Microsoft 365 认证提交指南
本文内容:
- 简介
- 先决条件
- Microsoft 365 认证规范汇报
- 认证范围
- 认证过程
- 初始文档提交
- 证据收集和评估活动
- 认证条件
- Application Security
- 操作安全性
- 数据处理安全和隐私
- 可选的外部合规性框架评审
- 附录 A
- 附录 B
- 附录 C
- 附录 D
- 附录 E
- 附录 F
- 附录 G
- 了解更多
- 术语表
简介
Microsoft 365 认证是 Microsoft 365 应用合规性计划的一部分,它向企业组织提供保证和信心,即在将第三方开发人员应用/加载项集成到 Microsoft 365 平台时,数据和隐私得到充分保护。 通过验证的应用程序和加载项将在整个 Microsoft 365 生态系统中被指定为 Microsoft 365 认证。
参加 Microsoft 365 认证计划即表示你同意这些补充条款,并遵守与 Microsoft Corporation (“Microsoft”、“我们”、“我们”或“我们的”) 参与 Microsoft 365 认证计划时适用的任何随附文档。 你向我们声明并保证你有权代表自己、公司和/或其他实体接受这些 Microsoft 365 认证补充条款(如果适用)。 我们可能随时更改、修改或终止这些补充条款。 任何更改或修订后,你继续参与 Microsoft 365 认证计划意味着你同意新的补充条款。 如果你不同意新的补充条款或我们终止这些补充条款,你必须停止参与 Microsoft 365 认证计划。
本文档针对 ISV (独立软件供应商) 提供有关 Microsoft 365 认证流程的信息、启动该过程的先决条件以及 ISV 必须实施的特定安全控制的详细信息。Microsoft 365 应用合规性计划的常规信息可在 Microsoft 365 应用合规性计划 页下找到。
重要
目前,Microsoft 365 认证适用于所有:
- Microsoft Teams 应用程序 (选项卡、机器人等 ) 。
- Sharepoint Apps/外接程序
- Office 加载项 (Word、Excel、PowerPoint、Outlook、Project、OneNote)
- WebApps
先决条件
发布者证明
在获得 Microsoft 365 认证流程之前,必须已完成发布者证明。 但是,可以在完成发布者证明之前启动 Microsoft 365 认证过程。
阅读 Microsoft 365 认证规范
Microsoft 建议所有 ISV (独立软件供应商) 完整阅读此 Microsoft 365 认证规范,以确保范围内环境和应用/外接程序满足所有适用的控制。 这将有助于确保评估过程顺利进行。
Microsoft 365 认证规范汇报
Microsoft 365 认证规范汇报大约每 6 到 12 个月一次。 这些更新可能会引入新的目标安全域和/或安全控制。 汇报将基于开发人员反馈、威胁形势的更改,并在计划成熟时增加其安全基线。
已启动 Microsoft 365 认证评估的 ISV 可以使用评估开始时有效的 Microsoft 365 认证规范版本继续评估。 所有新提交(包括年度重新认证)都需要根据发布的版本进行评估。
注意
无需遵守此 Microsoft 365 认证规范中的所有控制措施即可获得认证。 但是,对于本 Microsoft 365 认证规范中讨论的每个安全域,) 不会披露的阈值 (已到位。 某些控件将归类为“硬故障”,这意味着缺少这些安全控制将导致评估失败。
认证范围
范围内环境是支持应用/外接程序代码传递并支持应用/外接程序可能与之通信的任何后端系统的环境。 任何其他连接到环境也将包含在范围内,除非已建立足够的分段,并且连接到环境不会影响范围内环境的安全性。 任何灾难恢复环境也需要包含在评估范围内,因为如果主要环境发生任何事件,则需要这些环境来实现服务。术语 “作用域内系统组件” 引用在范围内环境中使用 的所有 设备和系统。 范围内组件包括但不限于:
- Web 应用程序 () 。
- 服务器。
- 防火墙 (或等效) 。
- 开关。
- 负载均衡器。
- 虚拟基础结构。
- 云提供商 Web 管理门户
重要
范围内环境必须具有外围网络,并且应用/外接程序的支持环境必须与内部业务系统和公司环境进行分段,因此评估活动的范围仅限于范围内系统。 认证分析师将在评估期间验证分段技术,同时审查渗透测试报告,其中应包括测试,以验证正在使用的任何分段技术的有效性。
基础结构即服务 (IaaS) 、平台即服务 (PaaS) 和软件即服务 (SaaS)
如果 IaaS 和/或 PaaS 用于支持所审查的应用程序或外接程序代码交付的基础结构,则云平台提供商将负责整个认证过程中评估的某些安全控制措施。 因此,云平台提供商需要通过外部合规性报告(如 [PCI DSS] 合规性证明 (AOC) 、ISO27001 或 [SOC 2] 类型 II 报告)向认证分析师提供安全最佳做法的独立外部验证。
附录 F 提供了根据以下部署类型和应用/外接程序是否外泄 Microsoft 365 数据而可能适用的安全控制的详细信息:
- ISV 托管
- IaaS 托管
- PaaS/无服务器托管
- 混合托管
- 共享托管
部署 IaaS 或 PaaS 时,需要提供这些部署类型中托管的环境的证据。
采样
支持认证评估的证据请求应基于范围内系统组件的示例,以考虑不同的操作系统、设备的主要功能和不同的设备类型。 将在认证过程开始时选择适当的示例。 下表应用作样本大小的指南:
| 总体大小 | 示例 |
|---|---|
| <5 | 1 |
| >5 & <10 | 2 |
| >9 & <25 | 3 |
| >24 | 4 |
注意
如果初始样本中包含的设备之间存在差异,则评估期间可能会增加样本大小。
认证过程
在开始认证过程之前,需要成功完成发布者证明。 完成后,Microsoft 365 认证过程将按如下所示进行:
准备
- 导航到合作伙伴中心并查看已完成 的发布者证明 文档。 如有必要,可以编辑和更新响应;但是,如果这样做,则需要重新提交证明文档以供审批。 如果你的提交时间超过三个月,我们将要求你重新提交发布者证明以供审阅和验证。
- 仔细阅读 Microsoft 365 认证提交指南 ,了解你的要求。 确保你能够满足 Microsoft 365 认证提交指南中指定的 控制要求 。
- 在合作伙伴中心内,选择“开始认证”。 这会转到初始文档提交门户。 提交 初始文档提交。 这将帮助我们根据应用架构和处理客户数据的方式来确定评估的范围。 请经常查看此页面,查看是否已接受提交。
注意
对于所有 Office 应用,可以参考我们的 Office 应用用户指南。 对于所有 Web 应用,可以参考我们的 SaaS 应用用户指南。
评估
- 接受初始文档提交后,应用所需的安全控制集将自动显示在门户中。 然后,需要为每个控件提交证据,证明控件已到位。 请记住,你将获得 60 天 的时间提交所有证据。 分析师将审查你的证据,并批准控制或请求新的或额外的证据。 请经常查看此页面,查看证据是否已接受。
认证
- 你的提交经分析师验证后,你将收到认证决定的通知。 获得认证的应用将在 AppSource 和 Microsoft 文档 页中的应用程序上收到徽章。 可 在此处阅读有关认证的全部好处。
查看和重新认证
如果应用程序随时发生 重大更改 ,则需要通知我们。
你还需要每年完成重新认证。 这需要针对当前环境重新验证范围内控件。 此过程最多可以在认证到期前 90 天开始。 现有认证在重新认证期间不会过期。 所有计划的重新认证将在 Microsoft 365 认证一周年之际到期。
如果你的认证未在到期日期之前续订,你的应用认证状态将被撤销。 所有标记、图标和关联的认证品牌都将从你的应用中删除,并且你将被禁止将你的应用广告宣传为 Microsoft 365 认证。
重要
提交时间范围:预计评估过程平均需要 30 天,前提是您能够经常检查提交状态,并及时响应评论和补充证据请求。 开始认证过程后,最多允许 60 天完成评估。 如果所有提交均未在 60 天时间段内完成,提交将发出失败,并且必须重新开始该过程。 这些结果不会公开。
初始文档提交
初始文档提交将帮助认证分析师确定范围并确定评估范围。 之后,需要提交用于执行评估的支持文档和证据。 初始提交必须包含以下指定信息。 有关其他指南,请参阅 初始文档提交指南。
| 文档概述 | 文档详细信息 |
|---|---|
| 应用/外接程序说明 | 应用/外接程序的用途和功能的说明。 这应该让认证分析师很好地了解应用/外接程序的功能及其用途 |
| 渗透测试报告 | 在过去 12 个月内完成的渗透测试报告。 此报表必须包含支持应用/添加部署的环境,以及支持应用/外接程序操作的任何其他环境。 注意: 如果不执行年度渗透测试,可以选择通过认证过程完成这些测试。 |
| 体系结构关系图 | 一个逻辑体系结构关系图,表示应用/外接程序支持基础结构的高级概述。 这必须包括 所有 托管环境和支持应用/外接程序的支持基础结构。 此图必须描述环境中所有不同的支持系统组件,以帮助认证分析师了解范围内的系统,并帮助确定采样。 还请指明所使用的托管环境类型;ISV 托管、IaaS、PaaS 或混合。 注意: 如果使用 SaaS,请指出用于在环境中提供支持服务的各种 SaaS 服务。 |
| 公共足迹 | 详细说明支持基础结构使用 的所有 公共 IP 地址和 URL。 这必须包括分配给环境的完整可路由 IP 范围,除非已实现足够的分段来拆分正在使用的范围 (需要足够的分段证据) |
| 数据流图 | 详细描述以下内容的流程图: |
| • Microsoft 365 数据流入和流出应用/外接程序 (,包括 EUII 和 OII ) 。 | |
| • Microsoft 365 数据流在支持基础结构 ((如果适用)) | |
| • 关系图,其中突出显示了数据存储的位置和存储内容、将数据传递给外部第三方的方式 (包括哪些第三方) 的详细信息,以及如何通过开放/公共网络和静态网络保护传输中的数据。 | |
| API 终结点详细信息 | 应用使用的所有 API 终结点的完整列表。 若要帮助了解环境范围,请在环境中提供 API 终结点位置。 |
| Microsoft API 权限 | 提供文档,详细说明使用 的所有 Microsoft API 以及请求的应用/外接程序运行权限以及请求的权限的理由 |
| 数据存储类型 | 数据存储和处理描述: |
| • 接收和存储客户 Microsoft 365 数据 EUII 和 OII 的程度 | |
| ✓ 数据保留期。 | |
| • 为何要捕获客户 Microsoft 365 数据。 | |
| • 存储客户 Microsoft 365 数据的位置 (应包含在上面) 提供的数据流图中。 | |
| 符合性确认 | 发布者证明提交中包含的外部安全框架的支持文档,或在查看 Microsoft 365 认证控制措施时要考虑的文档。 目前支持以下三项: |
| • PCI DSS 符合性证明 (AOC) 。 | |
| • SOC 2 类型 I/类型 II 报告。 | |
| • ISMS / IEC - 1S0/IEC 27001 (SoA) 和认证适用性声明。 | |
| Web 依赖项 | 文档列出了应用/外接程序与当前正在运行的版本使用的所有依赖项。 |
| 软件清单 | 最新的软件清单,包括范围内环境中使用的所有软件以及版本。 |
| 硬件清单 | 支持基础结构使用的最新硬件清单。 这将用于在执行评估阶段时帮助采样。 如果环境包含 PaaS,请提供所使用服务的详细信息。 |
证据收集和评估活动
认证分析师需要查看所定义示例集中所有系统组件的证据。 支持评估过程所需的证据类型包括以下任何或全部:
证据收集
- 初始文档,在上面的 初始文档提交 部分中突出显示
- 策略文档
- 处理文档
- 系统配置设置
- 更改票证
- 更改控制记录
- 系统报表
将采用各种方法收集完成评估过程所需的证据。 此证据收集可能采用以下形式:
- 文档
- 屏幕截图
- 采访
- 屏幕共享
将在评估过程中确定使用的证据收集技术。 有关提交中所需证据类型的具体示例,请参阅 示例证据指南。
评估活动
认证分析师将审查你提供的证据,以确定你是否充分满足此 Microsoft 365 认证规范中的控制要求。
在可能的情况下,为了减少完成评估所需的时间,应提前提供 初始文档提交 中详述的任何或所有文档。
认证分析师将首先审查从初始文档提交和发布者证明信息中提供的证据,以确定适当的查询线、抽样大小以及需要进一步获取证据,如上文所述。 认证分析师将分析收集的所有信息,以得出有关如何以及是否满足此 Microsoft 365 认证规范中的控制措施的结论。
应用认证条件
将跨以下安全域评估你的应用、支持基础结构和支持文档:
其中每个安全域都包含特定的关键控制措施,这些控制包括一个或多个特定要求,这些要求将作为评估过程的一部分进行评估。 为确保 Microsoft 365 认证适用于所有规模的开发人员,使用评分系统评估每个安全域,以确定每个域的总体分数。 每个 Microsoft 365 认证控件的分数在 1 (低) 和 3 (高) 之间分配,具体取决于未满足该控制措施的感知风险。 每个安全域都有一个被视为通过的最小百分比标记。 此规范的某些元素包括一些自动失败条件:
- 不遵循最小特权原则的 API 权限 (PoLP) 。
- 必要时不会报告渗透测试报告。
- 无反恶意软件防御
- 多重身份验证未用于保护管理访问。
- 无修补进程。
- 没有合适的 GDPR 隐私声明。
Application Security
应用程序安全域侧重于以下三个方面:
- GraphAPI 权限验证
- 外部连接检查
- 应用程序安全测试
GraphAPI 权限验证
执行 GraphAPI 权限验证以验证应用/外接程序不会请求过于宽松的权限。 这是通过手动检查请求的权限来执行的。 认证分析师将对照发布者证明提交交叉引用这些检查,并评估请求的访问级别,以确保满足“最低特权”做法。 如果认证分析师认为不符合这些“最低特权”做法,认证分析师将与你进行公开讨论,以验证请求权限的业务理由。 在此评审期间发现的与发布者证明提交的任何差异也将获得反馈,以便更新发布者证明。
外部连接检查
作为评估的一部分,分析师将执行应用程序功能的轻松演练,以识别 Microsoft 365 外部的连接。 任何未标识为 Microsoft 的连接或与你的服务的直接连接都将在评估期间进行标记和讨论。
应用程序安全测试
充分审查与应用/外接程序和支持环境相关的风险对于为客户提供应用/外接程序安全性的保证至关重要。 如果应用程序与未由 Microsoft 发布的任何服务建立任何连接,则必须以渗透测试的形式进行应用程序安全测试。 如果你的应用在没有连接到任何非 Microsoft 服务或后端的情况下独立运行,则不需要进行渗透测试。
渗透测试范围
渗透测试活动 必须在 支持部署应用/外接程序 (的实时生产环境中执行;其中,应用/外接程序代码托管,该代码通常是清单文件中的资源) 以及支持应用/外接程序操作的任何附加环境 (,例如;如果应用/外接程序与 Microsoft 365) 之外的其他 Web 应用程序通信,则为 。 定义范围时,需要小心确保所有可能影响范围内环境安全性的“连接”系统或环境也包含在 ALL 渗透测试活动中。
如果使用技术将范围内的环境与其他环境分开,渗透测试活动必须验证所述分段技术的有效性。 这必须在渗透测试报告中详细说明。
将审查渗透测试报告,以确保不存在满足以下控制措施中概述的 自动故障条件 的漏洞。
渗透测试要求
| 条件类型 | 渗透测试控件 |
|---|---|
| 一般条件 | Controls |
| 应用程序和基础结构渗透测试 必须 每年 (一次,每 12 个月) 一次,由信誉良好的独立公司进行。 | |
| 必须根据记录的修补过程,在渗透测试结束后的一个月内或更早地完成已识别的关键和 高风险漏洞的 修正。 | |
| 完整的外部占用 (IP 地址、URL、API 终结点等 ) 必须包含在渗透测试范围内,并且必须记录在渗透测试报告中。 | |
| Web 应用程序渗透测试必须包括所有漏洞类;例如,最新的 OWASP Top 10 或 SANS Top 25 CWE。 | |
| 不需要由渗透测试公司重新测试已识别的漏洞-修正和自我审查已足够,但在评估期间 必须 提供足够的证据来证明存在足够的修正。 | |
| 自动失败条件: | Controls |
| 存在不受支持的操作系统。 | |
| 存在默认、可枚举或可猜测的管理帐户。 | |
| 存在 SQL 注入风险。 | |
| 存在跨站点脚本。 | |
| 存在目录遍历 (文件路径) 漏洞。 | |
| 存在 HTTP 漏洞,例如标头响应拆分、请求走私和取消同步攻击。 | |
| 是否存在源代码泄露 (包括 LFI) 。 | |
| CVSS 修补程序管理指南定义的任何关键或高分。 | |
| 任何容易利用的重大技术漏洞,以破坏大量 EUII 或 OUI。 |
重要
报告必须能够提供足够的保证,以便可以演示应用程序安全测试规范部分中详述的所有内容。
免费渗透测试要求和规则
- 对于当前不进行渗透测试的 ISV,可以免费进行 Microsoft 365 认证。 Microsoft 将安排并支付长达 12 天的手动测试的渗透测试费用。 渗透测试成本是根据测试环境所需的天数计算的。 超过 12 天的测试费用由 ISV 负责。
- 在进行渗透测试之前,ISV 将需要提交证据并获得对 50% 范围内控制措施的批准。 若要开始,请填写初始文档提交,并选择将渗透测试包含在评估中。 完成 50% 的控制后,系统会联系你确定渗透测试的范围和计划。
- 完成测试后颁发的报告将在完成认证后提供给 ISV。 此报告以及 Microsoft 365 认证可用于向潜在客户展示你的环境是安全的。
- ISV 还将负责证明在授予认证之前,渗透测试中发现的漏洞已得到修正,但不需要生成干净的报告。
安排渗透测试后,ISV 负责与重新安排和取消相关的费用,如下所示:
| 重新安排费用时间刻度 | 应付款比例 |
|---|---|
| 重新计划请求在计划开始日期前 30 天收到。 | 0% 应付 |
| 重新计划请求在计划开始日期前 8 到 30 天收到。 | 25% 应付 |
| 在预定开始日期前 2 到 7 天内收到的重新计划请求,并提供了公司重新预订日期。 | 50% 应付 |
| 重新计划请求在开始日期前不到 2 天收到。 | 100% 应付 |
| 取消费用时间刻度 | 应付款比例 |
|---|---|
| 取消请求在计划开始日期前 30 天收到。 | 25% 应付 |
| 取消请求在计划开始日期前 8 到 30 天收到。 | 50% 应付 |
| 在计划开始日期之前的 7 天内收到的取消请求。 | 90% 应付 |
操作安全性
此域衡量应用的支持基础结构和部署过程与安全最佳做法的一致性。
控件
| 控件系列 | Controls |
|---|---|
| 恶意软件防护 - 防病毒 | 提供管理防病毒做法和过程的策略文档。 |
| 提供反病毒软件在所有采样系统组件上运行的明显证据。 | |
| 提供证明,证明防病毒签名在 1 天内 (所有环境中都是最新的) 。 | |
| 提供可证明的证据,证明防病毒配置为对所有采样的系统组件执行访问时扫描或定期扫描。 注意:如果未启用按访问扫描,则必须至少启用每日扫描和警报。 | |
| 提供可证明的证据,证明防病毒配置为自动阻止恶意软件或隔离,并对所有采样系统组件发出警报。 | |
| 应用程序控制:仅当不使用传统反恶意软件时才需要 | 提供可证明的证据,证明应用程序在部署之前已批准。 |
| 提供可证明的证据,证明存在并维护具有业务理由的已批准应用程序的完整列表。 | |
| 提供详细说明应用程序控制软件配置为满足特定应用程序控制机制的支持文档。 (示例:允许列表:sample1、sample3、代码签名) | |
| 提供可证明的证据,证明应用程序控制已配置为所有采样系统组件中的文档。 | |
| 修补程序管理 - 风险排名 | 提供策略文档,用于控制如何识别新安全漏洞并为其分配风险评分。 |
| 提供有关如何识别新安全漏洞的证据。 | |
| 提供证明所有漏洞在识别后都分配了风险排名的证据。 | |
| 修补程序管理 - 修补 | 提供用于修补范围内系统组件的策略文档,其中包括针对关键、高风险和中等风险漏洞的适当最小修补时间范围;和取消任何不受支持的操作系统和软件。 |
| 提供所有采样系统组件正在修补的可证明证据。 | |
| 提供证明,证明环境中不使用任何不受支持的操作系统和软件组件。 | |
| 漏洞扫描 | 提供季度基础结构和 Web 应用程序漏洞扫描报告。 需要针对整个公共占用空间执行扫描, (IP 地址和 URL) 和内部 IP 范围。 |
| 提供可证明的证据,证明在漏洞扫描期间识别的漏洞修正已按照记录的修补时间范围进行修补。 | |
| 防火墙 | 提供控制防火墙管理做法和过程的策略文档。 |
| 提供在安装到生产环境之前已更改任何默认管理凭据的可证明证据。 | |
| 提供可证明的证据,证明防火墙安装在作用域内环境的边界上,并安装在外围网络 (也称为 DMZ、隔离区域和屏蔽子网) 和内部受信任网络之间。 | |
| 提供证明所有公共访问在外围网络) (非军事区终止的证据。 | |
| 提供可证明的证据,证明允许通过防火墙的所有流量都经过审批过程。 | |
| 提供可证明的证据,证明防火墙规则库配置为删除未显式定义的流量。 | |
| 提供可证明的证据,证明防火墙仅支持所有非控制台管理界面上的强加密。 | |
| 提供证明你至少每 6 个月执行一次防火墙规则评审的证据。 | |
| Web 应用程序防火墙 (WAF) (可选) :满足以下控制措施将奖励额外的信用额度。 | 提供可证明的证据,证明Web 应用程序防火墙 (WAF) 配置为主动监视、警报和阻止恶意流量。 |
| 提供 WAF 支持 SSL 卸载的可证明证据。 | |
| 根据 OWASP 核心规则集 3.0 或 3.1 (3.0 或 3.1) ,提供可证明的证据,证明 WAF 可防范以下部分或全部漏洞类别的漏洞 | |
| 更改控件 | 提供控制更改控制过程的策略文档。 |
| 提供可证明的证据,证明开发和测试环境强制从生产环境分离职责。 | |
| 提供在开发或测试环境中不使用敏感生产数据的证据。 | |
| 提供可证明的证据,证明记录的更改请求包含更改的影响、回退过程的详细信息以及要执行的测试。 | |
| 提供可证明的证据,证明更改请求经过授权和注销过程。 | |
| 保护软件开发/部署 | 提供支持安全软件开发和部署的策略和过程,包括针对常见漏洞类(如 OWASP 前 10 或 SANS 前 25 CWE)的安全编码最佳做法指南。 |
| 提供证明代码更改经过第二个审阅者的评审和授权过程的证据。 | |
| 提供可证明的证据,证明开发人员每年接受安全软件开发培训。 | |
| 提供可证明的证据,证明代码存储库使用多重身份验证 (MFA) 进行保护。 | |
| 提供可证明的证据,证明访问控制已到位,以保护代码存储库。 | |
| 帐户管理 | 提供管理帐户管理做法和过程的策略文档。 |
| 提供在采样系统组件中禁用、删除或更改默认凭据的可证明证据。 | |
| 提供可证明的证据,证明帐户创建、修改和删除需要经过既定的审批过程。 | |
| 提供可证明的证据,证明已制定一个流程来禁用或删除 3 个月内未使用的帐户。 | |
| 提供可证明的证据,证明强密码策略或其他适当的缓解措施已到位,以保护用户凭据。 应使用以下最低准则:最小密码长度为 8 个字符,帐户锁定阈值不超过 10 次尝试,密码历史记录至少为 5 个密码,强制使用强密码 | |
| 提供向所有用户颁发唯一用户帐户的可证明证据。 | |
| 提供在环境中遵循最低特权原则的可证明证据。 | |
| 提供可证明的证据,证明有一个流程已到位来保护或强化服务帐户,并且正在遵循该过程。 | |
| 提供可证明的证据,证明已为所有远程访问连接和所有非控制台管理接口配置了 MFA。 | |
| 提供可证明的证据,证明已为所有远程访问连接和所有非控制台管理接口配置了强加密,包括访问任何代码存储库和云管理接口。 | |
| 提供可证明的证据,证明 MFA 用于保护用于管理和维护所有公共域名服务 (DNS) 记录的管理门户。 | |
| 入侵检测和防护 (OPTIONAL) : 满足以下控制措施后,将奖励额外的信用额度 | 提供可证明的证据,证明入侵检测和防护系统 (IDPS) 部署在作用域内环境的外围。 |
| 提供可证明的证据,证明 IDPS 签名在) 24 小时内保持当前 (。 | |
| 提供可证明的证据,证明 IDPS 已配置为支持所有传入 Web 流量的 TLS 检查。 | |
| 提供可证明的证据,证明 IDPS 已配置为监视所有入站流量流。 | |
| 提供可证明的证据,证明 IDPS 已配置为监视所有出站流量流。 | |
| 安全事件日志记录 | 提供策略文档,了解管理安全事件日志记录的最佳做法和过程。 |
| 提供演示的证据,显示已跨所有抽样系统组件设置了安全事件日志记录以记录以下事件:用户对系统组件和应用程序的访问权限、高特权用户执行的所有操作、无效的逻辑访问尝试特权帐户创建或修改、事件日志篡改、禁用安全工具 (如反恶意软件或事件日志) , 反恶意软件日志记录 (,例如更新、恶意软件检测和扫描失败) 、IDPS 和 WAF 事件(如果已配置) | |
| 提供可证明的证据,证明记录的安全事件包含以下最低信息:用户、事件类型、日期和时间、成功或失败指示器、标识受影响系统的标签 | |
| 提供所有采样系统组件的时间同步到同一主服务器和辅助服务器的证据。 | |
| 在使用面向公众的系统时,提供可证明的证据,证明将安全事件日志发送到不在外围网络内的集中式日志记录解决方案。 | |
| 提供可证明的证据,证明集中式日志记录解决方案受到保护,防止未经授权的日志记录数据篡改。 | |
| 提供可证明的证据,证明至少 30 天的安全事件日志记录数据立即可用,并保留 90 天的安全事件日志。 | |
| 安全事件日志评审 | 提供管理日志评审做法和过程的策略文档。 |
| 提供可证明的证据,证明日志由人工或自动化工具每天审查,以识别潜在的安全事件。 | |
| 提供可证明的证据,证明对潜在的安全事件和异常进行了调查和修正。 | |
| 提醒 | 提供控制安全事件警报做法和过程的策略文档。 |
| 提供可证明的证据,证明针对以下类型的安全事件触发警报的即时会审:特权帐户创建或修改、病毒或恶意软件事件、事件日志篡改、IDPS 或 WAF 事件 | |
| 提供可证明的证据,证明员工始终可以全天候响应安全警报。 | |
| 风险管理 | 提供可证明的证据,证明已建立正式的信息安全风险管理流程。 |
| 提供可证明的证据,证明每年至少进行一次正式风险评估。 | |
| 提供可证明的证据,证明信息安全风险评估包括威胁、漏洞或等效项。 | |
| 提供可证明的证据,证明信息安全风险评估包括影响、可能性风险矩阵或等效项。 | |
| 提供可证明的证据,证明信息安全风险评估包括风险登记和处理计划。 | |
| 事件响应 | (IRP) 提供安全事件响应计划。 |
| 提供可证明的证据,证明安全 IRP 包括记录的通信过程,以确保及时通知主要利益干系人,例如支付品牌和收购方、监管机构、监管机构、董事和客户。 | |
| 提供事件响应团队的所有成员已完成年度培训或桌面练习的可证明证据。 | |
| 提供可证明的证据,以表明安全 IRP 已根据经验教训或组织变化进行了更新。 |
数据处理安全和隐私
应用程序用户、中介服务和 ISV 系统之间传输的数据需要通过支持 TLS v1.1 的 TLS 连接进行加密保护。请参阅附录 A。
应用程序检索和存储 Microsoft 365 数据时,需要你实现遵循 附录 B 中定义的规范的数据存储加密方案。
控件
| 控件系列 | Controls |
|---|---|
| 传输中的数据 | 提供证明 TLS 配置满足或超过 TLS 配置文件配置要求中的加密要求的证据 |
| 提供在处理 Web 请求的所有面向公众的服务中禁用 TLS 压缩的可证明证据。 | |
| 提供可证明的证据,证明在所有站点中启用 TLS HTTP 严格传输安全性并将其配置为 >= 15552000。 | |
| 静态数据 | 使用 AES、Blowfish、TDES 等加密算法以及 128 位和 256 位的加密密钥大小,提供可证明的证据,证明静态数据已按照加密配置文件要求进行内联加密。 |
| 提供可证明的证据,证明哈希函数或消息身份验证 (HMAC-SHA1) 仅用于根据加密配置文件要求内联保护静态数据。 | |
| 提供一个清单,其中显示了所有存储的数据,包括用于保护数据的存储位置和加密。 | |
| 数据保留和处置 | 提供可证明的证据,证明已正式确定已批准和记录的数据保留期。 |
| 提供可证明的证据,证明保留的数据与定义的保留期匹配。 | |
| 提供可证明的证据,证明在数据保留期过后,数据已到位以安全删除数据。 | |
| 数据访问管理 | 提供有权访问数据或加密密钥的所有个人的列表,包括业务理由。 |
| 提供可证明的证据,证明有权访问数据或加密密钥的抽样人员已获得正式批准,并详细说明其工作职能所需的特权。 | |
| 提供可证明的证据,证明有权访问数据或加密密钥的抽样人员仅具有审批中包含的权限。 | |
| 提供与客户共享数据的所有第三方的列表。 | |
| 提供可证明的证据,证明所有使用客户数据的第三方都已制定共享协议。 | |
| GDPR ((如果适用)) | (SAR) 流程提供记录的主题访问请求,并提供证明数据主体能够提高 SAR 的证据。 |
| 提供可证明的证据,证明在响应 SAR 时能够识别数据主体数据的所有位置。 | |
| 你保留一个隐私声明,其中应包含公司详细信息 (名称、地址等。) 。 | |
| 你保留一个隐私声明,其中应说明正在处理的个人数据的类型。 | |
| 你保留隐私声明,说明处理个人数据的合法性 | |
| 您保留一项隐私声明,详细说明数据主体的权利:知情权、数据主体的访问权、擦除权、处理限制权、数据可移植性权、反对权、与自动决策相关的权利,包括分析。 | |
| 你保留一个隐私声明,其中应说明个人数据的保留时间。 |
可选的外部合规性框架评审
虽然不是必需的,但如果当前符合 ISO 27001、PCI DSS 或 SOC2,则可以选择使用这些认证来满足某些 Microsoft 365 认证控制要求。 认证分析师将尝试将现有外部安全框架与 Microsoft 365 认证规范保持一致。 但是,如果支持文档无法保证 Microsoft 365 认证控制措施已作为外部安全框架审核/评估的一部分进行评估,则需要提供上述控制措施到位的其他证据。
文档必须充分证明 Microsoft 365 认证的范围环境包含在这些外部安全框架的范围内。 这些安全框架的验证将通过接受信誉良好的外部第三方公司进行的有效认证证据来实现。 这些信誉良好的公司必须是相关合规计划的国际认证机构的成员。 请参阅 ISO 27001 的 ISO 认证和符合性标准以及 PCI DSS (QSA) 合格安全评估员。
下表突出显示了认证分析师在此验证过程中所需的外部框架和文档:
| Standard | 要求 |
|---|---|
| ISO 27001 | 需要面向公众的 SOA (适用性声明) 和颁发的 ISO 27001 证书副本。SOA 汇总了你对 114 个信息安全控制措施中每个控件的立场,并用于识别 ISO 27001 证书中是否排除了未令人满意详细说明的控制措施。 如果无法通过查看面向公众的 SOA 版本来确定这一点,则如果 ISO 27001 将用于验证某些 Microsoft 365 认证规范控制,分析师可能需要访问完整的 SOA。 除了验证 ISO 27001 评估活动的范围外,分析师还将确认上述审核公司的有效性。 |
| PCI DSS | 必须提供 AOC) 文档 (符合性的有效级别 1 证明 ,以明确标识范围内的应用程序和系统组件。自我评估 AOC 不会 被视为满足安全最佳做法的证据。 AOC 将用于确定哪些 Microsoft 365 认证规范控制措施已评估和确认为 PCI DSS 评估的一部分。 |
| SOC 2 | SOC 2 (I 或 Type II) 报告必须是过去 15 个月内发布的当前 (,并且声明的时间段必须在过去 27 个月内开始,) 用作符合本 Microsoft 365 认证规范中的任何评估控制措施的证据。 |
如果外部安全框架已包含在发布服务器证明中,认证分析师将需要检查这些安全合规性框架的有效性,作为 Microsoft 365 认证评估的一部分。
| 框架 | 其他注意事项 |
|---|---|
| ISO 27001 | 附录 C:证据收集 - ISO 27001 的增量。 |
| PCI DSS | 附录 D:证据收集 - PCI DSS 的增量。 |
| SOC 2 | 附录 E:证据收集 - SOC 2 的增量。 |
注意
尽管上述外部安全标准/框架可以作为证据提交以满足某些 Microsoft 365 认证控制措施,但通过 Microsoft 365 认证并不意味着你将成功通过针对这些标准/框架的审核。 Microsoft 365 认证规范只是这些安全标准/框架的一小部分,允许 Microsoft 根据你的安全状况获得一定程度的保证。
使用外部合规性框架的要求
• 应用/外接程序 支持环境和任何 支持业务流程 必须 包含在任何受支持的外部安全合规性框架的范围内,并且必须在提供的文档中明确说明。
• 支持的外部安全合规性框架 必须是 最新的,也就是说,在过去 12 个月内 (或 15 个月内(如果当前正在进行重新评估并且可以) 提供证据)。
• 支持的外部安全合规性框架 必须由 独立的认证公司执行。
附录 A
TLS 配置文件配置要求
所有网络流量(无论是虚拟网络、云服务还是数据中心内)都必须至少使用 TLS v1.1 (TLS v1.2+ 进行保护) 或其他适用协议。 此要求的例外情况如下:
- HTTP 到 HTTPS 重定向。 应用可以通过 HTTP 做出响应,以将客户端重定向到 HTTPS,但响应不得包含任何敏感数据 (Cookie、标头、内容) 。 除了重定向到 HTTPS 和响应运行状况探测之外,不允许进行其他 HTTP 响应。 请参阅下文。
- 运行状况探测。 仅当检查方不支持 HTTPS 运行状况探测时,应用才能通过 HTTP 响应运行状况探测。
- 证书访问。 允许通过 HTTP 访问 CRL、OCSP 和 AIA 终结点,以便进行证书验证和吊销检查。
- 本地通信。 你的应用可以使用 HTTP (或其他非受保护的协议) 进行不会离开操作系统的通信,例如连接到 localhost 上公开的 Web 服务器终结点。
必须禁用 TLS 压缩。
附录 B
加密配置文件配置要求
仅允许使用加密基元和参数,如下所示:
对称加密
加密
• 仅允许使用 AES、BitLocker、Blowfish 或 TDES。 允许任何受支持的密钥长度 >=128 (128 位、192 位和 256 位) ,建议使用 (256 位密钥) 。
• 仅允许 CBC 模式。 每个加密操作都必须使用随机生成的全新初始化向量 (IV) 。
• 不允许 使用流加密,例如 RC4。
哈希函数
• 所有新代码必须使用 SHA-256、SHA-384 或 SHA-512 (统称为 SHA-2) 。 输出可能被截断为不少于 128 位
• SHA-1 只能出于兼容性原因使用。
• 不允许使用 MD5、MD4、MD2 和其他哈希函数,即使对于非加密应用程序也是如此。
消息身份验证
• 所有新代码都必须将 HMAC 与其中一个已批准的哈希函数配合使用。 HMAC 的输出可能截断为不少于 128 位。
• HMAC-SHA1 只能出于兼容性原因使用。
• HMAC 密钥必须至少为 128 位。 建议使用 256 位密钥。
非对称算法
加密
• 允许 RSA。 密钥 必须 至少为 2048 位,并且必须使用 OAEP 填充。 仅出于兼容性原因,才允许使用 PKCS 填充。
签名
• 允许 RSA。 密钥 必须 至少为 2048 位,并且必须使用 PSS 填充。 仅出于兼容性原因,才允许使用 PKCS 填充。
•允许 ECDSA。 密钥 必须 至少为 256 位。 必须使用 NIST P-256、P-384 或 P-521 曲线。
密钥交换
✓ 允许 ECDH。 密钥 必须 至少为 256 位。 必须使用 NIST P-256、P-384 或 P-521 曲线。
✓ 允许 ECDH。 密钥 必须 至少为 256 位。 必须使用 NIST P-256、P-384 或 P-521 曲线。
附录 C
证据收集 - ISO 27001 的增量
如果你已获得ISO27001合规性,则至少需要在此 Microsoft 365 认证中审查以下增量 (差距) 未完全涵盖 ISO 27001。
注意
作为 Microsoft 365 认证评估的一部分,认证分析师将确定是否未将任何映射的 ISO 27001 控制措施作为 ISO 27001 评估的一部分包括在内,并可能决定对发现包含的控件进行采样以提供进一步的保证。 ISO 27001 中缺少的任何要求都需要包含在 Microsoft 365 认证评估活动中。
恶意软件防护 - 防病毒
如果使用应用程序控制进行了恶意软件保护,并且已在 ISO 27001 报告中证明,则无需进一步调查。 如果没有应用程序控制,认证分析师将需要识别和评估应用程序控制机制的证据,以防止环境中恶意软件引爆。 这将要求你:
演示如何在所有采样系统组件上运行防病毒软件。
演示如何跨所有采样系统组件配置防病毒,以自动阻止恶意软件、隔离 & 警报或发出警报。
必须将防病毒软件配置为记录所有活动。
修补程序管理 - 修补
由于 ISO 27001 审核不会专门评估此类别,因此需要:
- 不得在环境中 使用供应商不再 支持的软件组件和操作系统。 支持策略必须到位,以确保不受支持的软件组件/操作系统将从环境中删除,并且必须建立一个确定软件组件何时结束生命周期的过程
漏洞扫描
由于 ISO 27001 审核不会专门评估此类别,因此需要:
演示如何执行季度内部和外部漏洞扫描。
确认已根据风险排名并符合规范,为漏洞修正提供了支持文档,如下所示:
• 根据内部扫描的风险排名修复所有严重和高风险问题。
• 根据外部扫描的风险排名修复所有严重、高风险和中等风险问题。
• 证明修正是按照记录的漏洞修正策略进行的。
防火墙 - 防火墙 (或等效技术)
由于 ISO 27001 审核不会专门评估此类别,因此需要:
演示防火墙安装在作用域内环境的边界上。
演示在外围网络和受信任网络之间安装了防火墙。
演示如何在 DMZ 中终止所有公共访问。
演示在安装到实时环境中之前更改了默认管理凭据。
演示所有允许通过防火墙的流量 () 都经过授权过程,这会生成所有流量的文档以及业务理由。
演示如何将所有防火墙配置为删除未显式定义的流量。
演示防火墙在所有非控制台管理接口上仅支持强加密。
演示向 Internet 公开的防火墙非控制台管理接口支持 MFA。
证明防火墙规则评审至少每 6 个月进行一次
防火墙 – Web 应用程序防火墙 (WAF)
如果部署 WAF 以帮助防范应用程序可能暴露的无数 Web 应用程序威胁和漏洞,则会提供额外的额度。 当存在 WAF 或类似内容时,这需要你:
演示 WAF 是在主动防御模式下配置的,或者通过警报进行更多监视。
演示 WAF 配置为支持 SSL 卸载。
根据 OWASP 核心规则集 (3.0 或 3.1) 进行配置,以防范以下大多数攻击类型:
• 协议和编码问题。
• 标头注入、请求走私和响应拆分。
• 文件和路径遍历攻击。
• 远程文件包含 (RFI) 攻击。
• 远程代码执行攻击。
• PHP 注入攻击。
• 跨站点脚本攻击。
• SQL 注入攻击。
• 会话固定攻击。
更改控件
由于 ISO 27001 审核不会专门评估更改请求流程的某些元素,因此需要您:
- 演示更改请求具有以下详细信息:
• 有记录的影响。
• 有关要进行的功能测试的详细信息。
• 任何回退过程的详细信息。
演示在完成更改后进行功能测试。
演示如何在进行功能测试后注销更改请求。
帐户管理
由于 ISO 27001 审核不会专门评估帐户管理流程的某些要素,因此需要:
- 演示如何实现 ✓以缓解重播攻击 (例如 MFA、Kerberos) 。
- 演示如何禁用或删除 3 个月内未使用的帐户。
- ✓或其他合适的缓解措施必须配置为保护用户凭据。 应使用以下最低密码策略作为准则:
• 最小密码长度为 8 个字符。
• 尝试次数不超过 10 次的帐户锁定阈值。
• 至少五个密码的密码历史记录。
• 强制使用强密码。
演示如何为所有远程访问解决方案配置 MFA。
演示如何在所有远程访问解决方案上配置强加密。
如果公共 DNS 的管理不在作用域内环境之外,所有能够进行 DNS 修改的用户帐户都必须配置为使用 MFA。
入侵检测和防护 (可选)
由于 ISO 27001 审核不会专门评估入侵检测和防护服务 (IDPS) 流程的某些元素,因此需要:
IDPS 应 部署在支持环境的外围。
IDPS 签名 应 在过去一天内保持最新状态。
应为 TLS 检查配置 IDPS。
应为所有入站和出站流量配置 IDPS。
IDPS 应配置为发出警报。
事件日志记录
由于 ISO 27001 审核不会专门评估安全事件日志记录过程的某些元素,因此需要:
演示面向公众的系统正在将日志记录到不在外围网络内的集中式日志记录解决方案。
演示如何立即提供至少 30 天的日志记录数据,并保留 90 天。
查看 (日志记录数据)
由于 ISO 27001 审核不会专门评估此类别的某些元素,因此需要:
- 演示如何进行每日日志评审以及如何识别异常和异常,并演示如何处理这些异常。
提醒
由于 ISO 27001 审核不会专门评估此类别的某些元素,因此需要:
演示如何将安全事件配置为触发即时会审警报。
演示员工如何全天候响应安全警报。
风险管理
由于 ISO 27001 审核不会专门评估风险评估过程的某些要素,因此需要您:
- 演示已建立正式的风险管理流程。
事件响应
由于 ISO 27001 审核不会专门评估事件响应策略和流程的某些要素,因此需要:
- 演示事件响应计划/过程包括:
• 针对预期威胁模型的特定响应过程。
• 事件处理功能与 NIST 网络安全框架保持一致, (识别、保护、检测、响应、恢复) 。
• IRP 涵盖范围内的系统。
• 事件响应团队的年度培训。
附录 D
证据收集 - PCI DSS 的增量
如果你已获得 PCI DSS 合规性,则至少需要在此 Microsoft 365 认证中审查以下增量 (差距) 未完全由 PCI DSS 涵盖。
注意
作为 Microsoft 365 认证评估的一部分,认证分析师将确定是否未将任何映射的 PCI DSS 控件包含在 PCI DSS 评估中,并可能决定对发现包含的控件进行采样以提供进一步的保证。 PCI DSS 中缺少的任何要求都需要包含在 Microsoft 365 认证评估活动中。
恶意软件防护 - 应用程序控制
如果恶意软件保护是通过使用防病毒实现的,并且已在 PCI DSS 报告中证明,则无需进一步调查。 如果没有防病毒,认证分析师将需要识别和评估应用程序控制机制的证据,以防止环境中恶意软件引爆。 这将要求你:
演示如何进行应用程序审批,并确认已完成。
演示存在具有业务理由的已批准应用程序的完整列表。
提供或演示支持文档,详细说明了如何配置应用程序控制软件以满足特定的应用程序控制机制, (即允许列表、代码签名等 ) 。
演示在所有抽样系统组件中,应用程序控制已按文档进行配置。
补丁管理 - 风险排名
由于 PCI DSS 审核不会专门评估此类别,因此需要:
- 演示如何对漏洞进行风险排名。
漏洞扫描
由于 PCI DSS 审核不会专门评估此类别,因此需要:
- 演示修正是按照记录的漏洞修正策略进行的。
防火墙 - 防火墙 (或等效技术)
由于 PCI DSS 审核不会专门评估此类别,因此需要:
演示防火墙在所有非控制台管理接口上仅支持强加密。
演示向 Internet 公开的防火墙非控制台管理接口支持 MFA。
如果部署Web 应用程序防火墙 (WAF) 来帮助防范应用程序可能暴露的无数 Web 应用程序威胁和漏洞,则会提供额外的额度。 当存在 WAF 或类似内容时,这需要你:
演示 WAF 是在主动防御模式下配置的,或者通过警报进行更多监视。
演示 WAF 配置为支持 SSL 卸载。
根据 OWASP 核心规则集 (3.0 或 3.1) 进行配置,以防范以下大多数攻击类型:
• 协议和编码问题。
• 标头注入、请求走私和响应拆分。
• 文件和路径遍历攻击。
• 远程文件包含 (RFI) 攻击。
• 远程代码执行攻击。
• PHP 注入攻击。
• 跨站点脚本攻击。
• SQL 注入攻击。
• 会话固定攻击。
更改控件
由于 PCI DSS 审核不会专门评估更改请求过程的某些元素,因此需要你:
演示在生产环境中发出更改请求之前引发的。
在进入生产环境之前,演示更改是经过授权的。
演示在完成更改后进行功能测试。
演示如何在进行功能测试后注销更改请求。
保护软件开发/部署
由于 PCI DSS 审核不会专门访问安全软件开发和部署过程的某些元素;这将要求你:
代码存储库必须由 MFA 保护。
必须实施适当的访问控制,以保护代码存储库免受恶意代码修改的影响。
帐户管理
由于 PCI DSS 审核不会专门评估帐户管理过程的某些元素,因此需要你:
演示如何实现授权机制来缓解重播攻击 (例如 MFA、Kerberos) 。
必须配置强密码策略或其他适当的缓解措施来保护用户凭据。 应使用以下最低密码策略作为准则:
• 最小密码长度为 8 个字符。
• 尝试次数不超过 10 次的帐户锁定阈值。
• 至少五个密码的密码历史记录。
• 强制使用强密码。
演示如何在所有远程访问解决方案上配置强加密。
如果公共 DNS 的管理不在作用域内环境之外,所有能够进行 DNS 修改的用户帐户都必须配置为使用 MFA。
入侵检测和防护 (可选)
由于 PCI DSS 审核不会专门评估入侵检测和防护服务 (IDPS) 流程的某些元素,因此需要:
应为 TLS 检查配置 IDPS。
应为所有入站和出站流量配置 IDPS。
风险管理
由于 PCI DSS 审核不会专门评估风险评估过程的某些要素,因此需要你:
- 演示风险评估包括影响矩阵和可能性矩阵。
事件响应
由于 PCI DSS 审核不会专门评估事件响应策略和流程的某些元素,因此开发人员需要:
- 演示符合 NIST 网络安全框架 (识别、保护、检测、响应、恢复) 的事件处理功能。
附录 E
证据收集 - SOC 2 的增量
如果已获得 SOC 2 合规性,则需要在此 Microsoft 365 认证中审查以下增量 (差距) 未完全由 SOC 2 覆盖。
注意
作为 Microsoft 365 认证评估的一部分,认证分析师将确定是否有任何映射的 SOC 2 控件未作为 SOC 2 评估的一部分包括在内,并可能决定对发现包含的控件进行采样以提供进一步的保证。 SOC 2 评估中缺少的任何要求都需要包含在 Microsoft 365 认证评估活动中。
恶意软件防护 - 应用程序控制
如果恶意软件保护是通过使用防病毒实现的,并且已在 SOC 2 报告中证明,则无需进一步调查。 如果没有防病毒,认证分析师将需要识别和评估应用程序控制机制的证据,以防止环境中恶意软件引爆。 这将要求你:
提供或演示支持文档,详细说明了如何配置应用程序控制软件以满足特定的应用程序控制机制, (即允许列表、代码签名等 ) 。
演示如何进行应用程序审批,并确认已完成。
演示存在具有业务理由的已批准应用程序的完整列表。
演示在所有抽样系统组件中,应用程序控制已按文档进行配置。
修补程序管理 - 修补
由于 SOC 2 审核不会专门评估此类别,因此需要:
必须在正常修补活动时段内修补任何低、中、高或严重问题。
不得在环境中使用供应商不再支持的软件组件和操作系统。 必须制定支持策略,以确保从环境中删除不受支持的软件组件/操作系统,并且必须制定确定软件组件生命周期结束时间的过程。
防火墙 - 防火墙
由于 SOC 2 审核不会专门评估防火墙访问控制列表的更改控制,因此需要你:
演示所有允许的流量通过防火墙 () 都经过授权过程,该过程会生成所有流量的文档以及业务理由。
演示防火墙规则评审至少每六个月进行一次。
如果部署了Web 应用程序防火墙 (WAF) 或类似项来帮助防范应用程序可能暴露的无数 Web 应用程序威胁和漏洞,则会提供额外的额度。 当存在 WAF 或类似内容时,这需要你:
演示 WAF 是在主动防御模式下配置的,或者通过警报进行更多监视。
演示 WAF 配置为支持 SSL 卸载。
根据 OWASP 核心规则集 ( (3.0 或 3.1) 进行配置,以防范大多数以下攻击类型:
• 协议和编码问题。
• 标头注入、请求走私和响应拆分。
• 文件和路径遍历攻击。
• 远程文件包含 (RFI) 攻击。
• 远程代码执行攻击。
• PHP 注入攻击。
• 跨站点脚本攻击。
• SQL 注入攻击。
• 会话固定攻击。
更改控件
由于 SOC 2 审核不会专门评估更改请求流程的某些元素,因此开发人员需要:
演示开发/测试环境如何与强制分离职责的生产环境分开。
演示如何在开发/测试环境中不使用实时数据。
演示在完成更改后进行功能测试。
演示如何在进行功能测试后注销更改请求。
保护软件开发/部署
由于 SOC 2 审核不会专门访问安全软件开发和部署过程的某些元素;这将要求你:
必须具有涵盖整个软件开发生命周期的已建立和记录的软件开发流程。
开发人员必须至少每年接受一次安全软件编码培训。
代码存储库必须由 MFA 保护。
必须实施适当的访问控制,以保护代码存储库免受恶意代码修改的影响。
帐户管理
由于 SOC2 审核不会专门评估帐户管理过程的某些元素,因此需要你:
演示如何实现授权机制来缓解重播攻击 (例如 MFA、Kerberos) 。
演示如何禁用或删除 3 个月内未使用的帐户。
必须配置强密码策略或其他适当的缓解措施来保护用户凭据。 应使用以下最低密码策略作为准则:
• 最小密码长度为 8 个字符。
• 尝试次数不超过 10 次的帐户锁定阈值。
• 密码历史记录至少包含 5 个密码。
• 强制使用强密码
演示向所有用户颁发唯一用户帐户。
如果公共 DNS 的管理不在作用域内环境之外,所有能够进行 DNS 修改的用户帐户都必须配置为使用 MFA。
入侵检测和防护 (可选) 。
由于 SOC 2 审核不会专门评估入侵检测和防护服务 (IDPS) 流程的某些元素,因此需要:
IDPS 签名应在过去一天内保持最新状态
应为 TLS 检查配置 IDPS
应为所有入站和出站流量配置 IDPS
事件日志记录
由于 SOC 2 审核不会专门评估安全事件日志记录过程的某些元素,因此需要:
- 演示如何在示例集中的所有系统组件上将以下系统配置为记录以下事件
• 用户访问系统组件和应用程序 () 。
• 高特权用户执行的所有操作。
• 逻辑访问尝试无效。
演示记录的事件包含;至少需要以下信息:
✓ 用户。
✓ 事件类型。
✓ 日期和时间。
✓ 成功/失败指示器。
• 用于标识受影响的系统的标签。
演示示例集中的所有系统组件都配置为利用时间同步,并且这些组件与主/辅助时间服务器相同。
演示面向公众的系统正在将日志记录到不在外围网络内的集中式日志记录解决方案。
演示面向公众的系统正在将日志记录到不在外围网络内的集中式日志记录解决方案。
演示如何保护集中式日志记录解决方案免受未经授权的日志记录数据篡改。
演示如何立即提供至少 30 天的日志记录数据,并保留 90 天或更长的时间。
风险管理
由于 SOC2 审核不会专门评估风险评估过程的某些要素,因此需要你:
- 证明至少每年进行一次正式风险评估。
事件响应。
由于 SOC2 审核不会专门评估事件响应策略和流程的某些元素,因此需要你:
- 演示事件响应计划/过程包括:
• 针对预期威胁模型的特定响应过程。
• 有记录的沟通流程,确保及时通知主要利益干系人 (支付品牌/收购方、监管机构、监管机构、董事、客户等。
附录 F
托管部署类型
Microsoft 确认你将部署应用程序并将应用/外接程序代码存储在不同的托管环境中。 Microsoft 365 认证中某些安全控制的总体责任将取决于所使用的托管环境。 附录 F 查看常见部署类型,并将其与评估过程中评估的安全控制相映射。 已确定以下托管部署类型:
| 托管类型 | 说明 |
|---|---|
| ISV 托管 | ISV 托管类型可以定义为你负责用于支持应用/外接程序环境的基础结构的位置。 这可以在物理上位于你自己的数据中心或具有共同定位服务的第三方数据中心内。 最终,你拥有对支持基础结构和操作环境的完全所有权和管理控制权。 |
| 基础结构即服务 (IaaS) (https://azure.microsoft.com/overview/what-is-iaas/) | 基础结构即服务是一项服务,其中物理支持基础结构由云服务提供商 (CSP) 代表他们进行管理和维护。 通常,网络、存储、物理服务器和虚拟化基础结构都是 CSP 的责任。 操作系统、中间件、运行时、数据和应用程序由你负责。 防火墙功能也将由第三方管理和维护,但维护防火墙规则库通常仍是使用者的责任。 |
| 平台即服务/无服务器 (PaaS) (https://azure.microsoft.com/overview/what-is-paas/) | 使用“平台即服务”,你将使用托管平台进行预配,该平台提供可使用的服务。 无需执行 sysadmin 函数,因为操作系统和支持基础结构由 CSP 管理。 当组织不想关心提供 Web 服务,而是可以专注于创建 Web 应用程序源代码并在云托管的 Web 服务上发布 Web 应用程序时,通常会使用此方法。另一个示例可能是数据库服务,其中为数据库提供了连接,但支持基础结构和数据库应用程序是从使用者抽象出来的。注意:无服务器和 PaaS 相似,因此出于 Microsoft 365 认证托管部署类型的无服务器和 PasS 被视为相同 |
| 混合托管 | 使用混合托管类型,可以利用多个托管类型来支持支持环境的各个部分。 跨多个 Microsoft 365 堆栈使用应用/加载项的情况可能更多。 尽管 Microsoft 365 认证将支持跨多个 Microsoft 365 服务开发应用/加载项的位置,但需要根据每个适用的“托管类型映射”评估跨应用/加载项) 支持环境的完整 (。 有时,你可能会对单个外接程序使用不同的托管类型,在这种情况下,条件的适用性仍需要遵循各种托管类型的“托管类型映射”条件。 |
| 共享托管 | 共享托管是在多个单独使用者共享的平台内托管环境的位置。 由于采用云,Microsoft 365 认证规范并未对此进行编写,共享托管并不常见。 如果你认为正在使用此功能,请联系 Microsoft,因为需要创建其他要求,以考虑此类型的托管类型下的其他风险。 |
附录 G
了解详细信息
Microsoft 365 应用合规性计划概述什么是 Microsoft 365 应用发布者证明?什么是 Microsoft 365 认证?
术语表
友邦 保险
*颁发机构信息访问是用于查找证书颁发机构证书的服务位置描述符。
Crl
*证书吊销列表提供了一种安全套接字层 (SSL) 终结点的方法,用于验证从远程主机收到的证书是否有效且可信。
CVSS 分数
*常见漏洞评分系统是一个已发布的标准,用于测量漏洞并根据其严重性计算数值分数。
CVSS 修补程序管理准则
- 关键 (9.0 - 10.0)
- 高 (7.0 - 8.9)
- 中等 (4.0 - 6.9)
- 低 (0.0 - 3.9)
Dmz
*非军事区域是物理或逻辑中间网络,它直接与外部网络或非专有网络交互,同时使主机的内部专用网络保持独立和隔离。
EUII
最终用户身份信息。
GDPR
*一般数据保护条例是欧盟 (欧盟) 隐私和数据保护条例,适用于所有欧盟公民的数据,无论你的应用程序站点位于何处。
HSTS
*HTTP 严格传输安全性利用 HTTP 响应标头,指示 Web 浏览器仅通过 HTTPS 访问内容。这旨在防止降级攻击和 Cookie 劫持。
Iec
*国际伊法委员会。
主义
*信息安全管理系统。
ISV
独立安全供应商是开发、营销和销售在第三方软件和硬件平台上运行的软件的个人和组织。
ISO 27001
用于组织风险管理策略和过程流程中所有技术控制的信息安全管理系统规范框架。
LFI
本地文件包含 允许攻击者通过 Web 浏览器在服务器上包含文件。
Nist
美国国家 标准协会 (NIST) ,美国商务部的非监管机构,为美国私营部门组织提供了评估和批准其预防、检测和应对网络攻击的能力的指导。
非重要更改
- 次要 Bug 修复。
- 轻微的性能改进。
- 操作系统/库/客户端和服务器应用程序修补程序。
OCSP
联机证书状态协议用于检查 X.509 数字证书的吊销状态。
OII
组织身份信息。
OWASP
打开 Web 应用程序安全项目。
PCI DSS
支付卡行业数据安全标准,这是一个维护全球持卡人数据安全标准的组织。
笔测试
渗透测试 是通过模拟恶意攻击来查找攻击者可能利用的安全漏洞来测试 Web 应用的方法。
Saml
安全断言标记语言 是一种开放标准,用于在用户、标识提供者和服务提供商之间交换身份验证和授权数据。
敏感数据
- 访问控制数据。
- 客户内容。
- 最终用户标识信息。
- 支持数据。
- 公共个人数据。
- 最终用户假名信息。
重大更改
- 重新定位托管环境。
- 对支持基础结构进行重大升级;例如,新防火墙的实现、主要升级到面向前端的服务等。
- 向应用添加功能和 /或扩展。
- 汇报捕获其他敏感数据的应用。
- 对应用的数据流或授权模型的更改
- 添加 API 终结点或 API 终结点函数。
SOC 2
服务组织控制 2,一个由五个信任服务原则组成的技术审核过程,可确保服务提供商安全地管理组织客户端的数据和隐私。
SSL
安全套接字层。
TLS
传输层安全性。