適用於 Azure API 管理的 Azure 原則法規合規性控制
適用於:所有 API 管理 層
Azure 原則中的法規合規性可針對與不同合規性標準相關的合規性網域和安全性控制,提供 Microsoft 建立和管理的方案定義 (稱為「內建項目」)。 此頁面列出適用於 Azure API 管理的合規性網域和安全性控制。 您可以針對安全性控制個別指派內建項目,以協助讓您的 Azure 資源符合特定標準的規範。
每個內建原則定義的標題都會連結到 Azure 入口網站中的原則定義。 使用 [原則版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
重要
每個控制項都與一或多個 Azure 原則定義建立關聯。 這些原則可協助您評估控制項的合規性。 然而,控制項與一或多個原則之間通常不是一對一相符或完全相符。 因此,Azure 原則中的符合規範僅指原則本身。 這不保證您完全符合控制項的所有要求。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 這些合規性標準的控制項與 Azure 原則法規合規性定義之間的關聯,可能會隨著時間而改變。
FedRAMP High
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - FedRAMP High。 如需此合規性標準的詳細資訊,請參閱 FedRAMP High
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC-4 | 資訊流程強制 | API 管理服務應使用虛擬網路 | 1.0.2 |
| 系統與通訊保護 | SC-7 | 界限保護 | API 管理服務應使用虛擬網路 | 1.0.2 |
| 系統與通訊保護 | SC-7 (3) | 存取點 | API 管理服務應使用虛擬網路 | 1.0.2 |
FedRAMP Moderate
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - FedRAMP Moderate。 如需此合規性標準的詳細資訊,請參閱 FedRAMP Moderate。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC-4 | 資訊流程強制 | API 管理服務應使用虛擬網路 | 1.0.2 |
| 系統與通訊保護 | SC-7 | 界限保護 | API 管理服務應使用虛擬網路 | 1.0.2 |
| 系統與通訊保護 | SC-7 (3) | 存取點 | API 管理服務應使用虛擬網路 | 1.0.2 |
Microsoft 雲端安全性基準
Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 若要查看此服務如何完全對應至 Microsoft 雲端安全性基準,請參閱 Azure 安全性基準對應檔案。
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應至此合規性標準的方法,請參閱 Azure 原則法規合規性 - Microsoft 雲端安全性基準。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 網路安全性 | NS-2 | 使用網路控制來保護雲端服務 | API 管理服務應使用虛擬網路 | 1.0.2 |
| 網路安全性 | NS-2 | 使用網路控制來保護雲端服務 | APIM 應停用服務設定端點的公用網路存取 | 1.0.1 |
| 身分識別管理 | IM-4 | 驗證伺服器和服務 | Azure APIM 中的 API 端點應經過驗證 | 1.0.1 |
| 身分識別管理 | IM-4 | 驗證伺服器和服務 | 應驗證 APIM 對 API 後端的呼叫 | 1.0.1 |
| 身分識別管理 | IM-4 | 驗證伺服器和服務 | APIM 呼叫 API 後端時,不應略過憑證指紋或名稱驗證 | 1.0.2 |
| 身分識別管理 | IM-8 | 限制認證和祕密的公開 | APIM 的最低 API 版本應設定為 2019-12-01 或更新版本 | 1.0.1 |
| 身分識別管理 | IM-8 | 限制認證和祕密的公開 | APIM 祕密的具名值應儲存在 Azure Key Vault 中 | 1.0.2 |
| 特殊權限存取 | PA-7 | 遵循剛好足夠的系統管理 (最低權限) 原則 | APIM 訂用帳戶不應將範圍設定為所有 API | 1.1.0 |
| 資料保護 | DP-3 | 加密傳輸中的敏感性資料 | APIM API 應一律只使用加密通訊協定 | 2.0.2 |
| 資料保護 | DP-6 | 使用安全金鑰管理程序 | APIM 祕密的具名值應儲存在 Azure Key Vault 中 | 1.0.2 |
| 資產管理 | AM-2 | 僅使用核准的服務 | Azure APIM 平台版本應該是 stv2 | 1.0.0 |
| 資產管理 | AM-3 | 確保資產生命週期管理的安全性 | 應停用或從 Azure APIM 服務中移除未使用的 API 端點 | 1.0.1 |
| 狀況和弱點管理 | PV-2 | 稽核和強制執行安全性設定 | 不應啟用 APIM 直接管理端點 | 1.0.2 |
| 狀況和弱點管理 | PV-2 | 稽核和強制執行安全性設定 | APIM 的最低 API 版本應設定為 2019-12-01 或更新版本 | 1.0.1 |
| 狀況和弱點管理 | PV-2 | 稽核和強制執行安全性設定 | Azure APIM 平台版本應該是 stv2 | 1.0.0 |
NIST SP 800-171 R2
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-171 R2。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-171 R2。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | 3.1.3 | 根據已核准的授權來控制 CUI 流程。 | API 管理服務應使用虛擬網路 | 1.0.2 |
| 系統與通訊保護 | 3.13.1 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | API 管理服務應使用虛擬網路 | 1.0.2 |
| 系統與通訊保護 | 3.13.2 | 採用架構設計、軟體發展技術和系統工程原則,在組織系統中提升有效的資訊安全性。 | API 管理服務應使用虛擬網路 | 1.0.2 |
| 系統與通訊保護 | 3.13.5 | 針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。 | API 管理服務應使用虛擬網路 | 1.0.2 |
NIST SP 800-53 Rev. 4
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-53 Rev. 4。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-53 Rev. 4 (英文)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC-4 | 資訊流程強制 | API 管理服務應使用虛擬網路 | 1.0.2 |
| 系統與通訊保護 | SC-7 | 界限保護 | API 管理服務應使用虛擬網路 | 1.0.2 |
| 系統與通訊保護 | SC-7 (3) | 存取點 | API 管理服務應使用虛擬網路 | 1.0.2 |
NIST SP 800-53 Rev. 5
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-53 Rev. 5。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-53 Rev. 5。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC-4 | 資訊流程強制 | API 管理服務應使用虛擬網路 | 1.0.2 |
| 系統與通訊保護 | SC-7 | 界限保護 | API 管理服務應使用虛擬網路 | 1.0.2 |
| 系統與通訊保護 | SC-7 (3) | 存取點 | API 管理服務應使用虛擬網路 | 1.0.2 |
NL BIO 雲端主題
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱適用於 NL BIO 雲端主題的 Azure 原則法規合規性詳細資料。 如需此合規性標準的詳細資訊,請參閱基準資訊安全政府網路安全性 – 數位政府 (digitaleoverheid.nl) (英文)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| U.07.1 資料隔離:已隔離 | U.07.1 | 資料的永久隔離是多租用戶架構。 修補檔會以受控制的方式實現。 | API 管理服務應使用虛擬網路 | 1.0.2 |
印度儲備銀行 - 銀行的 IT 架構 v2016
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應至此合規性標準的方式,請參閱 Azure 原則法規合規性 - RBI ITF 銀行 v2016。 如需此合規性標準的詳細資訊,請參閱 RBI ITF 銀行 v2016 (PDF)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 修補檔/弱點和變更管理 | 修補檔/弱點和變更管理 -7.7 | API 管理服務應使用虛擬網路 | 1.0.2 |
RMIT 馬來西亞
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - RMIT 馬來西亞。 如需此合規性標準的詳細資訊,請參閱 RMIT 馬來西亞。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 網路復原能力 | 10.33 | 網路復原能力 - 10.33 | API 管理服務應使用虛擬網路 | 1.0.2 |
下一步
- 深入了解 Azure 原則法規合規性。
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應