所有网络流量(无论是虚拟网络、云服务还是数据中心内)都必须至少使用 TLS v1.1 (TLS v1.2+ 进行保护) 或其他适用协议。 此要求的例外情况如下:
HTTP 到 HTTPS 重定向 。 应用可以通过 HTTP 做出响应,以将客户端重定向到 HTTPS,但响应不得包含任何敏感数据 (Cookie、标头、内容) 。 除了重定向到 HTTPS 和响应运行状况探测之外,不允许进行其他 HTTP 响应。 请参阅下文。
运行状况探测 。
仅当 检查方不支持 HTTPS 运行状况探测时,应用才能通过 HTTP 响应运行状况探测。
证书访问 。 允许通过 HTTP 访问 CRL、OCSP 和 AIA 终结点,以便进行证书验证和吊销检查。
本地通信 。 你的应用可以使用 HTTP (或其他非受保护的协议) 进行不会离开作系统的通信,例如连接到 localhost 上公开的 Web 服务器终结点。
必须 禁用 TLS 压缩。
仅允许使用加密基元和参数,如下所示:
加密
哈希函数
消息身份验证
加密
允许 RSA。 密钥 必须 至少为 2048 位,并且必须使用 OAEP 填充。 仅出于兼容性原因,才允许使用 PKCS 填充。
签名
允许 RSA。 密钥 必须 至少为 2048 位,并且必须使用 PSS 填充。 仅出于兼容性原因,才允许使用 PKCS 填充。
*允许 ECDSA。 密钥 必须 至少为 256 位。 必须使用 NIST P-256、P-384 或 P-521 曲线。
密钥交换
如果您已获得ISO27001合规性,则至少需要在此Microsoft 365 认证中审查以下增量 (差距,) ISO 27001 未完全涵盖。
备注
作为Microsoft 365 认证评估的一部分,认证分析师将确定是否未将任何映射的 ISO 27001 控制措施作为 ISO 27001 评估的一部分包括在内,并可能决定对发现包含的控件进行采样以提供进一步的保证。 ISO 27001 中缺少的任何要求都需要包含在 Microsoft 365 认证评估活动中。
恶意软件防护 - 防病毒
如果使用应用程序控制进行了恶意软件保护,并且已在 ISO 27001 报告中证明,则无需进一步调查。 如果没有应用程序控制,认证分析师将需要识别和评估应用程序控制机制的证据,以防止环境中恶意软件引爆。 这将要求你:
修补程序管理 - 修补
由于 ISO 27001 审核不会专门评估此类别,因此需要:
不得在环境中 使用供应商不再 支持的软件组件和作系统。 支持策略必须到位,以确保不受支持的软件组件/作系统将从环境中删除,并且必须建立一个确定软件组件何时结束生命周期的过程
漏洞扫描
由于 ISO 27001 审核不会专门评估此类别,因此需要:
防火墙 - 防火墙 (或等效技术)
由于 ISO 27001 审核不会专门评估此类别,因此需要:
防火墙 – Web 应用程序防火墙 (WAF)
如果部署 WAF 以帮助防范应用程序可能暴露的无数 Web 应用程序威胁和漏洞,则会提供额外的额度。 当存在 WAF 或类似内容时,这需要你:
更改控件
由于 ISO 27001 审核不会专门评估更改请求流程的某些元素,因此需要您:
演示更改请求具有以下详细信息:
记录的影响。
要进行的功能测试的详细信息。
任何回退过程的详细信息。
演示在完成更改后进行功能测试。
演示如何在进行功能测试后注销更改请求。
帐户管理
由于 ISO 27001 审核不会专门评估帐户管理流程的某些要素,因此需要:
演示如何实现 *来缓解重播攻击 (例如 MFA、Kerberos) 。
演示如何禁用或删除 3 个月内未使用的帐户。
*或其他合适的缓解措施必须配置为保护用户凭据。 应使用以下最低密码策略作为准则:
最小密码长度为 8 个字符。
尝试次数不超过 10 次的帐户锁定阈值。
至少五个密码的密码历史记录。
强制使用强密码。
演示如何为所有远程访问解决方案配置 MFA。
演示如何在所有远程访问解决方案上配置强加密。
如果公共 DNS 的管理不在作用域内环境之外,所有能够进行 DNS 修改的用户帐户都必须配置为使用 MFA。
入侵检测和防护 (可选)
由于 ISO 27001 审核不会专门评估入侵检测和防护服务 (IDPS) 流程的某些元素,因此需要:
IDPS 应 部署在支持环境的外围。
IDPS 签名 应 在过去一天内保持最新状态。
应 为 TLS 检查配置 IDPS。
应 为所有入站和出站流量配置 IDPS。
IDPS 应 配置为发出警报。
事件日志记录
由于 ISO 27001 审核不会专门评估安全事件日志记录过程的某些元素,因此需要:
查看 (日志记录数据)
由于 ISO 27001 审核不会专门评估此类别的某些元素,因此需要:
演示如何进行每日日志评审以及如何识别异常和异常,并演示如何处理这些异常。
提醒
由于 ISO 27001 审核不会专门评估此类别的某些元素,因此需要:
演示如何将安全事件配置为触发即时会审警报。
演示员工如何全天候响应安全警报。
风险管理
由于 ISO 27001 审核不会专门评估风险评估过程的某些要素,因此需要您:
事件响应
由于 ISO 27001 审核不会专门评估事件响应策略和流程的某些要素,因此需要:
如果已获得 PCI DSS 合规性,则至少需要在此Microsoft 365 认证中审查 PCI DSS 未完全涵盖的以下 delta () 差距。
备注
作为 Microsoft 365 认证评估的一部分,认证分析师将确定是否未将任何映射的 PCI DSS 控件作为 PCI DSS 评估的一部分包括在内,并可能决定对发现包含的控件进行采样以提供进一步的保证。 PCI DSS 中缺少的任何要求都需要包含在 Microsoft 365 认证评估活动中。
恶意软件防护 - 应用程序控制
如果恶意软件保护是通过使用防病毒实现的,并且已在 PCI DSS 报告中证明,则无需进一步调查。 如果没有防病毒,认证分析师将需要识别和评估应用程序控制机制的证据,以防止环境中恶意软件引爆。 这将要求你:
补丁管理 - 风险排名
由于 PCI DSS 审核不会专门评估此类别,因此需要:
漏洞扫描
由于 PCI DSS 审核不会专门评估此类别,因此需要:
防火墙 - 防火墙 (或等效技术)
由于 PCI DSS 审核不会专门评估此类别,因此需要:
如果部署Web 应用程序防火墙 (WAF) 来帮助防范应用程序可能暴露的无数 Web 应用程序威胁和漏洞,则会提供额外的额度。 当存在 WAF 或类似内容时,这需要你:
更改控件
由于 PCI DSS 审核不会专门评估更改请求过程的某些元素,因此需要你:
演示在生产环境中发出更改请求之前引发的。
在进入生产环境之前,演示更改是经过授权的。
演示在完成更改后进行功能测试。
演示如何在进行功能测试后注销更改请求。
保护软件开发/部署
由于 PCI DSS 审核不会专门访问安全软件开发和部署过程的某些元素;这将要求你:
帐户管理
由于 PCI DSS 审核不会专门评估帐户管理过程的某些元素,因此需要你:
演示如何实现授权机制来缓解重播攻击 (例如 MFA、Kerberos) 。
必须配置强密码策略或其他适当的缓解措施来保护用户凭据。 应使用以下最低密码策略作为准则:
最小密码长度为 8 个字符。
尝试次数不超过 10 次的帐户锁定阈值。
至少五个密码的密码历史记录。
强制使用强密码。
演示如何在所有远程访问解决方案上配置强加密。
如果公共 DNS 的管理不在作用域内环境之外,所有能够进行 DNS 修改的用户帐户都必须配置为使用 MFA。
入侵检测和防护 (可选)
由于 PCI DSS 审核不会专门评估入侵检测和防护服务 (IDPS) 流程的某些元素,因此需要:
应为 TLS 检查配置 IDPS。
应为所有入站和出站流量配置 IDPS。
风险管理
由于 PCI DSS 审核不会专门评估风险评估过程的某些要素,因此需要你:
事件响应
由于 PCI DSS 审核不会专门评估事件响应策略和流程的某些元素,因此开发人员需要:
演示符合 NIST 网络安全框架 (识别、保护、检测、响应、恢复) 的事件处理功能。
如果已获得 SOC 2 合规性,则需要在本Microsoft 365 认证中审查以下增量 (差距) 未完全由 SOC 2 涵盖。
备注
作为 Microsoft 365 认证评估的一部分,认证分析师将确定是否有任何映射的 SOC 2 控制措施未包含在 SOC 2 评估中,并可能决定对发现包含的控件进行采样以提供进一步的保证。 SOC 2 评估中缺少的任何要求都需要包含在 Microsoft 365 认证评估活动中。
恶意软件防护 - 应用程序控制
如果恶意软件保护是通过使用防病毒实现的,并且已在 SOC 2 报告中证明,则无需进一步调查。 如果没有防病毒,认证分析师将需要识别和评估应用程序控制机制的证据,以防止环境中恶意软件引爆。 这将要求你:
修补程序管理 - 修补
由于 SOC 2 审核不会专门评估此类别,因此需要:
防火墙 - 防火墙
由于 SOC 2 审核不会专门评估防火墙访问控制列表的更改控制,因此需要你:
如果部署了Web 应用程序防火墙 (WAF) 或类似项来帮助防范应用程序可能暴露的无数 Web 应用程序威胁和漏洞,则会提供额外的额度。 当存在 WAF 或类似内容时,这需要你:
更改控件
由于 SOC 2 审核不会专门评估更改请求流程的某些元素,因此开发人员需要:
保护软件开发/部署
由于 SOC 2 审核不会专门访问安全软件开发和部署过程的某些元素;这将要求你:
帐户管理
由于 SOC2 审核不会专门评估帐户管理过程的某些元素,因此需要你:
演示如何实现授权机制来缓解重播攻击 (例如 MFA、Kerberos) 。
演示如何禁用或删除 3 个月内未使用的帐户。
必须配置强密码策略或其他适当的缓解措施来保护用户凭据。 应使用以下最低密码策略作为准则:
最小密码长度为 8 个字符。
尝试次数不超过 10 次的帐户锁定阈值。
密码历史记录至少包含 5 个密码。
强制使用强密码
演示向所有用户颁发唯一用户帐户。
如果公共 DNS 的管理不在作用域内环境之外,所有能够进行 DNS 修改的用户帐户都必须配置为使用 MFA。
入侵检测和防护 (可选) 。
由于 SOC 2 审核不会专门评估入侵检测和防护服务 (IDPS) 流程的某些元素,因此需要:
IDPS 签名应在过去一天内保持最新状态
应为 TLS 检查配置 IDPS
应为所有入站和出站流量配置 IDPS
事件日志记录
由于 SOC 2 审核不会专门评估安全事件日志记录过程的某些元素,因此需要:
演示记录的事件包含;至少需要以下信息:
用户。
事件类型。
日期和时间。
成功/失败指示器。
用于标识受影响的系统的标签。
演示示例集中的所有系统组件都配置为利用时间同步,并且这些组件与主/辅助时间服务器相同。
演示面向公众的系统正在将日志记录到不在外围网络内的集中式日志记录解决方案。
演示面向公众的系统正在将日志记录到不在外围网络内的集中式日志记录解决方案。
演示如何保护集中式日志记录解决方案免受未经授权的日志记录数据篡改。
演示如何立即提供至少 30 天的日志记录数据,并保留 90 天或更长的时间。
风险管理
由于 SOC2 审核不会专门评估风险评估过程的某些要素,因此需要你:
事件响应。
由于 SOC2 审核不会专门评估事件响应策略和流程的某些元素,因此需要你:
Microsoft确认你将部署应用程序并将应用/外接程序代码存储在不同的托管环境中。 Microsoft 365 认证中某些安全控制的总体责任将取决于所使用的托管环境。 附录 F 查看常见部署类型,并将其与评估过程中评估的安全控制相映射。 已确定以下托管部署类型:
展开表
托管类型
说明
ISV 托管
ISV 托管类型可以定义为你负责用于支持应用/外接程序环境的基础结构的位置。 这可以在物理上位于你自己的数据中心或具有共同定位服务的第三方数据中心内。 最终,你拥有对支持基础结构和作环境的完全所有权和管理控制权。
基础结构即服务 (IaaS) (https://azure.microsoft.com/overview/what-is-iaas/ )
基础结构即服务是一项服务,其中物理支持基础结构由云服务提供商 (CSP) 代表他们进行管理和维护。 通常,网络、存储、物理服务器和虚拟化基础结构都是 CSP 的责任。 作系统、中间件、运行时、数据和应用程序由你负责。 防火墙功能也将由第三方管理和维护,但维护防火墙规则库通常仍是使用者的责任。
平台即服务/无服务器 (PaaS) (https://azure.microsoft.com/overview/what-is-paas/ )
使用“平台即服务”,你将使用托管平台进行预配,该平台提供可使用的服务。 无需执行 sysadmin 函数,因为作系统和支持基础结构由 CSP 管理。 当组织不想关心提供 Web 服务,而是可以专注于创建 Web 应用程序源代码并在云托管的 Web 服务上发布 Web 应用程序时,通常会使用此方法。另一个示例可能是数据库服务,其中为数据库提供了连接,但支持基础结构和数据库应用程序是从使用者抽象出来的。注意:无服务器和 PaaS 相似,因此出于Microsoft 365 认证托管部署类型的无服务器和 PasS 被视为相同
混合托管
使用混合托管类型,可以利用多个托管类型来支持支持环境的各个部分。 跨多个Microsoft 365 堆栈使用应用/加载项的情况可能更多。 尽管 Microsoft 365 认证将支持开发跨多个 Microsoft 365 服务的应用/加载项,但需要根据每个适用的“托管类型映射”评估跨应用/外接程序) 支持环境的完整 (。 有时,你可能会对单个外接程序使用不同的托管类型,在这种情况下,条件的适用性仍需要遵循各种托管类型的“托管类型映射”条件。
共享托管
共享托管是在多个单独使用者共享的平台内托管环境的位置。 由于采用云,Microsoft 365 认证规范并未对此进行说明,共享托管并不常见。 如果你认为正在使用此功能,请联系 Microsoft,因为需要创建其他要求,以考虑此类型的托管类型下的其他风险。
*颁发机构信息访问是用于查找证书颁发机构证书的服务位置描述符。
*证书吊销列表提供了一种安全套接字层 (SSL) 终结点的方法,用于验证从远程主机收到的证书是否有效且可信。
*常见漏洞评分系统是一个已发布的标准,用于测量漏洞并根据其严重性计算数值分数。
关键 (9.0 - 10.0)
高 (7.0 - 8.9)
中等 (4.0 - 6.9)
低 (0.0 - 3.9)
*非军事区域是物理或逻辑中间网络,它直接与外部网络或非专有网络交互,同时使主机的内部专用网络保持独立和隔离。
联邦风险和授权管理计划 (FedRAMP) 是美国联邦政府范围的计划,成立于 2011 年。 它为云产品和服务提供安全评估、授权和持续监视的标准化方法。
最终用户身份信息 。
*一般数据保护条例是欧盟 (欧盟) 隐私和数据保护条例,适用于所有欧盟公民的数据,无论你的应用程序站点位于何处。
*HTTP 严格传输安全性利用 HTTP 响应标头,指示 Web 浏览器仅通过 HTTPS 访问内容。这旨在防止降级攻击和 Cookie 劫持。
*国际伊法委员会。
*信息安全管理系统。
独立安全供应商是开发、营销和销售在第三方软件和硬件平台上运行的软件的个人和组织。
用于组织风险管理策略和过程流程中所有技术控制的信息安全管理系统规范框架。
本地文件包含 允许攻击者通过 Web 浏览器在服务器上包含文件。
美国国家 标准协会 (NIST) ,美国商务部的非监管机构,为美国私营部门组织提供了评估和批准其预防、检测和应对网络攻击的能力的指导。
次要 Bug 修复。
轻微的性能改进。
作系统/库/客户端和服务器应用程序修补程序。
联机证书状态协议 用于检查 X.509 数字证书的吊销状态。
组织身份信息 。
打开 Web 应用程序安全项目 。
支付卡行业数据安全Standard ,这是一个维护全球持卡人数据安全标准的组织。
渗透测试 是通过模拟恶意攻击来查找攻击者可能利用的安全漏洞来测试 Web 应用的方法。
安全断言标记语言 是一种开放标准,用于在用户、标识提供者和服务提供商之间交换身份验证和授权数据。
访问控制数据。
客户内容。
最终用户标识信息。
支持数据。
公共个人数据。
最终用户假名信息。
重新定位托管环境。
对支持基础结构进行重大升级;例如,新防火墙的实现、主要升级到面向前端的服务等。
向应用添加功能和 /或扩展。
汇报捕获其他敏感数据的应用。
对应用的数据流或授权模型的更改
添加 API 终结点或 API 终结点函数。
服务组织控制 2 ,一个由五个信任服务原则组成的技术审核过程,可确保服务提供商安全地管理组织客户端的数据和隐私。
安全套接字层 。
传输层安全性 。