你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 虚拟机的 Azure Policy 法规遵从性控制措施
适用于:✔️ Linux VM ✔️ Windows VM ✔️ 灵活规模集 ✔️ 统一规模集
Azure Policy 中的法规遵从性为与不同合规性标准相关的“合规性域”和“安全控制”提供由 Microsoft 创建和管理的计划定义,称为“内置项” 。 此页列出 Azure 虚拟机的“符合域”和“安全控制措施” 。 可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
重要
每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的“符合”仅指策略本身。 这并不能确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 对于这些合规性标准,控件与 Azure Policy 法规合规性定义之间的关联可能会随时间的推移而发生变化。
澳大利亚政府 ISM PROTECTED
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 澳大利亚政府 ISM PROTECTED。 有关此合规性标准的详细信息,请参阅澳大利亚政府 ISM PROTECTED。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 人员安全性指导原则 - 对系统及其资源的访问 | 415 | 用户标识 - 415 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 415 | 用户标识 - 415 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 415 | 用户标识 - 415 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 415 | 用户标识 - 415 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 系统强化指导原则 - 身份验证强化 | 421 | 单因素身份验证 - 421 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 系统强化指导原则 - 身份验证强化 | 421 | 单因素身份验证 - 421 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 系统强化指导原则 - 身份验证强化 | 421 | 单因素身份验证 - 421 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 系统强化指导原则 - 身份验证强化 | 421 | 单因素身份验证 - 421 | Windows 计算机应符合“安全设置 - 帐户策略”的要求 | 3.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 445 | 对系统的特权访问 - 445 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 445 | 对系统的特权访问 - 445 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 445 | 对系统的特权访问 - 445 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 445 | 对系统的特权访问 - 445 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 加密指南 - 加密基本要求 | 459 | 加密静态数据 - 459 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 系统监视指导原则 - 事件日志记录和审核 | 582 | 要记录的事件 - 582 | 虚拟机应连接到指定的工作区 | 1.1.0 |
| 系统管理指导原则 - 系统修补 | 940 | 何时修补安全漏洞 - 940 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 940 | 何时修补安全漏洞 - 940 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 940 | 何时修补安全漏洞 - 940 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 系统管理指导原则 - 系统修补 | 940 | 何时修补安全漏洞 - 940 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 加密指南 - 传输层安全性 | 1139 | 使用传输层安全性 - 1139 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 加密指南 - 传输层安全性 | 1139 | 使用传输层安全性 - 1139 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 加密指南 - 传输层安全性 | 1139 | 使用传输层安全性 - 1139 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 加密指南 - 传输层安全性 | 1139 | 使用传输层安全性 - 1139 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 系统管理指导原则 - 系统修补 | 1144 | 何时修补安全漏洞 - 1144 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1144 | 何时修补安全漏洞 - 1144 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1144 | 何时修补安全漏洞 - 1144 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 系统管理指导原则 - 系统修补 | 1144 | 何时修补安全漏洞 - 1144 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 网络指南 - 网络设计和配置 | 1182 | 网络访问控制 - 1182 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 网络指南 - 网络设计和配置 | 1182 | 网络访问控制 - 1182 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 数据库系统指导原则 - 数据库服务器 | 1277 | 数据库服务器和 Web 服务器之间的通信 - 1277 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 数据库系统指导原则 - 数据库服务器 | 1277 | 数据库服务器和 Web 服务器之间的通信 - 1277 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 数据库系统指导原则 - 数据库服务器 | 1277 | 数据库服务器和 Web 服务器之间的通信 - 1277 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 数据库系统指导原则 - 数据库服务器 | 1277 | 数据库服务器和 Web 服务器之间的通信 - 1277 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 网关指南 - 内容筛选 | 1288 | 病毒扫描 - 1288 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 网关指南 - 内容筛选 | 1288 | 病毒扫描 - 1288 | 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 | 1.1.0 |
| 网关指南 - 内容筛选 | 1288 | 病毒扫描 - 1288 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 系统管理指导原则 - 系统管理 | 1386 | 管理流量流限制 - 1386 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 系统强化指导原则 - 操作系统强化 | 1407 | 操作系统版本 - 1407 | 应在虚拟机规模集上安装系统更新 | 3.0.0 |
| 系统强化指导原则 - 操作系统强化 | 1407 | 操作系统版本 - 1407 | 应在计算机上安装系统更新 | 4.0.0 |
| 系统强化指导原则 - 操作系统强化 | 1417 | 防病毒软件 - 1417 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 系统强化指导原则 - 操作系统强化 | 1417 | 防病毒软件 - 1417 | 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 | 1.1.0 |
| 系统强化指导原则 - 操作系统强化 | 1417 | 防病毒软件 - 1417 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 数据库系统指导原则 - 数据库服务器 | 1425 | 保护数据库服务器的内容 - 1425 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 系统管理指导原则 - 系统修补 | 1472 | 何时修补安全漏洞 - 1472 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1472 | 何时修补安全漏洞 - 1472 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1472 | 何时修补安全漏洞 - 1472 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 系统管理指导原则 - 系统修补 | 1472 | 何时修补安全漏洞 - 1472 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 系统强化指导原则 - 操作系统强化 | 1490 | 应用程序控制 - 1490 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1494 | 何时修补安全漏洞 - 1494 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1494 | 何时修补安全漏洞 - 1494 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1494 | 何时修补安全漏洞 - 1494 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 系统管理指导原则 - 系统修补 | 1494 | 何时修补安全漏洞 - 1494 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1495 | 何时修补安全漏洞 - 1495 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1495 | 何时修补安全漏洞 - 1495 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1495 | 何时修补安全漏洞 - 1495 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 系统管理指导原则 - 系统修补 | 1495 | 何时修补安全漏洞 - 1495 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1496 | 何时修补安全漏洞 - 1496 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1496 | 何时修补安全漏洞 - 1496 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 系统管理指导原则 - 系统修补 | 1496 | 何时修补安全漏洞 - 1496 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 系统管理指导原则 - 系统修补 | 1496 | 何时修补安全漏洞 - 1496 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1503 | 对系统的标准访问 - 1503 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1503 | 对系统的标准访问 - 1503 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1503 | 对系统的标准访问 - 1503 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1503 | 对系统的标准访问 - 1503 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1507 | 对系统的特权访问 - 1507 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1507 | 对系统的特权访问 - 1507 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1507 | 对系统的特权访问 - 1507 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1507 | 对系统的特权访问 - 1507 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1508 | 对系统的特权访问 - 1508 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1508 | 对系统的特权访问 - 1508 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1508 | 对系统的特权访问 - 1508 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1508 | 对系统的特权访问 - 1508 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 人员安全性指导原则 - 对系统及其资源的访问 | 1508 | 对系统的特权访问 - 1508 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 系统管理指导原则 - 数据备份和还原 | 1511 | 执行备份 - 1511 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
| 系统强化指导原则 - 身份验证强化 | 1546 | 向系统进行身份验证 - 1546 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 系统强化指导原则 - 身份验证强化 | 1546 | 向系统进行身份验证 - 1546 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 系统强化指导原则 - 身份验证强化 | 1546 | 向系统进行身份验证 - 1546 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| 系统强化指导原则 - 身份验证强化 | 1546 | 向系统进行身份验证 - 1546 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.1.0 |
| 系统强化指导原则 - 身份验证强化 | 1546 | 向系统进行身份验证 - 1546 | 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 3.1.0 |
加拿大联邦 PBMM
若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - 加拿大联邦 PBMM。 有关此合规性标准的详细信息,请参阅加拿大联邦 PBMM。
CIS Microsoft Azure 基础基准检验 1.1.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - CIS Microsoft Azure 基础基准 1.1.0。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 2 安全中心 | 2.10 | 确保 ASC 默认策略设置“监视漏洞评估”不是处于“已禁用”状态 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 2 安全中心 | 2.12 | 确保 ASC 默认策略设置“监视 JIT 网络访问”不是处于“已禁用”状态 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 2 安全中心 | 2.13 | 确保 ASC 默认策略设置“监视自适应应用程序允许列表”不是处于“已禁用”状态 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 2 安全中心 | 2.3 | 确保 ASC 默认策略设置“监视系统更新”不是处于“已禁用”状态 | 应在计算机上安装系统更新 | 4.0.0 |
| 2 安全中心 | 2.4 | 确保 ASC 默认策略设置“监视 OS 漏洞”不是处于“已禁用”状态 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 2 安全中心 | 2.5 | 确保 ASC 默认策略设置“监视 Endpoint Protection”不是处于“已禁用”状态 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 2 安全中心 | 2.6 | 确保 ASC 默认策略设置“监视磁盘加密”不是处于“已禁用”状态 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 2 安全中心 | 2.7 | 确保 ASC 默认策略设置“监视网络安全组”不是处于“已禁用”状态 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 2 安全中心 | 2.9 | 确保 ASC 默认策略设置“启用下一代防火墙(NGFW)监视”不是处于“已禁用”状态 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 7 虚拟机 | 7.1 | 确保“OS 磁盘”已加密 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 7 虚拟机 | 7.2 | 确保“数据磁盘”已加密 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 7 虚拟机 | 7.4 | 确保仅安装已批准的扩展 | 应当仅安装已批准的 VM 扩展 | 1.0.0 |
| 7 虚拟机 | 7.5 | 确保已应用适用于所有虚拟机的最新 OS 修补程序 | 应在计算机上安装系统更新 | 4.0.0 |
| 7 虚拟机 | 7.6 | 确保已安装适用于所有虚拟机的 Endpoint Protection | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
CIS Microsoft Azure 基础基准检验 1.3.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - CIS Microsoft Azure 基础基准 1.3.0。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 7 虚拟机 | 7.1 | 确保虚拟机使用托管磁盘 | 审核未使用托管磁盘的 VM | 1.0.0 |
| 7 虚拟机 | 7.2 | 确保“OS 和数据”磁盘已通过 CMK 进行加密 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 7 虚拟机 | 7.4 | 确保仅安装已批准的扩展 | 应当仅安装已批准的 VM 扩展 | 1.0.0 |
| 7 虚拟机 | 7.5 | 确保已应用适用于所有虚拟机的最新 OS 修补程序 | 应在计算机上安装系统更新 | 4.0.0 |
| 7 虚拟机 | 7.6 | 确保已安装适用于所有虚拟机的 Endpoint Protection | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
CIS Microsoft Azure 基础基准 1.4.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 CIS v1.4.0 的 Azure Policy 合规性详细信息。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 7 虚拟机 | 7.1 | 确保虚拟机使用托管磁盘 | 审核未使用托管磁盘的 VM | 1.0.0 |
| 7 虚拟机 | 7.2 | 确保使用客户管理的密钥 (CMK) 对“OS 和数据”磁盘进行加密 | 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 | 2.0.3 |
| 7 虚拟机 | 7.4 | 确保仅安装已批准的扩展 | 应当仅安装已批准的 VM 扩展 | 1.0.0 |
| 7 虚拟机 | 7.5 | 确保已应用适用于所有虚拟机的最新 OS 修补程序 | 应在计算机上安装系统更新 | 4.0.0 |
| 7 虚拟机 | 7.6 | 确保已安装适用于所有虚拟机的 Endpoint Protection | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
CIS Microsoft Azure 基础基准检验 2.0.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 CIS v2.0.0 的 Azure Policy 合规性详细信息。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 2.1 | 2.1.13 | 确保 Microsoft Defender 建议的“应用系统更新”状态为“已完成” | 计算机应配置为定期检查,以确认缺少的系统更新 | 3.7.0 |
| 6 | 6.1 | 确保已评估和限制从 Internet 进行的 RDP 访问 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 6 | 6.2 | 确保已评估和限制从 Internet 进行的 SSH 访问 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 7 | 7.2 | 确保虚拟机使用托管磁盘 | 审核未使用托管磁盘的 VM | 1.0.0 |
| 7 | 7.3 | 确保使用客户管理的密钥 (CMK) 对“OS 和数据”磁盘进行加密 | 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 | 2.0.3 |
| 7 | 7.4 | 确保使用“客户管理的密钥”(CMK) 对“未附加的磁盘”进行加密 | 应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘 | 1.0.0 |
| 7 | 7.5 | 确保仅安装已批准的扩展 | 应当仅安装已批准的 VM 扩展 | 1.0.0 |
| 7 | 7.6 | 确保已安装适用于所有虚拟机的 Endpoint Protection | 应在计算机上安装 Endpoint Protection | 1.0.0 |
CMMC 级别 3
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - CMMC 级别 3。 有关此合规性标准的详细信息,请参阅网络安全成熟度模型认证 (CMMC)。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | Windows 计算机应符合“安全选项 - 网络访问”的要求 | 3.0.0 |
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| 访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | Windows 计算机应符合“安全选项 - 网络访问”的要求 | 3.0.0 |
| 访问控制 | AC.1.003 | 验证和控制/限制外部信息系统的连接和使用。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 访问控制 | AC.1.003 | 验证和控制/限制外部信息系统的连接和使用。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 访问控制 | AC.2.007 | 对特定安全功能和特权帐户等内容采用最小特权原则。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 访问控制 | AC.2.008 | 访问非安全性函数时使用非特权帐户或角色。 | Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 | 3.0.0 |
| 访问控制 | AC.2.008 | 访问非安全性函数时使用非特权帐户或角色。 | Windows 计算机应符合“用户权限分配”的要求 | 3.0.0 |
| 访问控制 | AC.2.013 | 监视和控制远程访问会话。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 访问控制 | AC.2.013 | 监视和控制远程访问会话。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 访问控制 | AC.2.013 | 监视和控制远程访问会话。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| 访问控制 | AC.2.013 | 监视和控制远程访问会话。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 访问控制 | AC.2.013 | 监视和控制远程访问会话。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 访问控制 | AC.2.013 | 监视和控制远程访问会话。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 访问控制 | AC.2.016 | 根据批准的授权控制 CUI 流。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 访问控制 | AC.2.016 | 根据批准的授权控制 CUI 流。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 访问控制 | AC.2.016 | 根据批准的授权控制 CUI 流。 | Windows 计算机应符合“安全选项 - 网络访问”的要求 | 3.0.0 |
| 访问控制 | AC.3.017 | 区分个体的责任,减少无串谋的恶意活动的风险。 | 审核缺少管理员组中任何指定成员的 Windows 计算机 | 2.0.0 |
| 访问控制 | AC.3.017 | 区分个体的责任,减少无串谋的恶意活动的风险。 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 访问控制 | AC.3.018 | 阻止非特权用户执行特权函数,并在审核日志中捕获此类函数的执行情况。 | Windows 计算机应符合“系统审核策略 - 特权使用”的要求 | 3.0.0 |
| 访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 3.1.0 |
| 访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | 应在计算机上安装来宾配置扩展 | 1.0.3 |
| 访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 1.0.1 |
| 访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 | 3.0.0 |
| 访问控制 | AC.3.021 | 授权远程执行特权命令和远程访问安全相关信息。 | Windows 计算机应符合“用户权限分配”的要求 | 3.0.0 |
| 审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1-preview |
| 审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1 |
| 审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | 应在虚拟机规模集上安装 Log Analytics 扩展 | 1.0.1 |
| 审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | 虚拟机应连接到指定的工作区 | 1.1.0 |
| 审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | 虚拟机应安装 Log Analytics 扩展 | 1.0.1 |
| 审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1-preview |
| 审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1 |
| 审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 应在虚拟机规模集上安装 Log Analytics 扩展 | 1.0.1 |
| 审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 虚拟机应连接到指定的工作区 | 1.1.0 |
| 审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 虚拟机应安装 Log Analytics 扩展 | 1.0.1 |
| 审核和责任 | AU.3.046 | 审核日志记录过程失败时发出警报。 | [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1-preview |
| 审核和责任 | AU.3.046 | 审核日志记录过程失败时发出警报。 | 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1 |
| 审核和责任 | AU.3.046 | 审核日志记录过程失败时发出警报。 | 虚拟机应连接到指定的工作区 | 1.1.0 |
| 审核和责任 | AU.3.048 | 将审核信息(例如日志)集中收集到一个或多个存储库中。 | [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1-preview |
| 审核和责任 | AU.3.048 | 将审核信息(例如日志)集中收集到一个或多个存储库中。 | 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1 |
| 审核和责任 | AU.3.048 | 将审核信息(例如日志)集中收集到一个或多个存储库中。 | 应在虚拟机规模集上安装 Log Analytics 扩展 | 1.0.1 |
| 审核和责任 | AU.3.048 | 将审核信息(例如日志)集中收集到一个或多个存储库中。 | 虚拟机应连接到指定的工作区 | 1.1.0 |
| 审核和责任 | AU.3.048 | 将审核信息(例如日志)集中收集到一个或多个存储库中。 | 虚拟机应安装 Log Analytics 扩展 | 1.0.1 |
| 安全评估 | CA.2.158 | 定期评估组织系统中的安全控制措施,以确定这些措施在其应用中是否有效。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 安全评估 | CA.2.158 | 定期评估组织系统中的安全控制措施,以确定这些措施在其应用中是否有效。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 安全评估 | CA.2.158 | 定期评估组织系统中的安全控制措施,以确定这些措施在其应用中是否有效。 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
| 安全评估 | CA.2.158 | 定期评估组织系统中的安全控制措施,以确定这些措施在其应用中是否有效。 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 安全评估 | CA.2.158 | 定期评估组织系统中的安全控制措施,以确定这些措施在其应用中是否有效。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 安全评估 | CA.3.161 | 持续监视安全控制措施,确保措施持续有效。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 安全评估 | CA.3.161 | 持续监视安全控制措施,确保措施持续有效。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 安全评估 | CA.3.161 | 持续监视安全控制措施,确保措施持续有效。 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
| 安全评估 | CA.3.161 | 持续监视安全控制措施,确保措施持续有效。 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 安全评估 | CA.3.161 | 持续监视安全控制措施,确保措施持续有效。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 配置管理 | CM.2.061 | 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 配置管理 | CM.2.061 | 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 | Linux 计算机应符合 Azure 计算安全基线的要求 | 2.2.0 |
| 配置管理 | CM.2.062 | 采用最少功能原则,将组织系统配置为仅提供基本功能。 | Windows 计算机应符合“系统审核策略 - 特权使用”的要求 | 3.0.0 |
| 配置管理 | CM.2.063 | 控制和监视用户安装的软件。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 配置管理 | CM.2.063 | 控制和监视用户安装的软件。 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
| 配置管理 | CM.2.063 | 控制和监视用户安装的软件。 | Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 | 3.0.0 |
| 配置管理 | CM.2.064 | 为组织系统中使用的信息技术产品建立和实施安全配置设置。 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 配置管理 | CM.2.064 | 为组织系统中使用的信息技术产品建立和实施安全配置设置。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 配置管理 | CM.2.065 | 跟踪、评审、批准/拒绝并记录对组织系统的更改。 | Windows 计算机应符合“系统审核策略 - 策略更改”的要求 | 3.0.0 |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 配置管理 | CM.3.069 | 应用 deny-by-exception(阻止列表)策略来防止使用未经授权的软件,或应用 deny-all 和 permit-by-exception(允许列表)策略来允许执行授权的软件。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 识别和身份验证 | IA.1.077 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 识别和身份验证 | IA.1.077 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 识别和身份验证 | IA.1.077 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 | 审核未将密码文件权限设为 0644 的 Linux 计算机 | 3.1.0 |
| 识别和身份验证 | IA.1.077 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.1.0 |
| 识别和身份验证 | IA.1.077 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 识别和身份验证 | IA.1.077 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 识别和身份验证 | IA.2.078 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 识别和身份验证 | IA.2.078 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 识别和身份验证 | IA.2.078 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.1.0 |
| 识别和身份验证 | IA.2.078 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 审核未启用密码复杂性设置的 Windows 计算机 | 2.0.0 |
| 识别和身份验证 | IA.2.078 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 2.1.0 |
| 识别和身份验证 | IA.2.078 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 识别和身份验证 | IA.2.078 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 识别和身份验证 | IA.2.079 | 禁止对指定数量的生成操作重复使用密码。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 识别和身份验证 | IA.2.079 | 禁止对指定数量的生成操作重复使用密码。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 识别和身份验证 | IA.2.079 | 禁止对指定数量的生成操作重复使用密码。 | 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 2.1.0 |
| 识别和身份验证 | IA.2.079 | 禁止对指定数量的生成操作重复使用密码。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 识别和身份验证 | IA.2.079 | 禁止对指定数量的生成操作重复使用密码。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 识别和身份验证 | IA.2.081 | 仅存储和传输受加密保护的密码。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 识别和身份验证 | IA.2.081 | 仅存储和传输受加密保护的密码。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 识别和身份验证 | IA.2.081 | 仅存储和传输受加密保护的密码。 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
| 识别和身份验证 | IA.2.081 | 仅存储和传输受加密保护的密码。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 识别和身份验证 | IA.2.081 | 仅存储和传输受加密保护的密码。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 识别和身份验证 | IA.3.084 | 针对到特权帐户和非特权帐户的网络访问采用防重播身份验证机制。 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 事件响应 | IR.2.093 | 检测和报告事件。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 恢复 | RE.2.137 | 定期执行和测试数据备份。 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
| 恢复 | RE.2.137 | 定期执行和测试数据备份。 | 应为虚拟机启用 Azure 备份 | 3.0.0 |
| 恢复 | RE.3.139 | 根据组织规定定期执行完整、全面且可复原的数据备份。 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
| 恢复 | RE.3.139 | 根据组织规定定期执行完整、全面且可复原的数据备份。 | 应为虚拟机启用 Azure 备份 | 3.0.0 |
| 风险评估 | RM.2.141 | 定期评估组织操作(包括任务、功能、映像或信誉)、组织资产和个人因组织系统的操作和相关的 CUI 处理、存储或传输而产生的风险。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 风险评估 | RM.2.142 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 风险评估 | RM.2.143 | 根据风险评估修正漏洞。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 风险评估 | RM.2.143 | 根据风险评估修正漏洞。 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 风险评估 | RM.2.143 | 根据风险评估修正漏洞。 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 风险评估 | RM.2.143 | 根据风险评估修正漏洞。 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应在与虚拟机关联的网络安全组上限制所有网络端口 | 3.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | Windows 计算机应符合“安全选项 - 网络访问”的要求 | 3.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 系统和通信保护 | SC.1.176 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 系统和通信保护 | SC.1.176 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应在与虚拟机关联的网络安全组上限制所有网络端口 | 3.0.0 |
| 系统和通信保护 | SC.1.176 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 系统和通信保护 | SC.2.179 | 使用加密会话管理网络设备。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 系统和通信保护 | SC.3.177 | 采用经 FIPS 验证的加密系统来保护 CUI 的机密性。 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
| 系统和通信保护 | SC.3.177 | 采用经 FIPS 验证的加密模块来保护 CUI 的机密性。 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 系统和通信保护 | SC.3.181 | 将用户功能与系统管理功能分开。 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | Windows 计算机应符合“安全选项 - 网络访问”的要求 | 3.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 系统和通信保护 | SC.3.185 | 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 系统和通信保护 | SC.3.190 | 保护通信会话的真实性。 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 系统和通信保护 | SC.3.191 | 保护静态 CUI 的机密性。 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 系统和信息完整性 | SI.1.210 | 及时识别、报告和更正信息及信息系统缺陷。 | Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 1.0.0 |
| 系统和信息完整性 | SI.1.210 | 及时识别、报告和更正信息及信息系统缺陷。 | 应在虚拟机规模集上安装系统更新 | 3.0.0 |
| 系统和信息完整性 | SI.1.210 | 及时识别、报告和更正信息及信息系统缺陷。 | 应在计算机上安装系统更新 | 4.0.0 |
| 系统和信息完整性 | SI.1.210 | 及时识别、报告和更正信息及信息系统缺陷。 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 系统和信息完整性 | SI.1.210 | 及时识别、报告和更正信息及信息系统缺陷。 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 系统和信息完整性 | SI.1.211 | 在组织信息系统的适当位置提供针对恶意代码的防护。 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 系统和信息完整性 | SI.1.211 | 在组织信息系统的适当位置提供针对恶意代码的防护。 | Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 1.0.0 |
| 系统和信息完整性 | SI.1.211 | 在组织信息系统的适当位置提供针对恶意代码的防护。 | 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 | 1.1.0 |
| 系统和信息完整性 | SI.1.211 | 在组织信息系统的适当位置提供针对恶意代码的防护。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 系统和信息完整性 | SI.1.212 | 在有新版本可用时更新恶意代码防护机制。 | Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 1.0.0 |
| 系统和信息完整性 | SI.1.213 | 在下载、打开或执行文件时,对信息系统执行定期扫描,并对来自外部源的文件进行实时扫描。 | Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 1.0.0 |
| 系统和信息完整性 | SI.1.213 | 在下载、打开或执行文件时,对信息系统执行定期扫描,并对来自外部源的文件进行实时扫描。 | 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 | 1.1.0 |
| 系统和信息完整性 | SI.1.213 | 在下载、打开或执行文件时,对信息系统执行定期扫描,并对来自外部源的文件进行实时扫描。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
FedRAMP 高
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP High。 有关此合规性标准的详细信息,请参阅 FedRAMP High。
FedRAMP 中等
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP Moderate。 有关此合规性标准的详细信息,请参阅 FedRAMP Moderate。
HIPAA HITRUST 9.2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - HIPAA HITRUST 9.2。 有关此合规性标准的详细信息,请参阅 HIPAA HITRUST 9.2。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 用户识别和身份验证 | 11210.01q2Organizational.10 - 01.q | 电子记录上的电子签名和手写签名应与各自的电子记录关联。 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 用户识别和身份验证 | 11211.01q2Organizational.11 - 01.q | 已签名的电子记录应包含与以用户可读格式签名关联的信息。 | 审核缺少管理员组中任何指定成员的 Windows 计算机 | 2.0.0 |
| 02 终结点保护 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 防范恶意和移动代码 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 02 终结点保护 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 防范恶意和移动代码 | 为 Windows Server 部署默认 Microsoft IaaSAntimalware 扩展 | 1.1.0 |
| 02 终结点保护 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 防范恶意和移动代码 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 02 终结点保护 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 防范恶意和移动代码 | Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 1.0.0 |
| 02 终结点保护 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 防范恶意和移动代码 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 02 终结点保护 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 防范恶意和移动代码 | 应在计算机上安装系统更新 | 4.0.0 |
| 03 可移植媒体安全性 | 0302.09o2Organizational.1-09.o | 0302.09o2Organizational.1-09.o 09.07 介质处理 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 06 配置管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 系统文件的安全性 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 06 配置管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 系统文件的安全性 | Windows 计算机应符合“安全选项 - 审核”的要求 | 3.0.0 |
| 06 配置管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 系统文件的安全性 | Windows 计算机应符合“系统审核策略 - 帐户管理”的要求 | 3.0.0 |
| 06 配置管理 | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 06 配置管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 开发和支持过程中的安全性 | Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求 | 3.0.0 |
| 07 漏洞管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技术漏洞管理 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 07 漏洞管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技术漏洞管理 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 07 漏洞管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技术漏洞管理 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 07 漏洞管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技术漏洞管理 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 07 漏洞管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技术漏洞管理 | Windows 计算机应符合“安全选项 - Microsoft 网络服务器”的要求 | 3.0.0 |
| 07 漏洞管理 | 0711.10m2Organizational.23-10.m | 0711.10m2Organizational.23-10.m 10.06 技术漏洞管理 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 07 漏洞管理 | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 技术漏洞管理 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 07 漏洞管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技术漏洞管理 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 07 漏洞管理 | 0715.10m2Organizational.8-10.m | 0715.10m2Organizational.8-10.m 10.06 技术漏洞管理 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 07 漏洞管理 | 0717.10m3Organizational.2-10.m | 0717.10m3Organizational.2-10.m 10.06 技术漏洞管理 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 07 漏洞管理 | 0718.10m3Organizational.34-10.m | 0718.10m3Organizational.34-10.m 10.06 技术漏洞管理 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 08 网络保护 | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 网络访问控制 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 08 网络保护 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 网络访问控制 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 08 网络保护 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 网络访问控制 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 08 网络保护 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 网络访问控制 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 08 网络保护 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 网络访问控制 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 08 网络保护 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 网络访问控制 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 08 网络保护 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 网络访问控制 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 08 网络保护 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 网络访问控制 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 08 网络保护 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 网络访问控制 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 08 网络保护 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 网络访问控制 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 08 网络保护 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 网络访问控制 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 08 网络保护 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 网络访问控制 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 08 网络保护 | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 网络安全管理 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 08 网络保护 | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 网络安全管理 | 应将虚拟机迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| 08 网络保护 | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 网络安全管理 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 08 网络保护 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 网络安全管理 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 08 网络保护 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 网络安全管理 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 08 网络保护 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 网络安全管理 | Windows 计算机应符合“Windows 防火墙属性”的要求 | 3.0.0 |
| 08 网络保护 | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 网络安全管理 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 08 网络保护 | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 网络安全管理 | Windows 计算机应符合“安全选项 - 网络访问”的要求 | 3.0.0 |
| 08 网络保护 | 0885.09n2Organizational.3-09.n | 0885.09n2Organizational.3-09.n 09.06 网络安全管理 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 08 网络保护 | 0887.09n2Organizational.5-09.n | 0887.09n2Organizational.5-09.n 09.06 网络安全管理 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 08 网络保护 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 网络访问控制 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 备份 | 1699.09l1Organizational.10 - 09.l | 确定工作人员在数据备份过程中的角色和职责并告知工作团队;特别是,要求自带设备办公 (BYOD) 的用户在其设备上对组织和/或客户端数据进行备份。 | 应为虚拟机启用 Azure 备份 | 3.0.0 |
| 09 传输保护 | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 电子商务服务 | 审核在受信任的根中不包含指定证书的 Windows 计算机 | 3.0.0 |
| 操作软件控制 | 0606.10h2System.1 - 10.h | 在生产之前,应用程序和操作系统已成功进行可用性、安全性和影响测试。 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 操作软件控制 | 0607.10h2System.23 - 10.h | 组织使用其配置控制程序来保持对所有已实现软件及其系统文档的控制,并将已实现软件和相关系统文档的历史版本存档。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 操作软件控制 | 0607.10h2System.23 - 10.h | 组织使用其配置控制程序来保持对所有已实现软件及其系统文档的控制,并将已实现软件和相关系统文档的历史版本存档。 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 11 访问控制 | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 对信息系统的授权访问 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 11 访问控制 | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 网络访问控制 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 11 访问控制 | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 操作系统访问控制 | 审核管理员组中具有额外帐户的 Windows 计算机 | 2.0.0 |
| 11 访问控制 | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 操作系统访问控制 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 11 访问控制 | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 操作系统访问控制 | 审核缺少管理员组中任何指定成员的 Windows 计算机 | 2.0.0 |
| 11 访问控制 | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 对信息系统的授权访问 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 11 访问控制 | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 对信息系统的授权访问 | Windows 计算机应符合“安全选项 - 帐户”的要求 | 3.0.0 |
| 11 访问控制 | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 对信息系统的授权访问 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 11 访问控制 | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 网络访问控制 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 11 访问控制 | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 网络访问控制 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 11 访问控制 | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 网络访问控制 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 11 访问控制 | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 网络访问控制 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 11 访问控制 | 1197.01l3Organizational.3-01.l | 1197.01l3Organizational.3-01.l 01.04 网络访问控制 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 12 审核日志记录和监视 | 1202.09aa1System.1-09.aa | 1202.09aa1System.1-09.aa 09.10 监视 | 应在虚拟机规模集上安装系统更新 | 3.0.0 |
| 12 审核日志记录和监视 | 12100.09ab2System.15-09.ab | 12100.09ab2System.15-09.ab 09.10 监视 | 虚拟机应安装 Log Analytics 扩展 | 1.0.1 |
| 12 审核日志记录和监视 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 监视 | 应在虚拟机规模集上安装 Log Analytics 扩展 | 1.0.1 |
| 12 审核日志记录和监视 | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 监视 | 审核其 Log Analytics 代理未按预期连接的 Windows 计算机 | 2.0.0 |
| 12 审核日志记录和监视 | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 监视 | 虚拟机应安装 Log Analytics 扩展 | 1.0.1 |
| 12 审核日志记录和监视 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 监视 | 应在虚拟机规模集上安装 Log Analytics 扩展 | 1.0.1 |
| 12 审核日志记录和监视 | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 监视 | 审核其 Log Analytics 代理未按预期连接的 Windows 计算机 | 2.0.0 |
| 12 审核日志记录和监视 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 记录的操作程序 | Windows 计算机应符合“用户权限分配”的要求 | 3.0.0 |
| 12 审核日志记录和监视 | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 记录的操作程序 | Windows 计算机应符合“安全选项 - 用户帐户控制”的要求 | 3.0.0 |
| 16 业务连续性和灾难恢复 | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 信息备份 | 应为虚拟机启用 Azure 备份 | 3.0.0 |
| 16 业务连续性和灾难恢复 | 1625.09l3Organizational.34-09.l | 1625.09l3Organizational.34-09.l 09.05 信息备份 | 应为虚拟机启用 Azure 备份 | 3.0.0 |
| 16 业务连续性和灾难恢复 | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 业务连续性管理的信息安全方面 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
| 16 业务连续性和灾难恢复 | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 业务连续性管理的信息安全方面 | Windows 计算机应符合“安全选项 - 恢复控制台”的要求 | 3.0.0 |
| 16 业务连续性和灾难恢复 | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 业务连续性管理的信息安全方面 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
IRS 1075 2016 年 9 月
若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - IRS 1075 2016 年 9 月版。 有关此合规性标准的详细信息,请参阅 IRS 1075 2016 年 9 月版。
ISO 27001:2013
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - ISO 27001:2013。 有关此合规性标准的详细信息,请参阅 ISO 27001:2013。
Microsoft Cloud for Sovereignty 基线机密政策
要查看所有 Azure 服务的可用 Azure Policy 内置内容与此合规性标准的映射关系,请参阅 MCfS Sovereignty 基线机密政策的 Azure Policy 法规合规性详细信息。 有关此合规性标准的详细信息,请参阅 Microsoft Cloud for Sovereignty 政策组合。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| SO.3 - 客户管理的密钥 | SO.3 | Azure 产品必须配置为尽可能使用客户管理的密钥。 | 应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘 | 1.0.0 |
| SO.4 - Azure 机密计算 | SO.4 | Azure 产品必须配置为尽可能使用 Azure 机密计算 SKU。 | 允许的虚拟机大小 SKU | 1.0.1 |
Microsoft 云安全基准
Microsoft Cloud 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Microsoft Cloud 安全基准,请参阅 Azure 安全基准映射文件。
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - Microsoft Cloud 安全基准。
NIST SP 800-171 R2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-171 R2。 有关此符合性标准的详细信息,请参阅 NIST SP 800-171 R2。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.1.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.2.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 3.1.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 磁盘访问资源应使用专用链接 | 1.0.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 应将虚拟机迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| 访问控制 | 3.1.12 | 监视和控制远程访问会话。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 访问控制 | 3.1.12 | 监视和控制远程访问会话。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 访问控制 | 3.1.12 | 监视和控制远程访问会话。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| 访问控制 | 3.1.12 | 监视和控制远程访问会话。 | 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 3.1.0 |
| 访问控制 | 3.1.12 | 监视和控制远程访问会话。 | 磁盘访问资源应使用专用链接 | 1.0.0 |
| 访问控制 | 3.1.13 | 采用加密机制来保护远程访问会话的机密性。 | 磁盘访问资源应使用专用链接 | 1.0.0 |
| 访问控制 | 3.1.14 | 通过托管的访问控制点路由远程访问。 | 磁盘访问资源应使用专用链接 | 1.0.0 |
| 访问控制 | 3.1.2 | 仅限授权用户有权执行的事务和函数类型进行系统访问。 | 应将虚拟机迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 磁盘访问资源应使用专用链接 | 1.0.0 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 应禁用虚拟机上的 IP 转发 | 3.0.0 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 访问控制 | 3.1.4 | 区分个体的责任,减少无串谋的恶意活动的风险。 | 审核缺少管理员组中任何指定成员的 Windows 计算机 | 2.0.0 |
| 访问控制 | 3.1.4 | 区分个体的责任,减少无串谋的恶意活动的风险。 | 审核具有管理员组中指定成员的 Windows 计算机 | 2.0.0 |
| 风险评估 | 3.11.2 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 风险评估 | 3.11.2 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 计算机上的 SQL 服务器应已解决漏洞发现 | 1.0.0 |
| 风险评估 | 3.11.2 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 风险评估 | 3.11.2 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 风险评估 | 3.11.2 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 风险评估 | 3.11.3 | 根据风险评估修正漏洞。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 风险评估 | 3.11.3 | 根据风险评估修正漏洞。 | 计算机上的 SQL 服务器应已解决漏洞发现 | 1.0.0 |
| 风险评估 | 3.11.3 | 根据风险评估修正漏洞。 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 风险评估 | 3.11.3 | 根据风险评估修正漏洞。 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 风险评估 | 3.11.3 | 根据风险评估修正漏洞。 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应在与虚拟机关联的网络安全组上限制所有网络端口 | 3.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 磁盘访问资源应使用专用链接 | 1.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应禁用虚拟机上的 IP 转发 | 3.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 系统和通信保护 | 3.13.10 | 为组织系统中使用的加密技术建立加密密钥并进行管理。 | 应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘 | 1.0.0 |
| 系统和通信保护 | 3.13.10 | 为组织系统中使用的加密技术建立加密密钥并进行管理。 | 应使用客户管理的密钥来加密 OS 和数据磁盘 | 3.0.0 |
| 系统和通信保护 | 3.13.16 | 保护静态 CUI 的机密性。 | 虚拟机和虚拟机规模集应启用主机中加密 | 1.0.0 |
| 系统和通信保护 | 3.13.16 | 保护静态 CUI 的机密性。 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 磁盘访问资源应使用专用链接 | 1.0.0 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 应禁用虚拟机上的 IP 转发 | 3.0.0 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应在与虚拟机关联的网络安全组上限制所有网络端口 | 3.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 磁盘访问资源应使用专用链接 | 1.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应禁用虚拟机上的 IP 转发 | 3.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 系统和通信保护 | 3.13.8 | 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 应在虚拟机规模集上安装系统更新 | 3.0.0 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 应在计算机上安装系统更新 | 4.0.0 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| 系统和信息完整性 | 3.14.2 | 在组织系统中的指定位置提供针对恶意代码的防护。 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 系统和信息完整性 | 3.14.2 | 在组织系统中的指定位置提供针对恶意代码的防护。 | Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 1.0.0 |
| 系统和信息完整性 | 3.14.2 | 在组织系统中的指定位置提供针对恶意代码的防护。 | 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 | 1.1.0 |
| 系统和信息完整性 | 3.14.2 | 在组织系统中的指定位置提供针对恶意代码的防护。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 系统和信息完整性 | 3.14.2 | 在组织系统中的指定位置提供针对恶意代码的防护。 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| 系统和信息完整性 | 3.14.3 | 监视系统安全警报和公告,并采取响应措施。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 系统和信息完整性 | 3.14.4 | 在有新版本可用时更新恶意代码防护机制。 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 系统和信息完整性 | 3.14.4 | 在有新版本可用时更新恶意代码防护机制。 | Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 1.0.0 |
| 系统和信息完整性 | 3.14.4 | 在有新版本可用时更新恶意代码防护机制。 | 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 | 1.1.0 |
| 系统和信息完整性 | 3.14.4 | 在有新版本可用时更新恶意代码防护机制。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 系统和信息完整性 | 3.14.4 | 在有新版本可用时更新恶意代码防护机制。 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| 系统和信息完整性 | 3.14.5 | 在下载、打开或执行文件时,对组织系统执行定期扫描,并对来自外部源的文件进行实时扫描。 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 系统和信息完整性 | 3.14.5 | 在下载、打开或执行文件时,对组织系统执行定期扫描,并对来自外部源的文件进行实时扫描。 | Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 1.0.0 |
| 系统和信息完整性 | 3.14.5 | 在下载、打开或执行文件时,对组织系统执行定期扫描,并对来自外部源的文件进行实时扫描。 | 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 | 1.1.0 |
| 系统和信息完整性 | 3.14.5 | 在下载、打开或执行文件时,对组织系统执行定期扫描,并对来自外部源的文件进行实时扫描。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 系统和信息完整性 | 3.14.5 | 在下载、打开或执行文件时,对组织系统执行定期扫描,并对来自外部源的文件进行实时扫描。 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| 系统和信息完整性 | 3.14.6 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 系统和信息完整性 | 3.14.6 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 系统和信息完整性 | 3.14.6 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 应在计算机上安装来宾配置扩展 | 1.0.3 |
| 系统和信息完整性 | 3.14.6 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 | 1.0.0 |
| 系统和信息完整性 | 3.14.6 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 | 1.0.0 |
| 系统和信息完整性 | 3.14.6 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 1.0.1 |
| 系统和信息完整性 | 3.14.7 | 识别未经授权使用组织系统的情况。 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 系统和信息完整性 | 3.14.7 | 识别未经授权使用组织系统的情况。 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 系统和信息完整性 | 3.14.7 | 识别未经授权使用组织系统的情况。 | 应在计算机上安装来宾配置扩展 | 1.0.3 |
| 系统和信息完整性 | 3.14.7 | 识别未经授权使用组织系统的情况。 | Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 | 1.0.0 |
| 系统和信息完整性 | 3.14.7 | 识别未经授权使用组织系统的情况。 | Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 | 1.0.0 |
| 系统和信息完整性 | 3.14.7 | 识别未经授权使用组织系统的情况。 | 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 1.0.1 |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | 应在计算机上安装来宾配置扩展 | 1.0.3 |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 | 1.0.0 |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 | 1.0.0 |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | 应在虚拟机规模集上安装 Log Analytics 扩展 | 1.0.1 |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | 虚拟机应连接到指定的工作区 | 1.1.0 |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | 虚拟机应安装 Log Analytics 扩展 | 1.0.1 |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 1.0.1 |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 应在计算机上安装来宾配置扩展 | 1.0.3 |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 | 1.0.0 |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 | 1.0.0 |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 应在虚拟机规模集上安装 Log Analytics 扩展 | 1.0.1 |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 虚拟机应连接到指定的工作区 | 1.1.0 |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 虚拟机应安装 Log Analytics 扩展 | 1.0.1 |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 1.0.1 |
| 配置管理 | 3.4.1 | 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 | Linux 计算机应符合 Azure 计算安全基线的要求 | 2.2.0 |
| 配置管理 | 3.4.1 | 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 | Windows 计算机应符合 Azure 计算安全基线的要求 | 2.0.0 |
| 配置管理 | 3.4.2 | 为组织系统中使用的信息技术产品建立和实施安全配置设置。 | Linux 计算机应符合 Azure 计算安全基线的要求 | 2.2.0 |
| 配置管理 | 3.4.2 | 为组织系统中使用的信息技术产品建立和实施安全配置设置。 | Windows 计算机应符合 Azure 计算安全基线的要求 | 2.0.0 |
| 配置管理 | 3.4.6 | 采用最少功能原则,将组织系统配置为仅提供基本功能。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 配置管理 | 3.4.6 | 采用最少功能原则,将组织系统配置为仅提供基本功能。 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
| 配置管理 | 3.4.7 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 配置管理 | 3.4.7 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
| 配置管理 | 3.4.8 | 应用 deny-by-exception(阻止列表)策略来防止使用未经授权的软件,或应用 deny-all 和 permit-by-exception(允许列表)策略来允许执行授权的软件。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 配置管理 | 3.4.8 | 应用 deny-by-exception(阻止列表)策略来防止使用未经授权的软件,或应用 deny-all 和 permit-by-exception(允许列表)策略来允许执行授权的软件。 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
| 配置管理 | 3.4.9 | 控制和监视用户安装的软件。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 配置管理 | 3.4.9 | 控制和监视用户安装的软件。 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
| 识别和身份验证 | 3.5.10 | 仅存储和传输受加密保护的密码。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 识别和身份验证 | 3.5.10 | 仅存储和传输受加密保护的密码。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 识别和身份验证 | 3.5.10 | 仅存储和传输受加密保护的密码。 | 审核未将密码文件权限设为 0644 的 Linux 计算机 | 3.1.0 |
| 识别和身份验证 | 3.5.10 | 仅存储和传输受加密保护的密码。 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
| 识别和身份验证 | 3.5.10 | 仅存储和传输受加密保护的密码。 | 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 3.1.0 |
| 识别和身份验证 | 3.5.10 | 仅存储和传输受加密保护的密码。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 识别和身份验证 | 3.5.10 | 仅存储和传输受加密保护的密码。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 审核未将密码文件权限设为 0644 的 Linux 计算机 | 3.1.0 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.2.0 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 3.1.0 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 识别和身份验证 | 3.5.4 | 利用抗重播的身份验证机制,对特权和非特权帐户进行网络访问。 | Windows 计算机应符合“安全选项 - 网络安全”的要求 | 3.0.0 |
| 识别和身份验证 | 3.5.7 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 识别和身份验证 | 3.5.7 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 识别和身份验证 | 3.5.7 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 审核未启用密码复杂性设置的 Windows 计算机 | 2.0.0 |
| 识别和身份验证 | 3.5.7 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 2.1.0 |
| 识别和身份验证 | 3.5.7 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 识别和身份验证 | 3.5.8 | 禁止对指定数量的生成操作重复使用密码。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 识别和身份验证 | 3.5.8 | 禁止对指定数量的生成操作重复使用密码。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 识别和身份验证 | 3.5.8 | 禁止对指定数量的生成操作重复使用密码。 | 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 2.1.0 |
| 识别和身份验证 | 3.5.8 | 禁止对指定数量的生成操作重复使用密码。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 媒体保护 | 3.8.9 | 保护位于存储位置的备份 CUI 的机密性。 | 应为虚拟机启用 Azure 备份 | 3.0.0 |
NIST SP 800-53 修订版 4
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - NIST SP 800-53 修订版 4。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 4。
NIST SP 800-53 Rev. 5
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-53 Rev. 5。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 5。
NL BIO 云主题
若要查看所有 Azure 服务内置的可用 Azure Policy 如何映射到此合规性标准,请参阅 NL BIO 云主题的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅基线信息安全政府网络安全 - 数字政府 (digitaleoverheid.nl)。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| C.04.3 技术漏洞管理 - 时间线 | C.04.3 | 如果滥用和预期损坏的可能性都很高,则修补程序安装时间不晚于一周内。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| C.04.3 技术漏洞管理 - 时间线 | C.04.3 | 如果滥用和预期损坏的可能性都很高,则修补程序安装时间不晚于一周内。 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| C.04.3 技术漏洞管理 - 时间线 | C.04.3 | 如果滥用和预期损坏的可能性都很高,则修补程序安装时间不晚于一周内。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| C.04.3 技术漏洞管理 - 时间线 | C.04.3 | 如果滥用和预期损坏的可能性都很高,则修补程序安装时间不晚于一周内。 | 应在虚拟机规模集上安装系统更新 | 3.0.0 |
| C.04.3 技术漏洞管理 - 时间线 | C.04.3 | 如果滥用和预期损坏的可能性都很高,则修补程序安装时间不晚于一周内。 | 应在计算机上安装系统更新 | 4.0.0 |
| C.04.3 技术漏洞管理 - 时间线 | C.04.3 | 如果滥用和预期损坏的可能性都很高,则修补程序安装时间不晚于一周内。 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| C.04.3 技术漏洞管理 - 时间线 | C.04.3 | 如果滥用和预期损坏的可能性都很高,则修补程序安装时间不晚于一周内。 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| C.04.3 技术漏洞管理 - 时间线 | C.04.3 | 如果滥用和预期损坏的可能性都很高,则修补程序安装时间不晚于一周内。 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| C.04.6 技术漏洞管理 - 时间线 | C.04.6 | 可以通过及时执行修补程序管理来补救技术弱点。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| C.04.6 技术漏洞管理 - 时间线 | C.04.6 | 可以通过及时执行修补程序管理来补救技术弱点。 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| C.04.6 技术漏洞管理 - 时间线 | C.04.6 | 可以通过及时执行修补程序管理来补救技术弱点。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| C.04.6 技术漏洞管理 - 时间线 | C.04.6 | 可以通过及时执行修补程序管理来补救技术弱点。 | 应在虚拟机规模集上安装系统更新 | 3.0.0 |
| C.04.6 技术漏洞管理 - 时间线 | C.04.6 | 可以通过及时执行修补程序管理来补救技术弱点。 | 应在计算机上安装系统更新 | 4.0.0 |
| C.04.6 技术漏洞管理 - 时间线 | C.04.6 | 可以通过及时执行修补程序管理来补救技术弱点。 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| C.04.6 技术漏洞管理 - 时间线 | C.04.6 | 可以通过及时执行修补程序管理来补救技术弱点。 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| C.04.6 技术漏洞管理 - 时间线 | C.04.6 | 可以通过及时执行修补程序管理来补救技术弱点。 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| C.04.7 技术漏洞管理 - 评估 | C.04.7 | 记录并报告技术漏洞评估。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| C.04.7 技术漏洞管理 - 评估 | C.04.7 | 记录并报告技术漏洞评估。 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| C.04.7 技术漏洞管理 - 评估 | C.04.7 | 记录并报告技术漏洞评估。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| C.04.7 技术漏洞管理 - 评估 | C.04.7 | 记录并报告技术漏洞评估。 | 应在虚拟机规模集上安装系统更新 | 3.0.0 |
| C.04.7 技术漏洞管理 - 评估 | C.04.7 | 记录并报告技术漏洞评估。 | 应在计算机上安装系统更新 | 4.0.0 |
| C.04.7 技术漏洞管理 - 评估 | C.04.7 | 记录并报告技术漏洞评估。 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| C.04.7 技术漏洞管理 - 评估 | C.04.7 | 记录并报告技术漏洞评估。 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| C.04.7 技术漏洞管理 - 评估 | C.04.7 | 记录并报告技术漏洞评估。 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| C.04.8 技术漏洞管理 - 评估 | C.04.8 | 评估报告包含改进建议,并与经理/所有者沟通。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| C.04.8 技术漏洞管理 - 评估 | C.04.8 | 评估报告包含改进建议,并与经理/所有者沟通。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| C.04.8 技术漏洞管理 - 评估 | C.04.8 | 评估报告包含改进建议,并与经理/所有者沟通。 | 应在计算机上安装系统更新 | 4.0.0 |
| C.04.8 技术漏洞管理 - 评估 | C.04.8 | 评估报告包含改进建议,并与经理/所有者沟通。 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| U.03.1 业务连续性服务 - 冗余 | U.03.1 | 商定的连续性由逻辑或物理上充分的多个系统功能保证。 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
| U.03.1 业务连续性服务 - 冗余 | U.03.1 | 商定的连续性由逻辑或物理上充分的多个系统功能保证。 | 应为虚拟机启用 Azure 备份 | 3.0.0 |
| U.03.2 业务连续性服务 - 连续性要求 | U.03.2 | 系统体系结构确保与 CSC 商定的云服务的连续性要求。 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
| U.03.2 业务连续性服务 - 连续性要求 | U.03.2 | 系统体系结构确保与 CSC 商定的云服务的连续性要求。 | 应为虚拟机启用 Azure 备份 | 3.0.0 |
| U.04.1 数据和云服务恢复 - 还原功能 | U.04.1 | 数据与云服务在商定的时间段内和发生最大数据丢失时还原,并提供给 CSC。 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
| U.04.2 数据和云服务恢复 - 还原功能 | U.04.2 | 监视可恢复的数据保护的持续过程。 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
| U.04.3 数据和云服务恢复 - 已测试 | U.04.3 | 定期测试恢复功能的功能,结果与 CSC 共享。 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
| U.05.1 数据保护 - 加密措施 | U.05.1 | 数据传输使用加密技术进行保护,其中密钥管理由 CSC 自行执行(如果可能)。 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| U.05.1 数据保护 - 加密措施 | U.05.1 | 数据传输使用加密技术进行保护,其中密钥管理由 CSC 自行执行(如果可能)。 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| U.05.2 数据保护 - 加密措施 | U.05.2 | 存储在云服务中的数据应受到最先进的保护。 | [预览版]:应在支持的 Linux 虚拟机上安装来宾证明扩展 | 6.0.0-preview |
| U.05.2 数据保护 - 加密措施 | U.05.2 | 存储在云服务中的数据应受到最先进的保护。 | [预览版]:应在支持的 Linux 虚拟机规模集上安装来宾证明扩展 | 5.1.0-preview |
| U.05.2 数据保护 - 加密措施 | U.05.2 | 存储在云服务中的数据应受到最先进的保护。 | [预览版]:应在支持的 Windows 虚拟机上安装来宾证明扩展 | 4.0.0-preview |
| U.05.2 数据保护 - 加密措施 | U.05.2 | 存储在云服务中的数据应受到最先进的保护。 | [预览版]:应在支持的 Windows 虚拟机规模集上安装来宾证明扩展 | 3.1.0-preview |
| U.05.2 数据保护 - 加密措施 | U.05.2 | 存储在云服务中的数据应受到最先进的保护。 | [预览版]:应在支持的 Windows 虚拟机上启用安全启动 | 4.0.0-preview |
| U.05.2 数据保护 - 加密措施 | U.05.2 | 存储在云服务中的数据应受到最先进的保护。 | [预览版]:应在支持的虚拟机上启用 vTPM | 2.0.0-preview |
| U.05.2 数据保护 - 加密措施 | U.05.2 | 存储在云服务中的数据应受到最先进的保护。 | 应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘 | 1.0.0 |
| U.05.2 数据保护 - 加密措施 | U.05.2 | 存储在云服务中的数据应受到最先进的保护。 | 应使用客户管理的密钥来加密 OS 和数据磁盘 | 3.0.0 |
| U.05.2 数据保护 - 加密措施 | U.05.2 | 存储在云服务中的数据应受到最先进的保护。 | 虚拟机和虚拟机规模集应启用主机中加密 | 1.0.0 |
| U.05.2 数据保护 - 加密措施 | U.05.2 | 存储在云服务中的数据应受到最先进的保护。 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 | 磁盘访问资源应使用专用链接 | 1.0.0 |
| U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 | 应禁用虚拟机上的 IP 转发 | 3.0.0 |
| U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| U.09.3 恶意软件防护 - 检测、预防和恢复 | U.09.3 | 恶意软件防护在不同的环境中运行。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| U.09.3 恶意软件防护 - 检测、预防和恢复 | U.09.3 | 恶意软件防护在不同的环境中运行。 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| U.09.3 恶意软件防护 - 检测、预防和恢复 | U.09.3 | 恶意软件防护在不同的环境中运行。 | 应禁用虚拟机上的 IP 转发 | 3.0.0 |
| U.09.3 恶意软件防护 - 检测、预防和恢复 | U.09.3 | 恶意软件防护在不同的环境中运行。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| U.09.3 恶意软件防护 - 检测、预防和恢复 | U.09.3 | 恶意软件防护在不同的环境中运行。 | 应在虚拟机规模集上安装系统更新 | 3.0.0 |
| U.09.3 恶意软件防护 - 检测、预防和恢复 | U.09.3 | 恶意软件防护在不同的环境中运行。 | 应在计算机上安装系统更新 | 4.0.0 |
| U.09.3 恶意软件防护 - 检测、预防和恢复 | U.09.3 | 恶意软件防护在不同的环境中运行。 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| U.09.3 恶意软件防护 - 检测、预防和恢复 | U.09.3 | 恶意软件防护在不同的环境中运行。 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| U.09.3 恶意软件防护 - 检测、预防和恢复 | U.09.3 | 恶意软件防护在不同的环境中运行。 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| U.10.2 访问 IT 服务和数据 - 用户 | U.10.2 | 根据 CSP 的责任,向管理员授予访问权限。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| U.10.2 访问 IT 服务和数据 - 用户 | U.10.2 | 根据 CSP 的责任,向管理员授予访问权限。 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.1.0 |
| U.10.2 访问 IT 服务和数据 - 用户 | U.10.2 | 根据 CSP 的责任,向管理员授予访问权限。 | 审核未使用托管磁盘的 VM | 1.0.0 |
| U.10.2 访问 IT 服务和数据 - 用户 | U.10.2 | 根据 CSP 的责任,向管理员授予访问权限。 | 应将虚拟机迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| U.10.3 访问 IT 服务和数据 - 用户 | U.10.3 | 只有拥有已进行身份验证的设备的用户才能访问 IT 服务和数据。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| U.10.3 访问 IT 服务和数据 - 用户 | U.10.3 | 只有拥有已进行身份验证的设备的用户才能访问 IT 服务和数据。 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.1.0 |
| U.10.3 访问 IT 服务和数据 - 用户 | U.10.3 | 只有拥有已进行身份验证的设备的用户才能访问 IT 服务和数据。 | 审核未使用托管磁盘的 VM | 1.0.0 |
| U.10.3 访问 IT 服务和数据 - 用户 | U.10.3 | 只有拥有已进行身份验证的设备的用户才能访问 IT 服务和数据。 | 应将虚拟机迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| U.10.5 访问 IT 服务和数据 - 胜任 | U.10.5 | 对 IT 服务和数据的访问受技术措施的限制,并已实施。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| U.10.5 访问 IT 服务和数据 - 胜任 | U.10.5 | 对 IT 服务和数据的访问受技术措施的限制,并已实施。 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.1.0 |
| U.10.5 访问 IT 服务和数据 - 胜任 | U.10.5 | 对 IT 服务和数据的访问受技术措施的限制,并已实施。 | 审核未使用托管磁盘的 VM | 1.0.0 |
| U.10.5 访问 IT 服务和数据 - 胜任 | U.10.5 | 对 IT 服务和数据的访问受技术措施的限制,并已实施。 | 应将虚拟机迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| U.11.1 加密服务 - 策略 | U.11.1 | 在加密策略中,至少已对符合 BIO 的主题进行了详细说明。 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
| U.11.1 加密服务 - 策略 | U.11.1 | 在加密策略中,至少已对符合 BIO 的主题进行了详细说明。 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| U.11.1 加密服务 - 策略 | U.11.1 | 在加密策略中,至少已对符合 BIO 的主题进行了详细说明。 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| U.11.2 加密服务 - 加密度量值 | U.11.2 | 对于 PKIoverheid 证书,请使用 PKIoverheid 要求进行密钥管理。 在其他情况下,请使用 ISO11770。 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
| U.11.2 加密服务 - 加密度量值 | U.11.2 | 对于 PKIoverheid 证书,请使用 PKIoverheid 要求进行密钥管理。 在其他情况下,请使用 ISO11770。 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| U.11.2 加密服务 - 加密度量值 | U.11.2 | 对于 PKIoverheid 证书,请使用 PKIoverheid 要求进行密钥管理。 在其他情况下,请使用 ISO11770。 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| U.11.3 加密服务 - 加密 | U.11.3 | 敏感数据始终使用 CSC 管理的私钥进行加密。 | [预览版]:应在支持的 Linux 虚拟机上安装来宾证明扩展 | 6.0.0-preview |
| U.11.3 加密服务 - 加密 | U.11.3 | 敏感数据始终使用 CSC 管理的私钥进行加密。 | [预览版]:应在支持的 Linux 虚拟机规模集上安装来宾证明扩展 | 5.1.0-preview |
| U.11.3 加密服务 - 加密 | U.11.3 | 敏感数据始终使用 CSC 管理的私钥进行加密。 | [预览版]:应在支持的 Windows 虚拟机上安装来宾证明扩展 | 4.0.0-preview |
| U.11.3 加密服务 - 加密 | U.11.3 | 敏感数据始终使用 CSC 管理的私钥进行加密。 | [预览版]:应在支持的 Windows 虚拟机规模集上安装来宾证明扩展 | 3.1.0-preview |
| U.11.3 加密服务 - 加密 | U.11.3 | 敏感数据始终使用 CSC 管理的私钥进行加密。 | [预览版]:应在支持的 Windows 虚拟机上启用安全启动 | 4.0.0-preview |
| U.11.3 加密服务 - 加密 | U.11.3 | 敏感数据始终使用 CSC 管理的私钥进行加密。 | [预览版]:应在支持的虚拟机上启用 vTPM | 2.0.0-preview |
| U.11.3 加密服务 - 加密 | U.11.3 | 敏感数据始终使用 CSC 管理的私钥进行加密。 | 应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘 | 1.0.0 |
| U.11.3 加密服务 - 加密 | U.11.3 | 敏感数据始终使用 CSC 管理的私钥进行加密。 | 应使用客户管理的密钥来加密 OS 和数据磁盘 | 3.0.0 |
| U.11.3 加密服务 - 加密 | U.11.3 | 敏感数据始终使用 CSC 管理的私钥进行加密。 | 虚拟机和虚拟机规模集应启用主机中加密 | 1.0.0 |
| U.11.3 加密服务 - 加密 | U.11.3 | 敏感数据始终使用 CSC 管理的私钥进行加密。 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| U.12.1 接口 - 网络连接 | U.12.1 | 在外部或不受信任的区域的连接点上,采取防范攻击的措施。 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| U.12.1 接口 - 网络连接 | U.12.1 | 在外部或不受信任的区域的连接点上,采取防范攻击的措施。 | 应禁用虚拟机上的 IP 转发 | 3.0.0 |
| U.12.2 接口 - 网络连接 | U.12.2 | 网络组件使可信网络与不可信网络之间的网络连接受到限制。 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| U.12.2 接口 - 网络连接 | U.12.2 | 网络组件使可信网络与不可信网络之间的网络连接受到限制。 | 应禁用虚拟机上的 IP 转发 | 3.0.0 |
| U.15.1 日志记录和监视 - 记录的事件 | U.15.1 | CSP 和 CSC 记录违反策略规则的情况。 | [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1-preview |
| U.15.1 日志记录和监视 - 记录的事件 | U.15.1 | CSP 和 CSC 记录违反策略规则的情况。 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| U.15.1 日志记录和监视 - 记录的事件 | U.15.1 | CSP 和 CSC 记录违反策略规则的情况。 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| U.15.1 日志记录和监视 - 记录的事件 | U.15.1 | CSP 和 CSC 记录违反策略规则的情况。 | 应为列出的虚拟机映像启用 Dependency Agent | 2.0.0 |
| U.15.1 日志记录和监视 - 记录的事件 | U.15.1 | CSP 和 CSC 记录违反策略规则的情况。 | 应在虚拟机规模集中为列出的虚拟机映像启用 Dependency Agent | 2.0.0 |
| U.15.1 日志记录和监视 - 记录的事件 | U.15.1 | CSP 和 CSC 记录违反策略规则的情况。 | 应在计算机上安装来宾配置扩展 | 1.0.3 |
| U.15.1 日志记录和监视 - 记录的事件 | U.15.1 | CSP 和 CSC 记录违反策略规则的情况。 | Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 | 1.0.0 |
| U.15.1 日志记录和监视 - 记录的事件 | U.15.1 | CSP 和 CSC 记录违反策略规则的情况。 | Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 | 1.0.0 |
| U.15.1 日志记录和监视 - 记录的事件 | U.15.1 | CSP 和 CSC 记录违反策略规则的情况。 | 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1 |
| U.15.1 日志记录和监视 - 记录的事件 | U.15.1 | CSP 和 CSC 记录违反策略规则的情况。 | 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 1.0.1 |
| U.15.3 日志记录和监视 - 记录的事件 | U.15.3 | 对于对日志记录和监视至关重要的所有资产,CSP 维护此类资产的清单并进行核查。 | [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1-preview |
| U.15.3 日志记录和监视 - 记录的事件 | U.15.3 | 对于对日志记录和监视至关重要的所有资产,CSP 维护此类资产的清单并进行核查。 | 应为列出的虚拟机映像启用 Dependency Agent | 2.0.0 |
| U.15.3 日志记录和监视 - 记录的事件 | U.15.3 | 对于对日志记录和监视至关重要的所有资产,CSP 维护此类资产的清单并进行核查。 | 应在虚拟机规模集中为列出的虚拟机映像启用 Dependency Agent | 2.0.0 |
| U.15.3 日志记录和监视 - 记录的事件 | U.15.3 | 对于对日志记录和监视至关重要的所有资产,CSP 维护此类资产的清单并进行核查。 | 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1 |
| U.17.1 多租户体系结构 - 加密 | U.17.1 | 传输和静态 CSC 数据已加密。 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
| U.17.1 多租户体系结构 - 加密 | U.17.1 | 传输和静态 CSC 数据已加密。 | 应为虚拟机启用 Azure 备份 | 3.0.0 |
PCI DSS 3.2.1
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 PCI DSS 3.2.1。 有关此合规性标准的详细信息,请参阅 PCI DSS 3.2.1。
PCI DSS v4.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 PCI DSS v4.0 的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅 PCI DSS v4.0。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 要求 01:安装和维护网络安全控制 | 1.3.2 | 限制进出持卡人数据环境的网络访问 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 要求 01:安装和维护网络安全控制 | 1.4.2 | 控制受信任网络和不受信任网络之间的网络连接 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 要求 10:记录和监视对系统组件和持卡人数据的所有访问 | 10.2.2 | 实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析 | 应将虚拟机迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| 要求 10:记录和监视对系统组件和持卡人数据的所有访问 | 10.3.3 | 保护审核日志,以免遭破坏和未经授权的修改 | 应将虚拟机迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| 要求 11:定期测试系统和网络的安全性 | 11.3.1 | 定期标识、确定外部和内部漏洞的优先级并加以解决 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 要求 11:定期测试系统和网络的安全性 | 11.3.1 | 定期标识、确定外部和内部漏洞的优先级并加以解决 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 要求 11:定期测试系统和网络的安全性 | 11.3.1 | 定期标识、确定外部和内部漏洞的优先级并加以解决 | 应在计算机上安装系统更新 | 4.0.0 |
| 要求 11:定期测试系统和网络的安全性 | 11.3.1 | 定期标识、确定外部和内部漏洞的优先级并加以解决 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 要求 03:保护存储的帐户数据 | 3.5.1 | 无论主帐号 (PAN) 存储在何处,都对其进行保护 | 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 | 2.0.3 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.1 | 阻止或检测和解决恶意软件 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.1 | 阻止或检测和解决恶意软件 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.1 | 阻止或检测和解决恶意软件 | 应在计算机上安装系统更新 | 4.0.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.1 | 阻止或检测和解决恶意软件 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.2 | 阻止或检测和解决恶意软件 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.2 | 阻止或检测和解决恶意软件 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.2 | 阻止或检测和解决恶意软件 | 应在计算机上安装系统更新 | 4.0.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.2 | 阻止或检测和解决恶意软件 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.3 | 阻止或检测和解决恶意软件 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.3 | 阻止或检测和解决恶意软件 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.3 | 阻止或检测和解决恶意软件 | 应在计算机上安装系统更新 | 4.0.0 |
| 要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.3 | 阻止或检测和解决恶意软件 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 要求 06:开发和维护安全系统及软件 | 6.2.4 | 以安全方式开发 Bespoke 和自定义软件 | 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 | 2.0.3 |
| 要求 06:开发和维护安全系统及软件 | 6.3.3 | 识别并解决安全漏洞 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 要求 06:开发和维护安全系统及软件 | 6.3.3 | 识别并解决安全漏洞 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 要求 06:开发和维护安全系统及软件 | 6.3.3 | 识别并解决安全漏洞 | 应在计算机上安装系统更新 | 4.0.0 |
| 要求 06:开发和维护安全系统及软件 | 6.3.3 | 识别并解决安全漏洞 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 要求 06:开发和维护安全系统及软件 | 6.4.1 | 保护面向公众的 Web 应用程序免受攻击 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 要求 06:开发和维护安全系统及软件 | 6.4.1 | 保护面向公众的 Web 应用程序免受攻击 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 要求 06:开发和维护安全系统及软件 | 6.4.1 | 保护面向公众的 Web 应用程序免受攻击 | 应在计算机上安装系统更新 | 4.0.0 |
| 要求 06:开发和维护安全系统及软件 | 6.4.1 | 保护面向公众的 Web 应用程序免受攻击 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 要求 08:标识用户并对系统组件的访问进行身份验证 | 8.3.6 | 建立和管理对用户和管理员的强身份验证 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 要求 08:标识用户并对系统组件的访问进行身份验证 | 8.3.6 | 建立和管理对用户和管理员的强身份验证 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 要求 08:标识用户并对系统组件的访问进行身份验证 | 8.3.6 | 建立和管理对用户和管理员的强身份验证 | 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 2.1.0 |
| 要求 08:标识用户并对系统组件的访问进行身份验证 | 8.3.6 | 建立和管理对用户和管理员的强身份验证 | 审核未将最长密码期限设置为指定天数的 Windows 计算机 | 2.1.0 |
| 要求 08:标识用户并对系统组件的访问进行身份验证 | 8.3.6 | 建立和管理对用户和管理员的强身份验证 | 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 2.1.0 |
| 要求 08:标识用户并对系统组件的访问进行身份验证 | 8.3.6 | 建立和管理对用户和管理员的强身份验证 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
印度储备银行 - 面向 NBFC 的 IT 框架
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 印度储备银行 - 面向 NBFC 的 IT 框架。 有关此合规性标准的详细信息,请参阅印度储备银行 - 面向 NBFC 的 IT 框架。
印度储备银行面向银行的 IT 框架 v2016
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - RBI ITF Banks v2016。 有关此合规性标准的详细信息,请参阅 RBI ITF Banks v2016 (PDF)。
RMIT 马来西亚
若要查看可供所有 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - 马来西亚 RMIT。 有关此合规性标准的详细信息,请参阅马来西亚 RMIT。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 数据中心运营 | 10.27 | 数据中心运营 - 10.27 | 部署 - 将 Log Analytics 扩展配置为在 Windows 虚拟机规模集上启用 | 3.1.0 |
| 数据中心运营 | 10.27 | 数据中心运营 - 10.27 | 应将虚拟机迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| 数据中心运营 | 10.30 | 数据中心运营 - 10.30 | 应为虚拟机启用 Azure 备份 | 3.0.0 |
| 网络复原能力 | 10.33 | 网络复原能力 - 10.33 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 网络复原能力 | 10.33 | 网络复原能力 - 10.33 | 将托管磁盘配置为禁用公用网络访问 | 2.0.0 |
| 网络复原能力 | 10.33 | 网络复原能力 - 10.33 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 网络复原能力 | 10.33 | 网络复原能力 - 10.33 | 应禁用虚拟机上的 IP 转发 | 3.0.0 |
| 网络复原能力 | 10.33 | 网络复原能力 - 10.33 | 托管磁盘应禁用公用网络访问 | 2.0.0 |
| 网络复原能力 | 10.33 | 网络复原能力 - 10.33 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 网络复原能力 | 10.33 | 网络复原能力 - 10.33 | 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 | 2.0.3 |
| 网络复原能力 | 10.35 | 网络复原能力 - 10.35 | 部署 - 将 Log Analytics 扩展配置为在 Windows 虚拟机规模集上启用 | 3.1.0 |
| 云服务 | 10.49 | 云服务 - 10.49 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 云服务 | 10.49 | 云服务 - 10.49 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 云服务 | 10.51 | 云服务 - 10.51 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 云服务 | 10.51 | 云服务 - 10.51 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
| 云服务 | 10.53 | 云服务 - 10.53 | 托管磁盘应使用一组特定的磁盘加密集来进行客户管理的密钥加密 | 2.0.0 |
| 云服务 | 10.53 | 云服务 - 10.53 | 应使用客户管理的密钥来加密 OS 和数据磁盘 | 3.0.0 |
| 访问控制 | 10.54 | 访问控制 - 10.54 | 应在计算机上安装来宾配置扩展 | 1.0.3 |
| 访问控制 | 10.54 | 访问控制 - 10.54 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 访问控制 | 10.54 | 访问控制 - 10.54 | 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 1.0.1 |
| 访问控制 | 10.61 | 访问控制 - 10.61 | 应在计算机上安装来宾配置扩展 | 1.0.3 |
| 访问控制 | 10.61 | 访问控制 - 10.61 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 访问控制 | 10.61 | 访问控制 - 10.61 | 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 1.0.1 |
| 补丁和生命周期终结系统管理 | 10.63 | 补丁和生命周期终结系统管理 - 10.63 | Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 1.0.0 |
| 补丁和生命周期终结系统管理 | 10.63 | 补丁和生命周期终结系统管理 - 10.63 | 应在虚拟机规模集上安装系统更新 | 3.0.0 |
| 补丁和生命周期终结系统管理 | 10.65 | 补丁和生命周期终结系统管理 - 10.65 | 应在计算机上安装系统更新 | 4.0.0 |
| 补丁和生命周期终结系统管理 | 10.65 | 补丁和生命周期终结系统管理 - 10.65 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 数字服务的安全性 | 10.66 | 数字服务的安全性 - 10.66 | 部署 - 将 Log Analytics 扩展配置为在 Windows 虚拟机上启用 | 3.1.0 |
| 数字服务的安全性 | 10.66 | 数字服务的安全性 - 10.66 | 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1 |
| 数字服务的安全性 | 10.66 | 数字服务的安全性 - 10.66 | 应在虚拟机规模集上安装 Log Analytics 扩展 | 1.0.1 |
| 数字服务的安全性 | 10.66 | 数字服务的安全性 - 10.66 | 虚拟机应安装 Log Analytics 扩展 | 1.0.1 |
| 数据丢失防护 (DLP) | 11.15 | 数据丢失防护 (DLP) - 11.15 | 将托管磁盘配置为禁用公用网络访问 | 2.0.0 |
| 数据丢失防护 (DLP) | 11.15 | 数据丢失防护 (DLP) - 11.15 | 托管磁盘应禁用公用网络访问 | 2.0.0 |
| 数据丢失防护 (DLP) | 11.15 | 数据丢失防护 (DLP) - 11.15 | 托管磁盘应使用一组特定的磁盘加密集来进行客户管理的密钥加密 | 2.0.0 |
| 安全运营中心 (SOC) | 11.17 | 安全运营中心 (SOC) - 11.17 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
| 安全运营中心 (SOC) | 11.17 | 安全运营中心 (SOC) - 11.17 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 安全运营中心 (SOC) | 11.18 | 安全运营中心 (SOC) - 11.18 | Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 | 1.0.0 |
| 安全运营中心 (SOC) | 11.18 | 安全运营中心 (SOC) - 11.18 | Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 | 1.0.0 |
| 网络风险管理 | 11.2 | 网络风险管理 - 11.2 | 虚拟机和虚拟机规模集应启用主机中加密 | 1.0.0 |
| 安全运营中心 (SOC) | 11.20 | 安全运营中心 (SOC) - 11.20 | 虚拟机和虚拟机规模集应启用主机中加密 | 1.0.0 |
| 网络风险管理 | 11.4 | 网络风险管理 - 11.4 | 配置将不带给定标记的虚拟机备份到同一位置中的现有恢复服务保管库 | 9.2.0 |
| 网络风险管理 | 11.4 | 网络风险管理 - 11.4 | 应当仅安装已批准的 VM 扩展 | 1.0.0 |
| 网络安全操作 | 11.8 | 网络安全操作 - 11.8 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 网络安全控制措施 | 附录 5.2 | 网络安全控制措施 - 附录 5.2 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 网络安全控制措施 | 附录 5.2 | 网络安全控制措施 - 附录 5.2 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 网络安全控制措施 | 附录 5.7 | 网络安全控制措施 - 附录 5.7 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 网络安全控制措施 | 附录 5.7 | 网络安全控制措施 - 附录 5.7 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 网络安全控制措施 | 附录 5.7 | 网络安全控制措施 - 附录 5.7 | 应禁用虚拟机上的 IP 转发 | 3.0.0 |
| 网络安全控制措施 | 附录 5.7 | 网络安全控制措施 - 附录 5.7 | Log Analytics 代理应安装在虚拟机上,用于 Azure 安全中心监视 | 1.0.0 |
| 网络安全控制措施 | 附录 5.7 | 网络安全控制措施 - 附录 5.7 | Log Analytics 代理应安装在虚拟机规模集上,用于 Azure 安全中心监视 | 1.0.0 |
| 网络安全控制措施 | 附录 5.7 | 网络安全控制措施 - 附录 5.7 | 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 | 1.1.0 |
| 网络安全控制措施 | 附录 5.7 | 网络安全控制措施 - 附录 5.7 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 网络安全控制措施 | 附录 5.7 | 网络安全控制措施 - 附录 5.7 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 网络安全控制措施 | 附录 5.7 | 网络安全控制措施 - 附录 5.7 | 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 | 2.0.3 |
| 网络安全控制措施 | 附录 5.7 | 网络安全控制措施 - 附录 5.7 | 应修正容器安全配置中的漏洞 | 3.0.0 |
SWIFT CSP-CSCF v2021
要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅针对 SWIFT CSP-CSCF v2021 的 Azure Policy 法规合规性详细信息。 有关此合规性标准的详细信息,请参阅 SWIFT CSP CSCF v2021。
SWIFT CSP-CSCF v2022
要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅《适用于 SWIFT CSP-CSCF v2022 的 Azure Policy 法规合规性详细信息》。 有关此合规性标准的详细信息,请参阅 SWIFT CSP-CSCF v2022。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.1 | 确保保护用户的本地 SWIFT 基础结构免受常规 IT 环境的潜在受攻击元素和外部环境的影响。 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.1 | 确保保护用户的本地 SWIFT 基础结构免受常规 IT 环境的潜在受攻击元素和外部环境的影响。 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.1 | 确保保护用户的本地 SWIFT 基础结构免受常规 IT 环境的潜在受攻击元素和外部环境的影响。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.1 | 确保保护用户的本地 SWIFT 基础结构免受常规 IT 环境的潜在受攻击元素和外部环境的影响。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.1 | 确保保护用户的本地 SWIFT 基础结构免受常规 IT 环境的潜在受攻击元素和外部环境的影响。 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.1 | 确保保护用户的本地 SWIFT 基础结构免受常规 IT 环境的潜在受攻击元素和外部环境的影响。 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.1 | 确保保护用户的本地 SWIFT 基础结构免受常规 IT 环境的潜在受攻击元素和外部环境的影响。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.1 | 确保保护用户的本地 SWIFT 基础结构免受常规 IT 环境的潜在受攻击元素和外部环境的影响。 | 应禁用虚拟机上的 IP 转发 | 3.0.0 |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.2 | 限制和控制管理员级别操作系统帐户的分配和使用。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.3 | 按与物理系统相同的级别保护托管 SWIFT 相关组件的虚拟平台和虚拟机 (VM)。 | 审核未使用托管磁盘的 VM | 1.0.0 |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.4 | 控制/保护来自安全区域内操作员电脑和系统的 Internet 访问。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.4 | 控制/保护来自安全区域内操作员电脑和系统的 Internet 访问。 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.5A | 确保对客户的连接基础结构进行保护,使其免受外部环境和常规 IT 环境的潜在受攻击元素的影响。 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.5A | 确保对客户的连接基础结构进行保护,使其免受外部环境和常规 IT 环境的潜在受攻击元素的影响。 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.5A | 确保对客户的连接基础结构进行保护,使其免受外部环境和常规 IT 环境的潜在受攻击元素的影响。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.5A | 确保对客户的连接基础结构进行保护,使其免受外部环境和常规 IT 环境的潜在受攻击元素的影响。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.5A | 确保对客户的连接基础结构进行保护,使其免受外部环境和常规 IT 环境的潜在受攻击元素的影响。 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.5A | 确保对客户的连接基础结构进行保护,使其免受外部环境和常规 IT 环境的潜在受攻击元素的影响。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.5A | 确保对客户的连接基础结构进行保护,使其免受外部环境和常规 IT 环境的潜在受攻击元素的影响。 | 应禁用虚拟机上的 IP 转发 | 3.0.0 |
| 2.减少攻击面和漏洞 | 2.1 | 确保本地 SWIFT 相关组件之间应用程序数据流的保密性、完整性和真实性。 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.2.0 |
| 2.减少攻击面和漏洞 | 2.1 | 确保本地 SWIFT 相关组件之间应用程序数据流的保密性、完整性和真实性。 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 2.减少攻击面和漏洞 | 2.2 | 通过确保供应商支持、应用必需的软件更新、根据评估的风险及时应用安全更新,最大程度地减少操作员电脑和本地 SWIFT 基础结构中已知技术漏洞的出现。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 2.减少攻击面和漏洞 | 2.2 | 通过确保供应商支持、应用必需的软件更新、根据评估的风险及时应用安全更新,最大程度地减少操作员电脑和本地 SWIFT 基础结构中已知技术漏洞的出现。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 2.减少攻击面和漏洞 | 2.2 | 通过确保供应商支持、应用必需的软件更新、根据评估的风险及时应用安全更新,最大程度地减少操作员电脑和本地 SWIFT 基础结构中已知技术漏洞的出现。 | 审核正在等待重新启动的 Windows VM | 2.0.0 |
| 2.减少攻击面和漏洞 | 2.2 | 通过确保供应商支持、应用必需的软件更新、根据评估的风险及时应用安全更新,最大程度地减少操作员电脑和本地 SWIFT 基础结构中已知技术漏洞的出现。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 2.减少攻击面和漏洞 | 2.2 | 通过确保供应商支持、应用必需的软件更新、根据评估的风险及时应用安全更新,最大程度地减少操作员电脑和本地 SWIFT 基础结构中已知技术漏洞的出现。 | 应在虚拟机规模集上安装系统更新 | 3.0.0 |
| 2.减少攻击面和漏洞 | 2.2 | 通过确保供应商支持、应用必需的软件更新、根据评估的风险及时应用安全更新,最大程度地减少操作员电脑和本地 SWIFT 基础结构中已知技术漏洞的出现。 | 应在计算机上安装系统更新 | 4.0.0 |
| 2.减少攻击面和漏洞 | 2.3 | 通过执行系统强化来减少 SWIFT 相关组件的网络攻击面。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 2.减少攻击面和漏洞 | 2.3 | 通过执行系统强化来减少 SWIFT 相关组件的网络攻击面。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 2.减少攻击面和漏洞 | 2.3 | 通过执行系统强化来减少 SWIFT 相关组件的网络攻击面。 | 审核未将密码文件权限设为 0644 的 Linux 计算机 | 3.1.0 |
| 2.减少攻击面和漏洞 | 2.3 | 通过执行系统强化来减少 SWIFT 相关组件的网络攻击面。 | 审核包含将在指定天数内过期的证书的 Windows 计算机 | 2.0.0 |
| 2.减少攻击面和漏洞 | 2.3 | 通过执行系统强化来减少 SWIFT 相关组件的网络攻击面。 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
| 2.减少攻击面和漏洞 | 2.3 | 通过执行系统强化来减少 SWIFT 相关组件的网络攻击面。 | 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 3.1.0 |
| 2.减少攻击面和漏洞 | 2.3 | 通过执行系统强化来减少 SWIFT 相关组件的网络攻击面。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 2.减少攻击面和漏洞 | 2.3 | 通过执行系统强化来减少 SWIFT 相关组件的网络攻击面。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 2.减少攻击面和漏洞 | 2.4A | 后台数据流安全性 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.2.0 |
| 2.减少攻击面和漏洞 | 2.4A | 后台数据流安全性 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 2.减少攻击面和漏洞 | 2.5A | 外部传输数据保护 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
| 2.减少攻击面和漏洞 | 2.5A | 外部传输数据保护 | 审核未使用托管磁盘的 VM | 1.0.0 |
| 2.减少攻击面和漏洞 | 2.5A | 外部传输数据保护 | 应为虚拟机启用 Azure 备份 | 3.0.0 |
| 2.减少攻击面和漏洞 | 2.5A | 外部传输数据保护 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 2.减少攻击面和漏洞 | 2.6 | 保护连接到本地或远程(由服务提供商运营)SWIFT 基础结构或服务提供商 SWIFT 相关应用程序的交互式操作员会话的机密性和完整性 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 2.减少攻击面和漏洞 | 2.6 | 保护连接到本地或远程(由服务提供商运营)SWIFT 基础结构或服务提供商 SWIFT 相关应用程序的交互式操作员会话的机密性和完整性 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 2.减少攻击面和漏洞 | 2.6 | 保护连接到本地或远程(由服务提供商运营)SWIFT 基础结构或服务提供商 SWIFT 相关应用程序的交互式操作员会话的机密性和完整性 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 2.减少攻击面和漏洞 | 2.6 | 保护连接到本地或远程(由服务提供商运营)SWIFT 基础结构或服务提供商 SWIFT 相关应用程序的交互式操作员会话的机密性和完整性 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 2.减少攻击面和漏洞 | 2.6 | 保护连接到本地或远程(由服务提供商运营)SWIFT 基础结构或服务提供商 SWIFT 相关应用程序的交互式操作员会话的机密性和完整性 | Windows 计算机应符合“安全选项 - 交互式登录”的要求 | 3.0.0 |
| 2.减少攻击面和漏洞 | 2.7 | 通过实施常规漏洞扫描过程来识别本地 SWIFT 环境中的已知漏洞,并对结果采取行动。 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 2.减少攻击面和漏洞 | 2.7 | 通过实施常规漏洞扫描过程来识别本地 SWIFT 环境中的已知漏洞,并对结果采取行动。 | 应修正容器安全配置中的漏洞 | 3.0.0 |
| 2.减少攻击面和漏洞 | 2.7 | 通过实施常规漏洞扫描过程来识别本地 SWIFT 环境中的已知漏洞,并对结果采取行动。 | 应修复计算机上安全配置中的漏洞 | 3.1.0 |
| 2.减少攻击面和漏洞 | 2.7 | 通过实施常规漏洞扫描过程来识别本地 SWIFT 环境中的已知漏洞,并对结果采取行动。 | 应修复虚拟机规模集上安全配置中的漏洞 | 3.0.0 |
| 3.采用物理方式保护环境 | 3.1 | 阻止对敏感设备、工作区环境、托管站点和存储进行未经授权的物理访问。 | 审核未使用托管磁盘的 VM | 1.0.0 |
| 4.防止凭据泄露 | 4.1 | 通过实现和强制实施有效的密码策略,确保密码足以充分抵御常见密码攻击。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 4.防止凭据泄露 | 4.1 | 通过实现和强制实施有效的密码策略,确保密码足以充分抵御常见密码攻击。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 4.防止凭据泄露 | 4.1 | 通过实现和强制实施有效的密码策略,确保密码足以充分抵御常见密码攻击。 | 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 3.1.0 |
| 4.防止凭据泄露 | 4.1 | 通过实现和强制实施有效的密码策略,确保密码足以充分抵御常见密码攻击。 | 审核具有不使用密码的帐户的 Linux 计算机 | 3.1.0 |
| 4.防止凭据泄露 | 4.1 | 通过实现和强制实施有效的密码策略,确保密码足以充分抵御常见密码攻击。 | 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 2.1.0 |
| 4.防止凭据泄露 | 4.1 | 通过实现和强制实施有效的密码策略,确保密码足以充分抵御常见密码攻击。 | 审核未将最长密码期限设置为指定天数的 Windows 计算机 | 2.1.0 |
| 4.防止凭据泄露 | 4.1 | 通过实现和强制实施有效的密码策略,确保密码足以充分抵御常见密码攻击。 | 审核未将最短密码期限设置为指定天数的 Windows 计算机 | 2.1.0 |
| 4.防止凭据泄露 | 4.1 | 通过实现和强制实施有效的密码策略,确保密码足以充分抵御常见密码攻击。 | 审核未启用密码复杂性设置的 Windows 计算机 | 2.0.0 |
| 4.防止凭据泄露 | 4.1 | 通过实现和强制实施有效的密码策略,确保密码足以充分抵御常见密码攻击。 | 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 2.1.0 |
| 4.防止凭据泄露 | 4.1 | 通过实现和强制实施有效的密码策略,确保密码足以充分抵御常见密码攻击。 | 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 3.1.0 |
| 4.防止凭据泄露 | 4.1 | 通过实现和强制实施有效的密码策略,确保密码足以充分抵御常见密码攻击。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 5.管理标识和分离权限 | 5.1 | 对操作员帐户强制执行需要知道的访问权限、最小特权和职责分离的安全原则。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 5.管理标识和分离权限 | 5.1 | 对操作员帐户强制执行需要知道的访问权限、最小特权和职责分离的安全原则。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 5.管理标识和分离权限 | 5.1 | 对操作员帐户强制执行需要知道的访问权限、最小特权和职责分离的安全原则。 | 审核包含将在指定天数内过期的证书的 Windows 计算机 | 2.0.0 |
| 5.管理标识和分离权限 | 5.1 | 对操作员帐户强制执行需要知道的访问权限、最小特权和职责分离的安全原则。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 5.管理标识和分离权限 | 5.2 | 确保正确管理、跟踪和使用已连接和已断开连接的硬件身份验证或个人令牌(使用令牌时)。 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 5.管理标识和分离权限 | 5.4 | 从物理和逻辑上保护已记录密码的存储库。 | 审核未存储使用可逆加密的密码的 Windows 计算机 | 2.0.0 |
| 6.检测系统或事务记录的异常活动 | 6.1 | 确保本地 SWIFT 基础结构免受恶意软件的侵害,并根据结果采取行动。 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 6.检测系统或事务记录的异常活动 | 6.1 | 确保本地 SWIFT 基础结构免受恶意软件的侵害,并根据结果采取行动。 | Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 1.0.0 |
| 6.检测系统或事务记录的异常活动 | 6.1 | 确保本地 SWIFT 基础结构免受恶意软件的侵害,并根据结果采取行动。 | 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 | 1.1.0 |
| 6.检测系统或事务记录的异常活动 | 6.1 | 确保本地 SWIFT 基础结构免受恶意软件的侵害,并根据结果采取行动。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 6.检测系统或事务记录的异常活动 | 6.4 | 记录安全事件并检测本地 SWIFT 环境中的异常操作和运营。 | [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1-preview |
| 6.检测系统或事务记录的异常活动 | 6.4 | 记录安全事件并检测本地 SWIFT 环境中的异常操作和运营。 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 6.检测系统或事务记录的异常活动 | 6.4 | 记录安全事件并检测本地 SWIFT 环境中的异常操作和运营。 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 6.检测系统或事务记录的异常活动 | 6.4 | 记录安全事件并检测本地 SWIFT 环境中的异常操作和运营。 | 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 4.1.0 |
| 6.检测系统或事务记录的异常活动 | 6.4 | 记录安全事件并检测本地 SWIFT 环境中的异常操作和运营。 | 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 4.1.0 |
| 6.检测系统或事务记录的异常活动 | 6.4 | 记录安全事件并检测本地 SWIFT 环境中的异常操作和运营。 | 审核未配置灾难恢复的虚拟机 | 1.0.0 |
| 6.检测系统或事务记录的异常活动 | 6.4 | 记录安全事件并检测本地 SWIFT 环境中的异常操作和运营。 | 应为虚拟机启用 Azure 备份 | 3.0.0 |
| 6.检测系统或事务记录的异常活动 | 6.4 | 记录安全事件并检测本地 SWIFT 环境中的异常操作和运营。 | 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 1.2.0 |
| 6.检测系统或事务记录的异常活动 | 6.4 | 记录安全事件并检测本地 SWIFT 环境中的异常操作和运营。 | 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 | 2.0.1 |
| 6.检测系统或事务记录的异常活动 | 6.4 | 记录安全事件并检测本地 SWIFT 环境中的异常操作和运营。 | 应在虚拟机规模集上安装 Log Analytics 扩展 | 1.0.1 |
| 6.检测系统或事务记录的异常活动 | 6.4 | 记录安全事件并检测本地 SWIFT 环境中的异常操作和运营。 | 虚拟机应安装 Log Analytics 扩展 | 1.0.1 |
| 6.检测系统或事务记录的异常活动 | 6.5A | 检测并遏制本地或远程 SWIFT 环境中的异常网络活动。 | [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 6.检测系统或事务记录的异常活动 | 6.5A | 检测并遏制本地或远程 SWIFT 环境中的异常网络活动。 | [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 1.0.2-preview |
| 6.检测系统或事务记录的异常活动 | 6.5A | 检测并遏制本地或远程 SWIFT 环境中的异常网络活动。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
系统和组织控制 (SOC) 2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅适用于系统和组织控制 (SOC) 2 的 Azure Policy 法规合规性详细信息。 有关此合规性标准的详细信息,请参阅系统和组织控制 (SOC) 2。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 可用性的其他条件 | A1.2 | 环境保护、软件、数据备份过程、恢复基础结构 | 应为虚拟机启用 Azure 备份 | 3.0.0 |
| 风险评估 | CC3.2 | COSO 原则 7 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.2.0 |
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 | 2.0.3 |
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 逻辑访问控制和物理访问控制 | CC6.6 | 针对系统边界之外的威胁的安全措施 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.6 | 针对系统边界之外的威胁的安全措施 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.6 | 针对系统边界之外的威胁的安全措施 | 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 3.2.0 |
| 逻辑访问控制和物理访问控制 | CC6.6 | 针对系统边界之外的威胁的安全措施 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.6 | 针对系统边界之外的威胁的安全措施 | 应禁用虚拟机上的 IP 转发 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.6 | 针对系统边界之外的威胁的安全措施 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.6 | 针对系统边界之外的威胁的安全措施 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.6 | 针对系统边界之外的威胁的安全措施 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.6 | 针对系统边界之外的威胁的安全措施 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 逻辑访问控制和物理访问控制 | CC6.7 | 限制信息向授权用户移动 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.7 | 限制信息向授权用户移动 | 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.7 | 限制信息向授权用户移动 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.7 | 限制信息向授权用户移动 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.7 | 限制信息向授权用户移动 | 应关闭虚拟机上的管理端口 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.7 | 限制信息向授权用户移动 | 应使用网络安全组来保护非面向 Internet 的虚拟机 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.7 | 限制信息向授权用户移动 | 应将 Windows 计算机配置为使用安全通信协议 | 4.1.1 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | [预览版]:应在支持的 Linux 虚拟机上安装来宾证明扩展 | 6.0.0-preview |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | [预览版]:应在支持的 Linux 虚拟机规模集上安装来宾证明扩展 | 5.1.0-preview |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | [预览版]:应在支持的 Windows 虚拟机上安装来宾证明扩展 | 4.0.0-preview |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | [预览版]:应在支持的 Windows 虚拟机规模集上安装来宾证明扩展 | 3.1.0-preview |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | [预览版]:应在支持的 Windows 虚拟机上启用安全启动 | 4.0.0-preview |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | [预览版]:应在支持的虚拟机上启用 vTPM | 2.0.0-preview |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | 审核未使用托管磁盘的 VM | 1.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | 应在计算机上解决 Endpoint Protection 运行状况问题 | 1.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | 应在计算机上安装 Endpoint Protection | 1.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | 应在虚拟机规模集上安装终结点保护解决方案 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | 应在计算机上安装来宾配置扩展 | 1.0.3 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | Linux 计算机应符合 Azure 计算安全基线的要求 | 2.2.0 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | 应当仅安装已批准的 VM 扩展 | 1.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 1.0.1 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | Windows 计算机应符合 Azure 计算安全基线的要求 | 2.0.0 |
| 系统操作 | CC7.1 | 检测和监视新漏洞 | 应在虚拟机上启用漏洞评估解决方案 | 3.0.0 |
| 系统操作 | CC7.1 | 检测和监视新漏洞 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 3.0.0 |
| 系统操作 | CC7.1 | 检测和监视新漏洞 | 应更新自适应应用程序控制策略中的允许列表规则 | 3.0.0 |
| 系统操作 | CC7.2 | 监视系统组件是否存在异常行为 | 应在计算机上启用 Windows Defender 攻击防护 | 2.0.0 |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | [预览版]:应在支持的 Linux 虚拟机上安装来宾证明扩展 | 6.0.0-preview |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | [预览版]:应在支持的 Linux 虚拟机规模集上安装来宾证明扩展 | 5.1.0-preview |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | [预览版]:应在支持的 Windows 虚拟机上安装来宾证明扩展 | 4.0.0-preview |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | [预览版]:应在支持的 Windows 虚拟机规模集上安装来宾证明扩展 | 3.1.0-preview |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | [预览版]:应在支持的 Windows 虚拟机上启用安全启动 | 4.0.0-preview |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | [预览版]:应在支持的虚拟机上启用 vTPM | 2.0.0-preview |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | 审核未使用托管磁盘的 VM | 1.0.0 |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | 应在计算机上安装来宾配置扩展 | 1.0.3 |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | Linux 计算机应符合 Azure 计算安全基线的要求 | 2.2.0 |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | 应当仅安装已批准的 VM 扩展 | 1.0.0 |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 1.0.1 |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | Windows 计算机应符合 Azure 计算安全基线的要求 | 2.0.0 |
| 处理完整性的其他条件 | PI1.5 | 完全、准确、及时地存储输入和输出 | 应为虚拟机启用 Azure 备份 | 3.0.0 |
英国官方和英国 NHS
若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - UK OFFICIAL 和 UK NHS。 有关此合规性标准的详细信息,请参阅 UK OFFICIAL。
后续步骤
- 详细了解 Azure Policy 法规符合性。
- 在 Azure Policy GitHub 存储库中查看这些内置项。