Azure 安全基线
安全基线是 Azure 产品/服务的标准化文档,介绍了可用的安全功能和最佳安全配置,可帮助你通过改进后的工具、跟踪和安全功能来增强安全性。 目前,服务基线仅适用于 Azure。
Azure 的安全基线侧重于 Azure 环境中以云为中心的控制区域。 这些控制措施符合众所周知的行业标准,例如:INTERNET 安全中心 (CIS) 或美国国家技术标准协会 (NIST) 。 我们的基线为 Microsoft 云安全基准 v1 中列出的控制区域提供指导。
每个基线由以下组件组成:
- 服务的行为如何?
- 哪些安全功能可用?
- 建议使用哪些配置来保护服务?
Microsoft 云安全基准 v1 基线中有哪些新增功能?
注意
Microsoft 云安全基准承接在 Azure 安全基准 (ASB) 之后,我们在 2022 年 10 月对 Azure 安全基准 (ASB) 进行了重命名。
v1 基线将遵循 Microsoft 云安全基准 v1 控制要求,该要求还映射到 NIST 和 PCI 等较新的行业框架。 这些基线是 (由安全功能驱动的,与 Azure 安全基准 v1 和 v2) 的基线不同,后者更直观且更易于使用。
每个安全基准控制包括以下信息,除非另有说明:
- 控件 ID:对应于 Microsoft 云安全基准中的控件的 Microsoft 云安全基准 ID。
- 功能:可帮助你满足该控制要求的安全功能。
- 功能描述:大致描述该功能以及它如何作用于此产品服务。
- 支持:一个 true/false 值,指示是否支持使用该功能以保护此产品/服务。
- 默认启用:一个 true/false 值,指示 Microsoft 是否在默认部署中启用了此功能。
- 配置责任:谁负责实施配置指南 (可能的情况是客户责任、Microsoft 责任或共同责任) 。
- 配置指南:实现配置的可操作指南。
- Microsoft Defender for Cloud 监视备注:Microsoft Defender for Cloud 策略/监视信息。 (注意:如果 Microsoft Defender for Cloud 未监视该服务的功能,则省略此部分。)
- 参考:一个参考链接,用于更深入地了解如何实现配置指南。
功能图例:
| True | False | 不适用 | |
|---|---|---|---|
| 支持 | 支持此功能来保护此产品/服务。 | 不支持此功能来保护此产品/服务。 | 此功能在此产品/服务中没有用例。 |
| 默认情况下启用 | 默认情况下,此功能的安全配置处于启用或部署状态。 (注意:客户可以更改或管理某些默认配置。) | 默认情况下,此功能的安全配置未启用或部署。 客户负责实施配置指南。 | 此功能不受支持或不适用于保护产品,因此该功能的“默认启用”值也标记为“不适用”。 |
若要访问所有安全基准控件的列表,包括不适用于此特定服务的控件,请参阅 完整的安全基线映射文件。 有时可能会出现因各种原因而不适用的控件,例如 IaaS/compute-centric 控件(如特定于 OS 配置管理的控件)可能不适用于 PaaS 服务。
欢迎提供有关 Azure 服务安全基线的反馈。 建议在以下反馈区域中提供评论。 或者,如果你希望更私下地与我们分享你的意见,请发送电子邮件至 benchmarkfeedback@microsoft.com。