问 | 对 Azure 存储中的容器和 blob 进行匿名公共读取访问虽然是共享数据的一种简便方法,但可能会带来安全风险。 为了防止不希望的匿名访问导致数据泄露,Microsoft 建议禁止对存储帐户的公共访问,除非你的方案需要。 | audit、Audit、deny、Deny、disabled、Disabled | 3.1.0-preview |
| 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | Azure 安全中心会分析面向虚拟机的 Internet 的流量模式,并提供可减小潜在攻击面的网络安全组规则建议 | AuditIfNotExists、Disabled | 3.0.0 |
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| API 管理服务应使用虚拟网络 | Azure 虚拟网络部署提供了增强的安全性和隔离,并允许你将 API 管理服务放置在不可经 Internet 路由的网络(你控制对其的访问权限)中。 然后,可以使用各种 VPN 技术将这些网络连接到本地网络,这样就能够访问网络中的和/或本地的后端服务。 可以将开发人员门户和 API 网关配置为可以从 Internet 访问或只能在虚拟网络内访问。 | Audit、Deny、Disabled | 1.0.2 |
| 应用程序配置应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应在 Kubernetes 服务上定义经授权的 IP 范围 | 通过仅向特定范围内的 IP 地址授予 API 访问权限,来限制对 Kubernetes 服务管理 API 的访问。 建议将访问权限限制给已获授权的 IP 范围,以确保只有受允许网络中的应用程序可以访问群集。 | Audit、Disabled | 2.0.1 |
| Azure AI 服务资源应限制网络访问 | 通过限制网络访问,可以确保只有允许的网络才能访问该服务。 这可以通过配置网络规则来实现,从其确保只有允许的网络中的应用程序才可以访问 Azure AI 服务。 | Audit、Deny、Disabled | 3.2.0 |
| Azure API for FHIR 应使用专用链接 | Azure API for FHIR 应至少具有一个获得批准的专用终结点连接。 虚拟网络中的客户端可以安全地访问通过专用链接获得专用终结点连接的资源。 有关详细信息,请访问:https://aka.ms/fhir-privatelink。 | Audit、Disabled | 1.0.0 |
| Azure Cache for Redis 应使用专用链接 | 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 实例,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure 认知搜索服务应使用支持专用链接的 SKU | 使用 Azure 认知搜索的受支持的 SKU,可以通过 Azure 专用链接在源位置或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 认知搜索服务应禁用公用网络访问 | 禁用公用网络访问可确保 Azure 认知搜索服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制搜索服务的公开。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 认知搜索服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure 认知搜索可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit、Disabled | 1.0.0 |
| Azure Cosmos DB 帐户应有防火墙规则 | 应在 Azure Cosmos DB 帐户上定义防火墙规则,以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。 | Audit、Deny、Disabled | 2.0.0 |
| Azure 数据工厂应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure 事件网格域应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints。 | Audit、Disabled | 1.0.2 |
| Azure 事件网格主题应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格主题(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints。 | Audit、Disabled | 1.0.2 |
| Azure 文件同步应使用专用链接 | 为指定的存储同步服务资源创建专用终结点,可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源,而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure 密钥保管库应启用防火墙 | 启用密钥保管库防火墙,以便默认情况下,任何公共 IP 都无法访问密钥保管库。 (可选)可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息:https://docs.microsoft.com/azure/key-vault/general/network-security | Audit、Deny、Disabled | 3.2.1 |
| Azure 密钥保管库应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到密钥保管库,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/akvprivatelink。 | [parameters('audit_effect')] | 1.2.1 |
| Azure 机器学习工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | Audit、Disabled | 1.0.0 |
| Azure 服务总线命名空间应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SignalR 服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure SignalR 服务资源而不是整个服务,可降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/asrs/privatelink。 | Audit、Disabled | 1.0.0 |
| Azure Synapse 工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Synapse 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 1.0.2 |
| Azure Web PubSub 服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure Web PubSub 服务可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://aka.ms/awps/privatelink。 | Audit、Disabled | 1.0.0 |
| 认知服务帐户应禁用公用网络访问 | 若要提高认知服务帐户的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如 https://go.microsoft.com/fwlink/?linkid=2129800 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | Audit、Deny、Disabled | 3.0.1 |
| 认知服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800。 | Audit、Disabled | 3.0.0 |
| 容器注册表不得允许无限制的网络访问 | 默认情况下,Azure 容器注册表接受来自任何网络上的主机的 Internet 连接。 为了防止注册表受到潜在的威胁,只允许来自特定的专用终结点、公共 IP 地址或地址范围的访问。 如果注册表没有配置网络规则,它将出现在不正常资源中。 有关容器注册表网络规则的详细信息,请访问:https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/vnet。 | Audit、Deny、Disabled | 2.0.0 |
| 容器注册表应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。通过将专用终结点映射到容器注册表,而不是整个服务,还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/acr/private-link。 | Audit、Disabled | 1.0.1 |
| CosmosDB 帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。 | Audit、Disabled | 1.0.0 |
| 磁盘访问资源应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 diskAccesses,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/disksprivatelinksdoc。 | AuditIfNotExists、Disabled | 1.0.0 |
| 事件中心命名空间应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | AuditIfNotExists、Disabled | 1.0.0 |
| 面向 Internet 的虚拟机应使用网络安全组进行保护 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
| IoT 中心设备预配服务实例应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/iotdpsvnet。 | Audit、Disabled | 1.0.0 |
| 应禁用虚拟机上的 IP 转发 | 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应通过即时网络访问控制来保护虚拟机的管理端口 | 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 | AuditIfNotExists、Disabled | 3.0.0 |
| 应关闭虚拟机上的管理端口 | 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应使用网络安全组来保护非面向 Internet 的虚拟机 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
| 应启用 Azure SQL 数据库上的专用终结点连接 | 专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。 | Audit、Disabled | 1.1.0 |
| 应为 MariaDB 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for MariaDB 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为 MySQL 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for MySQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为 PostgreSQL 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for PostgreSQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应禁用 Azure SQL 数据库上的公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure SQL 数据库,从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 | Audit、Deny、Disabled | 1.1.0 |
| 应为 MariaDB 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MariaDB。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 2.0.0 |
| 应为 MySQL 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MySQL。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 2.0.0 |
| 应为 PostgreSQL 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for PostgreSQL。 此配置禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | Audit、Deny、Disabled | 2.0.1 |
| 应限制对存储帐户的网络访问 | 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 | Audit、Deny、Disabled | 1.1.1 |
| 存储帐户应使用虚拟网络规则来限制网络访问 | 使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 | Audit、Deny、Disabled | 1.0.1 |
| 存储帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview。 | AuditIfNotExists、Disabled | 2.0.0 |
| 子网应与网络安全组关联 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 | AuditIfNotExists、Disabled | 3.0.0 |
| VM 映像生成器模板应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 VM 映像生成器生成资源可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet。 | 审核、已禁用、拒绝 | 1.1.0 |
| 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 2.0.0 |
外部电信服务
ID:FedRAMP High SC-7 (4) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 为每项外部服务实现托管接口 | CMA_C1626 - 为每项外部服务实现托管接口 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 将接口固定到外部系统 | CMA_0491 - 保护到外部系统的接口 | 手动、已禁用 | 1.1.0 |
阻止远程设备的拆分隧道
ID:FedRAMP High SC-7 (7) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 阻止远程设备的拆分隧道 | CMA_C1632 - 阻止远程设备拆分隧道 | 手动、已禁用 | 1.1.0 |
将流量路由到已验证代理服务器
ID:FedRAMP High SC-7 (8) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 通过经过身份验证的代理网络路由流量 | CMA_C1633 - 通过经过身份验证的代理网络路由流量 | 手动、已禁用 | 1.1.0 |
基于主机的保护
ID:FedRAMP High SC-7 (12) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
安全工具/机制/支持组件隔离
ID:FedRAMP High SC-7 (13) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 隔离 SecurID 系统、安全事件管理系统 | CMA_C1636 - 隔离 SecurID 系统、安全事件管理系统 | 手动、已禁用 | 1.1.0 |
失效安全
ID:FedRAMP High SC-7 (18) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 管理待机系统组件和活动系统组件之间的传输 | CMA_0371 - 管理待机和活动系统组件之间的传输 | 手动、已禁用 | 1.1.0 |
动态隔离/分离
ID:FedRAMP High SC-7 (20) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确保系统能够动态隔离资源 | CMA_C1638 - 确保系统能够动态隔离资源 | 手动、已禁用 | 1.1.0 |
信息系统组件隔离
ID:FedRAMP High SC-7 (21) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使用边界保护隔离信息系统 | CMA_C1639 - 使用边界保护隔离信息系统 | 手动、已禁用 | 1.1.0 |
传输保密性和完整性
ID:FedRAMP High SC-8 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 只应通过 HTTPS 访问应用服务应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 4.0.0 |
| 应用服务应用应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应用服务应用应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 2.0.1 |
| Azure HDInsight 群集应使用传输中加密来加密 Azure HDInsight 群集节点之间的通信 | 在 Azure HDInsight 群集节点之间的传输过程中,数据可能会被篡改。 启用传输中加密可解决传输过程中的滥用和篡改问题。 | Audit、Deny、Disabled | 1.0.0 |
| 应为 MySQL 数据库服务器启用“强制 SSL 连接” | Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 | Audit、Disabled | 1.0.1 |
| 应为 PostgreSQL 数据库服务器启用“强制 SSL 连接” | Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 | Audit、Disabled | 1.0.1 |
| 只应通过 HTTPS 访问函数应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 5.0.0 |
| 函数应用应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 3.0.0 |
| 函数应用应使用最新 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 2.0.1 |
| Kubernetes 群集应只可通过 HTTPS 进行访问 | 使用 HTTPS 可确保执行身份验证,并保护传输中的数据不受网络层窃听攻击威胁。 此功能目前已面向 Kubernetes 服务 (AKS) 正式发布,并面向已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请访问 https://aka.ms/kubepolicydoc | audit、Audit、deny、Deny、disabled、Disabled | 8.1.0 |
| 只能与 Azure Cache for Redis 建立安全连接 | 审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 | Audit、Deny、Disabled | 1.0.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
| 应启用安全传输到存储帐户 | 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | Audit、Deny、Disabled | 2.0.0 |
| 应将 Windows 计算机配置为使用安全通信协议 | 为了保护通过 Internet 进行通信的信息的隐私,计算机应使用最新版本的行业标准加密协议,即传输层安全性 (TLS)。 TLS 对计算机之间的连接进行加密来保护网络上的通信。 | AuditIfNotExists、Disabled | 4.1.1 |
加密或备用物理保护
ID:FedRAMP High SC-8 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 只应通过 HTTPS 访问应用服务应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 4.0.0 |
| 应用服务应用应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应用服务应用应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 2.0.1 |
| Azure HDInsight 群集应使用传输中加密来加密 Azure HDInsight 群集节点之间的通信 | 在 Azure HDInsight 群集节点之间的传输过程中,数据可能会被篡改。 启用传输中加密可解决传输过程中的滥用和篡改问题。 | Audit、Deny、Disabled | 1.0.0 |
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 应为 MySQL 数据库服务器启用“强制 SSL 连接” | Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 | Audit、Disabled | 1.0.1 |
| 应为 PostgreSQL 数据库服务器启用“强制 SSL 连接” | Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 | Audit、Disabled | 1.0.1 |
| 只应通过 HTTPS 访问函数应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 5.0.0 |
| 函数应用应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 3.0.0 |
| 函数应用应使用最新 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 2.0.1 |
| Kubernetes 群集应只可通过 HTTPS 进行访问 | 使用 HTTPS 可确保执行身份验证,并保护传输中的数据不受网络层窃听攻击威胁。 此功能目前已面向 Kubernetes 服务 (AKS) 正式发布,并面向已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请访问 https://aka.ms/kubepolicydoc | audit、Audit、deny、Deny、disabled、Disabled | 8.1.0 |
| 只能与 Azure Cache for Redis 建立安全连接 | 审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 | Audit、Deny、Disabled | 1.0.0 |
| 应启用安全传输到存储帐户 | 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | Audit、Deny、Disabled | 2.0.0 |
| 应将 Windows 计算机配置为使用安全通信协议 | 为了保护通过 Internet 进行通信的信息的隐私,计算机应使用最新版本的行业标准加密协议,即传输层安全性 (TLS)。 TLS 对计算机之间的连接进行加密来保护网络上的通信。 | AuditIfNotExists、Disabled | 4.1.1 |
网络连接中断
ID:FedRAMP High SC-10 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 重新验证或终止用户会话 | CMA_0421 - 重新验证或终止用户会话 | 手动、已禁用 | 1.1.0 |
加密密钥建立和管理
ID:FedRAMP High SC-12 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 | 使用客户管理的密钥来管理备份数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/AB-CmkEncryption。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:应使用客户管理的密钥(CMK)来加密 IoT 中心设备预配服务数据 | 使用客户管理的密钥来管理 IoT 中心设备预配服务的静态加密。 将使用服务管理的密钥自动对数据进行静态加密,但为了满足监管合规标准,通常需要使用客户管理的密钥 (CMK)。 CMK 允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 访问 https://aka.ms/dps/CMK,了解有关 CMK 加密的详细信息。 | Audit、Deny、Disabled | 1.0.0-preview |
| Azure API for FHIR 应使用客户管理的密钥对数据进行静态加密 | 根据相关的法规或合规性要求,请使用客户管理的密钥来控制对 Azure API for FHIR 中存储的数据的静态加密。 客户托管密钥还提供双重加密,方法是在使用服务托管密钥完成的默认加密层上添加另一层加密。 | 审核、审核、禁用、禁用 | 1.1.0 |
| Azure 自动化帐户应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来管理 Azure 自动化帐户的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/automation-cmk。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Batch 帐户应使用客户管理的密钥来加密数据 | 使用客户管理的密钥来管理 Batch 帐户数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/Batch-CMK。 | Audit、Deny、Disabled | 1.0.1 |
| Azure 容器实例容器组应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护容器。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | 审核、已禁用、拒绝 | 1.0.0 |
| Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来管理 Azure Cosmos DB 的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/cosmosdb-cmk。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Data Box 作业应使用客户管理的密钥加密设备解锁密码 | 使用客户管理的密钥控制 Azure Data Box 的设备解锁密码的加密。 客户管理的密钥还有助于通过 Data Box 服务管理对设备解锁密码的访问,以便以自动方式准备设备和复制数据。 设备本身的数据已使用高级加密标准 256 位加密进行静态加密,并且设备解锁密码默认使用 Microsoft 托管密钥进行加密。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 数据资源管理器静态加密应使用客户管理的密钥 | 对 Azure 数据资源管理器群集使用客户管理的密钥启用静态加密,可提供针对静态加密所使用密钥的额外控制。 此功能通常适用于具有特殊合规性要求并且需要使用 Key Vault 管理密钥的客户。 | Audit、Deny、Disabled | 1.0.0 |
| 应使用客户管理的密钥对 Azure 数据工厂进行加密 | 使用客户管理的密钥来管理 Azure 数据工厂的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规合规性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/adf-cmk。 | Audit、Deny、Disabled | 1.0.1 |
| Azure HDInsight 群集应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来管理 Azure HDInsight 群集的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/hdi.cmk。 | Audit、Deny、Disabled | 1.0.1 |
| Azure HDInsight 群集应使用主机加密来加密静态数据 | 启用主机加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用主机加密时,存储在 VM 主机上的数据将静态加密,且已加密的数据将流向存储服务。 | Audit、Deny、Disabled | 1.0.0 |
| 应使用客户管理的密钥对 Azure 机器学习工作区进行加密 | 使用客户管理的密钥管理 Azure 机器学习工作区数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/azureml-workspaces-cmk。 | Audit、Deny、Disabled | 1.0.3 |
| 应使用客户管理的密钥对 Azure Monitor 日志群集进行加密 | 创建 Azure Monitor 日志群集并使用客户管理的密钥进行加密。 默认情况下,使用服务管理的密钥对日志数据进行加密,但为了满足法规合规性,通常需要使用客户管理的密钥。 借助 Azure Monitor 中客户管理的密钥,可更好地控制对数据的访问,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure 流分析作业应使用客户管理的密钥来加密数据 | 当你想要将流分析作业的任何元数据和专用数据资产安全地存储在存储帐户中时,请使用客户管理的密钥。 这样就可以完全控制流分析数据的加密方式。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Synapse 工作区应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来控制对 Azure Synapse 工作区中存储的数据的静态加密。 客户管理的密钥提供双重加密,方法是在使用服务托管密钥完成的默认加密层上添加另一层加密。 | Audit、Deny、Disabled | 1.0.0 |
| 机器人服务应使用客户管理的密钥进行加密 | Azure 机器人服务自动加密你的资源,以保护数据并实现组织安全性和合规性承诺。 默认使用 Microsoft 管理的加密密钥。 为了能够更灵活地管理密钥或控制对订阅的访问,请选择“客户管理的密钥”(亦称为“创建自己的密钥 (BYOK)”)。 详细了解 Azure 机器人服务加密:https://docs.microsoft.com/azure/bot-service/bot-service-encryption。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Kubernetes 服务群集中的操作系统和数据磁盘都应使用客户托管的密钥进行加密 | 使用客户管理的密钥加密 OS 和数据磁盘可以更好地控制密钥管理并提高密钥管理的灵活性。 这是许多法规和行业合规性标准中的常见要求。 | Audit、Deny、Disabled | 1.0.1 |
| 认知服务帐户应启用使用客户管理的密钥进行数据加密的功能 | 为了满足法规符合性标准,通常需要使用客户管理的密钥。 利用客户管理的密钥,可以使用由你创建并拥有的 Azure Key Vault 密钥对存储在认知服务中的数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 通过 https://go.microsoft.com/fwlink/?linkid=2121321 详细了解客户管理的密钥。 | Audit、Deny、Disabled | 2.1.0 |
| 应使用客户管理的密钥对容器注册表进行加密 | 使用客户管理的密钥来管理注册表内容的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/acr/CMK。 | Audit、Deny、Disabled | 1.1.2 |
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | 手动、已禁用 | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | 手动、已禁用 | 1.1.0 |
| 事件中心命名空间应使用客户管理的密钥进行加密 | Azure 事件中心支持通过 Microsoft 管理的密钥(默认)或客户管理的密钥来加密静态数据。 如果选择使用客户管理的密钥加密数据,则可分配、轮换、禁用和撤销对密钥的访问权限,事件中心将使用密钥加密命名空间中的数据。 请注意,事件中心仅支持使用客户管理的密钥对专用群集中的命名空间进行加密。 | Audit、Disabled | 1.0.0 |
| HPC 缓存帐户应使用客户管理的密钥进行加密 | 使用客户管理的密钥来管理 Azure HPC 缓存的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | 审核、已禁用、拒绝 | 2.0.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | 手动、已禁用 | 1.1.0 |
| 应使用客户管理的密钥对逻辑应用集成服务环境进行加密 | 使用客户管理的密钥部署到集成服务环境,以管理逻辑应用数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | Audit、Deny、Disabled | 1.0.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘 | 对安全性高度敏感的客户如果担心出现与任何特定加密算法、实现或密钥泄露相关的风险,可以选择在使用平台管理的加密密钥的基础结构层上使用其他加密算法/模式的额外加密层。 需要提供磁盘加密集才能使用双重加密。 更多信息请访问 https://aka.ms/disks-doubleEncryption。 | Audit、Deny、Disabled | 1.0.0 |
| MySQL 服务器应使用客户管理的密钥进行静态数据加密 | 使用客户管理的密钥来管理 MySQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | AuditIfNotExists、Disabled | 1.0.4 |
| 应使用客户管理的密钥来加密 OS 和数据磁盘 | 使用客户管理的密钥来管理托管磁盘内容的静态加密。 默认情况下,使用平台管理的密钥对数据进行静态加密,但为了满足合规性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/disks-cmk。 | Audit、Deny、Disabled | 3.0.0 |
| PostgreSQL 服务器应使用客户管理的密钥进行静态数据加密 | 使用客户管理的密钥来管理 PostgreSQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | AuditIfNotExists、Disabled | 1.0.4 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问权限 | 手动、已禁用 | 1.1.0 |
| 应将 Azure Monitor 中已保存的查询保存在客户存储帐户中以进行日志加密 | 将存储帐户链接到 Log Analytics 工作区,以通过存储帐户加密保护保存的查询。 为了满足法规合规性并更好地控制对 Azure Monitor 中保存的查询的访问,通常需要使用客户管理的密钥。 有关上述内容的更多详细信息,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| 服务总线高级命名空间应使用客户管理的密钥进行加密 | Azure 服务总线支持通过 Microsoft 管理的密钥(默认)或客户管理的密钥来加密静态数据。 如果选择使用客户管理的密钥加密数据,则可分配、轮换、禁用和撤销对服务总线将用于加密命名空间中的数据的密钥的访问权限。 请注意,服务总线仅支持使用客户管理的密钥对高级命名空间进行加密。 | Audit、Disabled | 1.0.0 |
| SQL 托管实例应使用客户管理的密钥进行静态数据加密 | 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 | Audit、Deny、Disabled | 2.0.0 |
| SQL Server 应使用客户管理的密钥进行静态数据加密 | 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 | Audit、Deny、Disabled | 2.0.1 |
| 存储帐户加密范围应使用客户管理的密钥对静态数据进行加密 | 使用客户管理的密钥来管理存储帐户加密范围的静态加密。 客户管理的密钥允许使用由你创建并拥有的 Azure 密钥保管库密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 若要详细了解存储帐户加密范围,请访问 https://aka.ms/encryption-scopes-overview。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护 blob 和文件存储帐户。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | Audit、Disabled | 1.0.3 |
可用性
ID:FedRAMP High SC-12 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 保持信息的可用性 | CMA_C1644 - 保持信息的可用性 | 手动、已禁用 | 1.1.0 |
对称密钥
ID:FedRAMP High SC-12 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 生成、控制和分配对称加密密钥 | CMA_C1645 - 生成、控制和分配对称加密密钥 | 手动、已禁用 | 1.1.0 |
非对称密钥
ID:FedRAMP High SC-12 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 生成、控制和分配非对称加密密钥 | CMA_C1646 - 生成、控制和分配非对称加密密钥 | 手动、已禁用 | 1.1.0 |
加密保护
ID:FedRAMP High SC-13 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
协作计算设备
ID:FedRAMP High SC-15 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 显式通知协作型计算设备的使用 | CMA_C1649 - 显式通知协作型计算设备的使用 | 手动、已禁用 | 1.1.1 |
| 禁止远程激活协作型计算设备 | CMA_C1648 - 禁止远程激活协作型计算设备 | 手动、已禁用 | 1.1.0 |
公钥基础结构证书
ID:FedRAMP High SC-17 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | 手动、已禁用 | 1.1.0 |
移动代码
ID:FedRAMP High SC-18 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授权、监视、控制移动代码技术的使用 | CMA_C1653 - 授权、监视、控制移动代码技术的使用 | 手动、已禁用 | 1.1.0 |
| 定义可接受和不可接受的移动代码技术 | CMA_C1651 - 定义可接受和不可接受的移动代码技术 | 手动、已禁用 | 1.1.0 |
| 制定移动代码技术的使用限制 | CMA_C1652 - 制定移动代码技术的使用限制 | 手动、已禁用 | 1.1.0 |
IP 语音 (VoIP)
ID:FedRAMP High SC-19 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授权、监视和控制 voip | CMA_0025 - 授权、监视、控制 VoIP | 手动、已禁用 | 1.1.0 |
| 制定 voip 使用限制 | CMA_0280 - 制定 VoIP 使用限制 | 手动、已禁用 | 1.1.0 |
安全名称/地址解析服务(权威源)
ID:FedRAMP High SC-20 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实现容错名称/地址服务 | CMA_0305 - 实现容错名称/地址服务 | 手动、已禁用 | 1.1.0 |
| 提供安全的名称和地址解析服务 | CMA_0416 - 提供安全的名称和地址解析服务 | 手动、已禁用 | 1.1.0 |
安全名称/地址解析服务(递归或缓存解析程序)
ID:FedRAMP High SC-21 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实现容错名称/地址服务 | CMA_0305 - 实现容错名称/地址服务 | 手动、已禁用 | 1.1.0 |
| 验证软件、固件和信息完整性 | CMA_0542 - 验证软件、固件和信息完整性 | 手动、已禁用 | 1.1.0 |
名称体系结构和预配/地址解析服务
ID:FedRAMP High SC-22 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 实现容错名称/地址服务 | CMA_0305 - 实现容错名称/地址服务 | 手动、已禁用 | 1.1.0 |
会话验证
ID:FedRAMP High SC-23 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 强制执行随机唯一会话标识符 | CMA_0247 - 强制执行随机唯一会话标识符 | 手动、已禁用 | 1.1.0 |
注销时让会话标识符失效
ID:FedRAMP High SC-23 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 注销时让会话标识符失效 | CMA_C1661 - 注销时使会话标识符无效 | 手动、已禁用 | 1.1.0 |
发生故障时处于已知状态
ID:FedRAMP High SC-24 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确保信息系统发生故障时处于已知状态 | CMA_C1662 - 确保信息系统发生故障时处于已知状态 | 手动、已禁用 | 1.1.0 |
保护静态信息
ID:FedRAMP High SC-28 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应用服务环境应启用内部加密 | 如果将 InternalEncryption 设置为 true,会对应用服务环境中前端和辅助角色之间的页面文件、辅助角色磁盘和内部网络流量进行加密。 若要了解详细信息,请查看 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption。 | Audit、Disabled | 1.0.1 |
| 自动化帐户变量应加密 | 存储敏感数据时,请务必启用自动化帐户变量资产加密 | Audit、Deny、Disabled | 1.1.0 |
| Azure Data Box 作业应为设备上静态数据启用双重加密 | 为设备上的静态数据启用第二层基于软件的加密。 设备已通过用于静态数据的高级加密标准 256 位加密受到保护。 此选项将添加第二层数据加密。 | Audit、Deny、Disabled | 1.0.0 |
| 应创建启用了基础结构加密(双重加密)的 Azure Monitor 日志群集 | 若要确保使用两种不同的加密算法和两个不同的密钥在服务级别和基础结构级别启用安全数据加密,请使用 Azure Monitor 专用群集。 在区域受支持时,默认情况下会启用此选项,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Stack Edge 设备应使用双重加密 | 若要在设备上保护静态数据,请确保静态数据已双重加密,已控制对数据的访问,并在设备停用后从数据磁盘安全地清除数据。 双重加密使用两层加密:数据卷上的 BitLocker XTS-AES 256 位加密和硬盘驱动器上的内置加密。 有关详细信息,请参阅特定 Stack Edge 设备的安全概述文档。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| 应为 Azure 数据资源管理器启用磁盘加密 | 启用磁盘加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 | Audit、Deny、Disabled | 2.0.0 |
| 应为 Azure 数据资源管理器启用双重加密 | 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 | Audit、Deny、Disabled | 2.0.0 |
| 建立数据泄漏管理过程 | CMA_0255 - 建立数据泄漏管理过程 | 手动、已禁用 | 1.1.0 |
| 应为 Azure Database for MySQL 服务器启用基础结构加密 | 为 Azure Database for MySQL 服务器启用基础结构加密,以便增强数据安全。 启用基础结构加密后,将使用符合 FIPS 140-2 的 Microsoft 托管密钥对静态数据进行两次加密。 | Audit、Deny、Disabled | 1.0.0 |
| 应为 Azure Database for PostgreSQL 服务器启用基础结构加密 | 为 Azure Database for PostgreSQL 服务器启用基础结构加密,以便增强数据安全。 启用基础结构加密后,将使用符合 FIPS 140-2 的 Microsoft 托管密钥对静态数据进行两次加密 | Audit、Deny、Disabled | 1.0.0 |
| 保护特殊信息 | CMA_0409 - 保护特殊信息 | 手动、已禁用 | 1.1.0 |
| Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign | Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别(None、Sign 和 EncryptAndSign)。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名 | Audit、Deny、Disabled | 1.1.0 |
| 存储帐户应具有基础结构加密 | 启用基础结构加密,以便增强数据安全。 启用基础结构加密后,存储帐户中的数据将加密两次。 | Audit、Deny、Disabled | 1.0.0 |
| 应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存 | 为了增强数据安全性,应对存储在 Azure Kubernetes 服务节点 VM 的虚拟机 (VM) 主机上的数据进行静态加密。 这是许多法规和行业合规性标准中的常见要求。 | Audit、Deny、Disabled | 1.0.1 |
| 应在 SQL 数据库上启用透明数据加密 | 应启用透明数据加密以保护静态数据并满足符合性要求 | AuditIfNotExists、Disabled | 2.0.0 |
| 虚拟机和虚拟机规模集应启用主机中加密 | 使用主机中加密可对虚拟机和虚拟机规模集数据进行端到端加密。 主机中加密可对临时磁盘和 OS/数据磁盘缓存实现静态加密。 启用主机中加密后,将使用平台管理的密钥对临时 OS 磁盘进行加密。 OS/数据磁盘缓存使用客户管理的密钥或平台管理的密钥进行静态加密,具体取决于在磁盘中选择的加密类型。 更多信息请访问 https://aka.ms/vm-hbe。 | Audit、Deny、Disabled | 1.0.0 |
| 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 | 默认情况下,虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密。 临时磁盘、数据缓存以及在计算和存储之间流动的数据未加密。 如果存在以下情况,请忽略此建议:1. 使用“主机加密”,或者 2. 托管磁盘上的服务器端加密满足安全要求。 若要了解详细信息,请参阅 Azure 磁盘存储的服务器端加密:https://aka.ms/disksse,不同的磁盘加密产品/服务:https://aka.ms/diskencryptioncomparison | AuditIfNotExists、Disabled | 2.0.3 |
加密保护
ID:FedRAMP High SC-28 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应用服务环境应启用内部加密 | 如果将 InternalEncryption 设置为 true,会对应用服务环境中前端和辅助角色之间的页面文件、辅助角色磁盘和内部网络流量进行加密。 若要了解详细信息,请查看 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption。 | Audit、Disabled | 1.0.1 |
| 自动化帐户变量应加密 | 存储敏感数据时,请务必启用自动化帐户变量资产加密 | Audit、Deny、Disabled | 1.1.0 |
| Azure Data Box 作业应为设备上静态数据启用双重加密 | 为设备上的静态数据启用第二层基于软件的加密。 设备已通过用于静态数据的高级加密标准 256 位加密受到保护。 此选项将添加第二层数据加密。 | Audit、Deny、Disabled | 1.0.0 |
| 应创建启用了基础结构加密(双重加密)的 Azure Monitor 日志群集 | 若要确保使用两种不同的加密算法和两个不同的密钥在服务级别和基础结构级别启用安全数据加密,请使用 Azure Monitor 专用群集。 在区域受支持时,默认情况下会启用此选项,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Stack Edge 设备应使用双重加密 | 若要在设备上保护静态数据,请确保静态数据已双重加密,已控制对数据的访问,并在设备停用后从数据磁盘安全地清除数据。 双重加密使用两层加密:数据卷上的 BitLocker XTS-AES 256 位加密和硬盘驱动器上的内置加密。 有关详细信息,请参阅特定 Stack Edge 设备的安全概述文档。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| 应为 Azure 数据资源管理器启用磁盘加密 | 启用磁盘加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 | Audit、Deny、Disabled | 2.0.0 |
| 应为 Azure 数据资源管理器启用双重加密 | 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 | Audit、Deny、Disabled | 2.0.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 应为 Azure Database for MySQL 服务器启用基础结构加密 | 为 Azure Database for MySQL 服务器启用基础结构加密,以便增强数据安全。 启用基础结构加密后,将使用符合 FIPS 140-2 的 Microsoft 托管密钥对静态数据进行两次加密。 | Audit、Deny、Disabled | 1.0.0 |
| 应为 Azure Database for PostgreSQL 服务器启用基础结构加密 | 为 Azure Database for PostgreSQL 服务器启用基础结构加密,以便增强数据安全。 启用基础结构加密后,将使用符合 FIPS 140-2 的 Microsoft 托管密钥对静态数据进行两次加密 | Audit、Deny、Disabled | 1.0.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign | Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别(None、Sign 和 EncryptAndSign)。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名 | Audit、Deny、Disabled | 1.1.0 |
| 存储帐户应具有基础结构加密 | 启用基础结构加密,以便增强数据安全。 启用基础结构加密后,存储帐户中的数据将加密两次。 | Audit、Deny、Disabled | 1.0.0 |
| 应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存 | 为了增强数据安全性,应对存储在 Azure Kubernetes 服务节点 VM 的虚拟机 (VM) 主机上的数据进行静态加密。 这是许多法规和行业合规性标准中的常见要求。 | Audit、Deny、Disabled | 1.0.1 |
| 应在 SQL 数据库上启用透明数据加密 | 应启用透明数据加密以保护静态数据并满足符合性要求 | AuditIfNotExists、Disabled | 2.0.0 |
| 虚拟机和虚拟机规模集应启用主机中加密 | 使用主机中加密可对虚拟机和虚拟机规模集数据进行端到端加密。 主机中加密可对临时磁盘和 OS/数据磁盘缓存实现静态加密。 启用主机中加密后,将使用平台管理的密钥对临时 OS 磁盘进行加密。 OS/数据磁盘缓存使用客户管理的密钥或平台管理的密钥进行静态加密,具体取决于在磁盘中选择的加密类型。 更多信息请访问 https://aka.ms/vm-hbe。 | Audit、Deny、Disabled | 1.0.0 |
| 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 | 默认情况下,虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密。 临时磁盘、数据缓存以及在计算和存储之间流动的数据未加密。 如果存在以下情况,请忽略此建议:1. 使用“主机加密”,或者 2. 托管磁盘上的服务器端加密满足安全要求。 若要了解详细信息,请参阅 Azure 磁盘存储的服务器端加密:https://aka.ms/disksse,不同的磁盘加密产品/服务:https://aka.ms/diskencryptioncomparison | AuditIfNotExists、Disabled | 2.0.3 |
进程隔离
ID:FedRAMP High SC-39 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 为正在运行的进程维护单独执行域 | CMA_C1665 - 为正在运行的进程维护单独执行域 | 手动、已禁用 | 1.1.0 |
系统和信息完整性
系统和信息完整性策略和过程
ID:FedRAMP High SI-1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 查看和更新信息完整性策略及过程 | CMA_C1667 - 查看和更新信息完整性策略及过程 | 手动、已禁用 | 1.1.0 |
缺陷修正
ID:FedRAMP High SI-2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应用服务应用应使用最新“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 4.0.0 |
| 应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于 Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用 Azure Defender for Resource Manager | Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于计算机上的 SQL 服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 函数应用应使用最新“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 4.0.0 |
| 将缺陷修正合并到配置管理中 | CMA_C1671 - 将缺陷修正合并到配置管理中 | 手动、已禁用 | 1.1.0 |
| Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 | 将 Kubernetes 服务群集升级到更高 Kubernetes 版本,以抵御当前 Kubernetes 版本中的已知漏洞。 Kubernetes 版本 1.11.9+、1.12.7+、1.13.5+ 和 1.14.0+ 中已修补漏洞 CVE-2019-9946 | Audit、Disabled | 1.0.2 |
| 应启用 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
| SQL 数据库应已解决漏洞结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 应在虚拟机规模集上安装系统更新 | 审核是否缺少系统安全更新和关键更新,为了确保 Windows 和 Linux 虚拟机规模集的安全,应安装这些更新。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应在计算机上安装系统更新 | 建议通过 Azure 安全中心监视服务器上缺失的安全系统更新 | AuditIfNotExists、Disabled | 4.0.0 |
| 应修复计算机上安全配置中的漏洞 | 建议通过 Azure 安全中心监视不满足配置的基线的服务器 | AuditIfNotExists、Disabled | 3.1.0 |
| 应修复虚拟机规模集上安全配置中的漏洞 | 审核虚拟机规模集上的 OS 漏洞,以保护其免受攻击。 | AuditIfNotExists、Disabled | 3.0.0 |
自动缺陷修正状态
ID:FedRAMP High SI-2 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 自动修正缺陷 | CMA_0027 - 自动修正缺陷 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
纠正措施的修正缺陷时间/基准
ID:FedRAMP High SI-2 (3) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立缺陷修正基准 | CMA_C1675 - 为缺陷修正建立基准 | 手动、已禁用 | 1.1.0 |
| 测量缺陷标识和缺陷修正之间的时间 | CMA_C1674 - 测量缺陷标识和缺陷修正之间的时间 | 手动、已禁用 | 1.1.0 |
恶意代码防护
ID:FedRAMP High SI-3 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 应在虚拟机规模集上安装终结点保护解决方案 | 审核终结点保护解决方案在虚拟机规模集上的存在性和运行状况 ,以保护其免受威胁和漏洞的侵害。 | AuditIfNotExists、Disabled | 3.0.0 |
| 管理网关 | CMA_0363 - 管理网关 | 手动、已禁用 | 1.1.0 |
| 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 建议通过 Azure 安全中心监视未安装 Endpoint Protection 代理的服务器 | AuditIfNotExists、Disabled | 3.0.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 每周查看恶意软件检测报告 | CMA_0475 - 每周查看恶意软件检测报告 | 手动、已禁用 | 1.1.0 |
| 每周查看威胁防护状态 | CMA_0479 - 每周查看威胁防护状态 | 手动、已禁用 | 1.1.0 |
| 更新防病毒定义 | CMA_0517 - 更新防病毒定义 | 手动、已禁用 | 1.1.0 |
| 应在计算机上启用 Windows Defender 攻击防护 | Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 | AuditIfNotExists、Disabled | 2.0.0 |
中央管理
ID:FedRAMP High SI-3 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 应在虚拟机规模集上安装终结点保护解决方案 | 审核终结点保护解决方案在虚拟机规模集上的存在性和运行状况 ,以保护其免受威胁和漏洞的侵害。 | AuditIfNotExists、Disabled | 3.0.0 |
| 管理网关 | CMA_0363 - 管理网关 | 手动、已禁用 | 1.1.0 |
| 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 建议通过 Azure 安全中心监视未安装 Endpoint Protection 代理的服务器 | AuditIfNotExists、Disabled | 3.0.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 每周查看恶意软件检测报告 | CMA_0475 - 每周查看恶意软件检测报告 | 手动、已禁用 | 1.1.0 |
| 更新防病毒定义 | CMA_0517 - 更新防病毒定义 | 手动、已禁用 | 1.1.0 |
| 应在计算机上启用 Windows Defender 攻击防护 | Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 | AuditIfNotExists、Disabled | 2.0.0 |
自动更新
ID:FedRAMP High SI-3 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 管理网关 | CMA_0363 - 管理网关 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 每周查看恶意软件检测报告 | CMA_0475 - 每周查看恶意软件检测报告 | 手动、已禁用 | 1.1.0 |
| 更新防病毒定义 | CMA_0517 - 更新防病毒定义 | 手动、已禁用 | 1.1.0 |
基于非签名的检测
ID:FedRAMP High SI-3 (7) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 管理网关 | CMA_0363 - 管理网关 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 每周查看恶意软件检测报告 | CMA_0475 - 每周查看恶意软件检测报告 | 手动、已禁用 | 1.1.0 |
| 更新防病毒定义 | CMA_0517 - 更新防病毒定义 | 手动、已禁用 | 1.1.0 |
信息系统监视
ID:FedRAMP High SI-4 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | Azure 安全中心已确认,你的某些子网未使用下一代防火墙进行保护。 通过使用 Azure 防火墙或受支持的下一代防火墙限制对子网的访问,保护子网免受潜在威胁的危害 | AuditIfNotExists、Disabled | 3.0.0-preview |
| [预览版]:已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展 | 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [预览版]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机中 | 此策略审核是否有 Linux Azure Arc 计算机未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| [预览版]:Log Analytics 扩展应安装在 Windows Azure Arc 计算机中 | 此策略审核是否有 Windows Azure Arc 计算机未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| 你的订阅应启用 Log Analytics 代理自动预配 | 为了监视安全漏洞和威胁,Azure 安全中心会从 Azure 虚拟机收集数据。 数据是使用 Log Analytics 代理收集的,该代理以前称为 Microsoft Monitoring Agent (MMA),它从计算机中读取各种安全相关的配置和事件日志,然后将数据复制到 Log Analytics 工作区以用于分析。 建议启用自动预配,将代理自动部署到所有受支持的 Azure VM 和任何新创建的 VM。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于 Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用 Azure Defender for Resource Manager | Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于计算机上的 SQL 服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 SQL 服务器 | AuditIfNotExists、Disabled | 2.0.1 |
| 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 审核所有未启用高级数据安全的 SQL 托管实例。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应在计算机上安装来宾配置扩展 | 若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾内策略将可用,如“应启用 Windows 攻击防护”。 更多信息请访问 https://aka.ms/gcpol。 | AuditIfNotExists、Disabled | 1.0.3 |
| Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 | 此策略审核是否有任何 Windows/Linux 虚拟机 (VM) 没有安装安全中心用于监视安全漏洞和威胁的 Log Analytics 代理 | AuditIfNotExists、Disabled | 1.0.0 |
| Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 | 安全中心从 Azure 虚拟机 (VM) 收集数据,以监视安全漏洞和威胁。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用网络观察程序 | 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 | AuditIfNotExists、Disabled | 3.0.0 |
| 获取有关监视系统活动的法律意见 | CMA_C1688 - 获取有关监视系统活动的法律意见 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 根据需要提供监视信息 | CMA_C1689 - 根据需要提供监视信息 | 手动、已禁用 | 1.1.0 |
| 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息,请访问 https://aka.ms/gcpol | AuditIfNotExists、Disabled | 1.0.1 |
用于实时分析的自动化工具
ID:FedRAMP High SI-4 (2) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录安全操作 | CMA_0202 - 记录安全操作 | 手动、已禁用 | 1.1.0 |
| 打开终结点安全解决方案的传感器 | CMA_0514 - 打开终结点安全解决方案的传感器 | 手动、已禁用 | 1.1.0 |
入站和出站通信流量
ID:FedRAMP High SI-4 (4) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授权、监视和控制 voip | CMA_0025 - 授权、监视、控制 VoIP | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 管理网关 | CMA_0363 - 管理网关 | 手动、已禁用 | 1.1.0 |
| 通过托管网络访问点路由流量 | CMA_0484 - 通过托管网络访问点路由流量 | 手动、已禁用 | 1.1.0 |
系统生成的警报
ID:FedRAMP High SI-4 (5) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 向人员发出信息溢写警报 | CMA_0007 - 向人员发出信息溢写警报 | 手动、已禁用 | 1.1.0 |
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | 手动、已禁用 | 1.1.0 |
| 为组织中的新云应用程序和热门云应用程序设置自动通知 | CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 | 手动、已禁用 | 1.1.0 |
无线入侵检测
ID:FedRAMP High SI-4 (14) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录无线访问安全控制措施 | CMA_C1695 - 记录无线访问安全控制 | 手动、已禁用 | 1.1.0 |
未经授权的网络服务
ID:FedRAMP High SI-4 (22) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 检测尚未授权或批准的网络服务 | CMA_C1700 - 检测尚未授权或批准的网络服务 | 手动、已禁用 | 1.1.0 |
入侵指标
ID:FedRAMP High SI-4 (24) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 发现任何泄露指示信号 | CMA_C1702 - 发现任何泄露指示信号 | 手动、已禁用 | 1.1.0 |
安全警报、公告和指令
ID:FedRAMP High SI-5 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 向人员传播安全警报 | CMA_C1705 - 向人员传播安全警报 | 手动、已禁用 | 1.1.0 |
| 建立威胁情报计划 | CMA_0260 - 建立威胁情报计划 | 手动、已禁用 | 1.1.0 |
| 生成内部安全警报 | CMA_C1704 - 生成内部安全警报 | 手动、已禁用 | 1.1.0 |
| 实现安全指令 | CMA_C1706 - 实现安全指令 | 手动、已禁用 | 1.1.0 |
自动化警报和公告
ID:FedRAMP High SI-5 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使用自动机制进行安全警报 | CMA_C1707 - 使用自动机制进行安全警报 | 手动、已禁用 | 1.1.0 |
安全功能验证
ID:FedRAMP High SI-6 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 为已标识异常创建替代操作 | CMA_C1711 - 为已标识异常创建替代操作 | 手动、已禁用 | 1.1.0 |
| 通知相关人员任何失败的安全验证测试 | CMA_C1710 - 通知相关人员任何失败的安全验证测试 | 手动、已禁用 | 1.1.0 |
| 按定义的频率执行安全性函数验证 | CMA_C1709 - 按定义的频率执行安全性函数验证 | 手动、已禁用 | 1.1.0 |
| 验证安全性函数 | CMA_C1708 - 验证安全性函数 | 手动、已禁用 | 1.1.0 |
软件、固件和信息完整性
ID:FedRAMP High SI-7 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 验证软件、固件和信息完整性 | CMA_0542 - 验证软件、固件和信息完整性 | 手动、已禁用 | 1.1.0 |
完整性检查
ID:FedRAMP High SI-7 (1) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 验证软件、固件和信息完整性 | CMA_0542 - 验证软件、固件和信息完整性 | 手动、已禁用 | 1.1.0 |
| 查看并配置系统诊断数据 | CMA_0544 - 查看并配置系统诊断数据 | 手动、已禁用 | 1.1.0 |
自动化响应完整性冲突
ID:FedRAMP High SI-7 (5) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 检测到冲突时采用自动关闭/重启操作 | CMA_C1715 - 检测到冲突时采用自动关闭/重启操作 | 手动、已禁用 | 1.1.0 |
二进制或计算机可执行代码
ID:FedRAMP High SI-7 (14) 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 禁止二进制/计算机可执行代码 | CMA_C1717 - 禁止二进制/计算机可执行代码 | 手动、已禁用 | 1.1.0 |
信息输入验证
ID:FedRAMP High SI-10 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行信息输入验证 | CMA_C1723 - 执行信息输入验证 | 手动、已禁用 | 1.1.0 |
错误处理
ID:FedRAMP High SI-11 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 生成错误消息 | CMA_C1724 - 生成错误消息 | 手动、已禁用 | 1.1.0 |
| 显示错误消息 | CMA_C1725 - 显示错误消息 | 手动、已禁用 | 1.1.0 |
信息处理和保留
ID:FedRAMP High SI-12 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 管理数据的输入、输出、处理和存储 | CMA_0369 - 管理数据的输入、输出、处理和存储 | 手动、已禁用 | 1.1.0 |
| 查看标签活动和分析 | CMA_0474 - 查看标签活动和分析 | 手动、已禁用 | 1.1.0 |
内存保护
ID:FedRAMP High SI-16 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应在计算机上启用 Windows Defender 攻击防护 | Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 | AuditIfNotExists、Disabled | 2.0.0 |
后续步骤
有关 Azure Policy 的其他文章:
- 法规符合性概述。
- 请参阅计划定义结构。
- 在 Azure Policy 示例中查看其他示例。
- 查看了解策略效果。
- 了解如何修正不符合的资源。