你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Policy 中的法规符合性为与不同符合性标准相关的“符合域”和“安全控件”提供 Microsoft 创建和管理的计划定义,称为“内置”。 此页列出 Azure 虚拟网络的“符合域”和“安全控制措施”。 可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
重要说明
每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配关系。 因此,Azure Policy 中的“符合”仅指符合策略本身。 这并不能确保你完全符合控件的所有要求。 此外,合规性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的合规性只是整体合规性状态的部分视图。 对于这些合规性标准,控制措施与 Azure Policy 法规合规性定义之间的关联会随时间的推移而发生变化。
澳大利亚政府 ISM PROTECTED
若要查看所有 Azure 服务的可用 Azure Policy 内置项与此合规性标准的对照表,请参阅 Azure Policy 法规合规性 - 澳大利亚政府 ISM PROTECTED。 有关此合规性标准的详细信息,请参阅澳大利亚政府 ISM PROTECTED。
| 域 | 控制 ID | 控制标题 | Policy (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 网络指南 - 联机服务的服务连续性 | 1431 | 拒绝服务策略 - 1431 | 应启用 Azure DDoS 防护 | 3.0.1 |
加拿大联邦 PBMM
若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - 加拿大联邦 PBMM。 有关此合规性标准的详细信息,请参阅加拿大联邦 PBMM。
| 域 | 控制 ID | 控制标题 | Policy (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 系统和通信保护 | SC-5 | 拒绝服务保护 | 应启用 Azure DDoS 防护 | 3.0.1 |
CIS Microsoft Azure 基础基准检验 1.1.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - CIS Microsoft Azure 基础基准 1.1.0。 有关此合规性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | Policy (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 2 安全中心 | 2.9 | 确保 ASC 默认策略设置“启用下一代防火墙(NGFW)监视”不是处于“已禁用”状态 | 子网应与网络安全组关联 | 3.0.0 |
| 6 网络 | 6.5 | 确保网络观察程序设置为“已启用” | 应启用网络观察程序 | 3.0.0 |
CIS Microsoft Azure 基础基准检验 1.3.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - CIS Microsoft Azure 基础基准 1.3.0。 有关此合规性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | Policy (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 6 网络 | 6.5 | 确保网络观察程序设置为“已启用” | 应启用网络观察程序 | 3.0.0 |
CIS Microsoft Azure 基础基准 1.4.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 CIS v1.4.0 的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | Policy (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 6 网络 | 6.5 | 确保网络观察程序设置为“已启用” | 应启用网络观察程序 | 3.0.0 |
CIS Microsoft Azure 基础基准检验 2.0.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 CIS v2.0.0 的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | Policy (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 5.1 | 5.1.6 | 确保捕获网络安全组流日志并将其发送到 Log Analytics | 所有流日志资源都应处于启用状态 | 1.0.1 |
| 5.1 | 5.1.6 | 确保捕获网络安全组流日志并将其发送到 Log Analytics | 审核每个虚拟网络的流日志配置 | 1.0.1 |
| 5.1 | 5.1.6 | 确保捕获网络安全组流日志并将其发送到 Log Analytics | 应为每个网络安全组配置流日志 | 1.1.0 |
| 6 | 6.6 | 确保网络观察程序设置为“已启用” | 应启用网络观察程序 | 3.0.0 |
CMMC 级别 3
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - CMMC 级别 3。 有关此合规性标准的详细信息,请参阅网络安全成熟度模型认证 (CMMC)。
| 域 | 控制 ID | 控制标题 | Policy (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC.1.003 | 验证和控制/限制外部信息系统的连接和使用。 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 访问控制 | AC.2.013 | 监视和控制远程访问会话。 | 应启用网络观察程序 | 3.0.0 |
| 访问控制 | AC.2.016 | 根据批准的授权控制 CUI 流。 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 配置管理 | CM.2.064 | 为组织系统中使用的信息技术产品建立并强制实施安全配置设置。 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 配置管理 | CM.2.064 | 为组织系统中使用的信息技术产品建立并强制实施安全配置设置。 | 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 1.0.2 |
| 配置管理 | CM.2.064 | 为组织系统中使用的信息技术产品建立并强制实施安全配置设置。 | 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 2.0.0 |
| 配置管理 | CM.2.064 | 为组织系统中使用的信息技术产品建立并强制实施安全配置设置。 | Web 应用程序防火墙 (WAF) 应对应用程序网关使用指定模式 | 1.0.0 |
| 配置管理 | CM.2.064 | 为组织系统中使用的信息技术产品建立并强制实施安全配置设置。 | Web 应用程序防火墙 (WAF) 应对 Azure Front Door 服务使用指定模式 | 1.0.0 |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 子网应与网络安全组关联 | 3.0.0 |
| 事件响应 | IR.2.093 | 检测和报告事件。 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 事件响应 | IR.2.093 | 检测和报告事件。 | 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 1.0.2 |
| 事件响应 | IR.2.093 | 检测和报告事件。 | 应为每个网络安全组配置流日志 | 1.1.0 |
| 事件响应 | IR.2.093 | 检测和报告事件。 | 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 2.0.0 |
| 事件响应 | IR.2.093 | 检测和报告事件。 | Web 应用程序防火墙 (WAF) 应对应用程序网关使用指定模式 | 1.0.0 |
| 事件响应 | IR.2.093 | 检测和报告事件。 | Web 应用程序防火墙 (WAF) 应对 Azure Front Door 服务使用指定模式 | 1.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 1.0.2 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应为每个网络安全组配置流日志 | 1.1.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应启用网络观察程序 | 3.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 2.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | Web 应用程序防火墙 (WAF) 应对应用程序网关使用指定模式 | 1.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | Web 应用程序防火墙 (WAF) 应对 Azure Front Door 服务使用指定模式 | 1.0.0 |
| 系统和通信保护 | SC.1.176 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 子网应与网络安全组关联 | 3.0.0 |
| 系统和通信保护 | SC.3.180 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 子网应与网络安全组关联 | 3.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 1.0.2 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应为每个网络安全组配置流日志 | 1.1.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应启用网络观察程序 | 3.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 子网应与网络安全组关联 | 3.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 2.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | Web 应用程序防火墙 (WAF) 应对应用程序网关使用指定模式 | 1.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | Web 应用程序防火墙 (WAF) 应对 Azure Front Door 服务使用指定模式 | 1.0.0 |
| 系统和信息完整性 | SI.2.216 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 系统和信息完整性 | SI.2.216 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 1.0.2 |
| 系统和信息完整性 | SI.2.216 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 应为每个网络安全组配置流日志 | 1.1.0 |
| 系统和信息完整性 | SI.2.216 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 应启用网络观察程序 | 3.0.0 |
| 系统和信息完整性 | SI.2.216 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 2.0.0 |
| 系统和信息完整性 | SI.2.216 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | Web 应用程序防火墙 (WAF) 应对应用程序网关使用指定模式 | 1.0.0 |
| 系统和信息完整性 | SI.2.216 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | Web 应用程序防火墙 (WAF) 应对 Azure Front Door 服务使用指定模式 | 1.0.0 |
| 系统和信息完整性 | SI.2.217 | 识别未经授权使用组织系统的情况。 | 应启用网络观察程序 | 3.0.0 |
FedRAMP High
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP High。 有关此合规性标准的详细信息,请参阅 FedRAMP High。
FedRAMP Moderate
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP Moderate。 有关此合规性标准的详细信息,请参阅 FedRAMP Moderate。
| 域 | 控制 ID | 控制标题 | Policy (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-4 | 信息流强制 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 访问控制 | AC-4 | 信息流强制 | 子网应与网络安全组关联 | 3.0.0 |
| 审核和责任 | AU-6 | 审核评审、分析和报告 | 应启用网络观察程序 | 3.0.0 |
| 审核和责任 | AU-12 | 审核生成 | 应启用网络观察程序 | 3.0.0 |
| 系统和通信保护 | SC-5 | 拒绝服务保护 | 应启用 Azure DDoS 防护 | 3.0.1 |
| 系统和通信保护 | SC-5 | 拒绝服务保护 | 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 1.0.2 |
| 系统和通信保护 | SC-5 | 拒绝服务保护 | 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 2.0.0 |
| 系统和通信保护 | SC-7 | 边界保护 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 系统和通信保护 | SC-7 | 边界保护 | 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 1.0.2 |
| 系统和通信保护 | SC-7 | 边界保护 | 子网应与网络安全组关联 | 3.0.0 |
| 系统和通信保护 | SC-7 | 边界保护 | 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 2.0.0 |
| 系统和通信保护 | SC-7 (3) | 接入点 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 系统和通信保护 | SC-7 (3) | 接入点 | 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 1.0.2 |
| 系统和通信保护 | SC-7 (3) | 接入点 | 子网应与网络安全组关联 | 3.0.0 |
| 系统和通信保护 | SC-7 (3) | 接入点 | 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 2.0.0 |
| 系统和信息完整性 | SI-4 | 信息系统监视 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 系统和信息完整性 | SI-4 | 信息系统监视 | 应启用网络观察程序 | 3.0.0 |
HIPAA HITRUST
若要查看所有 Azure 服务的可用 Azure Policy 内置如何映射到此符合性标准,请参阅 Azure Policy 法规合规性 - HIPAA HITRUST。 有关此符合性标准的详细信息,请参阅 HIPAA HITRUST。
| 域 | 控制 ID | 控制标题 | Policy (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 08 网络保护 | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 网络访问控制 | 不应在网关子网中配置网络安全组 | 1.0.0 |
| 08 网络保护 | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 网络访问控制 | 子网应与网络安全组关联 | 3.0.0 |
| 08 网络保护 | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 网络访问控制 | 虚拟机应连接到已批准的虚拟网络 | 1.0.0 |
| 08 网络保护 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 网络访问控制 | 不应在网关子网中配置网络安全组 | 1.0.0 |
| 08 网络保护 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 网络访问控制 | 子网应与网络安全组关联 | 3.0.0 |
| 08 网络保护 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 网络访问控制 | 虚拟机应连接到已批准的虚拟网络 | 1.0.0 |
| 08 网络保护 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 网络访问控制 | 子网应与网络安全组关联 | 3.0.0 |
| 08 网络保护 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 网络访问控制 | 虚拟机应连接到已批准的虚拟网络 | 1.0.0 |
| 08 网络保护 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 网络访问控制 | 子网应与网络安全组关联 | 3.0.0 |
| 08 网络保护 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 网络访问控制 | 虚拟机应连接到已批准的虚拟网络 | 1.0.0 |
| 08 网络保护 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 网络访问控制 | 子网应与网络安全组关联 | 3.0.0 |
| 08 网络保护 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 网络访问控制 | 虚拟机应连接到已批准的虚拟网络 | 1.0.0 |
| 08 网络保护 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 网络访问控制 | 子网应与网络安全组关联 | 3.0.0 |
| 08 网络保护 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 网络访问控制 | 虚拟机应连接到已批准的虚拟网络 | 1.0.0 |
| 08 网络保护 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 网络访问控制 | 子网应与网络安全组关联 | 3.0.0 |
| 08 网络保护 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 网络访问控制 | 虚拟机应连接到已批准的虚拟网络 | 1.0.0 |
| 08 网络保护 | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 网络安全管理 | 应启用网络观察程序 | 3.0.0 |
| 08 网络保护 | 0886.09n2Organizational.4-09.n | 0886.09n2Organizational.4-09.n 09.06 网络安全管理 | 应启用网络观察程序 | 3.0.0 |
| 08 网络保护 | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 网络安全管理 | 应启用网络观察程序 | 3.0.0 |
| 08 网络保护 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 网络访问控制 | 创建虚拟网络时部署网络观察程序 | 1.0.0 |
| 08 网络保护 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 网络访问控制 | 不应在网关子网中配置网络安全组 | 1.0.0 |
| 08 网络保护 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 网络访问控制 | 子网应与网络安全组关联 | 3.0.0 |
| 08 网络保护 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 网络访问控制 | 虚拟机应连接到已批准的虚拟网络 | 1.0.0 |
IRS 1075 2016 年 9 月
若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - IRS 1075 2016 年 9 月版。 有关此合规性标准的详细信息,请参阅 IRS 1075 2016 年 9 月版。
| 域 | 控制 ID | 控制标题 | Policy (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 系统和通信保护 | 9.3.16.4 | 拒绝服务保护 (SC-5) | 应启用 Azure DDoS 防护 | 3.0.1 |
Microsoft 云安全基准
Microsoft Cloud 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Microsoft Cloud 安全基准,请参阅 Azure 安全基准映射文件。
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - Microsoft Cloud 安全基准。
| 域 | 控制 ID | 控制标题 | Policy (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 网络安全 | NS-1 | NS-1 建立网络分段边界 | 子网应与网络安全组关联 | 3.0.0 |
| 网络安全 | NS-3 | NS-3 在企业网络边缘部署防火墙 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 网络安全 | NS-5 | NS-5 部署 DDOS 保护 | 应启用 Azure DDoS 防护 | 3.0.1 |
| 网络安全 | NS-6 | NS-6 部署 Web 应用程序防火墙 | 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 1.0.2 |
| 网络安全 | NS-6 | NS-6 部署 Web 应用程序防火墙 | 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 2.0.0 |
| 标识管理 | IM-1 | IM-1 使用集中式标识和身份验证系统 | VPN 网关应仅对点到站点用户使用 Azure Active Directory (Azure AD) 身份验证 | 1.0.0 |
| 事件响应 | IR-4 | IR-4 检测和分析 - 调查事件 | 应启用网络观察程序 | 3.0.0 |
NIST SP 800-171 R2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-171 R2。 有关此合规性标准的详细信息,请参阅 NIST SP 800-171 R2。
| 域 | 控制 ID | 控制标题 | Policy (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 子网应与网络安全组关联 | 3.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 1.0.2 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 子网应与网络安全组关联 | 3.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 2.0.0 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 1.0.2 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 子网应与网络安全组关联 | 3.0.0 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 2.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 1.0.2 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 子网应与网络安全组关联 | 3.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 2.0.0 |
| 系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 1.0.2 |
| 系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 子网应与网络安全组关联 | 3.0.0 |
| 系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 2.0.0 |
| 系统和信息完整性 | 3.14.6 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 系统和信息完整性 | 3.14.6 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 应启用网络观察程序 | 3.0.0 |
| 系统和信息完整性 | 3.14.7 | 识别未经授权使用组织系统的情况。 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 系统和信息完整性 | 3.14.7 | 识别未经授权使用组织系统的情况。 | 应启用网络观察程序 | 3.0.0 |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | 应启用网络观察程序 | 3.0.0 |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 应启用网络观察程序 | 3.0.0 |
NIST SP 800-53 修订版 4
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - NIST SP 800-53 修订版 4。 有关此合规性标准的详细信息,请参阅 NIST SP 800-53 修订版 4。
NIST SP 800-53 修订版 5
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - NIST SP 800-53 修订版 5。 有关此合规性标准的详细信息,请参阅 NIST SP 800-53 修订版 5。
NL BIO 云主题
若要查看所有 Azure 服务内置的可用 Azure Policy 如何映射到此合规性标准,请参阅 NL BIO 云主题的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅基线信息安全治理网络安全 - 数字治理 (digitaleoverheid.nl)。
| 域 | 控制 ID | 控制标题 | Policy (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 | 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 1.0.2 |
| U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 | 子网应与网络安全组关联 | 3.0.0 |
| U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 | 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 2.0.0 |
| U.07.3 数据分离 - 管理功能 | U.07.3 | U.07.3 - 以受控方式授予查看或修改 CSC 数据和/或加密密钥的权限,并记录使用。 | VPN 网关应仅对点到站点用户使用 Azure Active Directory (Azure AD) 身份验证 | 1.0.0 |
| U.09.3 恶意软件防护 - 检测、预防和恢复 | U.09.3 | 恶意软件防护在不同的环境中运行。 | 应启用 Azure DDoS 防护 | 3.0.1 |
| U.09.3 恶意软件防护 - 检测、预防和恢复 | U.09.3 | 恶意软件防护在不同的环境中运行。 | 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 1.0.2 |
| U.09.3 恶意软件防护 - 检测、预防和恢复 | U.09.3 | 恶意软件防护在不同的环境中运行。 | 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 2.0.0 |
| U.10.2 访问 IT 服务和数据 - 用户 | U.10.2 | 根据 CSP 的责任,向管理员授予访问权限。 | VPN 网关应仅对点到站点用户使用 Azure Active Directory (Azure AD) 身份验证 | 1.0.0 |
| U.10.3 访问 IT 服务和数据 - 用户 | U.10.3 | 只有拥有已进行身份验证的设备的用户才能访问 IT 服务和数据。 | VPN 网关应仅对点到站点用户使用 Azure Active Directory (Azure AD) 身份验证 | 1.0.0 |
| U.10.5 访问 IT 服务和数据 - 胜任 | U.10.5 | 对 IT 服务和数据的访问受技术措施的限制,并已实施。 | VPN 网关应仅对点到站点用户使用 Azure Active Directory (Azure AD) 身份验证 | 1.0.0 |
| U.12.1 接口 - 网络连接 | U.12.1 | 在外部或不受信任的区域的连接点上,采取防范攻击的措施。 | 应启用 Azure DDoS 防护 | 3.0.1 |
| U.12.1 接口 - 网络连接 | U.12.1 | 在外部或不受信任的区域的连接点上,采取防范攻击的措施。 | 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 1.0.2 |
| U.12.1 接口 - 网络连接 | U.12.1 | 在外部或不受信任的区域的连接点上,采取防范攻击的措施。 | 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 2.0.0 |
| U.12.2 接口 - 网络连接 | U.12.2 | 网络组件使可信网络与不可信网络之间的网络连接受到限制。 | 应启用 Azure DDoS 防护 | 3.0.1 |
| U.12.2 接口 - 网络连接 | U.12.2 | 网络组件使可信网络与不可信网络之间的网络连接受到限制。 | 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 1.0.2 |
| U.12.2 接口 - 网络连接 | U.12.2 | 网络组件使可信网络与不可信网络之间的网络连接受到限制。 | 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 2.0.0 |
| U.15.1 日志记录和监视 - 记录的事件 | U.15.1 | CSP 和 CSC 会记录违反策略规则的行为。 | Azure Front Door 应启用资源日志 | 1.0.0 |
| U.15.1 日志记录和监视 - 记录的事件 | U.15.1 | CSP 和 CSC 会记录违反策略规则的行为。 | 应启用网络观察程序 | 3.0.0 |
印度储备银行 - 面向 NBFC 的 IT 框架
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - 印度储备银行 - 面向 NBFC 的 IT 框架。 有关此合规性标准的详细信息,请参阅印度储备银行 - NBFC 的 IT 框架。
| 域 | 控制 ID | 控制标题 | Policy (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| IT 治理 | 1.1 | IT 治理-1.1 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 信息和网络安全 | 3.1.g | 轨迹-3.1 | 所有流日志资源都应处于启用状态 | 1.0.1 |
| 信息和网络安全 | 3.1.g | 轨迹-3.1 | 应为每个网络安全组配置流日志 | 1.1.0 |
| 信息和网络安全 | 3.1.g | 轨迹-3.1 | 网络观察程序流日志应启用流量分析 | 1.0.1 |
| IS 审核 | 5 | 信息系统审核策略(IS 审核)-5 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| IS 审核 | 5 | 信息系统审核策略(IS 审核)-5 | 所有流日志资源都应处于启用状态 | 1.0.1 |
| IS 审核 | 5 | 信息系统审核策略(IS 审核)-5 | 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 1.0.2 |
| IS 审核 | 5 | 信息系统审核策略(IS 审核)-5 | 应为每个网络安全组配置流日志 | 1.1.0 |
| IS 审核 | 5 | 信息系统审核策略(IS 审核)-5 | 子网应与网络安全组关联 | 3.0.0 |
| IS 审核 | 5 | 信息系统审核策略(IS 审核)-5 | 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 2.0.0 |
| IS 审核 | 5 | 信息系统审核策略(IS 审核)-5 | Web 应用程序防火墙 (WAF) 应对应用程序网关使用指定模式 | 1.0.0 |
| IS 审核 | 5 | 信息系统审核策略(IS 审核)-5 | Web 应用程序防火墙 (WAF) 应对 Azure Front Door 服务使用指定模式 | 1.0.0 |
印度储备银行针对银行 v2016 的 IT 框架
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - RBI ITF Banks v2016。 有关此合规性标准的详细信息,请参阅 RBI ITF 银行 v2016 (PDF)。
| 域 | 控制 ID | 控制标题 | Policy (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 网络管理和安全性 | 网络清单-4.2 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview | |
| 审核日志的维护、监视和分析 | 审核日志的维护、监视和分析-16.1 | 所有流日志资源都应处于启用状态 | 1.0.1 | |
| 取证 | 取证-22.1 | 应启用 Azure DDoS 防护 | 3.0.1 | |
| 网络管理和安全性 | 网络设备配置管理-4.3 | 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 1.0.2 | |
| 审核日志的维护、监视和分析 | 审核日志的维护、监视和分析-16.1 | 应为每个网络安全组配置流日志 | 1.1.0 | |
| 网络管理和安全性 | 网络清单-4.2 | 网络观察程序流日志应启用流量分析 | 1.0.1 | |
| 网络管理和安全性 | 安全运营中心-4.9 | 应启用网络观察程序 | 3.0.0 | |
| 网络管理和安全性 | 网络设备配置管理-4.3 | 子网应与网络安全组关联 | 3.0.0 | |
| 网络管理和安全性 | 网络设备配置管理-4.3 | 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 2.0.0 | |
| 应用程序安全性生命周期 (Aslc) | 应用程序安全性生命周期 (Aslc)-6.7 | Web 应用程序防火墙 (WAF) 应对应用程序网关使用指定模式 | 1.0.0 |
马来西亚 RMIT
若要查看可供所有 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 马来西亚 RMIT。 有关此合规性标准的详细信息,请参阅马来西亚 RMIT。
| 域 | 控制 ID | 控制标题 | Policy (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 网络复原能力 | 10.33 | 网络复原能力 - 10.33 | 所有流日志资源都应处于启用状态 | 1.0.1 |
| 网络复原能力 | 10.33 | 网络复原能力 - 10.33 | Azure VPN 网关不应使用“基本”SKU | 1.0.0 |
| 网络复原能力 | 10.33 | 网络复原能力 - 10.33 | 应为每个网络安全组配置流日志 | 1.1.0 |
| 网络复原能力 | 10.33 | 网络复原能力 - 10.33 | 子网应与网络安全组关联 | 3.0.0 |
| 网络复原能力 | 10.33 | 网络复原能力 - 10.33 | 虚拟机应连接到已批准的虚拟网络 | 1.0.0 |
| 网络复原能力 | 10.33 | 网络复原能力 - 10.33 | 虚拟网络应使用指定的虚拟网络网关 | 1.0.0 |
| 网络复原能力 | 10.35 | 网络复原能力 - 10.35 | 应启用网络观察程序 | 3.0.0 |
| 网络复原能力 | 10.39 | 网络复原能力 - 10.39 | 必须将自定义 IPsec/IKE 策略应用到所有 Azure 虚拟网络网关连接 | 1.0.0 |
| 分布式拒绝服务 (DDoS) | 11.13 | 分布式拒绝服务 (DDoS) - 11.13 | 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 1.0.2 |
| 安全运营中心 (SOC) | 11.18 | 安全运营中心 (SOC) - 11.18 | 应启用 Azure DDoS 防护 | 3.0.1 |
| 网络安全控制措施 | 附录 5.5 | 网络安全控制措施 - 附录 5.5 | 必须将自定义 IPsec/IKE 策略应用到所有 Azure 虚拟网络网关连接 | 1.0.0 |
| 网络安全控制措施 | 附录 5.6 | 网络安全控制措施 - 附录 5.6 | 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 2.0.0 |
| 网络安全控制措施 | 附录 5.6 | 网络安全控制措施 - 附录 5.6 | Web 应用程序防火墙 (WAF) 应对应用程序网关使用指定模式 | 1.0.0 |
| 网络安全控制措施 | 附录 5.6 | 网络安全控制措施 - 附录 5.6 | Web 应用程序防火墙 (WAF) 应对 Azure Front Door 服务使用指定模式 | 1.0.0 |
| 网络安全控制措施 | 附录 5.7 | 网络安全控制措施 - 附录 5.7 | 所有流日志资源都应处于启用状态 | 1.0.1 |
| 网络安全控制措施 | 附录 5.7 | 网络安全控制措施 - 附录 5.7 | 应启用 Azure DDoS 防护 | 3.0.1 |
| 网络安全控制措施 | 附录 5.7 | 网络安全控制措施 - 附录 5.7 | 应为每个网络安全组配置流日志 | 1.1.0 |
| 网络安全控制措施 | 附录 5.7 | 网络安全控制措施 - 附录 5.7 | 子网应与网络安全组关联 | 3.0.0 |
西班牙 ENS
要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅适用于西班牙 ENS 的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅 CCN-STIC 884。
SWIFT CSP-CSCF v2021 (SWIFT 客户安全计划-CSCF v2021)
要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅针对 SWIFT CSP-CSCF v2021 的 Azure Policy 法规合规性详细信息。 有关此合规性标准的详细信息,请参阅 SWIFT CSP CSCF v2021。
| 域 | 控制 ID | 控制标题 | Policy (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| SWIFT 环境保护 | 1.1 | SWIFT 环境保护 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| SWIFT 环境保护 | 1.1 | SWIFT 环境保护 | 应启用 Azure DDoS 防护 | 3.0.1 |
| SWIFT 环境保护 | 1.1 | SWIFT 环境保护 | 应启用网络观察程序 | 3.0.0 |
| SWIFT 环境保护 | 1.1 | SWIFT 环境保护 | 子网应与网络安全组关联 | 3.0.0 |
| 检测系统或事务记录的异常活动 | 6.5A | 入侵检测 | 应启用网络观察程序 | 3.0.0 |
SWIFT CSP-CSCF v2022
要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅《适用于 SWIFT CSP-CSCF v2022 的 Azure Policy 法规合规性详细信息》。 有关此合规性标准的详细信息,请参阅 SWIFT CSP-CSCF v2022。
| 域 | 控制 ID | 控制标题 | Policy (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 1. 限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.1 | 确保保护用户的本地 SWIFT 基础结构免受常规 IT 环境的潜在受攻击元素和外部环境的影响。 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 1. 限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.1 | 确保保护用户的本地 SWIFT 基础结构免受常规 IT 环境的潜在受攻击元素和外部环境的影响。 | 应启用网络观察程序 | 3.0.0 |
| 1. 限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.1 | 确保保护用户的本地 SWIFT 基础结构免受常规 IT 环境的潜在受攻击元素和外部环境的影响。 | 子网应与网络安全组关联 | 3.0.0 |
| 1. 限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.4 | 控制/保护来自安全区域内操作员电脑和系统的 Internet 访问。 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 1. 限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.5A | 确保对客户的连接基础结构进行保护,使其免受外部环境和常规 IT 环境的潜在受攻击元素的影响。 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 1. 限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.5A | 确保对客户的连接基础结构进行保护,使其免受外部环境和常规 IT 环境的潜在受攻击元素的影响。 | 应启用 Azure DDoS 防护 | 3.0.1 |
| 1. 限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.5A | 确保对客户的连接基础结构进行保护,使其免受外部环境和常规 IT 环境的潜在受攻击元素的影响。 | 应启用网络观察程序 | 3.0.0 |
| 1. 限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.5A | 确保对客户的连接基础结构进行保护,使其免受外部环境和常规 IT 环境的潜在受攻击元素的影响。 | 子网应与网络安全组关联 | 3.0.0 |
| 6. 检测系统或事务记录的异常活动 | 6.4 | 记录安全事件并检测本地 SWIFT 环境中的异常操作和运营。 | 所有流日志资源都应处于启用状态 | 1.0.1 |
| 6. 检测系统或事务记录的异常活动 | 6.4 | 记录安全事件并检测本地 SWIFT 环境中的异常操作和运营。 | 应为每个网络安全组配置流日志 | 1.1.0 |
| 6. 检测系统或事务记录的异常活动 | 6.4 | 记录安全事件并检测本地 SWIFT 环境中的异常操作和运营。 | 网络观察程序流日志应启用流量分析 | 1.0.1 |
| 6. 检测系统或事务记录的异常活动 | 6.5A | 检测并遏制本地或远程 SWIFT 环境中的异常网络活动。 | 应启用网络观察程序 | 3.0.0 |
系统和组织控制 (SOC) 2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅适用于系统和组织控制 (SOC) 2 的 Azure Policy 法规合规性详细信息。 有关此合规性标准的详细信息,请参阅系统和组织控制 (SOC) 2。
| 域 | 控制 ID | 控制标题 | Policy (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 子网应与网络安全组关联 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.6 | 针对系统边界之外的威胁的安全措施 | [预览版]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | 3.0.0-preview |
| 逻辑访问控制和物理访问控制 | CC6.6 | 针对系统边界之外的威胁的安全措施 | 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 1.0.2 |
| 逻辑访问控制和物理访问控制 | CC6.6 | 针对系统边界之外的威胁的安全措施 | 子网应与网络安全组关联 | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.6 | 针对系统边界之外的威胁的安全措施 | 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 2.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.7 | 限制信息向授权用户移动 | 子网应与网络安全组关联 | 3.0.0 |
| 系统操作 | CC7.4 | 安全事件响应 | 应启用网络观察程序 | 3.0.0 |
| 系统操作 | CC7.5 | 从已识别的安全事件恢复 | 应启用网络观察程序 | 3.0.0 |
英国官方和英国 NHS
若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - UK OFFICIAL 和 UK NHS。 有关此合规性标准的详细信息,请参阅 UK OFFICIAL。
| 域 | 控制 ID | 控制标题 | Policy (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 运营安全 | 5.3 | 保护监视 | 应启用 Azure DDoS 防护 | 3.0.1 |
后续步骤
- 详细了解 Azure Policy 法规遵从性。
- 在 Azure Policy GitHub 存储库中查看这些内置项。