SWIFT CSP v2021 法規合規性內建計畫的詳細資料

下文詳細說明 Azure 原則法規合規性內建方案定義如何對應至 [預覽]:SWIFT CSCF v2021 中的合規性領域控制項。 如需此法規遵循標準的詳細資訊,請參閱 [預覽]:SWIFT CSCF v2021。 若要了解所有權,請參閱 Azure 原則原則定義雲端中共同承擔的責任

下列對應是針對 [預覽]:SWIFT CSCF v2021 控制項。 使用右側的導覽區可直接跳到特定的合規性領域。 許多控制措施都是以 Azure 原則方案定義實作的。 若要檢閱完整方案定義,請在 Azure 入口網站中開啟 [原則],然後選取 [定義] 頁面。 接著,尋找並選取 [預覽]:SWIFT CSCF v2021 法規合規性內建方案定義。

重要

下列每個控制措施都與一或多個 Azure 原則定義相關聯。 這些原則可協助您使用工具存取合規性;不過,控制措施和一或多個原則之間,通常不是一對一或完整對應。 因此,Azure 原則中的符合規範只是指原則定義本身,這不保證您完全符合所有控制措施需求的規範。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性僅能部分檢視整體合規性狀態。 此合規性標準的合規性領域、控制措施與 Azure 原則定義之間的關聯,可能會隨著時間而改變。 若要檢視變更歷程記錄,請參閱 GitHub 認可歷程記錄 \(英文\)。

SWIFT 環境保護

SWIFT 環境保護

識別碼:SWIFT CSCF v2021 1.1

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
[預覽]:所有網際網路流量都應透過您部署的 Azure 防火牆路由 Azure 資訊安全中心已識別出您的部分子網路未受新一代防火牆的保護。 使用 Azure 防火牆或支援的新一代防火牆來限制對子網路的存取,以保護子網路免於遭受潛在威脅 AuditIfNotExists, Disabled 3.0.0-preview
[預覽]:Azure Key Vault 應停用公用網路存取 停用金鑰保存庫的公用網路存取,使其無法經由公用網際網路存取。 這可能會降低資料洩漏風險。 深入了解:https://aka.ms/akvprivatelink Audit, Deny, Disabled 2.0.0-preview
[預覽]:Container Registry 應使用虛擬網路服務端點 此原則會稽核任何未設定為使用虛擬網路服務端點的 Container Registry。 Audit, Disabled 1.0.0-preview
[預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 AuditIfNotExists, Disabled 1.0.2-preview
[預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 AuditIfNotExists, Disabled 1.0.2-preview
[預覽]:應為 Key Vault 設定私人端點 私人連結提供不需透過公用網際網路傳送流量即可將 Key Vault 連線至 Azure 資源的方法。 私人連結提供深層防禦保護,以防止資料外流。 Audit, Deny, Disabled 1.1.0-preview
您的電腦應啟用自適性應用程式控制,以定義安全應用程式 啟用應用程式控制項,以定義在您的電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化機器,以防範惡意程式碼的攻擊。 為了簡化設定和維護規則的程序,資訊安全中心使用機器學習來分析在每個機器上執行的應用程式,並建議已知安全的應用程式清單。 AuditIfNotExists, Disabled 3.0.0
應在網際網路對應的虛擬機器上套用自適性網路強化建議 Azure 資訊安全中心會分析網際網路對向虛擬機器的流量模式,然後提供降低潛在攻擊面的網路安全性群組規則建議 AuditIfNotExists, Disabled 3.0.0
所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 AuditIfNotExists, Disabled 3.0.0
App Service 應該使用虛擬網路服務端點 此原則會稽核任何未設定為使用虛擬網路服務端點的 App Service。 AuditIfNotExists, Disabled 1.0.0
Kubernetes Services 上應定義授權 IP 範圍 僅將 API 存取權授與特定範圍內的 IP 位址,以限制對 Kubernetes Service 管理 API 的存取。 建議僅限存取授權 IP 範圍,以確保只有來自允許網路的應用程式可以存取叢集。 Audit, Disabled 2.0.1
應啟用 Azure DDoS 保護標準 所有虛擬網路只要其子網路屬於使用公用 IP 的應用程式閘道,就應啟用 DDoS 保護標準。 AuditIfNotExists, Disabled 3.0.0
容器登錄應使用私人連結 Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應至容器登錄而非整個服務,您也會受到保護,而免於遭受資料洩漏風險。 深入了解:https://aka.ms/acr/private-link Audit, Disabled 1.0.1
Cosmos DB 應該使用虛擬網路服務端點 此原則會稽核任何未設定為使用虛擬網路服務端點的 Cosmos DB。 Audit, Disabled 1.0.0
事件中樞應該使用虛擬網路服務端點 此原則會稽核任何未設定為使用虛擬網路服務端點的事件中樞。 AuditIfNotExists, Disabled 1.0.0
應使用網路安全性群組保護網際網路對應的虛擬機器 使用網路安全性群組 (NSG) 限制對虛擬機器的存取,以保護您的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
應停用虛擬機器上的 IP 轉送 在虛擬機器的 NIC 上啟用 IP 轉送可讓機器接收傳送到其他目的地的流量。 IP 轉送是極少需要的功能 (例如,當將 VM 作為網路虛擬設備使用時),因此,這應經過網路安全性小組檢閱。 AuditIfNotExists, Disabled 3.0.0
Key Vault 應該使用虛擬網路服務端點 此原則會稽核任何未設定為使用虛擬網路服務端點的 Key Vault。 Audit, Disabled 1.0.0
應啟用網路監看員 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 AuditIfNotExists, Disabled 3.0.0
應對 Azure SQL Database 啟用私人端點連線 私人端點連線透過啟用與 Azure SQL Database 的私人連線,可強制執行安全通訊。 Audit, Disabled 1.1.0
MariaDB 伺服器應啟用私人端點 私人端點連線透過啟用與適用於 MariaDB 的 Azure 資料庫的私人連線,可強制執行安全通訊。 設定私人端點連線,僅存取來自已知網路的流量,並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 AuditIfNotExists, Disabled 1.0.2
MySQL 伺服器應啟用私人端點 私人端點連線透過啟用與適用於 MySQL 的 Azure 資料庫的私人連線,可強制執行安全通訊。 設定私人端點連線,僅存取來自已知網路的流量,並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 AuditIfNotExists, Disabled 1.0.2
PostgreSQL 伺服器應啟用私人端點 私人端點連線透過啟用與適用於 PostgreSQL 的 Azure 資料庫的私人連線,可強制執行安全通訊。 設定私人端點連線,僅存取來自已知網路的流量,並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 AuditIfNotExists, Disabled 1.0.2
應關閉 API 應用程式的遠端偵錯 遠端偵錯需要在 API 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 AuditIfNotExists, Disabled 1.0.0
函式應用程式的遠端偵錯應關閉 遠端偵錯需要在函式應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 AuditIfNotExists, Disabled 1.0.0
應關閉 Web 應用程式的遠端偵錯 遠端偵錯需要在 Web 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 AuditIfNotExists, Disabled 1.0.0
SQL Server 應該使用虛擬網路服務端點 此原則會稽核任何未設定為使用虛擬網路服務端點的 SQL Server。 AuditIfNotExists, Disabled 1.0.0
儲存體帳戶應限制網路存取 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 Audit, Deny, Disabled 1.1.1
儲存體帳戶應該使用虛擬網路服務端點 此原則會稽核任何未設定為使用虛擬網路服務端點的儲存體帳戶。 Audit, Disabled 1.0.0
子網路應該與網路安全性群組建立關聯 使用網路安全性群組 (NSG) 限制 VM 的存取,保護您的子網路遠離潛在威脅。 NSG 包含存取控制清單 (ACL) 規則的清單,可允許或拒絕子網路的網路流量。 AuditIfNotExists, Disabled 3.0.0
VM 映像產生器範本應使用私人連結 Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至您的 VM Image Builder 建置資源,資料外洩風險就會降低。 深入了解私人連結:https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet 稽核、停用、拒絕 1.1.0

作業系統特殊權限帳戶控制

識別碼:SWIFT CSCF v2021 1.2

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應針對您的訂用帳戶指定最多 3 位擁有者 建議您最多指定 3 位訂用帳戶擁有者,以降低遭入侵擁有者導致資料外洩的可能。 AuditIfNotExists, Disabled 3.0.0
應針對 SQL 伺服器佈建 Azure Active Directory 管理員 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 AuditIfNotExists, Disabled 1.0.0
已取代帳戶應該從您的訂用帳戶中移除 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 AuditIfNotExists, Disabled 3.0.0
具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 AuditIfNotExists, Disabled 3.0.0
具有擁有者權限的外部帳戶應該從您的訂用帳戶中移除 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 AuditIfNotExists, Disabled 3.0.0
具有讀取權限的外部帳戶應該從您的訂用帳戶中移除 請移除您訂用帳戶中,具有讀取權限的外部帳戶,以避免出現未受監視的存取。 AuditIfNotExists, Disabled 3.0.0
應從訂用帳戶移除具有寫入權限的外部帳戶 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 AuditIfNotExists, Disabled 3.0.0
應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 AuditIfNotExists, Disabled 3.0.0
應關閉 API 應用程式的遠端偵錯 遠端偵錯需要在 API 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 AuditIfNotExists, Disabled 1.0.0
函式應用程式的遠端偵錯應關閉 遠端偵錯需要在函式應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 AuditIfNotExists, Disabled 1.0.0
應關閉 Web 應用程式的遠端偵錯 遠端偵錯需要在 Web 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 AuditIfNotExists, Disabled 1.0.0
Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證 稽核 Service Fabric 中僅透過 Azure Active Directory 的用戶端驗證使用方式 Audit, Deny, Disabled 1.1.0
應將一個以上的擁有者指派給您的訂用帳戶 建議指定多位訂用帳戶擁有者,如此才能設定系統管理員存取備援。 AuditIfNotExists, Disabled 3.0.0

虛擬化平台保護

識別碼:SWIFT CSCF v2021 1.3

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
稽核不是使用受控磁碟的 VM 此原則會稽核不是使用受控磁碟的 VM 稽核 1.0.0

網際網路存取的限制

識別碼:SWIFT CSCF v2021 1.4

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
Kubernetes Services 上應定義授權 IP 範圍 僅將 API 存取權授與特定範圍內的 IP 位址,以限制對 Kubernetes Service 管理 API 的存取。 建議僅限存取授權 IP 範圍,以確保只有來自允許網路的應用程式可以存取叢集。 Audit, Disabled 2.0.1

降低受攻擊面和弱點

內部資料流程安全性

識別碼:SWIFT CSCF v2021 2.1

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
API 應用程式應只可經由 HTTPS 存取 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 Audit, Disabled 1.0.0
對 Linux 機器進行驗證應要求 SSH 金鑰 雖然 SSH 本身提供加密連線,但搭配使用密碼與 SSH 仍會讓 VM 容易受到暴力密碼破解攻擊。 透過 SSH 向 Azure Linux 虛擬機器進行驗證的最安全選項是使用公開-私密金鑰組,也稱為 SSH 金鑰。 深入了解:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed AuditIfNotExists, Disabled 3.0.0
應加密自動化帳戶變數 儲存敏感性資料時,請務必為自動化帳戶變數資產啟用加密 Audit, Deny, Disabled 1.1.0
Azure SQL Database 應執行 TLS 1.2 版或更新版本 將 TLS 版本設定為 1.2 或更新版本,可確保您的 Azure SQL Database 只能從使用 TLS 1.2 或更新版本的用戶端中存取,進而提高安全性。 不建議使用低於 1.2 的 TLS 版本,因為那些版本有已知的資訊安全性弱點。 稽核、停用、拒絕 2.0.0
確定 Web 應用程式已將 [用戶端憑證 (傳入用戶端憑證)] 設定為 [開啟] 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 Audit, Disabled 1.0.0
函式應用程式應只可經由 HTTPS 存取 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 Audit, Disabled 1.0.0
Kubernetes 叢集應只能經由 HTTPS 存取 使用 HTTPS 可確保驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 此功能目前已針對 Kubernetes Service (AKS) 正式推出,針對 AKS 引擎和已啟用 Azure Arc 的 Kubernetes 目前為預覽狀態。 如需詳細資訊,請造訪 https://aka.ms/kubepolicydoc Audit, Deny, Disabled 6.1.0
您的 API 應用程式應使用最新的 TLS 版本 升級至最新的 TLS 版本 AuditIfNotExists, Disabled 1.0.0
您的函式應用程式應使用最新的 TLS 版本 升級至最新的 TLS 版本 AuditIfNotExists, Disabled 1.0.0
您的 Web 應用程式應使用最新的 TLS 版本 升級至最新的 TLS 版本 AuditIfNotExists, Disabled 1.0.0
API 應用程式應該使用受控識別 使用受控識別來增強驗證安全性 AuditIfNotExists, Disabled 2.0.0
函式應用程式應該使用受控識別 使用受控識別來增強驗證安全性 AuditIfNotExists, Disabled 2.0.0
Web 應用程式應該使用受控識別 使用受控識別來增強驗證安全性 AuditIfNotExists, Disabled 2.0.0
Service Fabric 叢集應將 ClusterProtectionLevel 屬性設定為 EncryptAndSign Service Fabric 使用主要叢集憑證,可為節點對節點的通訊提供三層保護 (None、Sign 及 EncryptAndSign)。 設定保護層級可確保所有節點對節點的訊息皆經過加密及數位簽署 Audit, Deny, Disabled 1.1.0
SQL 受控執行個體的最低 TLS 版本應為 1.2 將最低的 TLS 版本設定為 1.2,可確保您的 SQL 受控執行個體只能從使用 TLS 1.2 的用戶端存取,進而提升安全性。 不建議使用低於 1.2 的 TLS 版本,因為那些版本有已知的資訊安全性弱點。 Audit, Disabled 1.0.1
Web 應用程式應只可經由 HTTPS 存取 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 Audit, Disabled 1.0.0
Windows 網頁伺服器應設定為使用安全通訊協定 若要保護透過網際網路通訊的資訊隱私權,您的 Web 伺服器應該使用最新版的業界標準密碼編譯通訊協定,也就是傳輸層安全性 (TLS)。 TLS 會使用安全性憑證來保護透過網路的通訊,以加密電腦之間的連線。 AuditIfNotExists, Disabled 4.0.0

安全性更新

識別碼:SWIFT CSCF v2021 2.2

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
稽核正在等候重新開機的 Windows VM 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦因下列任何原因而擱置重新開機,則電腦不相容:以元件為基礎的服務、Windows Update、擱置的檔案重新命名、擱置的電腦重新命名、擱置的設定管理員重新開機。 每個偵測都有唯一的登錄路徑。 auditIfNotExists 2.0.0
應在虛擬機器擴展集上安裝系統更新 稽核是否遺漏了任何應安裝的系統安全性更新和重大更新,以確保您的 Windows 及 Linux 虛擬機器擴展集安全無虞。 AuditIfNotExists, Disabled 3.0.0
您應在機器上安裝系統更新 Azure 資訊安全中心會依建議監視伺服器上缺少的安全性系統更新 AuditIfNotExists, Disabled 4.0.0

系統強化

識別碼:SWIFT CSCF v2021 2.3

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
稽核密碼檔權限未設為 0644 的 Linux 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果密碼檔案權限未設為 0644 的 Linux 電腦,則電腦不相容 AuditIfNotExists, Disabled 3.0.0
稽核其憑證即將在指定天數內到期的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果指定存放區中的憑證到期日超出指定天數的範圍,則電腦不相容。 此原則也提供僅檢查特定憑證或排除特定憑證,以及是否要報告已過期憑證的選項。 auditIfNotExists 2.0.0
稽核未使用可逆加密來儲存密碼的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未使用可逆加密來儲存密碼,則電腦不相容 AuditIfNotExists, Disabled 2.0.0
應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 AuditIfNotExists, Disabled 3.0.0
VM 映像產生器範本應使用私人連結 Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至您的 VM Image Builder 建置資源,資料外洩風險就會降低。 深入了解私人連結:https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet 稽核、停用、拒絕 1.1.0

後端資料流程安全性

識別碼:SWIFT CSCF v2021 2.4A

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
API 應用程式應只可經由 HTTPS 存取 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 Audit, Disabled 1.0.0
對 Linux 機器進行驗證應要求 SSH 金鑰 雖然 SSH 本身提供加密連線,但搭配使用密碼與 SSH 仍會讓 VM 容易受到暴力密碼破解攻擊。 透過 SSH 向 Azure Linux 虛擬機器進行驗證的最安全選項是使用公開-私密金鑰組,也稱為 SSH 金鑰。 深入了解:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed AuditIfNotExists, Disabled 3.0.0
應加密自動化帳戶變數 儲存敏感性資料時,請務必為自動化帳戶變數資產啟用加密 Audit, Deny, Disabled 1.1.0
確定 Web 應用程式已將 [用戶端憑證 (傳入用戶端憑證)] 設定為 [開啟] 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 Audit, Disabled 1.0.0
函式應用程式應只可經由 HTTPS 存取 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 Audit, Disabled 1.0.0
只允許對您 Azure Cache for Redis 的安全連線 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 Audit, Deny, Disabled 1.0.0
Web 應用程式應只可經由 HTTPS 存取 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 Audit, Disabled 1.0.0
Windows 網頁伺服器應設定為使用安全通訊協定 若要保護透過網際網路通訊的資訊隱私權,您的 Web 伺服器應該使用最新版的業界標準密碼編譯通訊協定,也就是傳輸層安全性 (TLS)。 TLS 會使用安全性憑證來保護透過網路的通訊,以加密電腦之間的連線。 AuditIfNotExists, Disabled 4.0.0

外部傳輸資料保護

識別碼SWIFT CSCF v2021 2.5A

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
API 應用程式應只可經由 HTTPS 存取 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 Audit, Disabled 1.0.0
稽核未設定災害復原的虛擬機器 稽核未設定災害復原的虛擬機器。 若要深入了解災害復原,請造訪 https://aka.ms/asr-doc auditIfNotExists 1.0.0
稽核不是使用受控磁碟的 VM 此原則會稽核不是使用受控磁碟的 VM 稽核 1.0.0
應加密自動化帳戶變數 儲存敏感性資料時,請務必為自動化帳戶變數資產啟用加密 Audit, Deny, Disabled 1.1.0
應該為虛擬機器啟用 Azure 備份 藉由啟用 Azure 備份,確保您的 Azure 虛擬機器受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 AuditIfNotExists, Disabled 3.0.0
容器登錄應使用客戶自控金鑰加密 使用客戶自控金鑰來管理登錄內容的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/acr/CMK Audit, Deny, Disabled 1.1.2
函式應用程式應只可經由 HTTPS 存取 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 Audit, Disabled 1.0.0
應為儲存體帳戶啟用異地備援儲存體 使用異地備援、建立高可用性的應用程式 Audit, Disabled 1.0.0
應為 Azure SQL Database 啟用長期異地備援備份 此原則會稽核所有未啟用長期異地備援備份的 Azure SQL Database。 AuditIfNotExists, Disabled 2.0.0
應啟用儲存體帳戶的安全傳輸 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 Audit, Deny, Disabled 2.0.0
應在 SQL 資料庫上啟用透明資料加密 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 AuditIfNotExists, Disabled 2.0.0
虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 根據預設,系統會使用平台代控金鑰對虛擬機器的作業系統和資料磁碟進行待用加密。 暫存磁碟、資料快取,以及在計算與儲存體之間流動的資料不會加密。 如果發生下列情形,則忽略此建議:1. 使用主機上的加密,或 2。 受控磁碟上的伺服器端加密符合您的安全性需求。 深入了解:Azure 磁碟儲存體的伺服器端加密:https://aka.ms/disksse,不同磁碟加密供應項目:https://aka.ms/diskencryptioncomparison AuditIfNotExists, Disabled 2.0.3
Web 應用程式應只可經由 HTTPS 存取 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 Audit, Disabled 1.0.0

運算子工作階段機密性和完整性

識別碼:SWIFT CSCF v2021 2.6

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
Azure SQL Database 應執行 TLS 1.2 版或更新版本 將 TLS 版本設定為 1.2 或更新版本,可確保您的 Azure SQL Database 只能從使用 TLS 1.2 或更新版本的用戶端中存取,進而提高安全性。 不建議使用低於 1.2 的 TLS 版本,因為那些版本有已知的資訊安全性弱點。 稽核、停用、拒絕 2.0.0
應為 MySQL 資料庫伺服器啟用 [強制執行 SSL 連線] 適用於 MySQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 MySQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 Audit, Disabled 1.0.1
應為 PostgreSQL 資料庫伺服器啟用 [強制執行 SSL 連線] 適用於 PostgreSQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 PostgreSQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 Audit, Disabled 1.0.1
您的 API 應用程式應使用最新的 TLS 版本 升級至最新的 TLS 版本 AuditIfNotExists, Disabled 1.0.0
您的函式應用程式應使用最新的 TLS 版本 升級至最新的 TLS 版本 AuditIfNotExists, Disabled 1.0.0
您的 Web 應用程式應使用最新的 TLS 版本 升級至最新的 TLS 版本 AuditIfNotExists, Disabled 1.0.0
只允許對您 Azure Cache for Redis 的安全連線 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 Audit, Deny, Disabled 1.0.0
SQL 受控執行個體的最低 TLS 版本應為 1.2 將最低的 TLS 版本設定為 1.2,可確保您的 SQL 受控執行個體只能從使用 TLS 1.2 的用戶端存取,進而提升安全性。 不建議使用低於 1.2 的 TLS 版本,因為那些版本有已知的資訊安全性弱點。 Audit, Disabled 1.0.1
Windows 網頁伺服器應設定為使用安全通訊協定 若要保護透過網際網路通訊的資訊隱私權,您的 Web 伺服器應該使用最新版的業界標準密碼編譯通訊協定,也就是傳輸層安全性 (TLS)。 TLS 會使用安全性憑證來保護透過網路的通訊,以加密電腦之間的連線。 AuditIfNotExists, Disabled 4.0.0

弱點掃描

識別碼:SWIFT CSCF v2021 2.7

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應啟用適用於 App Service 的 Azure Defender 適用於 App Service 的 Azure Defender 利用雲端的規模及雲端提供者 Azure 擁有的廣大視野,監視常見的 Web 應用程式攻擊。 AuditIfNotExists, Disabled 1.0.3
應啟用適用於 Azure SQL Database 伺服器的 Azure Defender 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 AuditIfNotExists, Disabled 1.0.2
應啟用適用於 Key Vault 的 Azure Defender 適用於 Key Vault 的 Azure Defender 會透過偵測嘗試存取或惡意探索金鑰保存庫帳戶的異常及潛在有害威脅,提供一層額外的保護和安全情報。 AuditIfNotExists, Disabled 1.0.3
應啟用適用於伺服器的 Azure Defender 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 AuditIfNotExists, Disabled 1.0.3
應啟用適用於機器上 SQL 伺服器的 Azure Defender 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 AuditIfNotExists, Disabled 1.0.2
應啟用適用於儲存體的 Azure Defender 適用於儲存體的 Azure Defender 會偵測異常且可能有害的儲存體帳戶存取或攻擊意圖。 AuditIfNotExists, Disabled 1.0.3
SQL 資料庫應已解決發現的弱點 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 AuditIfNotExists, Disabled 4.0.0
應補救容器安全性設定中的弱點 在已安裝 Docker 且在 Azure 資訊安全中心顯示為建議的電腦上,稽核安全性設定中的弱點。 AuditIfNotExists, Disabled 3.0.0
您應在機器上修復安全性組態的弱點 Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 AuditIfNotExists, Disabled 3.0.0
應修復虛擬機器擴展集上安全性組態的弱點 稽核虛擬機器擴展集上的 OS 弱點,以免其遭受攻擊。 AuditIfNotExists, Disabled 3.0.0
SQL 伺服器的弱點評估設定應包含接收掃描報告的電子郵件地址 請確認已為弱點評估設定中的 [掃描報告收件者] 欄位提供電子郵件地址。 此電子郵件地址會在 SQL 伺服器上執行定期掃描後收到掃描結果摘要。 AuditIfNotExists, Disabled 2.0.0
應在 SQL 受控執行個體上啟用弱點評定 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 AuditIfNotExists, Disabled 1.0.1
弱點評估應於您的 SQL 伺服器上啟用 稽核未啟用週期性弱點評估掃描的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 AuditIfNotExists, Disabled 2.0.0

實際保護環境

實體安全性

識別碼:SWIFT CSCF v2021 3.1

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
稽核不是使用受控磁碟的 VM 此原則會稽核不是使用受控磁碟的 VM 稽核 1.0.0

防止認證遭到入侵

密碼原則

識別碼:SWIFT CSCF v2021 4.1

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果允許不使用密碼從帳戶遠端連線的 Linux 電腦,則電腦不相容 AuditIfNotExists, Disabled 3.0.0
稽核有不需要密碼之帳戶的 Linux 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Linux 電腦有不需要密碼的帳戶,則電腦不相容 AuditIfNotExists, Disabled 3.0.0
稽核允許重複使用前 24 個舊密碼的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦允許重複使用前 24 個舊密碼,則電腦不相容 AuditIfNotExists, Disabled 2.0.0
稽核密碼最長有效期非 70 天的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦密碼最長有效期非 70 天,則電腦不相容 AuditIfNotExists, Disabled 2.0.0
稽核密碼最短有效期非 1 天的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦密碼最短有效期非 1 天,則電腦不相容 AuditIfNotExists, Disabled 2.0.0
稽核未啟用密碼複雜度設定的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未啟用密碼複雜度設定,則電腦不相容 AuditIfNotExists, Disabled 2.0.0
稽核未將密碼最短長度限制為 14 個字元的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未將密碼最短長度限制為 14 個字元,則電腦不相容 AuditIfNotExists, Disabled 2.0.0

多因素驗證

識別碼:SWIFT CSCF v2021 4.2

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應在您訂用帳戶上具有寫入權限的帳戶上啟用 MFA 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 AuditIfNotExists, Disabled 3.0.0
應在您訂用帳戶上具有擁有者權限的帳戶上啟用 MFA 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 AuditIfNotExists, Disabled 3.0.0
應在您訂用帳戶上具有讀取權限的帳戶上啟用 MFA 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 AuditIfNotExists, Disabled 3.0.0

管理身分識別和區隔權限

邏輯存取控制

識別碼:SWIFT CSCF v2021 5.1

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應針對您的訂用帳戶指定最多 3 位擁有者 建議您最多指定 3 位訂用帳戶擁有者,以降低遭入侵擁有者導致資料外洩的可能。 AuditIfNotExists, Disabled 3.0.0
已取代帳戶應該從您的訂用帳戶中移除 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 AuditIfNotExists, Disabled 3.0.0
具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 AuditIfNotExists, Disabled 3.0.0
具有擁有者權限的外部帳戶應該從您的訂用帳戶中移除 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 AuditIfNotExists, Disabled 3.0.0
具有讀取權限的外部帳戶應該從您的訂用帳戶中移除 請移除您訂用帳戶中,具有讀取權限的外部帳戶,以避免出現未受監視的存取。 AuditIfNotExists, Disabled 3.0.0
應從訂用帳戶移除具有寫入權限的外部帳戶 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 AuditIfNotExists, Disabled 3.0.0
應將一個以上的擁有者指派給您的訂用帳戶 建議指定多位訂用帳戶擁有者,如此才能設定系統管理員存取備援。 AuditIfNotExists, Disabled 3.0.0

權杖管理

識別碼:SWIFT CSCF v2021 5.2

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
API 應用程式應該使用受控識別 使用受控識別來增強驗證安全性 AuditIfNotExists, Disabled 2.0.0
函式應用程式應該使用受控識別 使用受控識別來增強驗證安全性 AuditIfNotExists, Disabled 2.0.0
Web 應用程式應該使用受控識別 使用受控識別來增強驗證安全性 AuditIfNotExists, Disabled 2.0.0
應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 AuditIfNotExists, Disabled 3.0.0

實體和邏輯密碼儲存體

識別碼:SWIFT CSCF v2021 5.4

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
稽核未使用可逆加密來儲存密碼的 Windows 電腦 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未使用可逆加密來儲存密碼,則電腦不相容 AuditIfNotExists, Disabled 2.0.0
金鑰保存庫應啟用清除保護 惡意刪除金鑰保存庫可能會導致永久的資料遺失。 您組織中可能有惡意的內部人員能夠刪除和清除金鑰保存庫。 清除保護可對虛刪除的金鑰保存庫強制執行必要的保留期間,以保護您免於遭受內部攻擊。 您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的金鑰保存庫。 Audit, Deny, Disabled 2.0.0
API 應用程式應該使用受控識別 使用受控識別來增強驗證安全性 AuditIfNotExists, Disabled 2.0.0
函式應用程式應該使用受控識別 使用受控識別來增強驗證安全性 AuditIfNotExists, Disabled 2.0.0
Web 應用程式應該使用受控識別 使用受控識別來增強驗證安全性 AuditIfNotExists, Disabled 2.0.0

偵測系統或交易記錄的異常活動

惡意程式碼防護

識別碼:SWIFT CSCF v2021 6.1

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應在虛擬機器擴展集上安裝端點保護解決方案 稽核虛擬機器擴展集上端點保護解決方案的存在與健康狀態,以免其遭受威脅及弱點的傷害。 AuditIfNotExists, Disabled 3.0.0
Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 此原則會稽核未設定自動更新 Microsoft Antimalware 保護簽章的任何 Windows 虛擬機器。 AuditIfNotExists, Disabled 1.0.0
Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上 此原則會稽核任何未部署 Microsoft IaaSAntimalware 延伸模組的 Windows 伺服器 VM。 AuditIfNotExists, Disabled 1.0.0
在 Azure 資訊安全中心中監視缺少的 Endpoint Protection Azure 資訊安全中心會依建議監視未安裝 Endpoint Protection 代理程式的伺服器 AuditIfNotExists, Disabled 3.0.0

軟體完整性

識別碼:SWIFT CSCF v2021 6.2

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
Azure Kubernetes Service 叢集中的作業系統和資料磁碟都應該使用客戶自控金鑰加密 使用客戶自控金鑰加密 OS 和資料磁碟,可在金鑰管理方面提供更大的控制能力和彈性。 這是許多法規和業界合規性標準的常見需求。 Audit, Deny, Disabled 1.0.0
應關閉 API 應用程式的遠端偵錯 遠端偵錯需要在 API 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 AuditIfNotExists, Disabled 1.0.0
函式應用程式的遠端偵錯應關閉 遠端偵錯需要在函式應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 AuditIfNotExists, Disabled 1.0.0
應關閉 Web 應用程式的遠端偵錯 遠端偵錯需要在 Web 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 AuditIfNotExists, Disabled 1.0.0

資料庫完整性

識別碼:SWIFT CSCF v2021 6.3

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應啟用 SQL 伺服器上的稽核 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 AuditIfNotExists, Disabled 2.0.0
Cosmos DB 應該使用虛擬網路服務端點 此原則會稽核任何未設定為使用虛擬網路服務端點的 Cosmos DB。 Audit, Disabled 1.0.0
應為 PostgreSQL 資料庫伺服器記錄中斷連線。 此原則可協助稽核您環境中任何未啟用 log_disconnections 的 PostgreSQL 資料庫。 AuditIfNotExists, Disabled 1.0.0
應為適用於 MariaDB 的 Azure 資料庫啟用異地備援備份 適用於 MariaDB 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 Audit, Disabled 1.0.1
應為適用於 MySQL 的 Azure 資料庫啟用異地備援備份 適用於 MySQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 Audit, Disabled 1.0.1
應為適用於 PostgreSQL 的 Azure 資料庫啟用異地備援備份 適用於 PostgreSQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 Audit, Disabled 1.0.1
應對 Azure SQL Database 停用公用網路存取 停用公用網路存取屬性可確保您的 Azure SQL Database 只能從私人端點存取,藉此改善安全性。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 Audit, Deny, Disabled 1.1.0
應為 MariaDB 伺服器停用公用網路存取 停用公用網路存取屬性可確保適用於 MariaDB 的 Azure 資料庫只能從私人端點存取,藉此改善安全性。 此設定會嚴格停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 Audit, Disabled 1.0.2
應為 MySQL 伺服器停用公用網路存取 停用公用網路存取屬性可確保適用於 MySQL 的 Azure 資料庫只能從私人端點存取,藉此改善安全性。 此設定會嚴格停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 Audit, Disabled 1.0.2
應為 PostgreSQL 伺服器停用公用網路存取 停用公用網路存取屬性可確保適用於 PostgreSQL 的 Azure 資料庫只能從私人端點存取,藉此改善安全性。 此設定會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 Audit, Disabled 1.0.2
對儲存體帳戶目的地進行稽核的 SQL 伺服器保留期應設定為 90 天 (含) 以上 為了進行事件調查,建議您將 SQL Server 稽核儲存體帳戶目的地的資料保留設定為至少 90 天。 確認您符合您正在操作區域所需的保留規則。 有時候必須如此才能符合法規標準。 AuditIfNotExists, Disabled 3.0.0
應在 SQL 資料庫上啟用透明資料加密 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 AuditIfNotExists, Disabled 2.0.0

記錄和監視

識別碼:SWIFT CSCF v2021 6.4

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
[預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器回報為不符合規範。 AuditIfNotExists, Disabled 2.0.1-preview
[預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 AuditIfNotExists, Disabled 1.0.2-preview
[預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 AuditIfNotExists, Disabled 1.0.2-preview
活動記錄至少應保留一年 若保留期未設為 365 天或永久 (保留期設為 0),此原則就會稽核活動記錄。 AuditIfNotExists, Disabled 1.0.0
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.0.0
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol 修改 4.0.0
稽核未設定災害復原的虛擬機器 稽核未設定災害復原的虛擬機器。 若要深入了解災害復原,請造訪 https://aka.ms/asr-doc auditIfNotExists 1.0.0
應啟用 SQL 伺服器上的稽核 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 AuditIfNotExists, Disabled 2.0.0
您的訂用帳戶上應啟用 Log Analytics 代理程式的自動化佈建 為了監視是否有安全性弱點及威脅,Azure 資訊安全中心會從 Azure 虛擬機器收集資料。 資料會由 Log Analytics 代理程式 (先前稱為 Microsoft Monitoring Agent (MMA)) 進行收集,收集的方式是讀取機器的各種安全性相關組態和事件記錄,並將資料複製到 Log Analytics 工作區進行分析。 建議您啟用自動佈建,以將代理程式自動部署到所有受支援的 Azure VM 和任何新建立的 VM。 AuditIfNotExists, Disabled 1.0.1
應該為虛擬機器啟用 Azure 備份 藉由啟用 Azure 備份,確保您的 Azure 虛擬機器受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 AuditIfNotExists, Disabled 3.0.0
應啟用適用於 App Service 的 Azure Defender 適用於 App Service 的 Azure Defender 利用雲端的規模及雲端提供者 Azure 擁有的廣大視野,監視常見的 Web 應用程式攻擊。 AuditIfNotExists, Disabled 1.0.3
應啟用適用於 Azure SQL Database 伺服器的 Azure Defender 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 AuditIfNotExists, Disabled 1.0.2
應啟用適用於 Key Vault 的 Azure Defender 適用於 Key Vault 的 Azure Defender 會透過偵測嘗試存取或惡意探索金鑰保存庫帳戶的異常及潛在有害威脅,提供一層額外的保護和安全情報。 AuditIfNotExists, Disabled 1.0.3
應啟用適用於伺服器的 Azure Defender 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 AuditIfNotExists, Disabled 1.0.3
應啟用適用於機器上 SQL 伺服器的 Azure Defender 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 AuditIfNotExists, Disabled 1.0.2
應啟用適用於儲存體的 Azure Defender 適用於儲存體的 Azure Defender 會偵測異常且可能有害的儲存體帳戶存取或攻擊意圖。 AuditIfNotExists, Disabled 1.0.3
Azure 監視器記錄設定檔應收集 [寫入]、[刪除] 和 [動作] 分類的記錄 此原則可確保記錄設定檔會收集「寫入」、「刪除」和「動作」類別的記錄 AuditIfNotExists, Disabled 1.0.0
Azure 監視器應從所有區域收集活動記錄 此原則會稽核不從所有 Azure 支援區域 (包括全球) 匯出活動的 Azure 監視器記錄設定檔。 AuditIfNotExists, Disabled 2.0.0
必須部署 Azure 監視器解決方案「安全性與稽核」 此原則可確保已部署安全性與稽核。 AuditIfNotExists, Disabled 1.0.0
部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol deployIfNotExists 3.0.0
在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol deployIfNotExists 1.2.0
應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器擴展集回報為不符合規範。 AuditIfNotExists, Disabled 2.0.1
應啟用 Azure Data Lake Store 中的資源記錄 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 AuditIfNotExists, Disabled 5.0.0
應啟用 Azure 串流分析中的資源記錄 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 AuditIfNotExists, Disabled 5.0.0
應啟用 Batch 帳戶中的資源記錄 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 AuditIfNotExists, Disabled 5.0.0
應啟用 Data Lake Analytics 中的資源記錄 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 AuditIfNotExists, Disabled 5.0.0
應啟用事件中樞內的資源記錄 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 AuditIfNotExists, Disabled 5.0.0
應啟用 IoT 中樞內的資源記錄 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 AuditIfNotExists, Disabled 3.0.1
應啟用 Key Vault 中的資源記錄 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 AuditIfNotExists, Disabled 5.0.0
應啟用 Logic Apps 中的資源記錄 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 AuditIfNotExists, Disabled 5.0.0
應啟用搜尋服務中的資源記錄 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 AuditIfNotExists, Disabled 5.0.0
應啟用服務匯流排中的資源記錄 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 AuditIfNotExists, Disabled 5.0.0
應啟用虛擬機器擴展集中的資源記錄 建議啟用記錄,以在發生事件或外洩需要調查時,能夠重新建立活動線索。 AuditIfNotExists, Disabled 2.1.0
Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 此原則會稽核任何 Windows/Linux 虛擬機器擴展集是否未安裝 Log Analytics 延伸模組。 AuditIfNotExists, Disabled 1.0.1
虛擬機器應已安裝 Log Analytics 延伸模組 此原則會稽核任何 Windows/Linux 虛擬機器是否未安裝 Log Analytics 延伸模組。 AuditIfNotExists, Disabled 1.0.1

入侵偵測

識別碼SWIFT CSCF v2021 6.5A

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
[預覽]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 AuditIfNotExists, Disabled 1.0.2-preview
[預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 AuditIfNotExists, Disabled 1.0.2-preview
應在網際網路對應的虛擬機器上套用自適性網路強化建議 Azure 資訊安全中心會分析網際網路對向虛擬機器的流量模式,然後提供降低潛在攻擊面的網路安全性群組規則建議 AuditIfNotExists, Disabled 3.0.0
應啟用適用於 App Service 的 Azure Defender 適用於 App Service 的 Azure Defender 利用雲端的規模及雲端提供者 Azure 擁有的廣大視野,監視常見的 Web 應用程式攻擊。 AuditIfNotExists, Disabled 1.0.3
應啟用適用於 Azure SQL Database 伺服器的 Azure Defender 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 AuditIfNotExists, Disabled 1.0.2
應啟用適用於 Key Vault 的 Azure Defender 適用於 Key Vault 的 Azure Defender 會透過偵測嘗試存取或惡意探索金鑰保存庫帳戶的異常及潛在有害威脅,提供一層額外的保護和安全情報。 AuditIfNotExists, Disabled 1.0.3
應啟用適用於伺服器的 Azure Defender 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 AuditIfNotExists, Disabled 1.0.3
應啟用適用於機器上 SQL 伺服器的 Azure Defender 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 AuditIfNotExists, Disabled 1.0.2
應啟用適用於儲存體的 Azure Defender 適用於儲存體的 Azure Defender 會偵測異常且可能有害的儲存體帳戶存取或攻擊意圖。 AuditIfNotExists, Disabled 1.0.3
Azure Kubernetes Service 叢集中的作業系統和資料磁碟都應該使用客戶自控金鑰加密 使用客戶自控金鑰加密 OS 和資料磁碟,可在金鑰管理方面提供更大的控制能力和彈性。 這是許多法規和業界合規性標準的常見需求。 Audit, Deny, Disabled 1.0.0
CORS 不應允許每項資源存取您的 API 應用程式 跨原始資源共用 (CORS) 不應允許所有網域存取 API 應用程式。 請只允許必要網域與您的 API 應用程式互動。 AuditIfNotExists, Disabled 1.0.0
CORS 不應允許每項資源存取函式應用程式 跨原始資源共用 (CORS) 不應允許所有網域存取函式應用程式。 請只允許必要網域與您的函式應用程式互動。 AuditIfNotExists, Disabled 1.0.0
CORS 不應允許每項資源存取您的 Web 應用程式 跨原始資源共用 (CORS) 不應允許所有網域存取 Web 應用程式。 請只允許必要網域與您的 Web 應用程式互動。 AuditIfNotExists, Disabled 1.0.0
應啟用網路監看員 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 AuditIfNotExists, Disabled 3.0.0
只允許對您 Azure Cache for Redis 的安全連線 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 Audit, Deny, Disabled 1.0.0
應關閉 API 應用程式的遠端偵錯 遠端偵錯需要在 API 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 AuditIfNotExists, Disabled 1.0.0
函式應用程式的遠端偵錯應關閉 遠端偵錯需要在函式應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 AuditIfNotExists, Disabled 1.0.0
應關閉 Web 應用程式的遠端偵錯 遠端偵錯需要在 Web 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 AuditIfNotExists, Disabled 1.0.0

規劃事件回應和資訊共用

網路事件回應規劃

識別碼:SWIFT CSCF v2021 7.1

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應針對高嚴重性警示啟用電子郵件通知 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請在資訊安全中心內啟用高嚴重性警示的電子郵件通知。 AuditIfNotExists, Disabled 1.0.1
應已針對高嚴重性警示啟用傳送給訂用帳戶擁有者的電子郵件通知 為確保訂用帳戶擁有者會在其訂用帳戶有潛在安全性缺口時收到通知,請在資訊安全中心內設定發送對象為訂用帳戶擁有者的高嚴重性警示電子郵件通知。 AuditIfNotExists, Disabled 2.0.0
訂用帳戶應具有連絡人電子郵件地址以處理安全性問題 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請設定要接收資訊安全中心所傳來電子郵件通知的安全性連絡人。 AuditIfNotExists, Disabled 1.0.1

後續步驟

有關 Azure 原則的其他文章: