Microsoft 365 應用程式合規文件附錄與詞彙表

附錄 A

TLS 設定檔的配置要求

所有網路流量,無論是虛擬網路、雲端服務或資料中心,都必須以最低 TLS v1.1 保護 (建議使用 TLS v1.2+) 或其他適用協定。 此要求的例外情況包括:

  • HTTP-轉 HTTPS 重定向。 你的應用程式可以透過 HTTP 回應,將客戶端重新導向到 HTTPS,但回應中不得包含任何敏感資料 (cookie、標頭、內容) 。 除了重定向到 HTTPS 和回應健康探測外,其他 HTTP 回應都不被允許。 詳見下方。
  • 健康探針。 你的應用程式 只有在 檢查方不支援 HTTPS 健康探針時,才能回應 HTTP 上的健康探針。
  • 憑證存取權。 允許透過 HTTP 存取 CRL、OCSP 及 AIA 端點以進行憑證驗證與撤銷檢查。
  • 地方通訊。 你的應用程式可以使用 HTTP (或其他不受保護的協定) 用於不離開作業系統的通訊,例如連接暴露在 localhost 上的網頁伺服器端點。

TLS 壓縮必須被停用。

附錄B

加密設定檔配置要求

僅允許使用密碼學原語與參數,具體如下:

對稱密碼學

加密

  • 只允許使用 AES、BitLocker、Blowfish 或 TDES。 (128 位元、192 位元及 256 位元的支援金鑰 >長度皆可) , (建議使用 256 位元金鑰) 。

  • 僅允許使用 CBC 模式。 每個加密操作都必須使用一個全新、隨機產生的初始化向量 IV) (。

  • 允許使用 串流密碼,如 RC4。

雜湊函數

  • 所有新代碼必須使用 SHA-256、SHA-384 或 SHA-512, (統稱為 SHA-2) 。 輸出可截斷至不少於128位元

  • SHA-1 僅可用於相容性考量。

  • 不允許使用 MD5、MD4、MD2 及其他雜湊函數,即使是非密碼學應用。

訊息認證

  • 所有新程式碼必須使用 HMAC 搭配核准的雜湊函數。 HMAC 的輸出可被截斷至不少於 128 位元。

  • HMAC-SHA1 僅可用於相容性考量。

  • HMAC 金鑰必須至少是 128 位元。 建議使用 256 位元金鑰。

非對稱演算法

加密

  • RSA是被允許的。 金鑰 必須 至少為 2048 位元,且必須使用 OAEP 填充。 僅允許基於相容性理由使用 PKCS 填充。

簽章

  • RSA是被允許的。 金鑰 必須 至少為 2048 位元,且必須使用 PSS 填充。 僅允許基於相容性理由使用 PKCS 填充。

*允許使用ECDSA。 金鑰 必須 至少有 256 位元。 必須使用NIST P-256、P-384或P-521曲線。

金鑰交換

  • 允許使用ECDH。 金鑰 必須 至少有 256 位元。 必須使用NIST P-256、P-384或P-521曲線。

  • 允許使用ECDH。 金鑰 必須 至少有 256 位元。 必須使用NIST P-256、P-384或P-521曲線。

附錄C

證據蒐集 – ISO 27001 的 Delta

若您已達成ISO27001合規,以下 delta (缺口) 未完全被 ISO 27001 覆蓋,至少需在本 Microsoft 365 認證中檢視。

注意事項

作為您 Microsoft 365 認證評估的一部分,認證分析師將判斷是否有任何映射的 ISO 27001 控制措施未納入 ISO 27001 評估,並可能抽樣納入的控制措施以提供進一步的保證。 ISO 27001 中缺少的任何要求,都必須納入您的 Microsoft 365 認證評估活動中。

惡意軟體防護-防毒軟體

若惡意軟體防護已透過應用程式控制措施實施,且在ISO 27001報告中有證明,則無需進一步調查。 若無應用程式控制措施,認證分析師需識別並評估應用控制機制的證據,以防止惡意軟體在環境中爆發。 這將需要你:

  • 展示防毒軟體在所有取樣系統元件中運行。

  • 展示防毒軟體在所有系統元件中被設定為自動封鎖惡意軟體、隔離 & 警示或警示。

  • 防毒軟體 必須 設定為記錄所有活動。

補丁管理 – 補丁

由於 ISO 27001 審核並未特別評估此類別,因此您將需要:

  • 廠商不再支援的軟體元件與作業系統 ,絕不能 在環境中使用。 必須有支援政策,確保未受支援的軟體元件/作業系統能從環境中移除,並建立識別軟體元件何時終止生命週期的流程

漏洞掃描

由於 ISO 27001 審核並未特別評估此類別,因此您將需要:

  • 證明每季進行一次內部及外部漏洞掃描。

  • 確認根據風險排名並符合規範,提供漏洞修復支持文件:

  • 修正所有符合內部掃描風險排名的關鍵與高風險問題。

  • 根據外部掃描的風險排名,修正所有關鍵、高風險及中風險問題。

  • 證明修復工作依照文件化的漏洞修復政策進行。

變更控制

由於 ISO 27001 審核並未特別評估變更請求流程的某些要素,因此您將需要:

  • 展示變更請求包含以下細節:

  • 有記錄的影響。

  • 詳細說明將進行哪些功能測試。

  • 任何退出程序的詳細說明。

  • 展示功能測試是在變更完成後進行的。

  • 展示變更請求在功能測試完成後會被簽署。

帳戶管理

由於 ISO 27001 審計並未特別評估某些帳戶管理流程的元素,因此您將需要:

  • 示範如何實作 *s 來減輕重播攻擊,例如 (MFA、Kerberos) 。

  • 展示三個月未使用的帳號如何被停用或刪除。

  • *或其他適當的緩解措施必須設定以保護使用者憑證。 以下最低密碼政策應作為指引:

  • 密碼長度最少為8個字元。

  • 帳戶鎖定門檻不超過10次。

  • 密碼歷史至少有五個密碼。

  • 強制使用強密碼。

  • 展示多重身份驗證(MFA)已為所有遠端存取解決方案設定。

  • 展示所有遠端存取解決方案都已設定強加密。

  • 當公共DNS的管理在範圍內環境外時,所有能進行DNS修改的使用者帳號都必須設定為使用多重認證(MFA)。

入侵偵測與防範 (可選)

由於 ISO 27001 稽核並未特別評估入侵偵測與防範服務 (IDPS) 流程的某些元素,因此您將需要:

  • 流離失所 者應該 部署在支援環境的周邊。

  • IDPS 簽名 應該 在過去一天內保持最新。

  • IDP 應該 設定為 TLS 檢查。

  • IDP 應該 為所有進出流量設定。

  • IDPS 應該 設定為警示功能。

事件記錄

由於 ISO 27001 稽核並未特別評估某些安全事件記錄流程的元素,因此您將需要:

  • 證明面向公眾的系統正在登錄一個不在 DMZ 內的集中式日誌解決方案。

  • 展示如何立即取得至少30天的日誌資料,其中90天保留。

檢視 (日誌資料)

由於 ISO 27001 審核並未特別評估此類別的某些要素,因此您將需要:

  • 展示每日日誌審查的進行方式,以及異常與異常的識別方式,說明這些問題的處理方式。

警報

由於 ISO 27001 審核並未特別評估此類別的某些要素,因此您將需要:

  • 示範安全事件如何設定以觸發警示以立即分流。

  • 展示員工全天候24小時待命,隨時回應安全警示。

風險管理

由於 ISO 27001 審計並未特別評估某些風險評估流程的元素,因此您將需要:

  • 證明已建立正式的風險管理流程。

事件應變

由於 ISO 27001 稽核並未特別評估事件應變政策與流程的某些要素,因此您需要:

  • 證明事件應變計畫/程序包含:

  • 針對預期威脅模型的具體應對程序。

  • 事件處理能力符合 NIST 網路安全框架 (識別、保護、偵測、回應、復原) 。

  • IRP 涵蓋範圍內系統。

  • 事件應變小組的年度訓練。

附錄D

證據收集 – PCI DSS 的 Delta

若您已達成 PCI DSS 合規,以下 delta 的 (缺漏) 未完全被 PCI DSS 覆蓋,至少需在本 Microsoft 365 認證中檢視。

注意事項

作為 Microsoft 365 認證評估的一部分,認證分析師將判斷是否有任何映射的 PCI DSS 控制未納入 PCI DSS 評估,並可能抽取已包含的控制措施以提供進一步保證。 PCI DSS 中缺少的任何要求,都必須納入 Microsoft 365 認證評估活動中。

惡意軟體防護 - 應用程式控制

若透過防毒軟體實施惡意軟體防護,且 PCI DSS 報告中有證明,則無需進一步調查。 若無防毒軟體,認證分析師需識別並評估應用程式控制機制的證據,以防止惡意軟體在環境中爆發。 這將需要你:

  • 展示申請核准的流程並確認此過程已完成。

  • 證明有完整的核准申請清單並具備商業理由。

  • 提供或展示已建立支持文件,說明應用程式控制軟體如何配置以符合特定應用控制機制 (例如允許清單、程式碼簽署等 ) 。

  • 展示在所有取樣的系統元件中,應用程式控制皆依照文件配置。

補丁管理-風險排名

由於 PCI DSS 審計並不特別評估此類別,因此您需要:

  • 展示脆弱性風險排名的進行方式。

漏洞掃描

由於 PCI DSS 審計並不特別評估此類別,因此您需要:

  • 證明修復工作依照文件化的漏洞修復政策進行。

變更控制

由於 PCI DSS 審計並未特別評估變更請求流程的某些元素,因此您需要:

  • 證明變更請求在生產環境中提出前會被提出。

  • 在進入生產前,要證明變更是被授權的。

  • 展示功能測試是在變更完成後進行的。

  • 展示變更請求在功能測試完成後會被簽署。

安全軟體開發/部署

由於 PCI DSS 稽核並不特別存取某些安全的軟體開發與部署流程元素;這將需要你:

  • 程式碼庫必須由 MFA 保護。

  • 必須有足夠的存取控制措施,以保護程式碼庫免受惡意修改。

帳戶管理

由於 PCI DSS 審計並未特別評估某些帳戶管理流程的元素,因此您需要:

  • 展示授權機制如何實作以減輕重播攻擊,例如 (MFA、Kerberos) 。

  • 必須設定強密碼政策或其他適當的緩解措施來保護使用者憑證。 以下最低密碼政策應作為指引:

  • 密碼長度最少為8個字元。

  • 帳戶鎖定門檻不超過10次。

  • 密碼歷史至少有五個密碼。

  • 強制使用強密碼。

  • 展示所有遠端存取解決方案都已設定強加密。

  • 當公共DNS的管理在範圍內環境外時,所有能進行DNS修改的使用者帳號都必須設定為使用多重認證(MFA)。

入侵偵測與防範 (可選)

由於 PCI DSS 稽核並未特別評估入侵偵測與預防服務 (IDPS) 流程的某些元素,因此您需要:

  • IDP 應該設定為 TLS 檢查。

  • IDP 應該為所有進出流量設定。

風險管理

由於 PCI DSS 審計並未特別評估某些風險評估流程的元素,因此您需要:

  • 展示風險評估包含影響矩陣與可能性矩陣。

事件應變

由於 PCI DSS 稽核並未特別評估事件回應政策與流程的某些元素,因此開發者必須:

  • 展示事件處理能力符合 NIST 網路安全框架 (識別、保護、偵測、回應、恢復) 。

附錄E

證據蒐集 - SOC 2 的 Delta

如果您已取得 SOC 2 合規,以下 Delta (缺口) 未完全被 SOC 2 覆蓋,將需在本 Microsoft 365 認證中進行審查。

注意事項

作為 Microsoft 365 認證評估的一部分,認證分析師將判斷是否有任何映射的 SOC 2 控制未納入您的 SOC 2 評估,並可能抽取已包含的控制措施以提供進一步保障。 您的 SOC 2 評量中缺少的任何需求,都必須納入 Microsoft 365 認證評量活動中。

惡意軟體防護 - 應用程式控制

若惡意軟體防護已透過防毒軟體存在,且在您的 SOC 2 報告中有證明,則無需進一步調查。 若無防毒軟體,認證分析師需識別並評估應用程式控制機制的證據,以防止惡意軟體在環境中爆發。 這將需要你:

  • 提供或展示已建立支持文件,說明應用程式控制軟體如何配置以符合特定應用控制機制 (例如允許清單、程式碼簽署等 ) 。

  • 展示申請核准的流程並確認此過程已完成。

  • 證明有完整的核准申請清單並具備商業理由。

  • 展示在所有取樣的系統元件中,應用程式控制皆依照文件配置。

補丁管理 – 補丁

由於 SOC 2 審計並不專門評估此類別,因此您將需要:

  • 任何低、中、高或嚴重的問題必須在正常的修補活動視窗內修補。

  • 廠商不再支援的軟體元件與作業系統,絕不能在環境中使用。 必須有相關政策,確保未受支援的軟體元件/作業系統能從環境中移除,並且必須有流程來識別軟體元件何時終止生命週期。

變更控制

由於 SOC 2 審計並未特別評估變更請求流程的某些元素,因此開發者必須:

  • 展示開發/測試環境如何與生產環境分離,強制執行職責分離。

  • 展示如何不使用即時資料在開發/測試環境中。

  • 展示功能測試是在變更完成後進行的。

  • 展示變更請求在功能測試完成後會被簽署。

安全軟體開發/部署

由於 SOC 2 審計並未特別存取某些安全軟體開發與部署流程的元素;這將需要你:

  • 你必須擁有一套涵蓋整個軟體開發生命週期的既定且有文件記錄的軟體開發流程。

  • 開發者必須至少每年接受一次安全的軟體編碼訓練。

  • 程式碼庫必須由 MFA 保護。

  • 必須有足夠的存取控制措施,以保護程式碼庫免受惡意修改。

帳戶管理

由於 SOC2 稽核並未特別評估某些帳戶管理流程的元素,因此您需要:

  • 展示授權機制如何實作以減輕重播攻擊,例如 (MFA、Kerberos) 。

  • 展示三個月未使用的帳號如何被停用或刪除。

  • 必須設定強密碼政策或其他適當的緩解措施來保護使用者憑證。 以下最低密碼政策應作為指引:

  • 密碼長度最少為8個字元。

  • 帳戶鎖定門檻不超過10次。

  • 密碼歷史至少有5個密碼。

  • 強制使用強密碼

  • 展示所有使用者皆有獨特使用者帳號。

  • 當公共DNS的管理在範圍內環境外時,所有能進行DNS修改的使用者帳號都必須設定為使用多重認證(MFA)。

入侵偵測與防範 (可選) 。

由於 SOC 2 稽核並未特別評估入侵偵測與預防服務 (IDPS) 流程的某些元素,因此您需要:

  • IDPS 簽名應該在過去一天內保持最新

  • IDPS 應該設定為 TLS 檢查

  • IDP 應該為所有進出流量設定

事件記錄

由於 SOC 2 稽核並未特別評估安全事件記錄流程的某些元素,這將要求您:

  • 示範在樣本集內所有系統元件上,以下系統如何設定以記錄以下事件

  • 使用者對系統元件及應用程式的存取 () 。

  • 所有由高權限使用者所採取的行動。

  • 邏輯存取嘗試無效。

證明記錄事件包含:至少,以下資訊:

  • 使用者。

  • 活動類型。

  • 日期和時間。

  • 成功/失敗指標。

  • 標示以識別受影響系統。

  • 證明樣本集內所有系統元件皆設定為使用時間同步,且這些元件與主/次要時間伺服器相同。

  • 證明面向公眾的系統正在登錄一個不在 DMZ 內的集中式日誌解決方案。

  • 證明面向公眾的系統正在登錄一個不在 DMZ 內的集中式日誌解決方案。

  • 展示集中式日誌解決方案如何防止未經授權的日誌資料竄改。

  • 展示如何立即取得至少30天的日誌資料,且保留90天以上。

風險管理

由於 SOC2 審計並未特別評估風險評估流程的某些元素,因此您需要:

  • 證明至少每年進行一次正式的風險評估。

事件應變。

由於 SOC2 審計不會特別評估事件回應政策與流程的某些元素,因此您需要:

  • 證明事件應變計畫/程序包含:

  • 針對預期威脅模型的具體應對程序。

  • 有書面紀錄的溝通流程,確保及時通知支付品牌/收購方、監管機構、監管機構、董事、客戶等關鍵利害關係人 (。

附錄F

主機部署類型

Microsoft 承認你會在不同的主機環境中部署應用程式並儲存應用程式/附加程式碼。 Microsoft 365 認證中部分安全控管的整體責任將依所使用的主機環境而異。 附錄 F 探討常見的部署類型,並將其與評估過程中評估的安全控管對應。 已識別出以下主機部署類型:

主機類型 描述
獨立獨立服務台(ISV)主持 ISV 託管類型可以定義為你負責支援應用程式/外掛環境的基礎設施。 這些設備可以實體設置在您的資料中心內,或是透過共置服務的第三方資料中心。 最終,您擁有對支援基礎設施與營運環境的完全所有權與行政控制權。
基礎設施即服務 (IaaS) (https://azure.microsoft.com/overview/what-is-iaas/) 基礎設施即服務(Infrastructure as a Service)是由雲端服務提供者 (CSP) 代表其管理與維護實體基礎設施的服務。 通常,網路、儲存、實體伺服器及虛擬化基礎設施皆由 CSP 負責。 作業系統、中介軟體、執行環境、資料與應用程式則由您負責。 防火牆功能也會由第三方管理與維護,但防火牆規則庫的維護通常仍由消費者負責。
平台即服務/無伺服器 (PaaS) (https://azure.microsoft.com/overview/what-is-paas/) 使用平台即服務(Platform as a Service),你會被設定一個可被管理的平台,提供一個可以被消費的服務。 你不需要執行系統管理功能,因為作業系統和支援基礎設施是由 CSP 管理的。 這通常用於組織不想專注於呈現網路服務,而是專注於建立網頁應用程式原始碼並將應用程式發佈到雲端管理的網路服務時。另一個例子可能是資料庫服務,雖然與資料庫提供連接,但支援的基礎設施與資料庫應用卻與使用者抽象化。注意:Serverless 與 PaaS 類似,因此就 Microsoft 365 認證主機部署類型而言,Serverless 與 PasS 被視為相同
混合主機 在混合型主機類型中,你可以利用多種託管類型來支援支援環境的不同部分。 這種情況可能更常見於應用程式/外掛在多個 Microsoft 365 堆疊間的使用。 雖然 Microsoft 365 認證將支援跨多個 Microsoft 365 服務開發應用程式/附加元件,但需依據適用的「託管類型映射」評估整個應用程式/附加元件) 支援環境的整體 (。 有時候,你可能會為單一外掛使用不同的託管類型,若執行此操作,標準的適用性仍需遵循「託管類型映射」標準,跨越各種託管類型。
共享主機 共享主機是指你在一個由多個個別消費者共享的平台上架設環境。 由於雲端的採用,Microsoft 365 認證規範並未針對此設計,共享主機並不普遍。 若您懷疑此系統被使用,請聯絡 Microsoft,因為需制定額外要求以因應此類主機類型下的風險。

詞彙

AIA(美國人協會)

*權威資訊存取是一種服務位置描述符,用以尋找發出憑證機構的憑證。

CRL

*憑證撤銷清單提供安全套接層 (SSL) 端點驗證從遠端主機收到的憑證是否有效且值得信賴的方式。

CVSS 分數

*通用漏洞評分系統是一套已發表的標準,衡量漏洞並根據其嚴重性計算數值分數。

CVSS 補丁管理指引

  • 關鍵 (9.0 - 10.0)
  • 最高 (7.0至8.9)
  • 中等 (4.0 - 6.9)
  • 低 (0.0 - 3.9)

非軍事區

*非軍事區是一種物理或邏輯的中介網路,直接與外部或非專有網路互動,同時保持主機內部私有網路的分離與隔離。

FedRAMP

聯邦風險與授權管理計畫 (FedRAMP) 是一項於2011年成立的美國聯邦政府範圍計畫。 它提供一套標準化的方法,用於雲端產品與服務的安全評估、授權及持續監控。

EUII

最終使用者可識別的資訊

GDPR

*一般資料保護條例是歐盟 (歐盟) 隱私與資料保護規範,適用於所有歐盟公民的資料,無論您的申請網站位於何處。

高速匯送

*HTTP 嚴格傳輸安全使用一個 HTTP 回應標頭,指示網頁瀏覽器只能透過 HTTPS 存取內容。此設計旨在防止降級攻擊與 cookie 劫持。

IEC

*國際電工委員會。

ISMS

*資訊安全管理系統。

ISV

獨立安全供應商是開發、行銷及銷售在第三方軟硬體平台上運行軟體的個人與組織。

ISO 27001

一個資訊安全管理系統規範框架,涵蓋組織風險管理政策與程序流程中所有技術控管。

LFI

本地檔案包含 性允許攻擊者透過網頁瀏覽器將檔案納入伺服器上的檔案。

NIST

美國商務部下屬的非監管機構 (國家 標準研究 院(NIST) )為美國私營部門組織提供評估與核准其防範、偵測及回應網路攻擊能力的指導。

非重大變更

  • 小的錯誤修正。
  • 小幅的效能提升。
  • 作業系統/函式庫/客戶端與伺服器應用程式修補程式。

OCSP

線上憑證狀態協定用於檢查 X.509 數位憑證的撤銷狀態。

OII

組織可識別資訊

黃蜂

開放網路應用安全計畫

PCI DSS

支付卡產業資料安全標準(Payment Card Industry Data Security Standard)是一個維護全球持卡人資料安全標準的組織。

滲透測試

滲透測試 是一種透過模擬惡意攻擊來測試網頁應用程式的方法,以找出攻擊者可能利用的安全漏洞。

SAML(地獄與美式軍事航空母

安全斷言標記語言 是一種開放標準,用於使用者、身份提供者與服務提供者之間交換認證與授權資料。

敏感性資料

  • 存取控制資料。
  • 客戶內容。
  • 終端使用者身份資訊。
  • 支援資料。
  • 公開個人資料。
  • 終端用戶的化名資訊。

重大變革

  • 主機環境的遷移。
  • 對配套基礎設施進行重大升級;例如,實施新的防火牆、對面向前端服務的重大升級等等。
  • 為你的應用程式新增功能和/或擴充功能。
  • 匯報你的應用程式,捕捉更多敏感資料。
  • 應用程式資料流或授權模式的變更
  • 新增 API 端點或 API 端點函式。

SOC 2

服務組織控制 2,是一項技術稽核程序,包含五項信任服務原則,確保服務提供者能安全地管理組織客戶的資料與隱私。

SSL

安全套接層

TLS

傳輸層安全

  • Last updated on