Элементы управления соответствием Политики Azure для Базы данных SQL Azure и Управляемого экземпляра SQL
Применимо к:
База данных SQL Azure Управляемый экземпляр SQL Azure
Статья Соответствие нормативным требованиям в политике Azure содержит созданные и управляемые корпорацией Майкрософт определения инициатив, называемые встроенными, для доменов соответствия и элементов управления безопасностью, которые связаны с различными стандартами соответствия. На этой странице перечислены домены соответствия и элементы управления безопасностью для Базы данных SQL Azure и Управляемого экземпляра SQL. Вы можете назначить эти встроенные элементы для индивидуального управления безопасностью, чтобы обеспечить соответствие ресурсов Azure какому-либо определенному стандарту.
Заголовок каждого встроенного определения политики связан с определением политики на портале Azure. Перейдите по ссылке в столбце Версия политики, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Внимание
Каждый элемент управления связан с одним или несколькими определениями Политики Azure. Эти политики могут помочь вам оценить уровень соответствия элементу управления. Но зачастую между элементом управления и одной или несколькими политиками не бывает полного или буквального соответствия. Поэтому статус Соответствует в Политике Azure относится только к самим политикам. Он не дает гарантии полного соответствия всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между элементами управления и определениями соответствия нормативным требованиям Политики Azure для этих стандартов соответствия со временем могут меняться.
Защита ISM правительства Австралии
Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — Australian Government ISM PROTECTED. Дополнительные сведения об этом стандарте соответствия см. в статье Защищено согласно руководству по информационной безопасности полномочного органа Австралии.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Рекомендации по управлению системой — применение исправлений | 940 | Когда следует устанавливать исправление уязвимостей безопасности — 940 | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Рекомендации по управлению системой — применение исправлений | 940 | Когда следует устанавливать исправление уязвимостей безопасности — 940 | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| Рекомендации по управлению системой — применение исправлений | 940 | Когда следует устанавливать исправление уязвимостей безопасности — 940 | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
| Рекомендации по управлению системой — применение исправлений | 1144 | Когда следует устанавливать исправление уязвимостей безопасности — 1144 | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Рекомендации по управлению системой — применение исправлений | 1144 | Когда следует устанавливать исправление уязвимостей безопасности — 1144 | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| Рекомендации по управлению системой — применение исправлений | 1144 | Когда следует устанавливать исправление уязвимостей безопасности — 1144 | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
| Рекомендации для системы базы данных — программное обеспечение управления базой данных | 1260 | Учетные записи администратора базы данных — 1260 | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| Рекомендации для системы базы данных — программное обеспечение управления базой данных | 1261 | 1261. Учетные записи администратора базы данных | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| Рекомендации для системы базы данных — программное обеспечение управления базой данных | 1262 | 1262. Учетные записи администратора базы данных | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| Рекомендации для системы базы данных — программное обеспечение управления базой данных | 1263 | 1263. Учетные записи администратора базы данных | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| Рекомендации для системы базы данных — программное обеспечение управления базой данных | 1264 | Учетные записи администратора базы данных — 1264 | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| Рекомендации по работе с системами баз данных — серверы баз данных | 1425 | Защита содержимого сервера базы данных — 1425 | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| Рекомендации по управлению системой — применение исправлений | 1472 | Когда следует устанавливать исправление уязвимостей безопасности — 1472 | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Рекомендации по управлению системой — применение исправлений | 1472 | Когда следует устанавливать исправление уязвимостей безопасности — 1472 | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| Рекомендации по управлению системой — применение исправлений | 1472 | Когда следует устанавливать исправление уязвимостей безопасности — 1472 | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
| Рекомендации по управлению системой — применение исправлений | 1494 | Когда следует устанавливать исправление уязвимостей безопасности — 1494 | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Рекомендации по управлению системой — применение исправлений | 1494 | Когда следует устанавливать исправление уязвимостей безопасности — 1494 | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| Рекомендации по управлению системой — применение исправлений | 1494 | Когда следует устанавливать исправление уязвимостей безопасности — 1494 | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
| Рекомендации по управлению системой — применение исправлений | 1495 | Когда следует устанавливать исправление уязвимостей безопасности — 1495 | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Рекомендации по управлению системой — применение исправлений | 1495 | Когда следует устанавливать исправление уязвимостей безопасности — 1495 | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| Рекомендации по управлению системой — применение исправлений | 1495 | Когда следует устанавливать исправление уязвимостей безопасности — 1495 | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
| Рекомендации по управлению системой — применение исправлений | 1496 | Когда следует устанавливать исправление уязвимостей безопасности — 1496 | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Рекомендации по управлению системой — применение исправлений | 1496 | Когда следует устанавливать исправление уязвимостей безопасности — 1496 | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| Рекомендации по управлению системой — применение исправлений | 1496 | Когда следует устанавливать исправление уязвимостей безопасности — 1496 | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
| Рекомендации по мониторингу системы — ведение журнала событий и аудит событий | 1537 | События для записи в журнал — 1537 | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Рекомендации по мониторингу системы — ведение журнала событий и аудит событий | 1537 | События для записи в журнал — 1537 | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
Canada Federal PBMM
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье Сведения о встроенной инициативе по соответствию требованиям схемы Canada Federal PBMM. Дополнительные сведения об этом стандарте соответствия см. на странице с описанием схемы Canada Federal PBMM.
Тесты производительности CIS для платформ Microsoft Azure 1.1.0
Дополнительную информацию о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Подробные сведения о встроенной инициативе о соответствии нормативным требованиям теста производительности CIS для платформ Microsoft Azure. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| 2. Центр безопасности | 2,14 | Обеспечение того, что параметр "Мониторинг аудита SQL" не имеет значение "Отключено" в политике ASC по умолчанию | Необходимо включить аудит на сервере SQL | 2.0.0 |
| 2. Центр безопасности | 2.15 | Обеспечение того, что параметр "Мониторинг шифрования SQL" не имеет значение "Отключено" в политике ASC по умолчанию | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| 4. Службы баз данных | 4,1 | Обеспечение того, что для параметра "Аудит" задано значение "Вкл." | Необходимо включить аудит на сервере SQL | 2.0.0 |
| 4. Службы баз данных | 4.10 | Обеспечение того, что предохранитель TDE сервера SQL зашифрован с помощью BYOK (используйте собственный ключ) | Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | 2.0.0 |
| 4. Службы баз данных | 4.10 | Обеспечение того, что предохранитель TDE сервера SQL зашифрован с помощью BYOK (используйте собственный ключ) | Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | 2.0.1 |
| 4. Службы баз данных | 4.2 | Обеспечение того, что параметр AuditActionGroups в политике аудита для SQL-сервера установлен правильно | В параметрах аудита SQL необходимо настроить группы действий для записи критических действий | 1.0.0 |
| 4. Службы баз данных | 4.3 | Обеспечение того, что задан период хранения данных аудита более 90 дней | Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более | 3.0.0 |
| 4. Службы баз данных | 4.4. | Обеспечение того, что для параметра "Расширенная защита данных" на сервере SQL задано значение "Вкл." | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| 4. Службы баз данных | 4.4. | Обеспечение того, что для параметра "Расширенная защита данных" на сервере SQL задано значение "Вкл." | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| 4. Службы баз данных | 4,8 | Обеспечение того, что администратор Azure Active Directory настроен | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| 4. Службы баз данных | 4,9 | Обеспечение того, что для параметра "Шифрование данных" в Базе данных SQL установлено значение "Вкл." | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — CIS Microsoft Azure Foundations Benchmark 1.3.0. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| 4. Службы баз данных | 4.1.1 | Обеспечение того, что для параметра "Аудит" задано значение "Вкл." | Необходимо включить аудит на сервере SQL | 2.0.0 |
| 4. Службы баз данных | 4.1.2 | Обеспечение того, что для параметра "Шифрование данных" в Базе данных SQL установлено значение "Вкл." | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| 4. Службы баз данных | 4.1.3 | Обеспечение того, что задан период хранения данных аудита более 90 дней | Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более | 3.0.0 |
| 4. Службы баз данных | 4.2.1 | Обеспечение того, что для службы "Расширенная защита от угроз" на SQL сервере установлено значение "Включено" | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| 4. Службы баз данных | 4.2.1 | Обеспечение того, что для службы "Расширенная защита от угроз" на SQL сервере установлено значение "Включено" | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| 4. Службы баз данных | 4.2.2 | Обеспечение того, что оценка уязвимостей включена на сервере SQL путем задания учетной записи хранения | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| 4. Службы баз данных | 4.2.2 | Обеспечение того, что оценка уязвимостей включена на сервере SQL путем задания учетной записи хранения | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
| 4. Службы баз данных | 4.4. | Обеспечение того, что администратор Azure Active Directory настроен | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| 4. Службы баз данных | 4,5 | Обеспечение того, что предохранитель TDE сервера SQL зашифрован с помощью ключа, управляемого клиентом | Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | 2.0.0 |
| 4. Службы баз данных | 4,5 | Обеспечение того, что предохранитель TDE сервера SQL зашифрован с помощью ключа, управляемого клиентом | Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | 2.0.1 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для CIS версии 1.4.0. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| 4. Службы баз данных | 4.1.1 | Обеспечение того, что для параметра "Аудит" задано значение "Вкл." | Необходимо включить аудит на сервере SQL | 2.0.0 |
| 4. Службы баз данных | 4.1.2 | Обеспечение того, что для параметра "Шифрование данных" в Базе данных SQL установлено значение "Вкл." | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| 4. Службы баз данных | 4.1.3 | Обеспечение того, что задан период хранения данных аудита более 90 дней | Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более | 3.0.0 |
| 4. Службы баз данных | 4.2.1 | Убедитесь, что параметр Advanced Threat Protection (ATP) на SQL Server имеет значение "Включено" | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| 4. Службы баз данных | 4.2.1 | Убедитесь, что параметр Advanced Threat Protection (ATP) на SQL Server имеет значение "Включено" | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| 4. Службы баз данных | 4.2.2 | Обеспечение того, что оценка уязвимостей включена на сервере SQL путем задания учетной записи хранения | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| 4. Службы баз данных | 4.2.2 | Обеспечение того, что оценка уязвимостей включена на сервере SQL путем задания учетной записи хранения | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
| 4. Службы баз данных | 4,5 | Обеспечение того, что администратор Azure Active Directory настроен | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| 4. Службы баз данных | 4,6 | Обеспечение того, что предохранитель TDE сервера SQL зашифрован с помощью ключа, управляемого клиентом | Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | 2.0.0 |
| 4. Службы баз данных | 4,6 | Обеспечение того, что предохранитель TDE сервера SQL зашифрован с помощью ключа, управляемого клиентом | Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | 2.0.1 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для CIS версии 2.0.0. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| 4,1 | 4.1.1 | Обеспечение того, что для параметра "Аудит" задано значение "Вкл." | Необходимо включить аудит на сервере SQL | 2.0.0 |
| 4,1 | 4.1.2 | Убедитесь, что нет База данных SQL Azure разрешать входящий трафик с 0.0.0.0/0 (ЛЮБОй IP-адрес) | Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | 1.1.0 |
| 4,1 | 4.1.3 | Убедитесь, что средство защиты прозрачное шифрование данных (TDE) SQL Server шифруется с помощью ключа, управляемого клиентом | Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | 2.0.0 |
| 4,1 | 4.1.3 | Убедитесь, что средство защиты прозрачное шифрование данных (TDE) SQL Server шифруется с помощью ключа, управляемого клиентом | Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | 2.0.1 |
| 4,1 | 4.1.4 | Убедитесь, что администратор Azure Active Directory настроен для СЕРВЕРОВ SQL Server | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| 4,1 | 4.1.5 | Обеспечение того, что для параметра "Шифрование данных" в Базе данных SQL установлено значение "Вкл." | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| 4,1 | 4.1.6 | Обеспечение того, что задан период хранения данных аудита более 90 дней | Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более | 3.0.0 |
| 4.2 | 4.2.1 | Убедитесь, что в Microsoft Defender для SQL задано значение "Включено" для критически важных серверов SQL Server | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| 4.2 | 4.2.1 | Убедитесь, что в Microsoft Defender для SQL задано значение "Включено" для критически важных серверов SQL Server | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| 4.2 | 4.2.2 | Обеспечение того, что оценка уязвимостей включена на сервере SQL путем задания учетной записи хранения | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| 4.2 | 4.2.2 | Обеспечение того, что оценка уязвимостей включена на сервере SQL путем задания учетной записи хранения | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
| 4.2 | 4.2.3 | Убедитесь, что для каждого СЕРВЕРА SQL Server задан параметр "Периодическое повторяющееся сканирование" для параметра "Оценка уязвимостей" (VA) | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| 4.2 | 4.2.4 | Убедитесь, что параметр "Отправка отчетов проверки уязвимостей" настроен для SQL Server | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
| 4.2 | 4.2.5 | Убедитесь, что для каждого SQL Server задан параметр оценки уязвимостей (VA) "Кроме того, Уведомления по электронной почте отправлять Уведомления по электронной почте администраторам и владельцам подписок". | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| 4.2 | 4.2.5 | Убедитесь, что для каждого SQL Server задан параметр оценки уязвимостей (VA) "Кроме того, Уведомления по электронной почте отправлять Уведомления по электронной почте администраторам и владельцам подписок". | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
CMMC уровня 3
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье Сведения о встроенной инициативе по соответствию требованиям стандарта CMMC уровня 3. Дополнительные сведения об этом стандарте соответствия см. в документе о сертификации модели зрелости кибербезопасности (CMMC).
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Управление доступом | AC.1.001 | Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). | Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | 1.1.0 |
| Управление доступом | AC.1.002 | Ограничение доступа к информационной системе за исключением выполнения тех типов транзакций и функций, которые разрешено выполнять полномочным пользователям. | Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | 1.1.0 |
| Управление доступом | AC.2.016 | Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями | Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | 1.1.0 |
| Аудит и система отчетности | AU.2.041 | Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за осуществление таких действий. | Необходимо включить аудит на сервере SQL | 2.0.0 |
| Аудит и система отчетности | AU.2.041 | Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за осуществление таких действий. | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Аудит и система отчетности | AU.2.041 | Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за осуществление таких действий. | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Аудит и система отчетности | AU.2.042 | Создание и сохранение журналов аудита и записей системы в той степени, которая необходима для мониторинга, анализа и исследования незаконных или несанкционированных действий в системе, а также создание отчетов об их выполнении | Необходимо включить аудит на сервере SQL | 2.0.0 |
| Аудит и система отчетности | AU.2.042 | Создание и сохранение журналов аудита и записей системы в той степени, которая необходима для мониторинга, анализа и исследования незаконных или несанкционированных действий в системе, а также создание отчетов об их выполнении | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Аудит и система отчетности | AU.2.042 | Создание и сохранение журналов аудита и записей системы в той степени, которая необходима для мониторинга, анализа и исследования незаконных или несанкционированных действий в системе, а также создание отчетов об их выполнении | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Аудит и система отчетности | AU.3.046 | Предупреждение в случае сбоя процесса ведения журнала аудита | Необходимо включить аудит на сервере SQL | 2.0.0 |
| Аудит и система отчетности | AU.3.046 | Предупреждение в случае сбоя процесса ведения журнала аудита | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Аудит и система отчетности | AU.3.046 | Предупреждение в случае сбоя процесса ведения журнала аудита | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Оценка безопасности | CA.2.158 | Периодическая оценка элементов управления безопасностью в системах организации, чтобы оценить эффективность их применения в корпоративных приложениях. | Необходимо включить аудит на сервере SQL | 2.0.0 |
| Оценка безопасности | CA.2.158 | Периодическая оценка элементов управления безопасностью в системах организации, чтобы оценить эффективность их применения в корпоративных приложениях. | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| Оценка безопасности | CA.2.158 | Периодическая оценка элементов управления безопасностью в системах организации, чтобы оценить эффективность их применения в корпоративных приложениях. | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
| Оценка безопасности | CA.3.161 | Постоянный мониторинг средств управления безопасностью для поддержания их непрерывной эффективности. | Необходимо включить аудит на сервере SQL | 2.0.0 |
| Оценка безопасности | CA.3.161 | Постоянный мониторинг средств управления безопасностью для поддержания их непрерывной эффективности. | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| Оценка безопасности | CA.3.161 | Постоянный мониторинг средств управления безопасностью для поддержания их непрерывной эффективности. | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
| Управление конфигурацией | CM.2.064 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Управление конфигурацией | CM.2.064 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Управление конфигурацией | CM.3.068 | Ограничение, отключение или предотвращение использования ненужных программ, функций, портов, протоколов и служб. | Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | 1.1.0 |
| Восстановление | RE.2.137 | Регулярное создание и проверка резервных копий данных. | Базы данных SQL Azure должны использовать долгосрочное геоизбыточное резервное копирование | 2.0.0 |
| Восстановление | RE.3.139 | Регулярное создание полных, комплексных и устойчивых резервных копий данных в соответствии с политиками организации. | Базы данных SQL Azure должны использовать долгосрочное геоизбыточное резервное копирование | 2.0.0 |
| конфиденциальности | RM.2.141 | Периодическая оценка рисков влияния на организационные операции (включая миссию, функциональные возможности, имидж или репутацию), активы организации и отдельных лиц в результате эксплуатации корпоративных систем и связанных с ней процессов обработки, хранения или передачи контролируемой несекретной информации. | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| конфиденциальности | RM.2.141 | Периодическая оценка рисков влияния на организационные операции (включая миссию, функциональные возможности, имидж или репутацию), активы организации и отдельных лиц в результате эксплуатации корпоративных систем и связанных с ней процессов обработки, хранения или передачи контролируемой несекретной информации. | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| конфиденциальности | RM.2.141 | Периодическая оценка рисков влияния на организационные операции (включая миссию, функциональные возможности, имидж или репутацию), активы организации и отдельных лиц в результате эксплуатации корпоративных систем и связанных с ней процессов обработки, хранения или передачи контролируемой несекретной информации. | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| конфиденциальности | RM.2.141 | Периодическая оценка рисков влияния на организационные операции (включая миссию, функциональные возможности, имидж или репутацию), активы организации и отдельных лиц в результате эксплуатации корпоративных систем и связанных с ней процессов обработки, хранения или передачи контролируемой несекретной информации. | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
| конфиденциальности | RM.2.142 | Проверка наличия уязвимостей в системах и приложениях организации, выполняемая периодически и при обнаружении новых уязвимостей, которые их затрагивают | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| конфиденциальности | RM.2.142 | Проверка наличия уязвимостей в системах и приложениях организации, выполняемая периодически и при обнаружении новых уязвимостей, которые их затрагивают | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| конфиденциальности | RM.2.142 | Проверка наличия уязвимостей в системах и приложениях организации, выполняемая периодически и при обнаружении новых уязвимостей, которые их затрагивают | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| конфиденциальности | RM.2.142 | Проверка наличия уязвимостей в системах и приложениях организации, выполняемая периодически и при обнаружении новых уязвимостей, которые их затрагивают | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
| конфиденциальности | RM.2.143 | Устранение уязвимостей в соответствии с оценками рисков. | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| конфиденциальности | RM.2.143 | Устранение уязвимостей в соответствии с оценками рисков. | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| конфиденциальности | RM.2.143 | Устранение уязвимостей в соответствии с оценками рисков. | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| конфиденциальности | RM.2.143 | Устранение уязвимостей в соответствии с оценками рисков. | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| конфиденциальности | RM.2.143 | Устранение уязвимостей в соответствии с оценками рисков. | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
| Защита системы и средств передачи данных | SC.1.175 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | 1.1.0 |
| Защита системы и средств передачи данных | SC.3.177 | Применение шифрования, проверенного FIPS, для защиты конфиденциальности контролируемой несекретной информации. | Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | 2.0.0 |
| Защита системы и средств передачи данных | SC.3.177 | Применение шифрования, проверенного FIPS, для защиты конфиденциальности контролируемой несекретной информации. | Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | 2.0.1 |
| Защита системы и средств передачи данных | SC.3.177 | Применение шифрования, проверенного FIPS, для защиты конфиденциальности контролируемой несекретной информации. | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| Защита системы и средств передачи данных | SC.3.181 | Отделение пользовательских функций от функций управления системой. | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| Защита системы и средств передачи данных | SC.3.183 | Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). | Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | 1.1.0 |
| Защита системы и средств передачи данных | SC.3.191 | Защита конфиденциальности неактивной контролируемой несекретной информации | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Защита системы и средств передачи данных | SC.3.191 | Защита конфиденциальности неактивной контролируемой несекретной информации | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Защита системы и средств передачи данных | SC.3.191 | Защита конфиденциальности неактивной контролируемой несекретной информации | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| Целостность системы и данных | SI.1.210 | Своевременное выявление и исправление уязвимостей информации и информационной системы, а также составление отчетов о таких уязвимостях. | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Целостность системы и данных | SI.2.216 | Мониторинг систем организации, в том числе входящего и исходящего трафика, для обнаружения атак и их потенциальных признаков | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Целостность системы и данных | SI.2.216 | Мониторинг систем организации, в том числе входящего и исходящего трафика, для обнаружения атак и их потенциальных признаков | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Целостность системы и данных | SI.2.217 | Выявление незаконного использования систем организации. | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Целостность системы и данных | SI.2.217 | Выявление незаконного использования систем организации. | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
FedRAMP — высокий уровень
Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — FedRAMP High. Дополнительные сведения об этом стандарте см. в статье FedRAMP High.
FedRAMP — средний уровень
Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — FedRAMP Moderate. Дополнительные сведения об этом стандарте см. здесь.
HIPAA HITRUST 9.2
Дополнительную информацию о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье со сведениями о встроенной инициативе по обеспечению соответствия стандарту HIPAA HITRUST 9.2. Дополнительные сведения об этом стандарте соответствия см. на странице описания HIPAA HITRUST 9.2.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| 03 Переносимая безопасность мультимедиа | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.o 09.07 Обработка мультимедиа | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| 03 Переносимая безопасность мультимедиа | 0304.09o3Organizational.1-09.o | Обработка мультимедиа 0304.09o3Organizational.1-09.o 09.07 | Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | 2.0.0 |
| 03 Переносимая безопасность мультимедиа | 0304.09o3Organizational.1-09.o | Обработка мультимедиа 0304.09o3Organizational.1-09.o 09.07 | Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | 2.0.1 |
| Управление уязвимостями 07 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Technical Vulnerability Management | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Управление уязвимостями 07 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Technical Vulnerability Management | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| Управление уязвимостями 07 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Technical Vulnerability Management | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
| Управление уязвимостями 07 | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 Technical Vulnerability Management | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| Управление уязвимостями 07 | 0716.10m3Organizational.1-10.m | 0716.10m3Organizational.1-10.m 10.06 Technical Vulnerability Management | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Управление уязвимостями 07 | 0719.10m3Organizational.5-10.m | 0719.10m3Organizational.5-10.m 10.06 Technical Vulnerability Management | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| Защита сети 08 | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 Network контроль доступа | Служба SQL Server должна использовать конечную точку службы виртуальной сети | 1.0.0 |
| Защита сети 08 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 Network контроль доступа | Служба SQL Server должна использовать конечную точку службы виртуальной сети | 1.0.0 |
| Защита сети 08 | 0862.09m2Organizational.8-09.m | 0862.09m2Organizational.8-09.m 09.06 Network Security Management | Служба SQL Server должна использовать конечную точку службы виртуальной сети | 1.0.0 |
| Защита сети 08 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Network контроль доступа | Служба SQL Server должна использовать конечную точку службы виртуальной сети | 1.0.0 |
| 12 Ведение журнала аудита и мониторинг | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 Monitoring | Необходимо включить аудит на сервере SQL | 2.0.0 |
| 16 Непрерывность бизнес-процессов и аварийное восстановление | 1616.09l1Organizational.16-09.l | 1616.09l1Organizational.16-09.l 09.05 Information Back-Up | Базы данных SQL Azure должны использовать долгосрочное геоизбыточное резервное копирование | 2.0.0 |
| 16 Непрерывность бизнес-процессов и аварийное восстановление | 1621.09l2Organizational.1-09.l | 1621.09l2Organizational.1-09.l 09.05 Information Back-Up | Базы данных SQL Azure должны использовать долгосрочное геоизбыточное резервное копирование | 2.0.0 |
IRS 1075, сентябрь 2016 г.
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье Сведения о встроенной инициативе по соответствию требованиям схемы IRS 1075 September 2016. Дополнительные сведения об этом стандарте соответствия см. в описании схемы IRS 1075 September 2016.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Управление доступом | 9.3.1.2 | Управление учетными записями (AC-2) | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| конфиденциальности | 9.3.14.3 | Сканирование уязвимостей (RA-5) | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| конфиденциальности | 9.3.14.3 | Сканирование уязвимостей (RA-5) | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| конфиденциальности | 9.3.14.3 | Сканирование уязвимостей (RA-5) | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Защита системы и средств передачи данных | 9.3.16.15 | Защита хранимых данных (SC-28) | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Защита системы и средств передачи данных | 9.3.16.15 | Защита хранимых данных (SC-28) | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Защита системы и средств передачи данных | 9.3.16.15 | Защита хранимых данных (SC-28) | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| Целостность системы и данных | 9.3.17.2 | Исправление ошибок (SI-2) | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Целостность системы и данных | 9.3.17.4 | Мониторинг информационной системы (SI-4) | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Целостность системы и данных | 9.3.17.4 | Мониторинг информационной системы (SI-4) | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Повышение осведомленности и обучение | 9.3.3.11 | Создание аудита (AU-12) | Необходимо включить аудит на сервере SQL | 2.0.0 |
| Повышение осведомленности и обучение | 9.3.3.11 | Создание аудита (AU-12) | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Повышение осведомленности и обучение | 9.3.3.11 | Создание аудита (AU-12) | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Повышение осведомленности и обучение | 9.3.3.5 | Реагирование на сбои при обработке операций аудита (AU-5) | Необходимо включить аудит на сервере SQL | 2.0.0 |
| Повышение осведомленности и обучение | 9.3.3.5 | Реагирование на сбои при обработке операций аудита (AU-5) | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Повышение осведомленности и обучение | 9.3.3.5 | Реагирование на сбои при обработке операций аудита (AU-5) | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
ISO 27001:2013
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье Сведения о встроенной инициативе по соответствию требованиям стандарта ISO 27001:2013. Дополнительные сведения об этом стандарте соответствия см. на странице с описанием ISO 27001:2013.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Шифрование | 10.1.1 | Политика использования элементов управления шифрованием | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| Безопасность операций | 12.4.1 | Ведение журнала событий | Необходимо включить аудит на сервере SQL | 2.0.0 |
| Безопасность операций | 12.4.3 | Журналы администратора и оператора | Необходимо включить аудит на сервере SQL | 2.0.0 |
| Безопасность операций | 12.4.4 | Синхронизация времени | Необходимо включить аудит на сервере SQL | 2.0.0 |
| Безопасность операций | 12.6.1 | Управление техническими уязвимостями | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Управление активами | 8.2.1 | Классификация информации | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Управление доступом | 9.2.3 | Управление правами привилегированного доступа | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
Конфиденциальные политики microsoft Cloud для суверенитета
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в разделе Политика Azure сведения о соответствии нормативным требованиям для политик конфиденциальности базовых показателей суверенитета MCfS. Дополнительные сведения об этом стандарте соответствия см . в портфелях политик политики суверенитета Microsoft Cloud.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| SO.3 — ключи, управляемые клиентом | SO.3 | Продукты Azure должны быть настроены для использования ключей, управляемых клиентом, когда это возможно. | Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | 2.0.0 |
| SO.3 — ключи, управляемые клиентом | SO.3 | Продукты Azure должны быть настроены для использования ключей, управляемых клиентом, когда это возможно. | Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | 2.0.1 |
Управление безопасностью в облаке Майкрософт
Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Сведения о том, как эта служба полностью сопоставляется с эталонным показателем безопасности Майкрософт, см. в файлах сопоставления Azure Security Benchmark.
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в статье Политика Azure соответствие нормативным требованиям — microsoft cloud security benchmark.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Сетевая безопасность | NS-2 | Защита облачных служб с помощью сетевых элементов управления | Управляемые экземпляры SQL Azure должны отключить доступ к общедоступной сети | 1.0.0 |
| Сетевая безопасность | NS-2 | Защита облачных служб с помощью сетевых элементов управления | Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | 1.1.0 |
| Сетевая безопасность | NS-2 | Защита облачных служб с помощью сетевых элементов управления | Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | 1.1.0 |
| Управление удостоверениями | IM-1 | Использование централизованной системы удостоверений и проверки подлинности | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| Управление удостоверениями | IM-1 | Использование централизованной системы удостоверений и проверки подлинности | База данных SQL Azure должна быть включена проверка подлинности только для Microsoft Entra | 1.0.0 |
| Управление удостоверениями | IM-1 | Использование централизованной системы удостоверений и проверки подлинности | База данных SQL Azure должна быть включена проверка подлинности только для Microsoft Entra во время создания | 1.2.0 |
| Управление удостоверениями | IM-1 | Использование централизованной системы удостоверений и проверки подлинности | Управляемый экземпляр SQL Azure должна быть включена проверка подлинности только для Microsoft Entra | 1.0.0 |
| Управление удостоверениями | IM-1 | Использование централизованной системы удостоверений и проверки подлинности | во время создания Управляемый экземпляр SQL Azure должна быть включена проверка подлинности только для Microsoft Entra | 1.2.0 |
| Управление удостоверениями | IM-4 | Проверка подлинности сервера и служб | База данных SQL Azure должна использовать TLS 1.2 или более поздней версии | 2.0.0 |
| Защита данных | DP-2 | Отслеживание аномалий и угроз, нацеленных на конфиденциальные данные | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Защита данных | DP-3 | Шифрование конфиденциальных данных во время передачи | База данных SQL Azure должна использовать TLS 1.2 или более поздней версии | 2.0.0 |
| Защита данных | DP-4 | Обеспечение шифрования неактивных данных по умолчанию | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| Защита данных | DP-5 | Использование параметра ключа, управляемого клиентом, для шифрования неактивных данных при необходимости | Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | 2.0.0 |
| Защита данных | DP-5 | Использование параметра ключа, управляемого клиентом, для шифрования неактивных данных при необходимости | Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | 2.0.1 |
| Ведение журналов и обнаружение угроз | LT-1 | Включение возможностей обнаружения угроз | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Ведение журналов и обнаружение угроз | LT-1 | Включение возможностей обнаружения угроз | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Ведение журналов и обнаружение угроз | LT-2 | Включение функции обнаружения угроз для управления удостоверениями и доступом | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Ведение журналов и обнаружение угроз | LT-2 | Включение функции обнаружения угроз для управления удостоверениями и доступом | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Ведение журналов и обнаружение угроз | LT-3 | Включение ведения журнала для исследования безопасности | Необходимо включить аудит на сервере SQL | 2.0.0 |
| Ведение журналов и обнаружение угроз | LT-6 | Настройка срока хранения журналов | Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более | 3.0.0 |
| Реакция на инцидент | IR-3 | Обнаружение и анализ. Создание инцидентов на основе высококачественных оповещений | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Реакция на инцидент | IR-3 | Обнаружение и анализ. Создание инцидентов на основе высококачественных оповещений | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Управление состоянием защиты и уязвимостью | PV-5 | Выполнение оценок уязвимости | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| Управление состоянием защиты и уязвимостью | PV-5 | Выполнение оценок уязвимости | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
| Управление состоянием защиты и уязвимостью | PV-6 | Быстрое и автоматическое устранение уязвимостей | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Реакция на инцидент | AIR-5 | Обнаружение и анализ.Определение приоритетов инцидентов | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Реакция на инцидент | AIR-5 | Обнаружение и анализ.Определение приоритетов инцидентов | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
NIST SP 800-171 R2
Дополнительную информацию о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Сведения о встроенной инициативе по соответствию требованиям стандарта NIST SP 800-171 R2. Дополнительные сведения об этом стандарте соответствия см. на странице описания NIST SP 800-171 R2 (специальной публикации Национального института стандартов и технологий).
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Управление доступом | 3.1.1 | Ограничение доступа к системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие системы) | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| Управление доступом | 3.1.1 | Ограничение доступа к системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие системы) | Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | 1.1.0 |
| Управление доступом | 3.1.12 | Мониторинг сеансов удаленного доступа и управление ими. | Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | 1.1.0 |
| Управление доступом | 3.1.13 | Используйте механизмы шифрования для защиты конфиденциальности сеансов удаленного доступа. | Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | 1.1.0 |
| Управление доступом | 3.1.14 | Маршрутизация удаленного доступа через управляемые точки контроля доступа. | Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | 1.1.0 |
| Управление доступом | 3.1.2 | Ограничить системный доступ к типам транзакций и функций, которые авторизованные пользователи могут выполнять. | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| Управление доступом | 3.1.3 | Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями | Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | 1.1.0 |
| Управление доступом | 3.1.3 | Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями | Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | 1.1.0 |
| конфиденциальности | 3.11.2 | Проверка наличия уязвимостей в системах и приложениях организации, выполняемая периодически и при обнаружении новых уязвимостей, которые их затрагивают | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| конфиденциальности | 3.11.2 | Проверка наличия уязвимостей в системах и приложениях организации, выполняемая периодически и при обнаружении новых уязвимостей, которые их затрагивают | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| конфиденциальности | 3.11.2 | Проверка наличия уязвимостей в системах и приложениях организации, выполняемая периодически и при обнаружении новых уязвимостей, которые их затрагивают | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| конфиденциальности | 3.11.2 | Проверка наличия уязвимостей в системах и приложениях организации, выполняемая периодически и при обнаружении новых уязвимостей, которые их затрагивают | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| конфиденциальности | 3.11.2 | Проверка наличия уязвимостей в системах и приложениях организации, выполняемая периодически и при обнаружении новых уязвимостей, которые их затрагивают | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
| конфиденциальности | 3.11.3 | Устранение уязвимостей в соответствии с оценками рисков. | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| конфиденциальности | 3.11.3 | Устранение уязвимостей в соответствии с оценками рисков. | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| конфиденциальности | 3.11.3 | Устранение уязвимостей в соответствии с оценками рисков. | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| конфиденциальности | 3.11.3 | Устранение уязвимостей в соответствии с оценками рисков. | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| конфиденциальности | 3.11.3 | Устранение уязвимостей в соответствии с оценками рисков. | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.1 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | 1.1.0 |
| Защита системы и средств передачи данных | 3.13.1 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | 1.1.0 |
| Защита системы и средств передачи данных | 3.13.10 | Создание криптографических ключей и управление ими для шифрования в системах организации. | Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | 2.0.0 |
| Защита системы и средств передачи данных | 3.13.10 | Создание криптографических ключей и управление ими для шифрования в системах организации. | Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | 2.0.1 |
| Защита системы и средств передачи данных | 3.13.16 | Защита конфиденциальности неактивной контролируемой несекретной информации | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| Защита системы и средств передачи данных | 3.13.2 | Применение проектов архитектуры, методик разработки программного обеспечения и принципов системной инженерии, обеспечивающих эффективность защиты информации в корпоративных системах. | Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | 1.1.0 |
| Защита системы и средств передачи данных | 3.13.2 | Применение проектов архитектуры, методик разработки программного обеспечения и принципов системной инженерии, обеспечивающих эффективность защиты информации в корпоративных системах. | Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | 1.1.0 |
| Защита системы и средств передачи данных | 3.13.5 | Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей | Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | 1.1.0 |
| Защита системы и средств передачи данных | 3.13.5 | Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей | Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | 1.1.0 |
| Защита системы и средств передачи данных | 3.13.6 | Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). | Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | 1.1.0 |
| Целостность системы и данных | 3.14.1 | Своевременное выявление и исправление системных уязвимостей, а также составление отчетов о них | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Целостность системы и данных | 3.14.6 | Мониторинг систем организации, в том числе входящего и исходящего трафика, для обнаружения атак и их потенциальных признаков | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Целостность системы и данных | 3.14.6 | Мониторинг систем организации, в том числе входящего и исходящего трафика, для обнаружения атак и их потенциальных признаков | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Целостность системы и данных | 3.14.7 | Выявление незаконного использования систем организации. | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Целостность системы и данных | 3.14.7 | Выявление незаконного использования систем организации. | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Аудит и система отчетности | 3.3.1 | Создание и хранение журналов и записей системного аудита в той степени, в которой необходимо включить мониторинг, анализ, расследование и отчеты о незаконной или несанкционированной системной деятельности | Необходимо включить аудит на сервере SQL | 2.0.0 |
| Аудит и система отчетности | 3.3.1 | Создание и хранение журналов и записей системного аудита в той степени, в которой необходимо включить мониторинг, анализ, расследование и отчеты о незаконной или несанкционированной системной деятельности | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Аудит и система отчетности | 3.3.1 | Создание и хранение журналов и записей системного аудита в той степени, в которой необходимо включить мониторинг, анализ, расследование и отчеты о незаконной или несанкционированной системной деятельности | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Аудит и система отчетности | 3.3.1 | Создание и хранение журналов и записей системного аудита в той степени, в которой необходимо включить мониторинг, анализ, расследование и отчеты о незаконной или несанкционированной системной деятельности | Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более | 3.0.0 |
| Аудит и система отчетности | 3.3.2 | Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за их осуществление | Необходимо включить аудит на сервере SQL | 2.0.0 |
| Аудит и система отчетности | 3.3.2 | Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за их осуществление | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Аудит и система отчетности | 3.3.2 | Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за их осуществление | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Аудит и система отчетности | 3.3.2 | Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за их осуществление | Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более | 3.0.0 |
| Аудит и система отчетности | 3.3.4 | Предупреждение в случае сбоя процесса ведения журнала аудита | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Аудит и система отчетности | 3.3.4 | Предупреждение в случае сбоя процесса ведения журнала аудита | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Аудит и система отчетности | 3.3.5 | Сопоставляйте процессы проверки, анализа и отчетности аудита для расследования и реагирования на признаки незаконной, несанкционированной, подозрительной или необычной деятельности. | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Аудит и система отчетности | 3.3.5 | Сопоставляйте процессы проверки, анализа и отчетности аудита для расследования и реагирования на признаки незаконной, несанкционированной, подозрительной или необычной деятельности. | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Идентификация и аутентификация | 3.5.1 | Выявление системных пользователей, процессов, выполняющихся от имени пользователей, и устройств | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| Идентификация и аутентификация | 3.5.2 | Проверка подлинности удостоверений (или самих) пользователей, процессов или устройств в качестве обязательного требования для предоставления доступа к системам организации. | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| Идентификация и аутентификация | 3.5.5 | Запретить повторное использование идентификаторов в течение определенного периода. | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| Идентификация и аутентификация | 3.5.6 | Отключите идентификаторы после определенного периода бездействия. | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
NIST SP 800-53, ред. 4
Сведения о том, как встроенные политики службы "Политика Azure" для всех служб Azure отвечают требованиям этого стандарта, см. в статье Соответствие Политики Azure нормативным требованиям — NIST SP 800-53, ред. 4. См. дополнительные сведения о стандарте NIST SP 800-53, ред. 4.
NIST SP 800-53, ред. 5
Сведения о том, как встроенные политики службы "Политика Azure" для всех служб Azure отвечают требованиям этого стандарта, см. в статье Соответствие Политики Azure нормативным требованиям — NIST SP 800-53, ред. 5. Дополнительные сведения об этом стандарте соответствия см. здесь.
Тема облака NL BIO
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для темы NL BIO Cloud. Дополнительные сведения об этом стандарте соответствия см. в разделе "Базовый уровень информационной безопасности для кибербезопасности для государственных организаций — цифровое правительство" (digitaleoverheid.nl).
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| C.04.3 Technical управление уязвимостями — временная шкала | C.04.3 | Если вероятность злоупотреблений и ожидаемого ущерба высока, исправления устанавливаются не позднее чем через неделю. | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| C.04.6 Technical управление уязвимостями — временная шкала | C.04.6 | Технические недостатки можно устранить, своевременно выполняя управление исправлениями. | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| C.04.8 Technical управление уязвимостями — оценено | C.04.8 | Отчеты оценки содержат предложения по улучшению и обмениваются данными с руководителями и владельцами. | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Защита данных U.05.1 — криптографические меры | U.05.1 | Транспорт данных защищается с помощью криптографии, где управление ключами выполняется самим CSC, если это возможно. | База данных SQL Azure должна использовать TLS 1.2 или более поздней версии | 2.0.0 |
| Защита данных U.05.2 — криптографические меры | U.05.2 | Данные, хранящиеся в облачной службе, должны быть защищены до последнего состояния искусства. | Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | 2.0.0 |
| Защита данных U.05.2 — криптографические меры | U.05.2 | Данные, хранящиеся в облачной службе, должны быть защищены до последнего состояния искусства. | Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | 2.0.1 |
| Защита данных U.05.2 — криптографические меры | U.05.2 | Данные, хранящиеся в облачной службе, должны быть защищены до последнего состояния искусства. | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| Разделение данных U.07.1 — изолированный | U.07.1 | Постоянная изоляция данных — это архитектура с несколькими клиентами. Исправления реализуются в управляемом режиме. | Управляемые экземпляры SQL Azure должны отключить доступ к общедоступной сети | 1.0.0 |
| Разделение данных U.07.1 — изолированный | U.07.1 | Постоянная изоляция данных — это архитектура с несколькими клиентами. Исправления реализуются в управляемом режиме. | Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | 1.1.0 |
| Разделение данных U.07.1 — изолированный | U.07.1 | Постоянная изоляция данных — это архитектура с несколькими клиентами. Исправления реализуются в управляемом режиме. | Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | 1.1.0 |
| Разделение данных U.07.3 — функции управления | U.07.3 | U.07.3 . Привилегии для просмотра или изменения данных CSC и /или ключей шифрования предоставляются в управляемом порядке и использовании регистрируются. | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| Разделение данных U.07.3 — функции управления | U.07.3 | U.07.3 . Привилегии для просмотра или изменения данных CSC и /или ключей шифрования предоставляются в управляемом порядке и использовании регистрируются. | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| Защита от вредоносных программ U.09.3 — обнаружение, предотвращение и восстановление | U.09.3 | Защита от вредоносных программ выполняется в разных средах. | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Защита от вредоносных программ U.09.3 — обнаружение, предотвращение и восстановление | U.09.3 | Защита от вредоносных программ выполняется в разных средах. | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Защита от вредоносных программ U.09.3 — обнаружение, предотвращение и восстановление | U.09.3 | Защита от вредоносных программ выполняется в разных средах. | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| Защита от вредоносных программ U.09.3 — обнаружение, предотвращение и восстановление | U.09.3 | Защита от вредоносных программ выполняется в разных средах. | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
| Доступ u.10.2 к ИТ-службам и данным — пользователи | U.10.2 | В рамках CSP доступ предоставляется администраторам. | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| Доступ u.10.3 к ИТ-службам и данным — пользователи | U.10.3 | Доступ к ИТ-службам и данным может получить только пользователи с прошедшим проверку подлинности оборудованием. | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| Доступ u.10.3 к ИТ-службам и данным — пользователи | U.10.3 | Доступ к ИТ-службам и данным может получить только пользователи с прошедшим проверку подлинности оборудованием. | Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более | 3.0.0 |
| Доступ u.10.5 к ИТ-службам и данным — компетентный | U.10.5 | Доступ к ИТ-службам и данным ограничен техническими мерами и реализован. | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| Криптослужбы U.11.1 — политика | U.11.1 | В политике шифрования, по крайней мере, субъекты в соответствии с BIO были разработаны. | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| Криптослужбы U.11.2 — криптографические меры | U.11.2 | Если сертификаты PKIoverheid используют требования PKIoverheid для управления ключами. В других ситуациях используйте ISO11770. | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| Криптослужбы U.11.3 — зашифрованные | U.11.3 | Конфиденциальные данные всегда шифруются с закрытыми ключами, управляемыми CSC. | Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | 2.0.0 |
| Криптослужбы U.11.3 — зашифрованные | U.11.3 | Конфиденциальные данные всегда шифруются с закрытыми ключами, управляемыми CSC. | Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | 2.0.1 |
| Криптослужбы U.11.3 — зашифрованные | U.11.3 | Конфиденциальные данные всегда шифруются с закрытыми ключами, управляемыми CSC. | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| Ведение журнала и мониторинг u.15.1 — события регистрируются | U.15.1 | Нарушение правил политики записывается поставщиком служб CSP и CSC. | Необходимо включить аудит на сервере SQL | 2.0.0 |
| Ведение журнала и мониторинг u.15.1 — события регистрируются | U.15.1 | Нарушение правил политики записывается поставщиком служб CSP и CSC. | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Ведение журнала и мониторинг u.15.1 — события регистрируются | U.15.1 | Нарушение правил политики записывается поставщиком служб CSP и CSC. | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Ведение журнала и мониторинг u.15.3 — события регистрируются | U.15.3 | CSP поддерживает список всех ресурсов, критически важных для ведения журнала и мониторинга, и проверяет этот список. | Необходимо включить аудит на сервере SQL | 2.0.0 |
PCI DSS 3.2.1
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в документе PCI DSS 3.2.1. Дополнительные сведения об этом стандарте соответствия см. в документе с описанием PCI DSS 3.2.1.
PCI DSS версии 4.0
Сведения о том, как доступные Политика Azure встроенные для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для PCI DSS версии 4.0. Дополнительные сведения об этом стандарте соответствия см. в разделе PCI DSS версии 4.0.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Требование 10. Ведение журнала и мониторинг всех доступа к системным компонентам и данным заполнителей карт | 10.2.2 | Журналы аудита реализуются для поддержки обнаружения аномалий и подозрительных действий, а также судебно-судебного анализа событий | Необходимо включить аудит на сервере SQL | 2.0.0 |
| Требование 10. Ведение журнала и мониторинг всех доступа к системным компонентам и данным заполнителей карт | 10.3.3 | Журналы аудита защищены от уничтожения и несанкционированных изменений | Необходимо включить аудит на сервере SQL | 2.0.0 |
| Требование 11. Регулярное тестирование безопасности систем и сетей | 11.3.1 | Внешние и внутренние уязвимости регулярно определяются, приоритеты и устраняются | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Требование 03. Защита данных хранимой учетной записи | 3.3.3 | Конфиденциальные данные проверки подлинности (SAD) не хранятся после авторизации | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| Требование 03. Защита данных хранимой учетной записи | 3.5.1 | Основной номер учетной записи (PAN) защищается везде, где он хранится. | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| Требование 05. Защита всех систем и сетей от вредоносного программного обеспечения | 5.2.1 | Вредоносное программное обеспечение (вредоносная программа) предотвращается или обнаруживается и устранена | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Требование 05. Защита всех систем и сетей от вредоносного программного обеспечения | 5.2.2 | Вредоносное программное обеспечение (вредоносная программа) предотвращается или обнаруживается и устранена | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Требование 05. Защита всех систем и сетей от вредоносного программного обеспечения | 5.2.3 | Вредоносное программное обеспечение (вредоносная программа) предотвращается или обнаруживается и устранена | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Требование 06. Разработка и обслуживание безопасных систем и программного обеспечения | 6.2.4 | Bespoke и пользовательское программное обеспечение разрабатываются безопасно | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| Требование 06. Разработка и обслуживание безопасных систем и программного обеспечения | 6.3.3 | Уязвимости безопасности определяются и устраняются | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Требование 06. Разработка и обслуживание безопасных систем и программного обеспечения | 6.4.1 | Общедоступные веб-приложения защищены от атак | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Требование 07. Ограничение доступа к системным компонентам и данным заполнителей карт по бизнесу необходимо знать | 7.3.1 | Доступ к системным компонентам и данным управляется с помощью системы управления доступом. | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| Требование 08. Определение пользователей и проверка подлинности доступа к системным компонентам | 8.4.1 | Многофакторная проверка подлинности (MFA) реализована для защиты доступа к CDE | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
Резервный банк Индии — ИТ-структура для NBFC
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех схем услуги Azure отвечают этому стандарту соответствия, см. в статье Соответствие нормативным требованиям Политики Azure — Резервный банк Индии — ИТ-платформа для NBFC. Дополнительные сведения об этом стандарте соответствия см. на странице Резервный банк Индии — ИТ-платформа для NBFC.
Резервная банк Индии ИТ-платформа для банков версии 2016
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в статье Политика Azure соответствие нормативным требованиям — RBI ITF Banks версии 2016. Дополнительные сведения об этом стандарте соответствия см. в статье RBI ITF Banks версии 2016 (PDF).
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Пользователь контроль доступа / управление | Пользователь контроль доступа / Management-8.2 | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 | |
| Управление сетями и безопасность | Центр операций безопасности-4.9 | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 | |
| Управление сетями и безопасность | Центр операций безопасности-4.9 | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 | |
| Исправление и уязвимость и управление изменениями | Исправление и уязвимость и управление изменениями-7.7 | Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | 1.1.0 | |
| Исправление и уязвимость и управление изменениями | Исправление и уязвимость и управление изменениями-7.7 | Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | 1.1.0 | |
| Предотвращение выполнения неавторизованного программного обеспечения | Управление обновлениями системы безопасности-2.3 | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 | |
| Метрики | Метрики-21.1 | Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | 2.0.0 | |
| Метрики | Метрики-21.1 | Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | 2.0.1 | |
| Расширенное управление обороной в режиме реального времени | Advanced Real-Timethreat Defenseand Management-13.4 | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 | |
| Исправление и уязвимость и управление изменениями | Исправление и уязвимость и управление изменениями-7.1 | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 | |
| Исправление и уязвимость и управление изменениями | Исправление и уязвимость и управление изменениями-7.1 | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
RMIT Malaysia
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье о соответствии нормативным требованиям Политики Azure для RMIT Malaysia. Дополнительные сведения об этом стандарте соответствия см. в документе RMIT Malaysia.
SWIFT CSP-CSCF версии 2021
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для SWIFT CSP-CSCF версии 2021. Дополнительные сведения об этом стандарте соответствия см. в статье SWIFT CSP CSCF версии 2021.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Защита среды SWIFT | 1,1 | Защита среды SWIFT | Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | 1.1.0 |
| Защита среды SWIFT | 1,1 | Защита среды SWIFT | Служба SQL Server должна использовать конечную точку службы виртуальной сети | 1.0.0 |
| Защита среды SWIFT | 1.2 | Управление привилегированными учетными записями операционной системы | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| Сокращение направлений атак и уязвимостей | 2.1 | Безопасность Потока внутренних данных | База данных SQL Azure должна использовать TLS 1.2 или более поздней версии | 2.0.0 |
| Сокращение направлений атак и уязвимостей | 2.1 | Безопасность Потока внутренних данных | Управляемый экземпляр SQL должен использовать как минимум версию TLS 1.2 | 1.0.1 |
| Сокращение направлений атак и уязвимостей | 2.5A | Защита внешних передаваемых данных | Базы данных SQL Azure должны использовать долгосрочное геоизбыточное резервное копирование | 2.0.0 |
| Сокращение направлений атак и уязвимостей | 2.5A | Защита внешних передаваемых данных | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| Сокращение направлений атак и уязвимостей | 2.6 | Конфиденциальность и целостность данных в сеансе оператора | База данных SQL Azure должна использовать TLS 1.2 или более поздней версии | 2.0.0 |
| Сокращение направлений атак и уязвимостей | 2.6 | Конфиденциальность и целостность данных в сеансе оператора | Управляемый экземпляр SQL должен использовать как минимум версию TLS 1.2 | 1.0.1 |
| Сокращение направлений атак и уязвимостей | 2.7 | Сканирование уязвимостей | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Сокращение направлений атак и уязвимостей | 2.7 | Сканирование уязвимостей | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| Сокращение направлений атак и уязвимостей | 2.7 | Сканирование уязвимостей | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
| Обнаружение аномальных действий в системах или записях транзакций | 6.3 | Целостность базы данных | Необходимо включить аудит на сервере SQL | 2.0.0 |
| Обнаружение аномальных действий в системах или записях транзакций | 6.3 | Целостность базы данных | Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | 1.1.0 |
| Обнаружение аномальных действий в системах или записях транзакций | 6.3 | Целостность базы данных | Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более | 3.0.0 |
| Обнаружение аномальных действий в системах или записях транзакций | 6.3 | Целостность базы данных | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| Обнаружение аномальных действий в системах или записях транзакций | 6,4 | Ведение журналов и мониторинг | Необходимо включить аудит на сервере SQL | 2.0.0 |
UK OFFICIAL и UK NHS
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — UK OFFICIAL и UK NHS. Дополнительные сведения об этом стандарте соответствия см. на странице с описанием схемы UK OFFICIAL.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Идентификация и аутентификация | 10 | Идентификация и аутентификация | Для серверов SQL должен быть подготовлен администратор Azure Active Directory | 1.0.0 |
| Данные аудита для пользователей | 13 | Данные аудита для пользователей | Необходимо включить аудит на сервере SQL | 2.0.0 |
| Данные аудита для пользователей | 13 | Данные аудита для пользователей | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Защита ресурсов и отказоустойчивость | 2.3 | Защита неактивных данных | В базах данных SQL должно применяться прозрачное шифрование данных | 2.0.0 |
| Операционная безопасность | 5,2 | Управление уязвимостями | Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | 2.0.1 |
| Операционная безопасность | 5,2 | Управление уязвимостями | Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | 1.0.2 |
| Операционная безопасность | 5,2 | Управление уязвимостями | Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | 4.1.0 |
| Операционная безопасность | 5,2 | Управление уязвимостями | В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | 1.0.1 |
| Операционная безопасность | 5,2 | Управление уязвимостями | На серверах SQL Server должна быть включена оценка уязвимости | 3.0.0 |
Следующие шаги
- Узнайте больше о соответствии требованиям Политики Azure.
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.