分享方式:


UK OFFICIAL 與 UK NHS 法規合規性內建方案的詳細資料

下列文章詳細說明 Azure 原則法規合規性內建方案定義如何對應至 UK OFFICIAL 與 UK NHS 中的合規性領域控制措施。 如需此合規性標準的詳細資訊,請參閱 UK OFFICIAL 與 UK NHS (英文)。 若要了解所有權,請檢閱原則類型雲端中共同承擔的責任

以下是 UK OFFICIAL 和 UK NHS 控制項的對應。 許多控制措施都是以 Azure 原則方案定義實作的。 若要檢閱完整方案定義,請在 Azure 入口網站中開啟 [原則],然後選取 [定義] 頁面。 然後,尋找並選取 UK OFFICIAL 與 UK NHS 法規合規性內建方案的定義。

重要

下列每個控制措施都與一或多個 Azure 原則定義相關聯。 這些原則可協助您使用工具存取合規性;不過,控制措施和一或多個原則之間,通常不是一對一或完整對應。 因此,Azure 原則中的符合規範只是指原則定義本身,這不保證您完全符合所有控制措施需求的規範。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 此合規性標準的合規性領域、控制措施與 Azure 原則定義之間的關聯,可能會隨著時間而改變。 若要檢視變更歷程記錄,請參閱 GitHub 認可歷程記錄 \(英文\)。

傳輸中的資料保護

傳輸中的資料保護

識別碼:UK NCSC CSP 1 擁有權:共用

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應該僅限透過 HTTPS 來存取 App Service 應用程式 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 稽核、停用、拒絕 4.0.0
應只能透過 HTTPS 存取函數應用程式 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 稽核、停用、拒絕 5.0.0
只允許對您 Azure Cache for Redis 的安全連線 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 Audit, Deny, Disabled 1.0.0
應啟用儲存體帳戶的安全傳輸 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 Audit, Deny, Disabled 2.0.0
Windows 機器應設定為使用安全通訊協定 若要保護透過網際網路通訊的資訊隱私權,您的機器應使用最新版的業界標準密碼編譯通訊協定,即傳輸層安全性 (TLS)。 TLS 會藉由加密機器之間的連線來保護透過網路的通訊。 AuditIfNotExists, Disabled 4.1.1

身分識別和驗證

身分識別和驗證

識別碼:UK NCSC CSP 10 擁有權:共用

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
具有 Azure 資源擁有者權限的帳戶應啟用 MFA 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 AuditIfNotExists, Disabled 1.0.0
對 Azure 資源具有讀取權限的帳戶應啟用 MFA 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 AuditIfNotExists, Disabled 1.0.0
具有 Azure 資源寫入權限的帳戶應啟用 MFA 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 AuditIfNotExists, Disabled 1.0.0
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.1.0
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.1.0
應針對 SQL 伺服器佈建 Azure Active Directory 管理員 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 AuditIfNotExists, Disabled 1.0.0
稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果允許不使用密碼從帳戶遠端連線的 Linux 電腦,則電腦不相容 AuditIfNotExists, Disabled 3.1.0
稽核密碼檔權限未設為 0644 的 Linux 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果密碼檔案權限未設為 0644 的 Linux 電腦,則電腦不相容 AuditIfNotExists, Disabled 3.1.0
稽核有不需要密碼之帳戶的 Linux 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Linux 電腦有不需要密碼的帳戶,則電腦不相容 AuditIfNotExists, Disabled 3.1.0
稽核不是使用受控磁碟的 VM 此原則會稽核未使用受控磁碟的 VM 稽核 1.0.0
稽核允許在指定的唯一密碼數目之後重複使用密碼的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器允許在指定的唯一密碼數目之後重複使用密碼,則機器不符合規範。 唯一密碼的預設值為 24 AuditIfNotExists, Disabled 2.1.0
稽核未將密碼最長有效期設定為指定天數的 Windows 機器 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器未將密碼最長有效期設定為指定天數,則機器不符合規範。 密碼最長有效期的預設值為 70 天 AuditIfNotExists, Disabled 2.1.0
稽核未將密碼最短有效期設定為指定天數的 Windows 機器 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器未將密碼最短有效期設定為指定天數,則機器不符合規範。 密碼最短有效期的預設值為 1 天 AuditIfNotExists, Disabled 2.1.0
稽核未啟用密碼複雜度設定的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未啟用密碼複雜度設定,則電腦不相容 AuditIfNotExists, Disabled 2.0.0
稽核未將密碼長度下限限制為指定字元數的 Windows 機器 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器未將密碼長度下限限制為指定的字元數,機器就不符合規範。 密碼長度下限的預設值為 14 個字元 AuditIfNotExists, Disabled 2.1.0
具有 Azure 資源擁有者權限的已封鎖帳戶應移除 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 AuditIfNotExists, Disabled 1.0.0
具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 AuditIfNotExists, Disabled 1.0.0
部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol deployIfNotExists 3.1.0
在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol deployIfNotExists 1.2.0
具有 Azure 資源擁有者權限的來賓帳戶應移除 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 AuditIfNotExists, Disabled 1.0.0
具有 Azure 資源讀取權限的來賓帳戶應移除 請移除您訂用帳戶中,具有讀取權限的外部帳戶,以避免出現未受監視的存取。 AuditIfNotExists, Disabled 1.0.0
具有 Azure 資源寫入權限的來賓帳戶應移除 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 AuditIfNotExists, Disabled 1.0.0
Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證 稽核 Service Fabric 中僅透過 Azure Active Directory 的用戶端驗證使用方式 Audit, Deny, Disabled 1.1.0
儲存體帳戶應移轉至新的 Azure Resource Manager 資源 在您的儲存體帳戶使用新的 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆 Audit, Deny, Disabled 1.0.0
虛擬機器應遷移到新的 Azure Resource Manager 資源 在您的虛擬機器使用新 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆。 Audit, Deny, Disabled 1.0.0

外部介面保護

外部介面保護

識別碼:UK NCSC CSP 11 擁有權:共用

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 AuditIfNotExists, Disabled 3.0.0
App Service 應用程式應關閉遠端偵錯 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 AuditIfNotExists, Disabled 2.0.0
函數應用程式應關閉遠端偵錯 遠端偵錯需要在函數應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 AuditIfNotExists, Disabled 2.0.0
應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 AuditIfNotExists, Disabled 3.0.0
儲存體帳戶應限制網路存取 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 Audit, Deny, Disabled 1.1.1

稽核使用者的資訊

稽核使用者的資訊

識別碼:UK NCSC CSP 13 擁有權:共用

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
稽核所選資源類型的診斷設定 稽核所選資源類型的診斷設定。 務必只選取支援診斷設定的資源類型。 AuditIfNotExists 2.0.1
應啟用 SQL 伺服器上的稽核 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 AuditIfNotExists, Disabled 2.0.0
應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 AuditIfNotExists, Disabled 2.0.1

資產保護和復原

待用資料保護

識別碼:UK NCSC CSP 2.3 擁有權:共用

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應加密自動化帳戶變數 儲存敏感性資料時,請務必為自動化帳戶變數資產啟用加密 Audit, Deny, Disabled 1.1.0
Service Fabric 叢集應將 ClusterProtectionLevel 屬性設定為 EncryptAndSign Service Fabric 使用主要叢集憑證,可為節點對節點的通訊提供三層保護 (None、Sign 及 EncryptAndSign)。 設定保護層級可確保所有節點對節點的訊息皆經過加密及數位簽署 Audit, Deny, Disabled 1.1.0
應在 SQL 資料庫上啟用透明資料加密 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 AuditIfNotExists, Disabled 2.0.0

作業安全性

弱點管理

識別碼:UK NCSC CSP 5.2 擁有權:共用

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
虛擬機器上應啟用弱點評估解決方案 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 AuditIfNotExists, Disabled 3.0.0
應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 AuditIfNotExists, Disabled 2.0.1
應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 AuditIfNotExists, Disabled 1.0.2
SQL 資料庫應已解決發現的弱點 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 AuditIfNotExists, Disabled 4.1.0
您應在機器上修復安全性組態的弱點 Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 AuditIfNotExists, Disabled 3.1.0
應在 SQL 受控執行個體上啟用弱點評定 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 AuditIfNotExists, Disabled 1.0.1
弱點評估應於您的 SQL 伺服器上啟用 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 AuditIfNotExists, Disabled 3.0.0

防護監視

識別碼:UK NCSC CSP 5.3 擁有權:共用

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
稽核未設定災害復原的虛擬機器 稽核未設定災害復原的虛擬機器。 若要深入了解災害復原,請造訪 https://aka.ms/asr-doc auditIfNotExists 1.0.0
應該啟用 Azure DDoS 保護 所有虛擬網路只要其子網路屬於使用公用 IP 的應用程式閘道,就應啟用 DDoS 保護。 AuditIfNotExists, Disabled 3.0.1
儲存體帳戶應限制網路存取 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 Audit, Deny, Disabled 1.1.1

安全的使用者管理

管理介面和支援管道的使用者驗證

識別碼:UK NCSC CSP 9.1 擁有權:共用

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
具有 Azure 資源擁有者權限的帳戶應啟用 MFA 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 AuditIfNotExists, Disabled 1.0.0
對 Azure 資源具有讀取權限的帳戶應啟用 MFA 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 AuditIfNotExists, Disabled 1.0.0
具有 Azure 資源寫入權限的帳戶應啟用 MFA 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 AuditIfNotExists, Disabled 1.0.0
具有 Azure 資源擁有者權限的來賓帳戶應移除 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 AuditIfNotExists, Disabled 1.0.0
具有 Azure 資源讀取權限的來賓帳戶應移除 請移除您訂用帳戶中,具有讀取權限的外部帳戶,以避免出現未受監視的存取。 AuditIfNotExists, Disabled 1.0.0
具有 Azure 資源寫入權限的來賓帳戶應移除 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 AuditIfNotExists, Disabled 1.0.0

下一步

有關 Azure 原則的其他文章: