系統與組織控制 (SOC) 2 法規合規性內建方案的詳細資料
下列文章詳細說明 Azure 原則法規合規性內建方案定義如何對應至系統與組織控制 (SOC) 2 的合規性領域與控制項。 如需此合規性標準的詳細資訊,請參閱系統和組織控制 (SOC) 2。 若要了解所有權,請檢閱原則類型與雲端中共同承擔的責任。
下列對應會對應至系統與組織控制 (SOC) 2 控制項。 許多控制措施都是以 Azure 原則方案定義實作的。 若要檢閱完整方案定義,請在 Azure 入口網站中開啟 [原則],然後選取 [定義] 頁面。 接著,尋找並選取 SOC 2 Type 2 法規合規性內建方案定義。
重要
下列每個控制措施都與一或多個 Azure 原則定義相關聯。 這些原則可協助您使用工具存取合規性;不過,控制措施和一或多個原則之間,通常不是一對一或完整對應。 因此,Azure 原則中的符合規範只是指原則定義本身,這不保證您完全符合所有控制措施需求的規範。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 此合規性標準的合規性領域、控制措施與 Azure 原則定義之間的關聯,可能會隨著時間而改變。 若要檢視變更歷程記錄,請參閱 GitHub 認可歷程記錄 \(英文\)。
可用性的其他準則
產能管理
識別碼:SOC 2 Type 2 A1.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
執行容量規劃 | CMA_C1252 - 執行容量規劃 | 手動、已停用 | 1.1.0 |
環境保護、軟體、資料備份程式及復原基礎結構
識別碼:SOC 2 Type 2 A1.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應該為虛擬機器啟用 Azure 備份 | 藉由啟用 Azure 備份,確保您的 Azure 虛擬機器受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists, Disabled | 3.0.0 |
採用自動緊急照明 | CMA_0209 - 採用自動緊急照明 | 手動、已停用 | 1.1.0 |
建立替代處理站台 | CMA_0262 - 建立替代處理站台 | 手動、已停用 | 1.1.0 |
應為適用於 MariaDB 的 Azure 資料庫啟用異地備援備份 | 適用於 MariaDB 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
應為適用於 MySQL 的 Azure 資料庫啟用異地備援備份 | 適用於 MySQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
應為適用於 PostgreSQL 的 Azure 資料庫啟用異地備援備份 | 適用於 PostgreSQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
實作滲透測試方法 | CMA_0306 - 實作滲透測試方法 | 手動、已停用 | 1.1.0 |
為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
安裝警報系統 | CMA_0338 - 安裝警報系統 | 手動、已停用 | 1.1.0 |
在任何中斷後復原並重新組成資源 | CMA_C1295 - 在任何中斷後復原並重新組成資源 | 手動、已停用 | 1.1.1 |
執行模擬攻擊 | CMA_0486 - 執行模擬攻擊 | 手動、已停用 | 1.1.0 |
個別存放備份資訊 | CMA_C1293 - 個別存放備份資訊 | 手動、已停用 | 1.1.0 |
將備份資訊傳輸到替代儲存站台 | CMA_C1294 - 將備份資訊傳輸到替代儲存網站 | 手動、已停用 | 1.1.0 |
復原方案測試
識別碼:SOC 2 Type 2 A1.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
起始應變計劃測試矯正措施 | CMA_C1263 - 起始應變計劃測試矯正措施 | 手動、已停用 | 1.1.0 |
檢閱應變計劃測試的結果 | CMA_C1262 - 檢閱應變計劃測試的結果 | 手動、已停用 | 1.1.0 |
測試商務持續性和災害復原計劃 | CMA_0509 - 測試商務持續性和災害復原計劃 | 手動、已停用 | 1.1.0 |
其他機密性準則
保護機密資訊
識別碼:SOC 2 Type 2 C1.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
機密資訊的處置
識別碼:SOC 2 Type 2 C1.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
控制環境
COSO 準則 1
識別碼:SOC 2 Type 2 CC1.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
制定組織管理辦法原則 | CMA_0159 - 制定組織管理辦法原則 | 手動、已停用 | 1.1.0 |
記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
禁止不公平做法 | CMA_0396 - 禁止不公平做法 | 手動、已停用 | 1.1.0 |
檢閱並簽署已修訂的行為規則 | CMA_0465 - 檢閱並簽署已修訂的行為規則 | 手動、已停用 | 1.1.0 |
更新行為和存取合約的規則 | CMA_0521 - 更新行為和存取合約的規則 | 手動、已停用 | 1.1.0 |
每 3 年更新行為和存取合約的規則一次 | CMA_0522 - 每 3 年更新行為和存取合約的規則一次 | 手動、已停用 | 1.1.0 |
COSO 準則 2
識別碼:SOC 2 Type 2 CC1.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
指定資深資訊安全人員 | CMA_C1733 - 指定資深資訊安全人員 | 手動、已停用 | 1.1.0 |
制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
COSO 準則 3
識別碼:SOC 2 Type 2 CC1.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
指定資深資訊安全人員 | CMA_C1733 - 指定資深資訊安全人員 | 手動、已停用 | 1.1.0 |
制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
COSO 準則 4
識別碼:SOC 2 Type 2 CC1.4 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
提供定期角色型安全性訓練 | CMA_C1095 - 提供定期角色型安全性訓練 | 手動、已停用 | 1.1.0 |
提供定期安全性意識訓練 | CMA_C1091 - 提供定期安全性意識訓練 | 手動、已停用 | 1.1.0 |
提供以角色為基礎的實用練習 | CMA_C1096 - 提供以角色為基礎的實用練習 | 手動、已停用 | 1.1.0 |
提供存取權之前提供安全性訓練 | CMA_0418 - 提供存取權之前提供安全性訓練 | 手動、已停用 | 1.1.0 |
為新使用者提供安全性訓練 | CMA_0419 - 為新使用者提供安全性訓練 | 手動、已停用 | 1.1.0 |
COSO 準則 5
識別碼:SOC 2 Type 2 CC1.5 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
實作正式制裁流程 | CMA_0317 - 實作正式制裁流程 | 手動、已停用 | 1.1.0 |
制裁時通知人員 | CMA_0380 - 制裁時通知人員 | 手動、已停用 | 1.1.0 |
通訊和資訊
COSO 準則 13
識別碼:SOC 2 Type 2 CC2.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
COSO 準則 14
識別碼:SOC 2 Type 2 CC2.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
應針對高嚴重性警示啟用電子郵件通知 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請在資訊安全中心內啟用高嚴重性警示的電子郵件通知。 | AuditIfNotExists, Disabled | 1.2.0 |
應已針對高嚴重性警示啟用傳送給訂用帳戶擁有者的電子郵件通知 | 為確保訂用帳戶擁有者會在其訂用帳戶有潛在安全性缺口時收到通知,請在資訊安全中心內設定發送對象為訂用帳戶擁有者的高嚴重性警示電子郵件通知。 | AuditIfNotExists, Disabled | 2.1.0 |
強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
提供定期角色型安全性訓練 | CMA_C1095 - 提供定期角色型安全性訓練 | 手動、已停用 | 1.1.0 |
提供定期安全性意識訓練 | CMA_C1091 - 提供定期安全性意識訓練 | 手動、已停用 | 1.1.0 |
提供存取權之前提供安全性訓練 | CMA_0418 - 提供存取權之前提供安全性訓練 | 手動、已停用 | 1.1.0 |
為新使用者提供安全性訓練 | CMA_0419 - 為新使用者提供安全性訓練 | 手動、已停用 | 1.1.0 |
訂用帳戶應具有連絡人電子郵件地址以處理安全性問題 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請設定要接收資訊安全中心所傳來電子郵件通知的安全性連絡人。 | AuditIfNotExists, Disabled | 1.0.1 |
COSO 準則 15
識別碼:SOC 2 Type 2 CC2.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
定義處理者的職責 | CMA_0127 - 定義處理者的職責 | 手動、已停用 | 1.1.0 |
傳遞安全性評量結果 | CMA_C1147 - 傳遞安全性評量結果 | 手動、已停用 | 1.1.0 |
制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
應針對高嚴重性警示啟用電子郵件通知 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請在資訊安全中心內啟用高嚴重性警示的電子郵件通知。 | AuditIfNotExists, Disabled | 1.2.0 |
應已針對高嚴重性警示啟用傳送給訂用帳戶擁有者的電子郵件通知 | 為確保訂用帳戶擁有者會在其訂用帳戶有潛在安全性缺口時收到通知,請在資訊安全中心內設定發送對象為訂用帳戶擁有者的高嚴重性警示電子郵件通知。 | AuditIfNotExists, Disabled | 2.1.0 |
建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
建立協力廠商人員安全性需求 | CMA_C1529 - 建立協力廠商人員安全性需求 | 手動、已停用 | 1.1.0 |
實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權注意事項傳遞方法 | 手動、已停用 | 1.1.0 |
實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
產生安全性評量報告 | CMA_C1146 - 產生安全性評量報告 | 手動、已停用 | 1.1.0 |
提供隱私權注意事項 | CMA_0414 - 提供隱私權注意事項 | 手動、已停用 | 1.1.0 |
要求協力廠商提供者符合人員安全性原則與程式 | CMA_C1530 - 要求協力廠商提供者符合人員安全性原則與程式 | 手動、已停用 | 1.1.0 |
限制通訊 | CMA_0449 - 限制通訊 | 手動、已停用 | 1.1.0 |
訂用帳戶應具有連絡人電子郵件地址以處理安全性問題 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請設定要接收資訊安全中心所傳來電子郵件通知的安全性連絡人。 | AuditIfNotExists, Disabled | 1.0.1 |
風險評估
COSO 準則 6
識別碼:SOC 2 Type 2 CC3.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
分類資訊 | CMA_0052 - 分類資訊 | 手動、已停用 | 1.1.0 |
判斷資訊保護需求 | CMA_C1750 - 判斷資訊保護需求 | 手動、已停用 | 1.1.0 |
制定商務分類方案 | CMA_0155 - 制定商務分類方案 | 手動、已停用 | 1.1.0 |
開發符合準則的 SSP | CMA_C1492 - 開發符合準則的 SSP | 手動、已停用 | 1.1.0 |
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
COSO 準則 7
識別碼:SOC 2 Type 2 CC3.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
虛擬機器上應啟用弱點評估解決方案 | 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 | AuditIfNotExists, Disabled | 3.0.0 |
分類資訊 | CMA_0052 - 分類資訊 | 手動、已停用 | 1.1.0 |
判斷資訊保護需求 | CMA_C1750 - 判斷資訊保護需求 | 手動、已停用 | 1.1.0 |
制定商務分類方案 | CMA_0155 - 制定商務分類方案 | 手動、已停用 | 1.1.0 |
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
應在 SQL 受控執行個體上啟用弱點評定 | 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 1.0.1 |
弱點評估應於您的 SQL 伺服器上啟用 | 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
COSO 準則 8
識別碼:SOC 2 Type 2 CC3.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
COSO 準則 9
識別碼:SOC 2 Type 2 CC3.4 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評估協力廠商關聯性中的風險 | CMA_0014 - 評估協力廠商關聯性中的風險 | 手動、已停用 | 1.1.0 |
定義供應商品及服務的需求 | CMA_0126 - 定義供應商品及服務的需求 | 手動、已停用 | 1.1.0 |
決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
建立供應鏈風險管理的原則 | CMA_0275 - 建立供應鏈風險管理的原則 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
監視活動
COSO 準則 16
識別碼:SOC 2 Type 2 CC4.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
開發安全性評量計劃 | CMA_C1144 - 開發安全性評量計劃 | 手動、已停用 | 1.1.0 |
選取安全性控制評量的其他測試 | CMA_C1149 - 選取安全性控制評量的其他測試 | 手動、已停用 | 1.1.0 |
COSO 準則 17
識別碼:SOC 2 Type 2 CC4.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
傳遞安全性評量結果 | CMA_C1147 - 傳遞安全性評量結果 | 手動、已停用 | 1.1.0 |
產生安全性評量報告 | CMA_C1146 - 產生安全性評量報告 | 手動、已停用 | 1.1.0 |
控制活動
COSO 準則 10
識別碼:SOC 2 Type 2 CC5.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
COSO 準則 11
識別碼:SOC 2 Type 2 CC5.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應針對您的訂用帳戶指定最多 3 位擁有者 | 建議您最多指定 3 位訂用帳戶擁有者,以降低遭入侵擁有者導致資料外洩的可能。 | AuditIfNotExists, Disabled | 3.0.0 |
具有 Azure 資源擁有者權限的已封鎖帳戶應移除 | 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
具有 Azure 資源擁有者權限的來賓帳戶應移除 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
應將一個以上的擁有者指派給您的訂用帳戶 | 建議指定多位訂用帳戶擁有者,如此才能設定系統管理員存取備援。 | AuditIfNotExists, Disabled | 3.0.0 |
COSO 準則 12
識別碼:SOC 2 Type 2 CC5.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
設定偵測允許清單 | CMA_0068 - 設定偵測允許清單 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
開啟端點安全性解決方案的感應器 | CMA_0514 - 開啟端點安全性解決方案的感應器 | 手動、已停用 | 1.1.0 |
進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
邏輯和實體存取控制
邏輯存取安全性軟體、基礎結構和架構
識別碼:SOC 2 Type 2 CC6.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應針對您的訂用帳戶指定最多 3 位擁有者 | 建議您最多指定 3 位訂用帳戶擁有者,以降低遭入侵擁有者導致資料外洩的可能。 | AuditIfNotExists, Disabled | 3.0.0 |
對 Azure 資源具有擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
對 Azure 資源具有讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
應該僅限透過 HTTPS 來存取 App Service 應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 4.0.0 |
App Service 應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
對 Linux 電腦進行驗證需要 SSH 金鑰 | 雖然 SSH 本身提供加密連線,但搭配使用密碼與 SSH 仍會讓 VM 容易受到暴力密碼破解攻擊。 透過 SSH 向 Azure Linux 虛擬機器進行驗證的最安全選項是使用公開-私密金鑰組,也稱為 SSH 金鑰。 深入了解:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed。 | AuditIfNotExists, Disabled | 3.2.0 |
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
應加密自動化帳戶變數 | 儲存敏感性資料時,請務必為自動化帳戶變數資產啟用加密 | Audit, Deny, Disabled | 1.1.0 |
Azure AI 服務資源應使用客戶管理的金鑰加密待用資料 (CMK) | 使用客戶管理的金鑰來加密待用資料,可提供對金鑰生命週期的更多控制,包括輪替和管理。 這與具有相關合規性需求的組織特別相關。 根據預設,這不會進行評估,而且只有在合規性或限制性原則需求需要時才應套用。 如果未啟用,則會使用平台管理的金鑰來加密資料。 若要實作此作業,請在適用範圍的安全原則中更新 'Effect' 參數。 | Audit, Deny, Disabled | 2.2.0 |
Azure Cosmos DB 帳戶應使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰來管理 Azure Cosmos DB 的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/cosmosdb-cmk。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
應該使用客戶自控金鑰來加密 Azure Machine Learning 工作區 | 使用客戶自控金鑰來管理 Azure Machine Learning 工作區資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/azureml-workspaces-cmk。 | Audit, Deny, Disabled | 1.1.0 |
具有 Azure 資源擁有者權限的已封鎖帳戶應移除 | 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
憑證應具有指定的有效期間上限 | 藉由指定憑證在金鑰保存庫中的有效期間上限,來管理組織的合規性需求。 | audit, Audit, deny, Deny, Deny, disabled, Disabled | 2.2.1 |
容器登錄應使用客戶自控金鑰加密 | 使用客戶自控金鑰來管理登錄內容的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/acr/CMK。 | Audit, Deny, Disabled | 1.1.2 |
控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
建立資料庫存 | CMA_0096 - 建立資料庫存 | 手動、已停用 | 1.1.0 |
定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
定義密碼編譯金鑰管理的組織需求 | CMA_0123 - 定義密碼編譯金鑰管理的組織需求 | 手動、已停用 | 1.1.0 |
設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
決定判斷提示需求 | CMA_0136 - 決定判斷提示需求 | 手動、已停用 | 1.1.0 |
記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
應為 MySQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 MySQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 MySQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
應為 PostgreSQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 PostgreSQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 PostgreSQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
建立資料外洩管理程序 | CMA_0255 - 建立資料外洩管理程序 | 手動、已停用 | 1.1.0 |
建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
應只能透過 HTTPS 存取函數應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 5.0.0 |
函數應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
函數應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.1.0 |
具有 Azure 資源擁有者權限的來賓帳戶應移除 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
應使用網路安全性群組保護網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制對虛擬機器的存取,以保護您的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
發行公開金鑰憑證 | CMA_0347 - 發行公開金鑰憑證 | 手動、已停用 | 1.1.0 |
Key Vault 金鑰應具有到期日 | 密碼編譯金鑰應具有已定義的到期日,而不是永久有效。 永久有效的金鑰會讓潛在攻擊者有更多的時間來危害金鑰。 建議的安全性做法是在密碼編譯金鑰上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
Key Vault 祕密應設定到期日 | 祕密應具有已定義的到期日,而不是永久有效。 永久有效的祕密會讓潛在攻擊者有更多的時間來危害祕密。 建議的安全性做法是在祕密上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
金鑰保存庫應啟用刪除保護 | 惡意刪除金鑰保存庫可能會導致永久的資料遺失。 您可以啟用清除保護和虛刪除來防止永久遺失資料。 清除保護可對虛刪除的金鑰保存庫強制執行必要的保留期間,以保護您免於遭受內部攻擊。 您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的金鑰保存庫。 請記住,在 2019 年 9 月 1 日之後建立的金鑰保存庫依預設會啟用虛刪除。 | Audit, Deny, Disabled | 2.1.0 |
金鑰保存庫應已啟用虛刪除 | 刪除未啟用虛刪除的金鑰保存庫時,將會永久刪除儲存在金鑰保存庫中的所有秘密、金鑰和憑證。 意外刪除金鑰保存庫可能會導致永久的資料遺失。 虛刪除可讓您在可設定的保留期間內復原意外刪除的金鑰保存庫。 | Audit, Deny, Disabled | 3.0.0 |
Kubernetes 叢集應只能經由 HTTPS 存取 | 使用 HTTPS 可確保驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 這個功能目前正常適合 Kubernetes 服務 (AKS),以及已啟用 Azure Arc 的 Kubernetes 的預覽版。 如需詳細資訊,請造訪 https://aka.ms/kubepolicydoc | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.2.0 |
維護個人資料的處理記錄 | CMA_0353 - 維護個人資料的處理記錄 | 手動、已停用 | 1.1.0 |
管理對稱式密碼編譯金鑰 | CMA_0367 - 管理對稱式密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
應關閉虛擬機器上的管理連接埠 | 開放的遠端管理連接埠會使您的 VM 暴露在網際網路攻擊的高風險之下。 這些攻擊會嘗試對認證發動暴力密碼破解攻擊,來取得機器的系統管理員存取權。 | AuditIfNotExists, Disabled | 3.0.0 |
MySQL 伺服器應使用客戶自控金鑰為待用資料加密 | 使用客戶自控金鑰來管理 MySQL 伺服器的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 | AuditIfNotExists, Disabled | 1.0.4 |
應使用網路安全性群組保護非網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制存取,以保護您非網際網路對應的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
只允許對您 Azure Cache for Redis 的安全連線 | 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 1.0.0 |
PostgreSQL 伺服器應使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰來管理 PostgreSQL 伺服器的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 | AuditIfNotExists, Disabled | 1.0.4 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
保護特殊資訊 | CMA_0409 - 保護特殊資訊 | 手動、已停用 | 1.1.0 |
提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
限制私密金鑰的存取 | CMA_0445 - 限制私密金鑰的存取 | 手動、已停用 | 1.1.0 |
檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
Service Fabric 叢集應將 ClusterProtectionLevel 屬性設定為 EncryptAndSign | Service Fabric 使用主要叢集憑證,可為節點對節點的通訊提供三層保護 (None、Sign 及 EncryptAndSign)。 設定保護層級可確保所有節點對節點的訊息皆經過加密及數位簽署 | Audit, Deny, Disabled | 1.1.0 |
SQL 受控執行個體應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.0 |
SQL 伺服器應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.1 |
儲存體帳戶內含的容器如有活動記錄,就必須以 BYOK 加密 | 此原則會稽核內含容器且有活動記錄的儲存體帳戶是否以 BYOK 加密。 根據設計,只有在儲存體帳戶位於與活動記錄相同的訂用帳戶時,原則才會生效。 如需 Azure 儲存體待用資料加密的詳細資訊,請參閱 https://aka.ms/azurestoragebyok。 | AuditIfNotExists, Disabled | 1.0.0 |
儲存體帳戶應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰,以更具彈性的方式保護您的 blob 和檔案儲存體帳戶。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰提供額外的功能,可用於控制金鑰輪替,或以密碼編譯的方式清除資料。 | Audit, Disabled | 1.0.3 |
子網路應該與網路安全性群組建立關聯 | 使用網路安全性群組 (NSG) 限制 VM 的存取,保護您的子網路遠離潛在威脅。 NSG 包含存取控制清單 (ACL) 規則的清單,可允許或拒絕子網路的網路流量。 | AuditIfNotExists, Disabled | 3.0.0 |
應將一個以上的擁有者指派給您的訂用帳戶 | 建議指定多位訂用帳戶擁有者,如此才能設定系統管理員存取備援。 | AuditIfNotExists, Disabled | 3.0.0 |
應在 SQL 資料庫上啟用透明資料加密 | 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 | AuditIfNotExists, Disabled | 2.0.0 |
Windows 機器應設定為使用安全通訊協定 | 若要保護透過網際網路通訊的資訊隱私權,您的機器應使用最新版的業界標準密碼編譯通訊協定,即傳輸層安全性 (TLS)。 TLS 會藉由加密機器之間的連線來保護透過網路的通訊。 | AuditIfNotExists, Disabled | 4.1.1 |
存取佈建及移除
識別碼:SOC 2 Type 2 CC6.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
指派客戶經理 | CMA_0015 - 指派客戶經理 | 手動、已停用 | 1.1.0 |
稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 | 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
文件存取權限 | CMA_0186 - 文件存取權限 | 手動、已停用 | 1.1.0 |
為角色成員資格建立條件 | CMA_0269 - 為角色成員資格建立條件 | 手動、已停用 | 1.1.0 |
具有 Azure 資源讀取權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有讀取權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
具有 Azure 資源寫入權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
檢閱使用者帳戶 | CMA_0480 - 檢閱使用者帳戶 | 手動、已停用 | 1.1.0 |
角色型存取和最低權限
識別碼:SOC 2 Type 2 CC6.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應針對您的訂用帳戶指定最多 3 位擁有者 | 建議您最多指定 3 位訂用帳戶擁有者,以降低遭入侵擁有者導致資料外洩的可能。 | AuditIfNotExists, Disabled | 3.0.0 |
稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
稽核自訂 RBAC 角色的使用方式 | 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 | Audit, Disabled | 1.0.1 |
稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
具有 Azure 資源擁有者權限的已封鎖帳戶應移除 | 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 | 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
具有 Azure 資源擁有者權限的來賓帳戶應移除 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
具有 Azure 資源讀取權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有讀取權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
具有 Azure 資源寫入權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
稽核特殊權限功能 | CMA_0378 - 監視特殊權限角色指派 | 手動、已停用 | 1.1.0 |
限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
檢閱使用者帳戶 | CMA_0480 - 檢閱使用者帳戶 | 手動、已停用 | 1.1.0 |
檢閱使用者權限 | CMA_C1039 - 檢閱使用者權限 | 手動、已停用 | 1.1.0 |
視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 若要提供使用者可執行之動作的精細篩選,請使用角色型存取控制 (RBAC) 來管理 Kubernetes Service 叢集中的權限,並設定相關的授權原則。 | Audit, Disabled | 1.0.4 |
應將一個以上的擁有者指派給您的訂用帳戶 | 建議指定多位訂用帳戶擁有者,如此才能設定系統管理員存取備援。 | AuditIfNotExists, Disabled | 3.0.0 |
使用具特殊權限身分識別管理 | CMA_0533 - 使用具特殊權限身分識別管理 | 手動、已停用 | 1.1.0 |
限制實體存取
識別碼:SOC 2 Type 2 CC6.4 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
實體資產上的邏輯和實體保護
識別碼:SOC 2 Type 2 CC6.5 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
針對系統界限外威脅採取的安全性措施
識別碼:SOC 2 Type 2 CC6.6 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:所有網際網路流量都應透過您部署的 Azure 防火牆路由 | Azure 資訊安全中心已識別出您的部分子網路未受新一代防火牆的保護。 使用 Azure 防火牆或支援的新一代防火牆來限制對子網路的存取,以保護子網路免於遭受潛在威脅 | AuditIfNotExists, Disabled | 3.0.0-preview |
具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
對 Azure 資源具有讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
應該僅限透過 HTTPS 來存取 App Service 應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 4.0.0 |
App Service 應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
對 Linux 電腦進行驗證需要 SSH 金鑰 | 雖然 SSH 本身提供加密連線,但搭配使用密碼與 SSH 仍會讓 VM 容易受到暴力密碼破解攻擊。 透過 SSH 向 Azure Linux 虛擬機器進行驗證的最安全選項是使用公開-私密金鑰組,也稱為 SSH 金鑰。 深入了解:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed。 | AuditIfNotExists, Disabled | 3.2.0 |
授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
Azure Front Door 進入點應啟用 Azure Web 應用程式防火牆 | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 1.0.2 |
控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
應為 MySQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 MySQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 MySQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
應為 PostgreSQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 PostgreSQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 PostgreSQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
應只能透過 HTTPS 存取函數應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 5.0.0 |
函數應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
函數應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.1.0 |
識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
應使用網路安全性群組保護網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制對虛擬機器的存取,以保護您的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
應停用虛擬機器上的 IP 轉送 | 在虛擬機器的 NIC 上啟用 IP 轉送可讓機器接收傳送到其他目的地的流量。 IP 轉送是極少需要的功能 (例如,當將 VM 作為網路虛擬設備使用時),因此,這應經過網路安全性小組檢閱。 | AuditIfNotExists, Disabled | 3.0.0 |
Kubernetes 叢集應只能經由 HTTPS 存取 | 使用 HTTPS 可確保驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 這個功能目前正常適合 Kubernetes 服務 (AKS),以及已啟用 Azure Arc 的 Kubernetes 的預覽版。 如需詳細資訊,請造訪 https://aka.ms/kubepolicydoc | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.2.0 |
應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
應關閉虛擬機器上的管理連接埠 | 開放的遠端管理連接埠會使您的 VM 暴露在網際網路攻擊的高風險之下。 這些攻擊會嘗試對認證發動暴力密碼破解攻擊,來取得機器的系統管理員存取權。 | AuditIfNotExists, Disabled | 3.0.0 |
應使用網路安全性群組保護非網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制存取,以保護您非網際網路對應的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
只允許對您 Azure Cache for Redis 的安全連線 | 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 1.0.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
子網路應該與網路安全性群組建立關聯 | 使用網路安全性群組 (NSG) 限制 VM 的存取,保護您的子網路遠離潛在威脅。 NSG 包含存取控制清單 (ACL) 規則的清單,可允許或拒絕子網路的網路流量。 | AuditIfNotExists, Disabled | 3.0.0 |
應為應用程式閘道啟用 Web 應用程式防火牆 (WAF) | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 2.0.0 |
Windows 機器應設定為使用安全通訊協定 | 若要保護透過網際網路通訊的資訊隱私權,您的機器應使用最新版的業界標準密碼編譯通訊協定,即傳輸層安全性 (TLS)。 TLS 會藉由加密機器之間的連線來保護透過網路的通訊。 | AuditIfNotExists, Disabled | 4.1.1 |
限制資訊移動至授權使用者
識別碼:SOC 2 Type 2 CC6.7 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
應該僅限透過 HTTPS 來存取 App Service 應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 4.0.0 |
App Service 應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
定義行動裝置需求 | CMA_0122 - 定義行動裝置需求 | 手動、已停用 | 1.1.0 |
採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
應為 MySQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 MySQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 MySQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
應為 PostgreSQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 PostgreSQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 PostgreSQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
應只能透過 HTTPS 存取函數應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 5.0.0 |
函數應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
函數應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.1.0 |
識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
應使用網路安全性群組保護網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制對虛擬機器的存取,以保護您的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
Kubernetes 叢集應只能經由 HTTPS 存取 | 使用 HTTPS 可確保驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 這個功能目前正常適合 Kubernetes 服務 (AKS),以及已啟用 Azure Arc 的 Kubernetes 的預覽版。 如需詳細資訊,請造訪 https://aka.ms/kubepolicydoc | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.2.0 |
管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
應關閉虛擬機器上的管理連接埠 | 開放的遠端管理連接埠會使您的 VM 暴露在網際網路攻擊的高風險之下。 這些攻擊會嘗試對認證發動暴力密碼破解攻擊,來取得機器的系統管理員存取權。 | AuditIfNotExists, Disabled | 3.0.0 |
應使用網路安全性群組保護非網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制存取,以保護您非網際網路對應的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
只允許對您 Azure Cache for Redis 的安全連線 | 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 1.0.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
子網路應該與網路安全性群組建立關聯 | 使用網路安全性群組 (NSG) 限制 VM 的存取,保護您的子網路遠離潛在威脅。 NSG 包含存取控制清單 (ACL) 規則的清單,可允許或拒絕子網路的網路流量。 | AuditIfNotExists, Disabled | 3.0.0 |
Windows 電腦應該設定為使用安全通訊協定 | 若要保護透過網際網路通訊的資訊隱私權,您的機器應使用最新版的業界標準密碼編譯通訊協定,即傳輸層安全性 (TLS)。 TLS 會藉由加密機器之間的連線來保護透過網路的通訊。 | AuditIfNotExists, Disabled | 4.1.1 |
防止或偵測未經授權或惡意軟體
識別碼:SOC 2 Type 2 CC6.8 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[已取代]:函式應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則已由相同名稱的新原則取代,因為 HTTP 2.0 不支援用戶端憑證。 | Audit, Disabled | 3.1.0-deprecated |
[預覽]:應在受支援的 Linux 虛擬機器上安裝來賓證明延伸模組 | 在受支援的 Linux 虛擬機器上安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明和監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量適用於可信啟動和機密 Linux 虛擬機器。 | AuditIfNotExists, Disabled | 6.0.0-preview |
[預覽]:應在受支援的 Linux 虛擬機器擴展集上安裝來賓證明延伸模組 | 在受支援的 Linux 虛擬機器擴展集上安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明和監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量適用於可信啟動和機密 Linux 虛擬機器擴展集。 | AuditIfNotExists, Disabled | 5.1.0-預覽版 |
[預覽]:應在受支援的 Windows 虛擬機器上安裝來賓證明延伸模組 | 在受支援的虛擬機器上安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明和監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量適用於可信啟動和機密 Windows 虛擬機器。 | AuditIfNotExists, Disabled | 4.0.0-preview |
[預覽]:應在受支援的 Windows 虛擬機器擴展集上安裝來賓證明延伸模組 | 在受支援的虛擬機器擴展集上安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明和監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量適用於可信啟動和機密 Windows 虛擬機器擴展集。 | AuditIfNotExists, Disabled | 3.1.0-preview |
[預覽]:應在受支援的 Windows 虛擬機器上啟用安全開機 | 在支援的 Windows 虛擬機器上啟用安全開機,以減輕對開機鏈結的惡意和未經授權變更。 啟用之後,只允許受信任的開機載入器、核心和核心驅動程式執行。 此評量適用於可信啟動和機密 Windows 虛擬機器。 | Audit, Disabled | 4.0.0-preview |
[預覽]:應在受支援的虛擬機器上啟用 vTPM | 在受支援的虛擬機器上啟用虛擬 TPM 裝置,以輔助測量開機和需要 TPM 的其他 OS 安全性功能。 啟用之後,vTPM 即可用於證明開機完整性。 此評量僅適用於已啟用可信啟動的虛擬機器。 | Audit, Disabled | 2.0.0-preview |
App Service 應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則適用於 HTTP 版本設定為 1.1 的應用程式。 | AuditIfNotExists, Disabled | 1.0.0 |
App Service 應用程式應關閉遠端偵錯 | 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
App Service 應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取您的應用程式。 僅允許必要的網域與您的應用程式互動即可。 | AuditIfNotExists, Disabled | 2.0.0 |
App Service 應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
稽核不是使用受控磁碟的 VM | 此原則會稽核未使用受控磁碟的 VM | 稽核 | 1.0.0 |
已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Azure 原則延伸模組 | Azure Arc 的 Azure 原則延伸模組提供大規模強制執行,並以集中式、一致的方式保護已啟用 Arc 的 Kubernetes 叢集。 深入了解:https://aka.ms/akspolicydoc。 | AuditIfNotExists, Disabled | 1.1.0 |
您的叢集應安裝及啟用適用於 Kubernetes Service (AKS) 的 Azure 原則附加元件 | 適用於 Kubernetes Service (AKS) 的 Azure 原則附加元件是 Gatekeeper v3 (Gatekeeper v3 是開放原則代理程式 (OPA) 的許可控制器 Webhook) 的延伸,可以統一集中的方式,大規模地對您的叢集實施及施行保護。 | Audit, Disabled | 1.0.2 |
封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
函數應用程式應關閉遠端偵錯 | 遠端偵錯需要在函數應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
函數應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取函式應用程式。 請只允許必要網域與您的函式應用程式互動。 | AuditIfNotExists, Disabled | 2.0.0 |
函數應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
應在您的電腦上安裝來賓設定延伸模組 | 若要確保電腦來賓內設定的安全設定,請安裝來賓設定延伸模組。 延伸模組會監視的客體內設定包括作業系統的設定、應用程式設定或目前狀態,以及環境設定。 安裝後便可使用客體內原則,例如「應啟用 Windows 惡意探索防護」。 深入了解:https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.3 |
容器 CPU 及記憶體資源限制不應超過 Kubernetes 叢集內指定的限制 | 強制執行容器 CPU 和記憶體資源限制,以防止 Kubernetes 叢集內的資源耗盡攻擊。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.3.0 |
Kubernetes 叢集中的容器不得共用主機處理序識別碼或主機 IPC 命名空間 | 禁止 Kubernetes 叢集內的 Pod 容器,共用主機處理序識別碼命名空間與主機 IPC 命名空間。 這項建議是 CIS 5.2.2 和 CIS 5.2.3 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.2.0 |
Kubernetes 叢集中的容器只能使用允許的 AppArmor 設定檔 | Kubernetes 叢集內的容器應該只使用允許的 AppArmor 設定檔。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
Kubernetes 叢集中的容器只能使用允許的功能 | 限制功能以減少 Kubernetes 叢集內容器的受攻擊面。 這項建議是 CIS 5.2.8 和 CIS 5.2.9 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
Kubernetes 叢集容器應該只使用允許的映像檔 | 使用來自受信任登錄的映像,以減少 Kubernetes 叢集暴露在未知弱點、安全性問題和惡意映像的風險。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.3.0 |
Kubernetes 叢集中的容器應使用唯讀的根檔案系統執行 | 使用唯讀根檔案系統執行容器,以防止在執行階段發生變更,讓惡意二進位檔新增至 Kubernetes 叢集的 PATH 中。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.3.0 |
Kubernetes 叢集中的 Pod hostPath 磁碟區只能使用允許的主機路徑 | 限制 Pod HostPath 磁碟區裝載到 Kubernetes 叢集內允許的主機路徑。 這個原則通常適合 Kubernetes 服務 (AKS),以及啟用 Azure Arc 的 Kubernetes。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
Kubernetes 叢集中的 Pod 及容器只能使用核准的使用者與群組識別碼執行 | 控制 Pod 及容器可用來在 Kubernetes 叢集內執行的使用者、主要群組、增補群組與檔案系統群組識別碼。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
Kubernetes 叢集中的 Pod 只能使用核准的主機網路及連接埠範圍 | 限制 Pod 存取 Kubernetes 叢集中的主機網路與允許的主機連接埠範圍。 這項建議是 CIS 5.2.4 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
確保服務只會接聽 Kubernetes 叢集內允許的連接埠 | 限制服務只會接聽允許的連接埠,以保護 Kubernetes 叢集的存取權。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.2.0 |
在 Kubernetes 叢集內不應允許具有特殊權限的容器 | 請勿允許在 Kubernetes 叢集內建立具有特殊權限的容器。 這項建議是 CIS 5.2.1 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.2.0 |
Kubernetes 叢集應停用自動掛接 API 認證 | 停用自動掛接 API 認證,防止可能遭盜用的 Pod 資源對 Kubernetes 叢集執行 API 命令。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 4.2.0 |
Kubernetes 叢集不應允許容器提升權限 | 請勿允許容器在 Kubernetes 叢集內以提升的根權限來執行。 這項建議是 CIS 5.2.5 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.2.0 |
Kubernetes 叢集不應授與 CAP_SYS_ADMIN 安全性功能 | 若要減少容器的攻擊面,請限制 CAP_SYS_ADMIN Linux 功能。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.1.0 |
Kubernetes 叢集不應使用預設命名空間 | 避免在 Kubernetes 叢集中使用預設命名空間,以防止未經授權存取 ConfigMap、Pod、祕密、服務和 ServiceAccount 資源類型。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 4.2.0 |
Linux 機器應符合 Azure 計算安全性基準的需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦未針對 Azure 計算安全性基準中的其中一項建議正確設定,則電腦不符合規範。 | AuditIfNotExists, Disabled | 2.2.0 |
管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
僅應安裝已核准的 VM 擴充功能 | 此原則會控管未核准的虛擬機器延伸模組。 | Audit, Deny, Disabled | 1.0.0 |
對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
每週檢閱惡意程式碼偵測報告 | CMA_0475 - 每週檢閱惡意程式碼偵測報告 | 手動、已停用 | 1.1.0 |
每週檢閱威脅防護狀態 | CMA_0479 - 每週檢閱威脅防護狀態 | 手動、已停用 | 1.1.0 |
儲存體帳戶應允許來自信任 Microsoft 服務的存取 | 有些與儲存體帳戶互動的 Microsoft 服務是從無法透過網路規則授與存取權的網路運作。 若要讓這類服務如預期方式運作,請允許受信任的 Microsoft 服務集合略過網路規則。 這些服務會使用增強式驗證存取儲存體帳戶。 | Audit, Deny, Disabled | 1.0.0 |
更新防毒定義 | CMA_0517 - 更新防毒定義 | 手動、已停用 | 1.1.0 |
驗證軟體、韌體和資訊完整性 | CMA_0542 - 驗證軟體、韌體和資訊完整性 | 手動、已停用 | 1.1.0 |
檢視和設定系統診斷資料 | CMA_0544 - 檢視和設定系統診斷資料 | 手動、已停用 | 1.1.0 |
應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 來賓設定擴充功能需要系統指派的受控識別。 安裝客體設定延伸模組但是沒有系統指派受控識別時,此原則範圍內的 Azure 虛擬機器將會不符合規範。 深入了解:https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Windows 機器應符合 Azure 計算安全性基準的需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦未針對 Azure 計算安全性基準中的其中一項建議正確設定,則電腦不符合規範。 | AuditIfNotExists, Disabled | 2.0.0 |
系統作業
偵測及監視新的弱點
識別碼:SOC 2 Type 2 CC7.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
虛擬機器上應啟用弱點評估解決方案 | 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 | AuditIfNotExists, Disabled | 3.0.0 |
為不相容的裝置設定動作 | CMA_0062 - 為不相容的裝置設定動作 | 手動、已停用 | 1.1.0 |
開發並維護基準設定 | CMA_0153 - 開發並維護基準設定 | 手動、已停用 | 1.1.0 |
啟用網路裝置的偵測 | CMA_0220 - 啟用網路裝置的偵測 | 手動、已停用 | 1.1.0 |
強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
建立組態控制委員會 | CMA_0254 - 建立組態控制委員會 | 手動、已停用 | 1.1.0 |
建立並記錄組態管理方案 | CMA_0264 - 建立並記錄組態管理方案 | 手動、已停用 | 1.1.0 |
實作自動化組態管理工具 | CMA_0311 - 實作自動化組態管理工具 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
驗證軟體、韌體和資訊完整性 | CMA_0542 - 驗證軟體、韌體和資訊完整性 | 手動、已停用 | 1.1.0 |
檢視和設定系統診斷資料 | CMA_0544 - 檢視和設定系統診斷資料 | 手動、已停用 | 1.1.0 |
應在 SQL 受控執行個體上啟用弱點評定 | 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 1.0.1 |
弱點評估應於您的 SQL 伺服器上啟用 | 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
監視系統元件中的異常行為
識別碼:SOC 2 Type 2 CC7.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:啟用 Azure Arc 的 Kubernetes 叢集應該已安裝適用於雲端的 Microsoft Defender 延伸模組 | 適用於 Azure Arc 的適用於雲端的 Microsoft Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。 該延伸模組會從叢集內的所有節點收集資料,並將其傳送到雲端的 Azure Defender for Kubernetes 後端,以進一步分析。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。 | AuditIfNotExists, Disabled | 6.0.0-preview |
特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
特定原則作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定原則作業。 | AuditIfNotExists, Disabled | 3.0.0 |
特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
應啟用適用於 App Service 的 Azure Defender | 適用於 App Service 的 Azure Defender 利用雲端的規模及雲端提供者 Azure 擁有的廣大視野,監視常見的 Web 應用程式攻擊。 | AuditIfNotExists, Disabled | 1.0.3 |
應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
應啟用適用於 Key Vault 的 Azure Defender | 適用於 Key Vault 的 Azure Defender 會透過偵測嘗試存取或惡意探索金鑰保存庫帳戶的異常及潛在有害威脅,提供一層額外的保護和安全情報。 | AuditIfNotExists, Disabled | 1.0.3 |
應啟用適用於開放原始碼關聯式資料庫的 Azure Defender | 適用於開放原始碼關聯式資料庫的 Azure Defender 會偵測意圖存取或惡意探索資料庫,並可能造成損害的異常活動。 造訪 https://aka.ms/AzDforOpenSourceDBsDocu 深入了解 Azure Defender 針對開放原始碼關聯式資料庫提供的功能。 重要:啟用此方案保護您的開放原始碼關係資料庫將會產生費用。 造訪資訊安全中心的價格頁面深入了解價格:https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
應啟用適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | AuditIfNotExists, Disabled | 1.0.0 |
應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
應啟用適用於機器上 SQL 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
Azure Kubernetes Service 叢集應已啟用 Defender 設定檔 | 適用於容器的 Microsoft Defender 提供雲端原生 Kubernetes 安全性功能,包括環境強化、工作負載保護以及執行階段防護。 您在 Azure Kubernetes Service 叢集上啟用 SecurityProfile.AzureDefender 時,代理程式會部署到您的叢集,以收集安全性事件資料。 請在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks 深入了解適用於容器的 Microsoft Defender | Audit, Disabled | 2.0.1 |
偵測未獲授權或核准的網路服務 | CMA_C1700 - 偵測尚未獲得授權或核准的網路服務 | 手動、已停用 | 1.1.0 |
控管並監視稽核處理活動 | CMA_0289 - 控管並監視稽核處理活動 | 手動、已停用 | 1.1.0 |
應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
應啟用適用於儲存體的 Microsoft Defender | 適用於儲存體的 Microsoft Defender 會偵測儲存體帳戶的潛在威脅。 這有助於防止資料和工作負載受到三大影響:惡意檔案上傳、敏感性資料外流和資料損毀。 新的適用於儲存體的 Defender 方案包括惡意程式碼掃描和敏感性資料威脅偵測。 此方案也提供可預測的價格結構 (每一儲存體帳戶),以控制涵蓋範圍和成本。 | AuditIfNotExists, Disabled | 1.0.0 |
對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
應在您的機器上啟用 Windows Defender 惡意探索防護 | Windows Defender 惡意探索防護會使用 Azure 原則客體設定代理程式。 「惡意探索防護」有四個元件,設計用來鎖定裝置,使其免於遭受惡意程式碼攻擊的各種攻擊和封鎖行為,同時讓企業能夠平衡本身的安全性風險和生產力需求 (僅限 Windows)。 | AuditIfNotExists, Disabled | 2.0.0 |
安全性事件偵測
識別碼:SOC 2 Type 2 CC7.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
安全性事件回應
識別碼:SOC 2 Type 2 CC7.4 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評估資訊安全性事件 | CMA_0013 - 評估資訊安全性事件 | 手動、已停用 | 1.1.0 |
使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
開發安全性保護 | CMA_0161 - 開發安全性保護 | 手動、已停用 | 1.1.0 |
應針對高嚴重性警示啟用電子郵件通知 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請在資訊安全中心內啟用高嚴重性警示的電子郵件通知。 | AuditIfNotExists, Disabled | 1.2.0 |
應已針對高嚴重性警示啟用傳送給訂用帳戶擁有者的電子郵件通知 | 為確保訂用帳戶擁有者會在其訂用帳戶有潛在安全性缺口時收到通知,請在資訊安全中心內設定發送對象為訂用帳戶擁有者的高嚴重性警示電子郵件通知。 | AuditIfNotExists, Disabled | 2.1.0 |
啟用網路保護 | CMA_0238 - 啟用網路保護 | 手動、已停用 | 1.1.0 |
消除洩漏的資訊 | CMA_0253 - 消除洩漏的資訊 | 手動、已停用 | 1.1.0 |
執行動作以回應資訊洩漏 | CMA_0281 - 執行動作以回應資訊洩漏 | 手動、已停用 | 1.1.0 |
識別事件類別和已採取的動作 | CMA_C1365 - 識別已採取的事件和動作類別 | 手動、已停用 | 1.1.0 |
實作事件處理 | CMA_0318 - 實作事件處理 | 手動、已停用 | 1.1.0 |
包含客戶部署資源的動態重新設定 | CMA_C1364 - 包含客戶部署資源的動態重新設定 | 手動、已停用 | 1.1.0 |
維護事件回應計劃 | CMA_0352 - 維護事件回應計劃 | 手動、已停用 | 1.1.0 |
應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
訂用帳戶應具有連絡人電子郵件地址以處理安全性問題 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請設定要接收資訊安全中心所傳來電子郵件通知的安全性連絡人。 | AuditIfNotExists, Disabled | 1.0.1 |
檢視和調查受限的使用者 | CMA_0545 - 檢視和調查受限的使用者 | 手動、已停用 | 1.1.0 |
從已識別的安全性事件復原
識別碼:SOC 2 Type 2 CC7.5 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評估資訊安全性事件 | CMA_0013 - 評估資訊安全性事件 | 手動、已停用 | 1.1.0 |
進行事件回應測試 | CMA_0060 - 進行事件回應測試 | 手動、已停用 | 1.1.0 |
使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
與外部組織協調以達成跨組織檢視 | CMA_C1368 - 與外部組織協調以達成跨組織檢視 | 手動、已停用 | 1.1.0 |
制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
開發安全性保護 | CMA_0161 - 開發安全性保護 | 手動、已停用 | 1.1.0 |
應針對高嚴重性警示啟用電子郵件通知 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請在資訊安全中心內啟用高嚴重性警示的電子郵件通知。 | AuditIfNotExists, Disabled | 1.2.0 |
應已針對高嚴重性警示啟用傳送給訂用帳戶擁有者的電子郵件通知 | 為確保訂用帳戶擁有者會在其訂用帳戶有潛在安全性缺口時收到通知,請在資訊安全中心內設定發送對象為訂用帳戶擁有者的高嚴重性警示電子郵件通知。 | AuditIfNotExists, Disabled | 2.1.0 |
啟用網路保護 | CMA_0238 - 啟用網路保護 | 手動、已停用 | 1.1.0 |
消除洩漏的資訊 | CMA_0253 - 消除洩漏的資訊 | 手動、已停用 | 1.1.0 |
建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
執行動作以回應資訊洩漏 | CMA_0281 - 執行動作以回應資訊洩漏 | 手動、已停用 | 1.1.0 |
實作事件處理 | CMA_0318 - 實作事件處理 | 手動、已停用 | 1.1.0 |
維護事件回應計劃 | CMA_0352 - 維護事件回應計劃 | 手動、已停用 | 1.1.0 |
應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
執行模擬攻擊 | CMA_0486 - 執行模擬攻擊 | 手動、已停用 | 1.1.0 |
訂用帳戶應具有連絡人電子郵件地址以處理安全性問題 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請設定要接收資訊安全中心所傳來電子郵件通知的安全性連絡人。 | AuditIfNotExists, Disabled | 1.0.1 |
檢視和調查受限的使用者 | CMA_0545 - 檢視和調查受限的使用者 | 手動、已停用 | 1.1.0 |
變更管理
基礎結構、資料和軟體的變更
識別碼:SOC 2 Type 2 CC8.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[已取代]:函式應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則已由相同名稱的新原則取代,因為 HTTP 2.0 不支援用戶端憑證。 | Audit, Disabled | 3.1.0-deprecated |
[預覽]:應在受支援的 Linux 虛擬機器上安裝來賓證明延伸模組 | 在受支援的 Linux 虛擬機器上安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明和監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量適用於可信啟動和機密 Linux 虛擬機器。 | AuditIfNotExists, Disabled | 6.0.0-preview |
[預覽]:應在受支援的 Linux 虛擬機器擴展集上安裝來賓證明延伸模組 | 在受支援的 Linux 虛擬機器擴展集上安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明和監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量適用於可信啟動和機密 Linux 虛擬機器擴展集。 | AuditIfNotExists, Disabled | 5.1.0-預覽版 |
[預覽]:應在受支援的 Windows 虛擬機器上安裝來賓證明延伸模組 | 在受支援的虛擬機器上安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明和監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量適用於可信啟動和機密 Windows 虛擬機器。 | AuditIfNotExists, Disabled | 4.0.0-preview |
[預覽]:應在受支援的 Windows 虛擬機器擴展集上安裝來賓證明延伸模組 | 在受支援的虛擬機器擴展集上安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明和監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量適用於可信啟動和機密 Windows 虛擬機器擴展集。 | AuditIfNotExists, Disabled | 3.1.0-preview |
[預覽]:應在受支援的 Windows 虛擬機器上啟用安全開機 | 在支援的 Windows 虛擬機器上啟用安全開機,以減輕對開機鏈結的惡意和未經授權變更。 啟用之後,只允許受信任的開機載入器、核心和核心驅動程式執行。 此評量適用於可信啟動和機密 Windows 虛擬機器。 | Audit, Disabled | 4.0.0-preview |
[預覽]:應在受支援的虛擬機器上啟用 vTPM | 在受支援的虛擬機器上啟用虛擬 TPM 裝置,以輔助測量開機和需要 TPM 的其他 OS 安全性功能。 啟用之後,vTPM 即可用於證明開機完整性。 此評量僅適用於已啟用可信啟動的虛擬機器。 | Audit, Disabled | 2.0.0-preview |
App Service 應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則適用於 HTTP 版本設定為 1.1 的應用程式。 | AuditIfNotExists, Disabled | 1.0.0 |
App Service 應用程式應關閉遠端偵錯 | 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
App Service 應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取您的應用程式。 僅允許必要的網域與您的應用程式互動即可。 | AuditIfNotExists, Disabled | 2.0.0 |
App Service 應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
稽核不是使用受控磁碟的 VM | 此原則會稽核未使用受控磁碟的 VM | 稽核 | 1.0.0 |
已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Azure 原則延伸模組 | Azure Arc 的 Azure 原則延伸模組提供大規模強制執行,並以集中式、一致的方式保護已啟用 Arc 的 Kubernetes 叢集。 深入了解:https://aka.ms/akspolicydoc。 | AuditIfNotExists, Disabled | 1.1.0 |
您的叢集應安裝及啟用適用於 Kubernetes Service (AKS) 的 Azure 原則附加元件 | 適用於 Kubernetes Service (AKS) 的 Azure 原則附加元件是 Gatekeeper v3 (Gatekeeper v3 是開放原則代理程式 (OPA) 的許可控制器 Webhook) 的延伸,可以統一集中的方式,大規模地對您的叢集實施及施行保護。 | Audit, Disabled | 1.0.2 |
進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
為不相容的裝置設定動作 | CMA_0062 - 為不相容的裝置設定動作 | 手動、已停用 | 1.1.0 |
制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
開發並維護基準設定 | CMA_0153 - 開發並維護基準設定 | 手動、已停用 | 1.1.0 |
強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
建立組態控制委員會 | CMA_0254 - 建立組態控制委員會 | 手動、已停用 | 1.1.0 |
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
建立並記錄組態管理方案 | CMA_0264 - 建立並記錄組態管理方案 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
函數應用程式應關閉遠端偵錯 | 遠端偵錯需要在函數應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
函數應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取函式應用程式。 請只允許必要網域與您的函式應用程式互動。 | AuditIfNotExists, Disabled | 2.0.0 |
函數應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
應在您的電腦上安裝來賓設定延伸模組 | 若要確保電腦來賓內設定的安全設定,請安裝來賓設定延伸模組。 延伸模組會監視的客體內設定包括作業系統的設定、應用程式設定或目前狀態,以及環境設定。 安裝後便可使用客體內原則,例如「應啟用 Windows 惡意探索防護」。 深入了解:https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.3 |
實作自動化組態管理工具 | CMA_0311 - 實作自動化組態管理工具 | 手動、已停用 | 1.1.0 |
容器 CPU 及記憶體資源限制不應超過 Kubernetes 叢集內指定的限制 | 強制執行容器 CPU 和記憶體資源限制,以防止 Kubernetes 叢集內的資源耗盡攻擊。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.3.0 |
Kubernetes 叢集中的容器不得共用主機處理序識別碼或主機 IPC 命名空間 | 禁止 Kubernetes 叢集內的 Pod 容器,共用主機處理序識別碼命名空間與主機 IPC 命名空間。 這項建議是 CIS 5.2.2 和 CIS 5.2.3 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.2.0 |
Kubernetes 叢集中的容器只能使用允許的 AppArmor 設定檔 | Kubernetes 叢集內的容器應該只使用允許的 AppArmor 設定檔。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
Kubernetes 叢集中的容器只能使用允許的功能 | 限制功能以減少 Kubernetes 叢集內容器的受攻擊面。 這項建議是 CIS 5.2.8 和 CIS 5.2.9 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
Kubernetes 叢集容器應該只使用允許的映像檔 | 使用來自受信任登錄的映像,以減少 Kubernetes 叢集暴露在未知弱點、安全性問題和惡意映像的風險。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.3.0 |
Kubernetes 叢集中的容器應使用唯讀的根檔案系統執行 | 使用唯讀根檔案系統執行容器,以防止在執行階段發生變更,讓惡意二進位檔新增至 Kubernetes 叢集的 PATH 中。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.3.0 |
Kubernetes 叢集中的 Pod hostPath 磁碟區只能使用允許的主機路徑 | 限制 Pod HostPath 磁碟區裝載到 Kubernetes 叢集內允許的主機路徑。 這個原則通常適合 Kubernetes 服務 (AKS),以及啟用 Azure Arc 的 Kubernetes。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
Kubernetes 叢集中的 Pod 及容器只能使用核准的使用者與群組識別碼執行 | 控制 Pod 及容器可用來在 Kubernetes 叢集內執行的使用者、主要群組、增補群組與檔案系統群組識別碼。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
Kubernetes 叢集中的 Pod 只能使用核准的主機網路及連接埠範圍 | 限制 Pod 存取 Kubernetes 叢集中的主機網路與允許的主機連接埠範圍。 這項建議是 CIS 5.2.4 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
確保服務只會接聽 Kubernetes 叢集內允許的連接埠 | 限制服務只會接聽允許的連接埠,以保護 Kubernetes 叢集的存取權。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.2.0 |
在 Kubernetes 叢集內不應允許具有特殊權限的容器 | 請勿允許在 Kubernetes 叢集內建立具有特殊權限的容器。 這項建議是 CIS 5.2.1 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.2.0 |
Kubernetes 叢集應停用自動掛接 API 認證 | 停用自動掛接 API 認證,防止可能遭盜用的 Pod 資源對 Kubernetes 叢集執行 API 命令。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 4.2.0 |
Kubernetes 叢集不應允許容器提升權限 | 請勿允許容器在 Kubernetes 叢集內以提升的根權限來執行。 這項建議是 CIS 5.2.5 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.2.0 |
Kubernetes 叢集不應授與 CAP_SYS_ADMIN 安全性功能 | 若要減少容器的攻擊面,請限制 CAP_SYS_ADMIN Linux 功能。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.1.0 |
Kubernetes 叢集不應使用預設命名空間 | 避免在 Kubernetes 叢集中使用預設命名空間,以防止未經授權存取 ConfigMap、Pod、祕密、服務和 ServiceAccount 資源類型。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 4.2.0 |
Linux 機器應符合 Azure 計算安全性基準的需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦未針對 Azure 計算安全性基準中的其中一項建議正確設定,則電腦不符合規範。 | AuditIfNotExists, Disabled | 2.2.0 |
僅應安裝已核准的 VM 擴充功能 | 此原則會控管未核准的虛擬機器延伸模組。 | Audit, Deny, Disabled | 1.0.0 |
執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
儲存體帳戶應允許來自信任 Microsoft 服務的存取 | 有些與儲存體帳戶互動的 Microsoft 服務是從無法透過網路規則授與存取權的網路運作。 若要讓這類服務如預期方式運作,請允許受信任的 Microsoft 服務集合略過網路規則。 這些服務會使用增強式驗證存取儲存體帳戶。 | Audit, Deny, Disabled | 1.0.0 |
應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 來賓設定擴充功能需要系統指派的受控識別。 安裝客體設定延伸模組但是沒有系統指派受控識別時,此原則範圍內的 Azure 虛擬機器將會不符合規範。 深入了解:https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Windows 機器應符合 Azure 計算安全性基準的需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦未針對 Azure 計算安全性基準中的其中一項建議正確設定,則電腦不符合規範。 | AuditIfNotExists, Disabled | 2.0.0 |
風險降低
風險降低活動
識別碼:SOC 2 Type 2 CC9.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
判斷資訊保護需求 | CMA_C1750 - 判斷資訊保護需求 | 手動、已停用 | 1.1.0 |
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
廠商和商務合作夥伴風險管理
識別碼:SOC 2 Type 2 CC9.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評估協力廠商關聯性中的風險 | CMA_0014 - 評估協力廠商關聯性中的風險 | 手動、已停用 | 1.1.0 |
定義供應商品及服務的需求 | CMA_0126 - 定義供應商品及服務的需求 | 手動、已停用 | 1.1.0 |
定義處理者的職責 | CMA_0127 - 定義處理者的職責 | 手動、已停用 | 1.1.0 |
決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
建立供應鏈風險管理的原則 | CMA_0275 - 建立供應鏈風險管理的原則 | 手動、已停用 | 1.1.0 |
建立協力廠商人員安全性需求 | CMA_C1529 - 建立協力廠商人員安全性需求 | 手動、已停用 | 1.1.0 |
監視協力廠商提供者合規性 | CMA_C1533 - 監視協力廠商提供者合規性 | 手動、已停用 | 1.1.0 |
記錄向第三方洩漏 PII 的情況 | CMA_0422 - 記錄向第三方洩漏 PII 的情況 | 手動、已停用 | 1.1.0 |
要求協力廠商提供者符合人員安全性原則與程式 | CMA_C1530 - 要求協力廠商提供者符合人員安全性原則與程式 | 手動、已停用 | 1.1.0 |
訓練員工在 PII 分享及其結果 | CMA_C1871 - 訓練員工在 PII 分享及其結果 | 手動、已停用 | 1.1.0 |
隱私權的其他準則
隱私權通知
識別碼:SOC 2 Type 2 P1.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
記錄及散發隱私權原則 | CMA_0188 - 記錄及散發隱私權原則 | 手動、已停用 | 1.1.0 |
確認隱私權計畫資訊已公開 | CMA_C1867 - 確認隱私權計畫資訊已公開 | 手動、已停用 | 1.1.0 |
實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權注意事項傳遞方法 | 手動、已停用 | 1.1.0 |
提供隱私權注意事項 | CMA_0414 - 提供隱私權注意事項 | 手動、已停用 | 1.1.0 |
向大眾及個人提供隱私權注意事項 | CMA_C1861 - 向大眾及個人提供隱私權注意事項 | 手動、已停用 | 1.1.0 |
隱私權同意
識別碼:SOC 2 Type 2 P2.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權注意事項傳遞方法 | 手動、已停用 | 1.1.0 |
在收集或處理個人資料之前取得同意 | CMA_0385 - 在收集或處理個人資料之前取得同意 | 手動、已停用 | 1.1.0 |
提供隱私權注意事項 | CMA_0414 - 提供隱私權注意事項 | 手動、已停用 | 1.1.0 |
一致的個人資訊收集
識別碼:SOC 2 Type 2 P3.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
決定收集 PII 的法律授權單位 | CMA_C1800:決定收集 PII 的法律授權單位 | 手動、已停用 | 1.1.0 |
記錄程式以確保 PII 的完整性 | CMA_C1827 - 記錄程式以確保 PII 的完整性 | 手動、已停用 | 1.1.0 |
定期評估及檢閱 PII 存取 | CMA_C1832 - 定期評估及檢閱 PII 存取 | 手動、已停用 | 1.1.0 |
在收集或處理個人資料之前取得同意 | CMA_0385 - 在收集或處理個人資料之前取得同意 | 手動、已停用 | 1.1.0 |
個人資訊明確同意
識別碼:SOC 2 Type 2 P3.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
直接向個人收集 PII | CMA_C1822:直接向個人收集 PII | 手動、已停用 | 1.1.0 |
在收集或處理個人資料之前取得同意 | CMA_0385 - 在收集或處理個人資料之前取得同意 | 手動、已停用 | 1.1.0 |
個人資訊使用
識別碼:SOC 2 Type 2 P4.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
記錄處理個人資訊的法律基礎 | CMA_0206 - 記錄處理個人資訊的法律基礎 | 手動、已停用 | 1.1.0 |
實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權注意事項傳遞方法 | 手動、已停用 | 1.1.0 |
在收集或處理個人資料之前取得同意 | CMA_0385 - 在收集或處理個人資料之前取得同意 | 手動、已停用 | 1.1.0 |
提供隱私權注意事項 | CMA_0414 - 提供隱私權注意事項 | 手動、已停用 | 1.1.0 |
限制通訊 | CMA_0449 - 限制通訊 | 手動、已停用 | 1.1.0 |
個人資訊保留
識別碼:SOC 2 Type 2 P4.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
記錄程式以確保 PII 的完整性 | CMA_C1827 - 記錄程式以確保 PII 的完整性 | 手動、已停用 | 1.1.0 |
個人資訊處置
識別碼:SOC 2 Type 2 P4.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
執行處置檢閱 | CMA_0391 - 執行處置檢閱 | 手動、已停用 | 1.1.0 |
在處理結束時,確認個人資料已刪除 | CMA_0540 - 在處理結束時,確認個人資料已刪除 | 手動、已停用 | 1.1.0 |
個人資訊存取
識別碼:SOC 2 Type 2 P5.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
為消費者要求實作方法 | CMA_0319 - 為消費者要求實作方法 | 手動、已停用 | 1.1.0 |
發佈存取隱私權法記錄的規則與法規 | CMA_C1847 - 發佈存取隱私權法記錄的規則與法規 | 手動、已停用 | 1.1.0 |
個人資訊修正
識別碼:SOC 2 Type 2 P5.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
回應修正要求 | CMA_0442:回應修正要求 | 手動、已停用 | 1.1.0 |
個人資訊第三方揭露
識別碼:SOC 2 Type 2 P6.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
定義處理者的職責 | CMA_0127 - 定義處理者的職責 | 手動、已停用 | 1.1.0 |
決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
建立承包商和服務提供者的隱私權需求 | CMA_C1810 - 建立承包商和服務提供者的隱私權需求 | 手動、已停用 | 1.1.0 |
記錄向第三方洩漏 PII 的情況 | CMA_0422 - 記錄向第三方洩漏 PII 的情況 | 手動、已停用 | 1.1.0 |
訓練員工在 PII 分享及其結果 | CMA_C1871 - 訓練員工在 PII 分享及其結果 | 手動、已停用 | 1.1.0 |
已授權揭露個人資訊記錄
識別碼:SOC 2 Type 2 P6.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
正確處理資訊洩漏 | CMA_C1818 - 正確處理資訊洩漏 | 手動、已停用 | 1.1.0 |
未經授權揭露個人資訊記錄
識別碼:SOC 2 Type 2 P6.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
正確處理資訊洩漏 | CMA_C1818 - 正確處理資訊洩漏 | 手動、已停用 | 1.1.0 |
第三方合約
識別碼:SOC 2 Type 2 P6.4 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
定義處理者的職責 | CMA_0127 - 定義處理者的職責 | 手動、已停用 | 1.1.0 |
第三方未經授權的揭露通知
識別碼:SOC 2 Type 2 P6.5 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
資訊安全性和個人資料保護 | CMA_0332 - 資訊安全性和個人資料保護 | 手動、已停用 | 1.1.0 |
隱私權事件通知
識別碼:SOC 2 Type 2 P6.6 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
資訊安全性和個人資料保護 | CMA_0332 - 資訊安全性和個人資料保護 | 手動、已停用 | 1.1.0 |
個人資訊揭露的會計
識別碼:SOC 2 Type 2 P6.7 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權注意事項傳遞方法 | 手動、已停用 | 1.1.0 |
正確處理資訊洩漏 | CMA_C1818 - 正確處理資訊洩漏 | 手動、已停用 | 1.1.0 |
根據要求對揭露進行帳戶處理 | CMA_C1820 - 根據要求對揭露進行帳戶處理 | 手動、已停用 | 1.1.0 |
提供隱私權注意事項 | CMA_0414 - 提供隱私權注意事項 | 手動、已停用 | 1.1.0 |
限制通訊 | CMA_0449 - 限制通訊 | 手動、已停用 | 1.1.0 |
個人資訊品質
識別碼:SOC 2 Type 2 P7.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
確認 PII 的品質與完整性 | CMA_C1821 - 確認 PII 的品質與完整性 | 手動、已停用 | 1.1.0 |
確定資料品質和完整性的指導方針 | CMA_C1824 - 確定資料品質和完整性的指導方針 | 手動、已停用 | 1.1.0 |
驗證不正確或過期的 PII | CMA_C1823:驗證不正確或過期的 PII | 手動、已停用 | 1.1.0 |
隱私權抱怨管理和合規性管理
識別碼:SOC 2 Type 2 P8.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
記錄並實作隱私權合規程序 | CMA_0189 - 記錄並實作隱私權合規程序 | 手動、已停用 | 1.1.0 |
定期評估及檢閱 PII 存取 | CMA_C1832 - 定期評估及檢閱 PII 存取 | 手動、已停用 | 1.1.0 |
資訊安全性和個人資料保護 | CMA_0332 - 資訊安全性和個人資料保護 | 手動、已停用 | 1.1.0 |
及時回應抱怨、疑慮或問題 | CMA_C1853:及時回應抱怨、疑慮或問題 | 手動、已停用 | 1.1.0 |
訓練員工在 PII 分享及其結果 | CMA_C1871 - 訓練員工在 PII 分享及其結果 | 手動、已停用 | 1.1.0 |
處理完整性的其他準則
資料處理定義
識別碼:SOC 2 Type 2 PI1.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權注意事項傳遞方法 | 手動、已停用 | 1.1.0 |
提供隱私權注意事項 | CMA_0414 - 提供隱私權注意事項 | 手動、已停用 | 1.1.0 |
限制通訊 | CMA_0449 - 限制通訊 | 手動、已停用 | 1.1.0 |
系統輸入超過完整性和正確性
識別碼:SOC 2 Type 2 PI1.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
執行資訊輸入驗證 | CMA_C1723 - 執行資訊輸入驗證 | 手動、已停用 | 1.1.0 |
系統處理
識別碼:SOC 2 Type 2 PI1.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
產生錯誤訊息 | CMA_C1724 - 產生錯誤訊息 | 手動、已停用 | 1.1.0 |
管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
執行資訊輸入驗證 | CMA_C1723 - 執行資訊輸入驗證 | 手動、已停用 | 1.1.0 |
檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
系統輸出完整、精確且及時
識別碼:SOC 2 Type 2 PI1.4 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
完全、正確且及時儲存輸入和輸出
識別碼:SOC 2 Type 2 PI1.5 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應該為虛擬機器啟用 Azure 備份 | 藉由啟用 Azure 備份,確保您的 Azure 虛擬機器受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists, Disabled | 3.0.0 |
控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
建立備份原則和程序 | CMA_0268 - 建立備份原則和程序 | 手動、已停用 | 1.1.0 |
應為適用於 MariaDB 的 Azure 資料庫啟用異地備援備份 | 適用於 MariaDB 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
應為適用於 MySQL 的 Azure 資料庫啟用異地備援備份 | 適用於 MySQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
應為適用於 PostgreSQL 的 Azure 資料庫啟用異地備援備份 | 適用於 PostgreSQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
個別存放備份資訊 | CMA_C1293 - 個別存放備份資訊 | 手動、已停用 | 1.1.0 |
下一步
有關 Azure 原則的其他文章:
- 法規合規性概觀。
- 請參閱方案定義結構。
- 在 Azure 原則範例檢閱其他範例。
- 檢閱了解原則效果。
- 了解如何補救不符合規範的資源。