使用 Azure 登陸區域的安全性控制對應

在採用和上線 Azure 雲端服務之前，許多組織都必須遵守特定產業/地區法規。 這些合規性法規分別由合規性網域和控件識別。 例如，CMMC L3 AC 1.001 其中 AC 是 存取控制 網域，1.001 是網路安全性成熟度模型認證 （CMMC） 架構中的控制標識符。 最佳做法建議是將必要的合規性控件對應至 Microsoft 雲端安全性基準檢驗 （MCSB），並識別 MCSB 未涵蓋的自定義控件集。

此外，MCSB 也提供內建原則和原則計劃 GUID 的清單，以解決必要的控制措施。 對於 MCSB 中未涵蓋的控件，控件對應指引包含如何建置原則和計劃逐步程式。

將所需的控件對應至 Microsoft 雲端安全性效能評定，可大幅加速安全的 Azure 上線體驗。 Microsoft 雲端安全性效能評定會根據 NIST、CIS、PCI 等廣泛使用的合規性控制架構，提供一組以雲端為中心的技術安全性控制措施。 已有內建的法規合規性計劃可供使用。 如果您對特定合規性網域感興趣，請參閱 法規合規性內建方案。

注意

Microsoft 雲端安全性基準檢驗與產業基準之間的控件對應，例如 CIS、NIST 和 PCI，只表示特定 Azure 功能可用來完整或部分解決這些產業基準中所定義的控制需求。 您應該注意，這類實作不一定會轉譯為這些產業基準中對應控件的完整合規性。

下圖顯示控制對應的行程流程：

控件對應步驟

1. 識別所需的控件。
2. 將必要的控件對應至 Microsoft 雲端安全性效能評定。
3. 識別未與 Microsoft 雲端安全性效能評定和個別原則對應的控件。
4. 執行平台和服務等級評定。
5. 使用 Azure 登陸區域工具、原生工具或第三方工具，實作原則計劃防護。

提示

您應該檢閱如何 量身打造 Azure 登陸區域架構 以支援控件對應需求的指引。

1.識別所需的控件

從安全性小組收集所有現有和必要的合規性控制清單。 如果清單不存在，請在 Excel 電子表格中擷取控件需求。 請使用下列格式作為建置清單的指引。 清單會包含一或多個合規性架構的控制件。 使用安全性控件對應範本來擷取必要的控件和相關架構。

正式化控件清單的範例。

2.將控件對應至 Microsoft 雲端安全性基準檢驗，並建立一組自定義控件

針對您擷取的每個控件，請使用適當的控件標題、定義域類別和指引/描述來識別相關的控件。 盡可能接近每個控件的意圖，並記下電子表格中的偏離或間距。

您也可以使用對應至貴組織與 Microsoft 雲端安全性效能評定的常見架構。 例如，如果您的 和 Microsoft 雲端安全性基準檢驗控件都已經對應至 NIST 800-53 r4 或 CIS 7.1，您可以在該樞紐上將數據集聯結在一起。 您可以在 resources 區段中找到 中繼通用架構

單一控件對應範例：貴組織的控制目標

上表顯示其中一個唯一控件目標，其中醒目提示關鍵詞。

在此範例中，我們可以查看指定控件 『Application Security』 的現有分類，將其識別為應用程式相關控件。 需求欄位中的內容是實 作應用程式防火牆 ，並 強化和修補其應用程式。 查看 Microsoft 雲端安全性基準檢驗控件和適當相符的指引，我們可以看到有許多控件可能會適當地套用和對應。

為了快速搜尋指定的 Microsoft 雲端安全性基準檢驗版本，我們會針對每個版本提供 Excel 下載檔 ，這些版本可由控件識別碼或部分描述動詞快速搜尋。 在此步驟中，此程式會識別並對應 Microsoft 雲端安全性基準下涵蓋的控件。

3.識別未與 Microsoft 雲端安全性基準檢驗和個別原則對應的控件

任何可能不直接對應的已識別控件都應該標示為需要緩和自動化，而且應該在護欄實作程式中開發自定義原則或自動化腳本。

提示

AzAdvertizer 是 雲端採用架構 所背書的社群驅動工具。 它可協助您在單一位置探索內建、從 Azure 登陸區域或社群 Azure 原則 存放庫的原則。

4.執行平臺和服務等級評定

當您有清楚對應至 Microsoft 雲端安全性基準的控件和目標，並收集責任、指引和監視的支持信息之後，IT 安全性辦公室或支援組織必須檢閱官方平臺評定中所有提供的資訊。

此平臺評估會判斷 Microsoft 雲端安全性基準是否符合使用量的最低閾值，以及是否符合法規所強加的所有安全性和合規性需求。

如果發現有差距，您仍然可以使用 Microsoft 雲端安全性效能評定，但可能需要開發緩和控件，直到這些差距關閉，基準檢驗才能發行更新以解決這些差異。 此外，您可以藉由建立 原則定義 ，並選擇性地新增至 方案定義，來對應自定義控件。

核准的檢查清單

1. 安全性小組已核准 Azure 平臺以供使用。

2. 您必須將個別的 Microsoft 雲端安全性基準檢驗服務基準 Excel 加入先前完成的平臺層級控制對應。

   • 加入數據行以配合評定，例如：涵蓋範圍、強制執行、允許的效果。

3. 執行所產生服務基準評估範本的逐行分析：

   • 針對每個控件目標，指出：

     • 如果服務可以符合或風險，則為 。
     • 風險值，如果有的話。
     • 該明細專案的檢閱狀態。
     • 如有需要緩和控件。
     • Azure 原則 可以強制執行/監視控件的內容。

   • 當服務和控制的監視或強制執行有差距時：

     • 向 Microsoft 雲端安全性基準檢驗小組報告，以縮小內容、監視或強制執行的差距。

   • 針對不符合需求的任何區域，如果您選擇豁免該需求、影響，以及核准或因缺口而遭到封鎖，則請注意涉及的風險。

4. 服務狀態已決定：

   • 服務符合所有需求，或風險可接受，並置於允許清單上，以便在護欄就緒之後使用。
   • 或者，服務差距太大/風險太大，服務會放在封鎖清單中。 在 Microsoft 關閉間距之前，無法使用它。

輸入 - 平台層級

• 服務評量範本 （Excel）
• 控制 Microsoft 雲端安全性基準檢驗對應的目標
• 目標服務

輸出 - 平台層級

• 已完成的服務評估 （Excel）
• 緩和控件
• 差距
• 服務使用量的核准/非核准

在內部安全性/稽核小組核准平臺和核心服務符合其需求之後，您必須實作已同意的適當監視和護欄。 在對應和評估程序期間，如果有延展至 Microsoft 雲端安全性基準以外的緩和控件，則必須使用原則定義來實作內建控件或 Azure 原則，並選擇性地新增至方案定義。

檢查清單 - 服務等級

1. 摘要說明已識別為平臺評量和服務評量輸出所需的原則。
2. 開發任何必要的自定義原則定義，以支援緩和控件/差距。
3. 建立自定義原則方案。
4. 使用 Azure 登陸區域工具、原生工具或第三方工具指派原則方案。

輸入 - 服務等級

• 已完成的服務評估 （Excel）

輸出 - 服務等級

• 自定義原則方案

5.使用 Azure 登陸區域或原生工具實作護欄

下列各節說明在 Azure 登陸區域部署期間識別、對應及實作法規合規性相關控件的程式。 部署涵蓋與平台層級安全性控制之 Microsoft 雲端安全性基準一致的原則。

提示

作為 Azure 登陸區域加速器（入口網站、 Bicep 和 Terraform）的一部分，我們預設會將 Microsoft 雲端安全性基準政策方案指派給中繼根管理群組。

您可以瞭解 在 Azure 登陸區域加速器部署中指派的原則。

實作原則指引

根據您的控制目標，您可能需要建立自定義原則定義、原則計劃定義和原則指派。

請參閱下列每個加速器實作選項的指引。

Azure 登陸區域加速器入口網站

使用 Azure 登陸區域入口網站型體驗時：

• 在 適用於雲端的 Microsoft Defender 中建立自定義安全策略
• 教學課程：建立自訂原則定義
• 指派 Azure 原則 或原則計劃

使用 AzOps 的 Azure Resource Manager

搭配 AzOps Accelerator 使用 Resource Manager 範本時，請參閱部署文章，瞭解如何使用基礎結構即程式碼操作 Azure 平臺。

• 新增自訂 Azure 原則 定義和計劃
• 指派 Azure 原則

Terraform 模組

使用 Azure 登陸區域 Terraform 模組時，請參閱存放庫 Wiki，以取得如何管理其他原則定義和指派的指引。

• 新增自訂 Azure 原則 定義和指派
• 指派內建 Azure 原則
• 展開內建原型定義

Bicep

使用 Azure 登陸區域 Bicep 實作時，瞭解如何 建立您自己的原則定義和指派。

• 新增自訂 Azure 原則 定義和計劃
• 指派 Azure 原則

不使用 Azure 登陸區域實作時實作自定義原則

Azure 入口網站

使用 Azure 入口網站 時，請參閱下列文章。

• 在 適用於雲端的 Microsoft Defender 中建立自定義安全策略
• 建立自訂原則定義
• 建立和管理原則以強制執行合規性
• 指派原則計劃

Azure 資源管理員範本

使用 Resource Manager 範本時，請參閱下列文章。

• 建立自訂原則定義
• 指派原則計劃
• 使用 ARM 範本建立原則指派以識別不相容資源
• Bicep 和 Resource Manager 原則定義範本參考
• Bicep 和 Resource Manager 集合 （方案） 範本參考
• Bicep 和 Resource Manager 原則指派範本參考

Terraform

使用 Terraform 時，請參閱下列文章。

• 新增自定義 Azure 原則定義和方案
• 新增 Azure 原則 集定義
• 指派管理組策略
• 指派 Azure 原則 或原則方案

Bicep

使用 Bicep 範本時，請參閱下列文章。

• 快速入門：使用 Bicep 檔案建立原則指派，以識別不符合規範的資源
• Bicep 和 Resource Manager 原則定義範本參考
• Bicep 和 Resource Manager 原則集 （方案） 範本參考
• Bicep 和 Resource Manager 原則指派範本參考

使用 適用於雲端的 Microsoft Defender 的指引

適用於雲端的 Microsoft Defender 會持續比較資源的設定與業界標準、法規和基準的需求。 法規合規性儀錶板可讓您深入瞭解合規性狀態。 深入瞭解 如何改善法規合規性。

常見問題集

我們使用未對應至 Microsoft 雲端安全性基準的架構，我該如何仍能將控制目標上線？

我們提供 Microsoft 雲端安全性基準檢驗對應至許多最需求產業架構。 不過，對於目前未涵蓋的控件，需要手動對應練習。 在這些情況下，請參閱執行手動控件對應的步驟。

[範例] 我們需要符合加拿大聯邦保護 B （PBMM） 合規性，而 Microsoft 雲端安全性基準尚未對應至 PBMM。 若要橋接此對應，您可以找到共用架構對應，例如 NIST SP 800-53 R4，可供使用並對應至 PBMM 和 MCSB v2。 使用此通用架構，您可以瞭解 Azure 中必須遵循哪些建議和指引，以符合您所需的架構。

Microsoft 雲端安全性基準檢驗控件並未涵蓋我們的控制目標，我該如何解除封鎖它們，使其無法上線？

Microsoft 雲端安全性效能評定著重於 Azure 技術控制。 設計會省略非技術專案的相關目標區域，例如訓練，或不是直接技術安全性的專案，例如數據中心安全性。 這些專案可以標示為 Microsoft 責任，而且可以從 Microsoft 雲端安全性基準檢驗內容或 Microsoft 稽核報告提供合規性證明。 如果您發現目標確實是技術控件，則除了要追蹤的基底之外，還要建立緩和控件，並傳送要求以 MCSBteam@microsoft.com 在未來版本中解決遺漏的控件。

資源

服務信任入口網站

雲端安全性聯盟

數據中心安全性概觀

金融服務概觀

金融機構風險評估概觀

服務等級協定