所有网络流量(无论是虚拟网络、云服务还是数据中心内)都必须至少使用 TLS v1.1 (TLS v1.2+ 进行保护) 或其他适用协议。 此要求的例外情况如下:
必须禁用 TLS 压缩。
仅允许使用加密基元和参数,如下所示:
加密
仅允许使用 AES、BitLocker、Blowfish 或 TDES。 允许任何受支持的密钥长度 >=128 (128 位、192 位和 256 位) ,建议使用 (256 位密钥) 。
仅允许 CBC 模式。 每个加密作都必须使用随机生成的全新初始化向量 (IV) 。
不允许使用流加密,例如 RC4。
哈希函数
所有新代码都必须使用 SHA-256、SHA-384 或 SHA-512 (统称为 SHA-2) 。 输出可能被截断为不少于 128 位
SHA-1 只能出于兼容性原因使用。
不允许使用 MD5、MD4、MD2 和其他哈希函数,即使对于非加密应用程序也是如此。
消息身份验证
所有新代码都必须将 HMAC 与其中一个已批准的哈希函数配合使用。 HMAC 的输出可能截断为不少于 128 位。
HMAC-SHA1 只能出于兼容性原因使用。
HMAC 密钥必须至少为 128 位。 建议使用 256 位密钥。
加密
签名
*允许 ECDSA。 密钥 必须 至少为 256 位。 必须使用 NIST P-256、P-384 或 P-521 曲线。
密钥交换
允许 ECDH。 密钥 必须 至少为 256 位。 必须使用 NIST P-256、P-384 或 P-521 曲线。
允许 ECDH。 密钥 必须 至少为 256 位。 必须使用 NIST P-256、P-384 或 P-521 曲线。
如果您已获得ISO27001合规性,则至少需要在此Microsoft 365 认证中审查以下增量 (差距,) ISO 27001 未完全涵盖。
备注
作为Microsoft 365 认证评估的一部分,认证分析师将确定是否未将任何映射的 ISO 27001 控制措施作为 ISO 27001 评估的一部分包括在内,并可能决定对发现包含的控件进行采样以提供进一步的保证。 ISO 27001 中缺少的任何要求都需要包含在 Microsoft 365 认证评估活动中。
恶意软件防护 - 防病毒
如果使用应用程序控制进行了恶意软件保护,并且已在 ISO 27001 报告中证明,则无需进一步调查。 如果没有应用程序控制,认证分析师将需要识别和评估应用程序控制机制的证据,以防止环境中恶意软件引爆。 这将要求你:
演示如何在所有采样系统组件上运行防病毒软件。
演示如何跨所有采样系统组件配置防病毒,以自动阻止恶意软件、隔离 & 警报或发出警报。
必须将防病毒软件配置为记录所有活动。
修补程序管理 - 修补
由于 ISO 27001 审核不会专门评估此类别,因此需要:
漏洞扫描
由于 ISO 27001 审核不会专门评估此类别,因此需要:
演示如何执行季度内部和外部漏洞扫描。
确认已根据风险排名并符合规范,为漏洞修正提供了支持文档,如下所示:
根据内部扫描的风险排名修复所有严重和高风险问题。
根据外部扫描的风险排名修复所有严重、高风险和中等风险问题。
演示修正是按照记录的漏洞修正策略进行的。
防火墙 - 防火墙 (或等效技术)
由于 ISO 27001 审核不会专门评估此类别,因此需要:
演示防火墙安装在作用域内环境的边界上。
演示在外围网络和受信任网络之间安装了防火墙。
演示如何在 DMZ 中终止所有公共访问。
演示在安装到实时环境中之前更改了默认管理凭据。
演示所有允许通过防火墙的流量 () 都经过授权过程,这会生成所有流量的文档以及业务理由。
演示如何将所有防火墙配置为删除未显式定义的流量。
演示防火墙在所有非控制台管理接口上仅支持强加密。
演示向 Internet 公开的防火墙非控制台管理接口支持 MFA。
证明防火墙规则评审至少每 6 个月进行一次
防火墙 – Web 应用程序防火墙 (WAF)
如果部署 WAF 以帮助防范应用程序可能暴露的无数 Web 应用程序威胁和漏洞,则会提供额外的额度。 当存在 WAF 或类似内容时,这需要你:
演示 WAF 是在主动防御模式下配置的,或者通过警报进行更多监视。
演示 WAF 配置为支持 SSL 卸载。
根据 OWASP 核心规则集 (3.0 或 3.1) 进行配置,以防范以下大多数攻击类型:
协议和编码问题。
标头注入、请求走私和响应拆分。
文件和路径遍历攻击。
远程文件包含 (RFI) 攻击。
远程代码执行攻击。
PHP 注入攻击。
跨站点脚本攻击。
SQL 注入攻击。
会话固定攻击。
更改控件
由于 ISO 27001 审核不会专门评估更改请求流程的某些元素,因此需要您:
演示更改请求具有以下详细信息:
记录的影响。
要进行的功能测试的详细信息。
任何回退过程的详细信息。
演示在完成更改后进行功能测试。
演示如何在进行功能测试后注销更改请求。
帐户管理
由于 ISO 27001 审核不会专门评估帐户管理流程的某些要素,因此需要:
演示如何实现 *来缓解重播攻击 (例如 MFA、Kerberos) 。
演示如何禁用或删除 3 个月内未使用的帐户。
*或其他合适的缓解措施必须配置为保护用户凭据。 应使用以下最低密码策略作为准则:
最小密码长度为 8 个字符。
尝试次数不超过 10 次的帐户锁定阈值。
至少五个密码的密码历史记录。
强制使用强密码。
演示如何为所有远程访问解决方案配置 MFA。
演示如何在所有远程访问解决方案上配置强加密。
如果公共 DNS 的管理不在作用域内环境之外,所有能够进行 DNS 修改的用户帐户都必须配置为使用 MFA。
入侵检测和防护 (可选)
由于 ISO 27001 审核不会专门评估入侵检测和防护服务 (IDPS) 流程的某些元素,因此需要:
IDPS 应 部署在支持环境的外围。
IDPS 签名 应 在过去一天内保持最新状态。
应为 TLS 检查配置 IDPS。
应为所有入站和出站流量配置 IDPS。
IDPS 应配置为发出警报。
事件日志记录
由于 ISO 27001 审核不会专门评估安全事件日志记录过程的某些元素,因此需要:
演示面向公众的系统正在将日志记录到不在外围网络内的集中式日志记录解决方案。
演示如何立即提供至少 30 天的日志记录数据,并保留 90 天。
查看 (日志记录数据)
由于 ISO 27001 审核不会专门评估此类别的某些元素,因此需要:
提醒
由于 ISO 27001 审核不会专门评估此类别的某些元素,因此需要:
演示如何将安全事件配置为触发即时会审警报。
演示员工如何全天候响应安全警报。
风险管理
由于 ISO 27001 审核不会专门评估风险评估过程的某些要素,因此需要您:
事件响应
由于 ISO 27001 审核不会专门评估事件响应策略和流程的某些要素,因此需要:
演示事件响应计划/过程包括:
预期威胁模型的特定响应过程。
符合 NIST 网络安全框架的事件处理功能 (识别、保护、检测、响应、恢复) 。
IRP 涵盖范围内的系统。
事件响应团队的年度培训。
如果已获得 PCI DSS 合规性,则至少需要在此Microsoft 365 认证中审查 PCI DSS 未完全涵盖的以下 delta () 差距。
备注
作为 Microsoft 365 认证评估的一部分,认证分析师将确定是否未将任何映射的 PCI DSS 控件作为 PCI DSS 评估的一部分包括在内,并可能决定对发现包含的控件进行采样以提供进一步的保证。 PCI DSS 中缺少的任何要求都需要包含在 Microsoft 365 认证评估活动中。
恶意软件防护 - 应用程序控制
如果恶意软件保护是通过使用防病毒实现的,并且已在 PCI DSS 报告中证明,则无需进一步调查。 如果没有防病毒,认证分析师将需要识别和评估应用程序控制机制的证据,以防止环境中恶意软件引爆。 这将要求你:
演示如何进行应用程序审批,并确认已完成。
演示存在具有业务理由的已批准应用程序的完整列表。
提供或演示支持文档,详细说明了如何配置应用程序控制软件以满足特定的应用程序控制机制, (即允许列表、代码签名等 ) 。
演示在所有抽样系统组件中,应用程序控制已按文档进行配置。
补丁管理 - 风险排名
由于 PCI DSS 审核不会专门评估此类别,因此需要:
漏洞扫描
由于 PCI DSS 审核不会专门评估此类别,因此需要:
防火墙 - 防火墙 (或等效技术)
由于 PCI DSS 审核不会专门评估此类别,因此需要:
演示防火墙在所有非控制台管理接口上仅支持强加密。
演示向 Internet 公开的防火墙非控制台管理接口支持 MFA。
如果部署Web 应用程序防火墙 (WAF) 来帮助防范应用程序可能暴露的无数 Web 应用程序威胁和漏洞,则会提供额外的额度。 当存在 WAF 或类似内容时,这需要你:
演示 WAF 是在主动防御模式下配置的,或者通过警报进行更多监视。
演示 WAF 配置为支持 SSL 卸载。
根据 OWASP 核心规则集 (3.0 或 3.1) 进行配置,以防范以下大多数攻击类型:
协议和编码问题。
标头注入、请求走私和响应拆分。
文件和路径遍历攻击。
远程文件包含 (RFI) 攻击。
远程代码执行攻击。
PHP 注入攻击。
跨站点脚本攻击。
SQL 注入攻击。
会话固定攻击。
更改控件
由于 PCI DSS 审核不会专门评估更改请求过程的某些元素,因此需要你:
演示在生产环境中发出更改请求之前引发的。
在进入生产环境之前,演示更改是经过授权的。
演示在完成更改后进行功能测试。
演示如何在进行功能测试后注销更改请求。
保护软件开发/部署
由于 PCI DSS 审核不会专门访问安全软件开发和部署过程的某些元素;这将要求你:
代码存储库必须由 MFA 保护。
必须实施适当的访问控制,以保护代码存储库免受恶意代码修改的影响。
帐户管理
由于 PCI DSS 审核不会专门评估帐户管理过程的某些元素,因此需要你:
演示如何实现授权机制来缓解重播攻击 (例如 MFA、Kerberos) 。
必须配置强密码策略或其他适当的缓解措施来保护用户凭据。 应使用以下最低密码策略作为准则:
最小密码长度为 8 个字符。
尝试次数不超过 10 次的帐户锁定阈值。
至少五个密码的密码历史记录。
强制使用强密码。
演示如何在所有远程访问解决方案上配置强加密。
如果公共 DNS 的管理不在作用域内环境之外,所有能够进行 DNS 修改的用户帐户都必须配置为使用 MFA。
入侵检测和防护 (可选)
由于 PCI DSS 审核不会专门评估入侵检测和防护服务 (IDPS) 流程的某些元素,因此需要:
应为 TLS 检查配置 IDPS。
应为所有入站和出站流量配置 IDPS。
风险管理
由于 PCI DSS 审核不会专门评估风险评估过程的某些要素,因此需要你:
事件响应
由于 PCI DSS 审核不会专门评估事件响应策略和流程的某些元素,因此开发人员需要:
如果已获得 SOC 2 合规性,则需要在本Microsoft 365 认证中审查以下增量 (差距) 未完全由 SOC 2 涵盖。
备注
作为 Microsoft 365 认证评估的一部分,认证分析师将确定是否有任何映射的 SOC 2 控制措施未包含在 SOC 2 评估中,并可能决定对发现包含的控件进行采样以提供进一步的保证。 SOC 2 评估中缺少的任何要求都需要包含在 Microsoft 365 认证评估活动中。
恶意软件防护 - 应用程序控制
如果恶意软件保护是通过使用防病毒实现的,并且已在 SOC 2 报告中证明,则无需进一步调查。 如果没有防病毒,认证分析师将需要识别和评估应用程序控制机制的证据,以防止环境中恶意软件引爆。 这将要求你:
提供或演示支持文档,详细说明了如何配置应用程序控制软件以满足特定的应用程序控制机制, (即允许列表、代码签名等 ) 。
演示如何进行应用程序审批,并确认已完成。
演示存在具有业务理由的已批准应用程序的完整列表。
演示在所有抽样系统组件中,应用程序控制已按文档进行配置。
修补程序管理 - 修补
由于 SOC 2 审核不会专门评估此类别,因此需要:
必须在正常修补活动时段内修补任何低、中、高或严重问题。
不得在环境中使用供应商不再支持的软件组件和作系统。 必须制定支持策略,以确保从环境中删除不受支持的软件组件/作系统,并且必须制定确定软件组件生命周期结束时间的过程。
防火墙 - 防火墙
由于 SOC 2 审核不会专门评估防火墙访问控制列表的更改控制,因此需要你:
演示所有允许的流量通过防火墙 () 都经过授权过程,该过程会生成所有流量的文档以及业务理由。
演示防火墙规则评审至少每六个月进行一次。
如果部署了Web 应用程序防火墙 (WAF) 或类似项来帮助防范应用程序可能暴露的无数 Web 应用程序威胁和漏洞,则会提供额外的额度。 当存在 WAF 或类似内容时,这需要你:
演示 WAF 是在主动防御模式下配置的,或者通过警报进行更多监视。
演示 WAF 配置为支持 SSL 卸载。
根据 OWASP 核心规则集 ( (3.0 或 3.1) 进行配置,以防范大多数以下攻击类型:
协议和编码问题。
标头注入、请求走私和响应拆分。
文件和路径遍历攻击。
远程文件包含 (RFI) 攻击。
远程代码执行攻击。
PHP 注入攻击。
跨站点脚本攻击。
SQL 注入攻击。
会话固定攻击。
更改控件
由于 SOC 2 审核不会专门评估更改请求流程的某些元素,因此开发人员需要:
演示开发/测试环境如何与强制分离职责的生产环境分开。
演示如何在开发/测试环境中不使用实时数据。
演示在完成更改后进行功能测试。
演示如何在进行功能测试后注销更改请求。
保护软件开发/部署
由于 SOC 2 审核不会专门访问安全软件开发和部署过程的某些元素;这将要求你:
必须具有涵盖整个软件开发生命周期的已建立和记录的软件开发流程。
开发人员必须至少每年接受一次安全软件编码培训。
代码存储库必须由 MFA 保护。
必须实施适当的访问控制,以保护代码存储库免受恶意代码修改的影响。
帐户管理
由于 SOC2 审核不会专门评估帐户管理过程的某些元素,因此需要你:
演示如何实现授权机制来缓解重播攻击 (例如 MFA、Kerberos) 。
演示如何禁用或删除 3 个月内未使用的帐户。
必须配置强密码策略或其他适当的缓解措施来保护用户凭据。 应使用以下最低密码策略作为准则:
最小密码长度为 8 个字符。
尝试次数不超过 10 次的帐户锁定阈值。
密码历史记录至少包含 5 个密码。
强制使用强密码
演示向所有用户颁发唯一用户帐户。
如果公共 DNS 的管理不在作用域内环境之外,所有能够进行 DNS 修改的用户帐户都必须配置为使用 MFA。
入侵检测和防护 (可选) 。
由于 SOC 2 审核不会专门评估入侵检测和防护服务 (IDPS) 流程的某些元素,因此需要:
IDPS 签名应在过去一天内保持最新状态
应为 TLS 检查配置 IDPS
应为所有入站和出站流量配置 IDPS
事件日志记录
由于 SOC 2 审核不会专门评估安全事件日志记录过程的某些元素,因此需要:
演示如何在示例集中的所有系统组件上将以下系统配置为记录以下事件
用户对系统组件和应用程序的访问权限 () 。
高特权用户执行的所有作。
无效的逻辑访问尝试。
演示记录的事件包含;至少需要以下信息:
用户。
事件类型。
日期和时间。
成功/失败指示器。
用于标识受影响的系统的标签。
演示示例集中的所有系统组件都配置为利用时间同步,并且这些组件与主/辅助时间服务器相同。
演示面向公众的系统正在将日志记录到不在外围网络内的集中式日志记录解决方案。
演示面向公众的系统正在将日志记录到不在外围网络内的集中式日志记录解决方案。
演示如何保护集中式日志记录解决方案免受未经授权的日志记录数据篡改。
演示如何立即提供至少 30 天的日志记录数据,并保留 90 天或更长的时间。
风险管理
由于 SOC2 审核不会专门评估风险评估过程的某些要素,因此需要你:
事件响应。
由于 SOC2 审核不会专门评估事件响应策略和流程的某些元素,因此需要你:
演示事件响应计划/过程包括:
预期威胁模型的特定响应过程。
记录通信流程,确保及时通知主要利益干系人 (支付品牌/收购方、监管机构、监管机构、董事、客户等。
Microsoft确认你将部署应用程序并将应用/外接程序代码存储在不同的托管环境中。 Microsoft 365 认证中某些安全控制的总体责任将取决于所使用的托管环境。 附录 F 查看常见部署类型,并将其与评估过程中评估的安全控制相映射。 已确定以下托管部署类型:
| 托管类型 | 说明 |
|---|---|
| ISV 托管 | ISV 托管类型可以定义为你负责用于支持应用/外接程序环境的基础结构的位置。 这可以在物理上位于你自己的数据中心或具有共同定位服务的第三方数据中心内。 最终,你拥有对支持基础结构和作环境的完全所有权和管理控制权。 |
| 基础结构即服务 (IaaS) (https://azure.microsoft.com/overview/what-is-iaas/) | 基础结构即服务是一项服务,其中物理支持基础结构由云服务提供商 (CSP) 代表他们进行管理和维护。 通常,网络、存储、物理服务器和虚拟化基础结构都是 CSP 的责任。 作系统、中间件、运行时、数据和应用程序由你负责。 防火墙功能也将由第三方管理和维护,但维护防火墙规则库通常仍是使用者的责任。 |
| 平台即服务/无服务器 (PaaS) (https://azure.microsoft.com/overview/what-is-paas/) | 使用“平台即服务”,你将使用托管平台进行预配,该平台提供可使用的服务。 无需执行 sysadmin 函数,因为作系统和支持基础结构由 CSP 管理。 当组织不想关心提供 Web 服务,而是可以专注于创建 Web 应用程序源代码并在云托管的 Web 服务上发布 Web 应用程序时,通常会使用此方法。另一个示例可能是数据库服务,其中为数据库提供了连接,但支持基础结构和数据库应用程序是从使用者抽象出来的。注意:无服务器和 PaaS 相似,因此出于Microsoft 365 认证托管部署类型的无服务器和 PasS 被视为相同 |
| 混合托管 | 使用混合托管类型,可以利用多个托管类型来支持支持环境的各个部分。 跨多个Microsoft 365 堆栈使用应用/加载项的情况可能更多。 尽管 Microsoft 365 认证将支持开发跨多个 Microsoft 365 服务的应用/加载项,但需要根据每个适用的“托管类型映射”评估跨应用/外接程序) 支持环境的完整 (。 有时,你可能会对单个外接程序使用不同的托管类型,在这种情况下,条件的适用性仍需要遵循各种托管类型的“托管类型映射”条件。 |
| 共享托管 | 共享托管是在多个单独使用者共享的平台内托管环境的位置。 由于采用云,Microsoft 365 认证规范并未对此进行说明,共享托管并不常见。 如果你认为正在使用此功能,请联系 Microsoft,因为需要创建其他要求,以考虑此类型的托管类型下的其他风险。 |
*颁发机构信息访问是用于查找证书颁发机构证书的服务位置描述符。
*证书吊销列表提供了一种安全套接字层 (SSL) 终结点的方法,用于验证从远程主机收到的证书是否有效且可信。
*常见漏洞评分系统是一个已发布的标准,用于测量漏洞并根据其严重性计算数值分数。
*非军事区域是物理或逻辑中间网络,它直接与外部网络或非专有网络交互,同时使主机的内部专用网络保持独立和隔离。
联邦风险和授权管理计划 (FedRAMP) 是美国联邦政府范围的计划,成立于 2011 年。 它为云产品和服务提供安全评估、授权和持续监视的标准化方法。
最终用户身份信息。
*一般数据保护条例是欧盟 (欧盟) 隐私和数据保护条例,适用于所有欧盟公民的数据,无论你的应用程序站点位于何处。
*HTTP 严格传输安全性利用 HTTP 响应标头,指示 Web 浏览器仅通过 HTTPS 访问内容。这旨在防止降级攻击和 Cookie 劫持。
*国际伊法委员会。
*信息安全管理系统。
独立安全供应商是开发、营销和销售在第三方软件和硬件平台上运行的软件的个人和组织。
用于组织风险管理策略和过程流程中所有技术控制的信息安全管理系统规范框架。
本地文件包含 允许攻击者通过 Web 浏览器在服务器上包含文件。
美国国家 标准协会 (NIST) ,美国商务部的非监管机构,为美国私营部门组织提供了评估和批准其预防、检测和应对网络攻击的能力的指导。
联机证书状态协议用于检查 X.509 数字证书的吊销状态。
组织身份信息。
打开 Web 应用程序安全项目。
支付卡行业数据安全Standard,这是一个维护全球持卡人数据安全标准的组织。
渗透测试 是通过模拟恶意攻击来查找攻击者可能利用的安全漏洞来测试 Web 应用的方法。
安全断言标记语言 是一种开放标准,用于在用户、标识提供者和服务提供商之间交换身份验证和授权数据。
服务组织控制 2,一个由五个信任服务原则组成的技术审核过程,可确保服务提供商安全地管理组织客户端的数据和隐私。
安全套接字层。
传输层安全性。
文档
Microsoft 365 认证框架概述 - Microsoft 365 App Certification
Microsoft 365 认证为企业组织提供了数据和隐私得到充分保护的保证和信心。
Microsoft 365 应用合规性计划概述 - Microsoft 365 App Certification
计划简介和概述
Microsoft 365 认证示例证据指南概述 - Microsoft 365 App Certification
完成Microsoft 365 认证的示例证据、指南和说明
培训
认证
Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications
演示保护 Microsoft 365 部署的数据安全、生命周期管理、信息安全和合规性基础知识。