Mechanizmy kontroli zgodności z przepisami usługi Azure Policy dla usługi Azure Synapse Analytics

Artykuł
06/01/2024

Zgodność z przepisami w usłudze Azure Policy udostępnia definicje inicjatyw utworzonych i zarządzanych przez firmę Microsoft, znanych jako wbudowane, dla domen zgodności i mechanizmów kontroli zabezpieczeń związanych z różnymi standardami zgodności. Na tej stronie wymieniono domeny zgodności i mechanizmy kontroli zabezpieczeń dla aplikacja systemu Azure Configuration. Wbudowane funkcje kontroli zabezpieczeń można przypisać indywidualnie, aby ułatwić zapewnienie zgodności zasobów platformy Azure z określonym standardem.

Tytuł każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja zasad, aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.

Ważne

Każda kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą. Jednak często między kontrolką a co najmniej jedną zasadą nie występuje dopasowanie jeden do jednego lub całkowitego dopasowania. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między kontrolkami i definicjami zgodności z przepisami usługi Azure Policy dla tych standardów zgodności mogą ulec zmianie w czasie.

CmMC Poziom 3

Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz zgodność z przepisami usługi Azure Policy — poziom 3. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Certyfikacja modelu dojrzałości cyberbezpieczeństwa (CMMC).

Domain	Identyfikator kontrolki	Tytuł kontrolki	Zasady _{(Azure Portal)}	Wersja zasad _(GitHub)
Ochrona systemu i komunikacji	SC.3.177	Stosowanie kryptografii zweryfikowanej przez standard FIPS w przypadku ochrony poufności cuI.	Obszary robocze usługi Azure Synapse powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych	1.0.0

FedRAMP High

Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz zgodność z przepisami usługi Azure Policy — FedRAMP High. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz FedRAMP High.

Domain	Identyfikator kontrolki	Tytuł kontrolki	Zasady _{(Azure Portal)}	Wersja zasad _(GitHub)
Kontrola dostępu	AC-4	Wymuszanie przepływu informacji	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Kontrola dostępu	AC-17	Dostęp zdalny	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Kontrola dostępu	AC-17 (1)	Automatyczne monitorowanie/sterowanie	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Ocena ryzyka	RA-5	Skanowanie luk w zabezpieczeniach	Ocena luk w zabezpieczeniach powinna być włączona w obszarach roboczych usługi Synapse	1.0.0
Ochrona systemu i komunikacji	SC-7	Ochrona granic	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Ochrona systemu i komunikacji	SC-7 (3)	Punkty dostępu	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Ochrona systemu i komunikacji	SC-12	Kryptograficzne tworzenie i zarządzanie kluczami kryptograficznymi	Obszary robocze usługi Azure Synapse powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych	1.0.0

FedRAMP Moderate

Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — FedRAMP Moderate. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz FedRAMP Moderate.

Domain	Identyfikator kontrolki	Tytuł kontrolki	Zasady _{(Azure Portal)}	Wersja zasad _(GitHub)
Kontrola dostępu	AC-4	Wymuszanie przepływu informacji	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Kontrola dostępu	AC-17	Dostęp zdalny	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Kontrola dostępu	AC-17 (1)	Automatyczne monitorowanie/sterowanie	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Ocena ryzyka	RA-5	Skanowanie luk w zabezpieczeniach	Ocena luk w zabezpieczeniach powinna być włączona w obszarach roboczych usługi Synapse	1.0.0
Ochrona systemu i komunikacji	SC-7	Ochrona granic	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Ochrona systemu i komunikacji	SC-7 (3)	Punkty dostępu	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Ochrona systemu i komunikacji	SC-12	Kryptograficzne tworzenie i zarządzanie kluczami kryptograficznymi	Obszary robocze usługi Azure Synapse powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych	1.0.0

Wzorzec bezpieczeństwa w chmurze Microsoft

Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Aby zobaczyć, jak ta usługa całkowicie mapuje się na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pliki mapowania testów porównawczych zabezpieczeń platformy Azure.

Aby dowiedzieć się, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Artykuł Azure Policy Regulatory Compliance — Microsoft Cloud Security Benchmark (Zgodność z przepisami usługi Azure Policy — test porównawczy zabezpieczeń w chmurze firmy Microsoft).

Domain	Identyfikator kontrolki	Tytuł kontrolki	Zasady _{(Azure Portal)}	Wersja zasad _(GitHub)
Zarządzanie tożsamością	Im-1	Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania	Obszary robocze usługi Synapse powinny mieć włączone uwierzytelnianie tylko w usłudze Microsoft Entra	1.0.0
Zarządzanie tożsamością	Im-1	Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania	Obszary robocze usługi Synapse powinny używać tylko tożsamości usługi Microsoft Entra do uwierzytelniania podczas tworzenia obszaru roboczego	1.2.0
Rejestrowanie i wykrywanie zagrożeń	LT-1	Włączanie możliwości wykrywania zagrożeń	Usługa Microsoft Defender for SQL powinna być włączona dla niechronionych obszarów roboczych usługi Synapse	1.0.0
Rejestrowanie i wykrywanie zagrożeń	LT-2	Włączanie wykrywania zagrożeń na potrzeby zarządzania tożsamościami i dostępem	Usługa Microsoft Defender for SQL powinna być włączona dla niechronionych obszarów roboczych usługi Synapse	1.0.0
Reagowania na incydenty	IR-3	Wykrywanie i analiza — tworzenie zdarzeń na podstawie alertów wysokiej jakości	Usługa Microsoft Defender for SQL powinna być włączona dla niechronionych obszarów roboczych usługi Synapse	1.0.0
Reagowania na incydenty	AIR-5	Wykrywanie i analiza — określanie priorytetów zdarzeń	Usługa Microsoft Defender for SQL powinna być włączona dla niechronionych obszarów roboczych usługi Synapse	1.0.0

NIST SP 800-171 R2

Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — NIST SP 800-171 R2. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-171 R2.

Domain	Identyfikator kontrolki	Tytuł kontrolki	Zasady _{(Azure Portal)}	Wersja zasad _(GitHub)
Kontrola dostępu	3.1.1	Ogranicz dostęp systemowy do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów).	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Kontrola dostępu	3.1.12	Monitorowanie i kontrolowanie sesji dostępu zdalnego.	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Kontrola dostępu	3.1.13	Stosowanie mechanizmów kryptograficznych w celu ochrony poufności sesji dostępu zdalnego.	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Kontrola dostępu	3.1.14	Kierowanie dostępu zdalnego za pośrednictwem zarządzanych punktów kontroli dostępu.	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Kontrola dostępu	3.1.3	Kontrolowanie przepływu cuI zgodnie z zatwierdzonymi autoryzacjami.	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Ocena ryzyka	3.11.2	Okresowo skanuj pod kątem luk w zabezpieczeniach w systemach organizacyjnych i aplikacjach oraz gdy zostaną zidentyfikowane nowe luki w zabezpieczeniach wpływające na te systemy i aplikacje.	Ocena luk w zabezpieczeniach powinna być włączona w obszarach roboczych usługi Synapse	1.0.0
Ocena ryzyka	3.11.3	Korygowanie luk w zabezpieczeniach zgodnie z ocenami ryzyka.	Ocena luk w zabezpieczeniach powinna być włączona w obszarach roboczych usługi Synapse	1.0.0
Ochrona systemu i komunikacji	3.13.1	Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych.	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Ochrona systemu i komunikacji	3.13.10	Ustanów klucze kryptograficzne dla kryptografii stosowanej w systemach organizacyjnych i zarządzaj nimi.	Obszary robocze usługi Azure Synapse powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych	1.0.0
Ochrona systemu i komunikacji	3.13.2	Stosowanie projektów architektonicznych, technik tworzenia oprogramowania i zasad inżynierii systemów, które promują skuteczne zabezpieczenia informacji w systemach organizacyjnych.	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Ochrona systemu i komunikacji	3.13.5	Zaimplementuj podsieć dla publicznie dostępnych składników systemowych, które są fizycznie lub logicznie oddzielone od sieci wewnętrznych.	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1

NIST SP 800-53 Rev. 4

Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — NIST SP 800-53 Rev. 4. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-53 Rev. 4.

Domain	Identyfikator kontrolki	Tytuł kontrolki	Zasady _{(Azure Portal)}	Wersja zasad _(GitHub)
Kontrola dostępu	AC-4	Wymuszanie przepływu informacji	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Kontrola dostępu	AC-17	Dostęp zdalny	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Kontrola dostępu	AC-17 (1)	Automatyczne monitorowanie/sterowanie	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Ocena ryzyka	RA-5	Skanowanie luk w zabezpieczeniach	Ocena luk w zabezpieczeniach powinna być włączona w obszarach roboczych usługi Synapse	1.0.0
Ochrona systemu i komunikacji	SC-7	Ochrona granic	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Ochrona systemu i komunikacji	SC-7 (3)	Punkty dostępu	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Ochrona systemu i komunikacji	SC-12	Kryptograficzne tworzenie i zarządzanie kluczami kryptograficznymi	Obszary robocze usługi Azure Synapse powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych	1.0.0

NIST SP 800-53 Rev. 5

Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — NIST SP 800-53 Rev. 5. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-53 Rev. 5.

Domain	Identyfikator kontrolki	Tytuł kontrolki	Zasady _{(Azure Portal)}	Wersja zasad _(GitHub)
Kontrola dostępu	AC-4	Wymuszanie przepływu informacji	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Kontrola dostępu	AC-17	Dostęp zdalny	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Kontrola dostępu	AC-17 (1)	Monitorowanie i kontrolowanie	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Ocena ryzyka	RA-5	Monitorowanie luk w zabezpieczeniach i skanowanie	Ocena luk w zabezpieczeniach powinna być włączona w obszarach roboczych usługi Synapse	1.0.0
Ochrona systemu i komunikacji	SC-7	Ochrona granic	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Ochrona systemu i komunikacji	SC-7 (3)	Punkty dostępu	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Ochrona systemu i komunikacji	SC-12	Tworzenie i zarządzanie kluczami kryptograficznymi	Obszary robocze usługi Azure Synapse powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych	1.0.0

Motyw chmury NL BIO

Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla tematu NL BIO Cloud Theme. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Baseline Information Security Government Cybersecurity - Digital Government (digitaleoverheid.nl).

Domain	Identyfikator kontrolki	Tytuł kontrolki	Zasady _{(Azure Portal)}	Wersja zasad _(GitHub)
Zarządzanie lukami w zabezpieczeniach techniczne C.04.3 — osie czasu	C.04.3	Jeśli prawdopodobieństwo nadużyć i oczekiwane szkody są wysokie, poprawki są instalowane nie później niż w ciągu tygodnia.	Ocena luk w zabezpieczeniach powinna być włączona w obszarach roboczych usługi Synapse	1.0.0
Ochrona danych u.05.2 — środki kryptograficzne	U.05.2	Dane przechowywane w usłudze w chmurze są chronione do najnowszego stanu sztuki.	Obszary robocze usługi Azure Synapse powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych	1.0.0
Separacja danych u.07.1 — izolowana	U.07.1	Stała izolacja danych jest architekturą wielodostępną. Poprawki są realizowane w kontrolowany sposób.	Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego	1.0.1
Kryptografia u.11.3 — zaszyfrowane	U.11.3	Poufne dane są zawsze szyfrowane przy użyciu kluczy prywatnych zarządzanych przez csC.	Obszary robocze usługi Azure Synapse powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych	1.0.0
Architektura wielodostępna U.17.1 — Encrypted	U.17.1	Dane CSC dotyczące transportu i magazynowania są szyfrowane.	Ocena luk w zabezpieczeniach powinna być włączona w obszarach roboczych usługi Synapse	1.0.0

Bank rezerw Indii — struktura IT dla NBFC

Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — Reserve Bank of India — IT Framework for NBFC. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Reserve Bank of India - IT Framework for NBFC (Bank of India — struktura IT Framework dla NBFC).

Domain	Identyfikator kontrolki	Tytuł kontrolki	Zasady _{(Azure Portal)}	Wersja zasad _(GitHub)
Informacje i zabezpieczenia cybernetyczne	3.3	Zarządzanie lukami w zabezpieczeniach —3.3	Ocena luk w zabezpieczeniach powinna być włączona w obszarach roboczych usługi Synapse	1.0.0
Inspekcja IS	5	Zasady inspekcji systemu informacyjnego (IS Audit)-5	Reguły zapory adresów IP w obszarach roboczych usługi Azure Synapse powinny zostać usunięte	1.0.0

Hiszpania ENS

Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla hiszpanii ENS. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CCN-STIC 884.

Domain	Identyfikator kontrolki	Tytuł kontrolki	Zasady _{(Azure Portal)}	Wersja zasad _(GitHub)
Środki ochronne	mp.com.1	Ochrona komunikacji	Reguły zapory adresów IP w obszarach roboczych usługi Azure Synapse powinny zostać usunięte	1.0.0
Struktura operacyjna	op.exp.2	Operacja	Ocena luk w zabezpieczeniach powinna być włączona w obszarach roboczych usługi Synapse	1.0.0
Struktura operacyjna	op.exp.3	Operacja	Ocena luk w zabezpieczeniach powinna być włączona w obszarach roboczych usługi Synapse	1.0.0
Struktura operacyjna	op.exp.4	Operacja	Ocena luk w zabezpieczeniach powinna być włączona w obszarach roboczych usługi Synapse	1.0.0
Struktura operacyjna	op.exp.5	Operacja	Ocena luk w zabezpieczeniach powinna być włączona w obszarach roboczych usługi Synapse	1.0.0
Struktura operacyjna	op.exp.6	Operacja	Konfigurowanie usługi Microsoft Defender for SQL do włączenia w obszarach roboczych usługi Synapse	1.0.0
Struktura operacyjna	op.exp.6	Operacja	Usługa Microsoft Defender for SQL powinna być włączona dla niechronionych obszarów roboczych usługi Synapse	1.0.0
Struktura operacyjna	op.exp.8	Operacja	Obszary robocze usługi Synapse z inspekcją SQL dla miejsca docelowego konta magazynu powinny być skonfigurowane z 90-dniowym przechowywaniem lub wyższym	2.0.0
Struktura operacyjna	op.mon.3	Monitorowanie systemu	Ocena luk w zabezpieczeniach powinna być włączona w obszarach roboczych usługi Synapse	1.0.0

Następne kroki

Dowiedz się więcej o zgodności z przepisami usługi Azure Policy.
Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.

Udostępnij za pośrednictwem