Элементы управления соответствием в службе "Политика Azure" для Azure Synapse Analytics

Статья
02/28/2024

Статья Соответствие нормативным требованиям в политике Azure содержит созданные и управляемые корпорацией Майкрософт определения инициатив, называемые встроенными, для доменов соответствия и элементов управления безопасностью, которые связаны с различными стандартами соответствия. На этой странице перечислены домены соответствия и элементы управления безопасностью для службы "Конфигурация приложений Azure". Вы можете назначить эти встроенные элементы для индивидуального управления безопасностью, чтобы обеспечить соответствие ресурсов Azure какому-либо определенному стандарту.

Заголовок каждого встроенного определения политики связан с определением политики на портале Azure. Перейдите по ссылке в столбце Версия политики, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".

Внимание

Каждый элемент управления связан с одним или несколькими определениями Политики Azure. Эти политики могут помочь вам оценить уровень соответствия элементу управления. Но зачастую между элементом управления и одной или несколькими политиками не бывает полного или буквального соответствия. Поэтому статус Соответствует в Политике Azure относится только к самим политикам. Он не дает гарантии полного соответствия всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между элементами управления и определениями соответствия нормативным требованиям Политики Azure для этих стандартов соответствия со временем могут меняться.

CMMC уровня 3

Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье Сведения о встроенной инициативе по соответствию требованиям стандарта CMMC уровня 3. Дополнительные сведения об этом стандарте соответствия см. в документе о сертификации модели зрелости кибербезопасности (CMMC).

Домен	Идентификатор элемента управления	Заголовок элемента управления	Политика _{(портал Azure)}	Версия политики _(GitHub)
Защита системы и средств передачи данных	SC.3.177	Применение шифрования, проверенного FIPS, для защиты конфиденциальности контролируемой несекретной информации.	Рабочие области Azure Synapse должны использовать ключи, управляемые клиентом, для шифрования неактивных данных	1.0.0

FedRAMP — высокий уровень

Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — FedRAMP High. Дополнительные сведения об этом стандарте см. в статье FedRAMP High.

Домен	Идентификатор элемента управления	Заголовок элемента управления	Политика _{(портал Azure)}	Версия политики _(GitHub)
Управление доступом	AC-4	Управление потоком информации	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Управление доступом	AC-17	Удаленный доступ	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Управление доступом	AC-17 (1)	Автоматизированный мониторинг и управление	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
конфиденциальности	RA-5	Сканирование уязвимостей	В рабочих областях Synapse должна быть включена оценка уязвимостей	1.0.0
Защита систем и коммуникаций	SC-7	Защита границ	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Защита систем и коммуникаций	SC-7 (3)	Точки доступа	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Защита систем и коммуникаций	SC-12	Создание и управление криптографическими ключами	Рабочие области Azure Synapse должны использовать ключи, управляемые клиентом, для шифрования неактивных данных	1.0.0

FedRAMP — средний уровень

Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — FedRAMP Moderate. Дополнительные сведения об этом стандарте см. здесь.

Домен	Идентификатор элемента управления	Заголовок элемента управления	Политика _{(портал Azure)}	Версия политики _(GitHub)
Управление доступом	AC-4	Управление потоком информации	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Управление доступом	AC-17	Удаленный доступ	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Управление доступом	AC-17 (1)	Автоматизированный мониторинг и управление	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
конфиденциальности	RA-5	Сканирование уязвимостей	В рабочих областях Synapse должна быть включена оценка уязвимостей	1.0.0
Защита систем и коммуникаций	SC-7	Защита границ	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Защита систем и коммуникаций	SC-7 (3)	Точки доступа	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Защита систем и коммуникаций	SC-12	Создание и управление криптографическими ключами	Рабочие области Azure Synapse должны использовать ключи, управляемые клиентом, для шифрования неактивных данных	1.0.0

Управление безопасностью в облаке Майкрософт

Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Сведения о том, как эта служба полностью сопоставляется с эталонным показателем безопасности Майкрософт, см. в файлах сопоставления Azure Security Benchmark.

Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в статье Политика Azure соответствие нормативным требованиям — microsoft cloud security benchmark.

Домен	Идентификатор элемента управления	Заголовок элемента управления	Политика _{(портал Azure)}	Версия политики _(GitHub)
Управление удостоверениями	IM-1	Использование централизованной системы удостоверений и проверки подлинности	Для рабочих областей Synapse должна быть включена проверка подлинности только для Microsoft Entra	1.0.0
Управление удостоверениями	IM-1	Использование централизованной системы удостоверений и проверки подлинности	Рабочие области Synapse должны использовать только удостоверения Microsoft Entra для проверки подлинности во время создания рабочей области	1.2.0
Ведение журналов и обнаружение угроз	LT-1	Включение возможностей обнаружения угроз	Для незащищенных рабочих областей Synapse следует включить Microsoft Defender для SQL	1.0.0
Ведение журналов и обнаружение угроз	LT-2	Включение функции обнаружения угроз для управления удостоверениями и доступом	Для незащищенных рабочих областей Synapse следует включить Microsoft Defender для SQL	1.0.0
Реакция на инцидент	IR-3	Обнаружение и анализ. Создание инцидентов на основе высококачественных оповещений	Для незащищенных рабочих областей Synapse следует включить Microsoft Defender для SQL	1.0.0
Реакция на инцидент	AIR-5	Обнаружение и анализ.Определение приоритетов инцидентов	Для незащищенных рабочих областей Synapse следует включить Microsoft Defender для SQL	1.0.0

NIST SP 800-171 R2

Дополнительную информацию о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Сведения о встроенной инициативе по соответствию требованиям стандарта NIST SP 800-171 R2. Дополнительные сведения об этом стандарте соответствия см. на странице описания NIST SP 800-171 R2 (специальной публикации Национального института стандартов и технологий).

Домен	Идентификатор элемента управления	Заголовок элемента управления	Политика _{(портал Azure)}	Версия политики _(GitHub)
Управление доступом	3.1.1	Ограничение доступа к системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие системы)	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Управление доступом	3.1.12	Мониторинг сеансов удаленного доступа и управление ими.	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Управление доступом	3.1.13	Используйте механизмы шифрования для защиты конфиденциальности сеансов удаленного доступа.	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Управление доступом	3.1.14	Маршрутизация удаленного доступа через управляемые точки контроля доступа.	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Управление доступом	3.1.3	Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
конфиденциальности	3.11.2	Проверка наличия уязвимостей в системах и приложениях организации, выполняемая периодически и при обнаружении новых уязвимостей, которые их затрагивают	В рабочих областях Synapse должна быть включена оценка уязвимостей	1.0.0
конфиденциальности	3.11.3	Устранение уязвимостей в соответствии с оценками рисков.	В рабочих областях Synapse должна быть включена оценка уязвимостей	1.0.0
Защита системы и средств передачи данных	3.13.1	Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Защита системы и средств передачи данных	3.13.10	Создание криптографических ключей и управление ими для шифрования в системах организации.	Рабочие области Azure Synapse должны использовать ключи, управляемые клиентом, для шифрования неактивных данных	1.0.0
Защита системы и средств передачи данных	3.13.2	Применение проектов архитектуры, методик разработки программного обеспечения и принципов системной инженерии, обеспечивающих эффективность защиты информации в корпоративных системах.	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Защита системы и средств передачи данных	3.13.5	Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1

NIST SP 800-53, ред. 4

Сведения о том, как встроенные политики службы "Политика Azure" для всех служб Azure отвечают требованиям этого стандарта, см. в статье Соответствие Политики Azure нормативным требованиям — NIST SP 800-53, ред. 4. См. дополнительные сведения о стандарте NIST SP 800-53, ред. 4.

Домен	Идентификатор элемента управления	Заголовок элемента управления	Политика _{(портал Azure)}	Версия политики _(GitHub)
Управление доступом	AC-4	Управление потоком информации	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Управление доступом	AC-17	Удаленный доступ	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Управление доступом	AC-17 (1)	Автоматизированный мониторинг и управление	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
конфиденциальности	RA-5	Сканирование уязвимостей	В рабочих областях Synapse должна быть включена оценка уязвимостей	1.0.0
Защита систем и коммуникаций	SC-7	Защита границ	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Защита систем и коммуникаций	SC-7 (3)	Точки доступа	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Защита систем и коммуникаций	SC-12	Создание и управление криптографическими ключами	Рабочие области Azure Synapse должны использовать ключи, управляемые клиентом, для шифрования неактивных данных	1.0.0

NIST SP 800-53, ред. 5

Сведения о том, как встроенные политики службы "Политика Azure" для всех служб Azure отвечают требованиям этого стандарта, см. в статье Соответствие Политики Azure нормативным требованиям — NIST SP 800-53, ред. 5. Дополнительные сведения об этом стандарте соответствия см. здесь.

Домен	Идентификатор элемента управления	Заголовок элемента управления	Политика _{(портал Azure)}	Версия политики _(GitHub)
Управление доступом	AC-4	Управление потоком информации	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Управление доступом	AC-17	Удаленный доступ	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Управление доступом	AC-17 (1)	Мониторинг и контроль	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
конфиденциальности	RA-5	Мониторинг и проверка уязвимостей	В рабочих областях Synapse должна быть включена оценка уязвимостей	1.0.0
Защита системы и средств передачи данных	SC-7	Защита границ	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Защита системы и средств передачи данных	SC-7 (3)	Точки доступа	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Защита системы и средств передачи данных	SC-12	Установка криптографических ключей и управление ими	Рабочие области Azure Synapse должны использовать ключи, управляемые клиентом, для шифрования неактивных данных	1.0.0

Тема облака NL BIO

Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для темы NL BIO Cloud. Дополнительные сведения об этом стандарте соответствия см. в разделе "Базовый уровень информационной безопасности для кибербезопасности для государственных организаций — цифровое правительство" (digitaleoverheid.nl).

Домен	Идентификатор элемента управления	Заголовок элемента управления	Политика _{(портал Azure)}	Версия политики _(GitHub)
C.04.3 Technical управление уязвимостями — временная шкала	C.04.3	Если вероятность злоупотреблений и ожидаемого ущерба высока, исправления устанавливаются не позднее чем через неделю.	В рабочих областях Synapse должна быть включена оценка уязвимостей	1.0.0
Защита данных U.05.2 — криптографические меры	U.05.2	Данные, хранящиеся в облачной службе, должны быть защищены до последнего состояния искусства.	Рабочие области Azure Synapse должны использовать ключи, управляемые клиентом, для шифрования неактивных данных	1.0.0
Разделение данных U.07.1 — изолированный	U.07.1	Постоянная изоляция данных — это архитектура с несколькими клиентами. Исправления реализуются в управляемом режиме.	Рабочие области Azure Synapse должны использовать приватный канал	1.0.1
Криптослужбы U.11.3 — зашифрованные	U.11.3	Конфиденциальные данные всегда шифруются с закрытыми ключами, управляемыми CSC.	Рабочие области Azure Synapse должны использовать ключи, управляемые клиентом, для шифрования неактивных данных	1.0.0
Архитектура с несколькими клиентами U.17.1 — зашифрована	U.17.1	Данные CSC для транспорта и неактивных данных шифруются.	В рабочих областях Synapse должна быть включена оценка уязвимостей	1.0.0

Резервный банк Индии — ИТ-структура для NBFC

Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех схем услуги Azure отвечают этому стандарту соответствия, см. в статье Соответствие нормативным требованиям Политики Azure — Резервный банк Индии — ИТ-платформа для NBFC. Дополнительные сведения об этом стандарте соответствия см. на странице Резервный банк Индии — ИТ-платформа для NBFC.

Домен	Идентификатор элемента управления	Заголовок элемента управления	Политика _{(портал Azure)}	Версия политики _(GitHub)
Информация и кибербезопасность	3,3	Управление уязвимостями-3.3	В рабочих областях Synapse должна быть включена оценка уязвимостей	1.0.0
Аудит IS	5	Политика аудита информационной системы (аудит IS)-5	Правила брандмауэра для IP-адресов в рабочих областях Azure Synapse должны быть удалены	1.0.0

ENS (Испания)

Чтобы узнать, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. Политика Azure сведения о соответствии нормативным требованиям для Испании ENS. Дополнительные сведения об этом стандарте соответствия см. в статье CCN-STIC 884.

Домен	Идентификатор элемента управления	Заголовок элемента управления	Политика _{(портал Azure)}	Версия политики _(GitHub)
Защитные меры	mp.com.1	Защита коммуникаций	Правила брандмауэра для IP-адресов в рабочих областях Azure Synapse должны быть удалены	1.0.0
Операционная платформа	op.exp.2	Операция	В рабочих областях Synapse должна быть включена оценка уязвимостей	1.0.0
Операционная платформа	op.exp.3	Операция	В рабочих областях Synapse должна быть включена оценка уязвимостей	1.0.0
Операционная платформа	op.exp.4	Операция	В рабочих областях Synapse должна быть включена оценка уязвимостей	1.0.0
Операционная платформа	op.exp.5	Операция	В рабочих областях Synapse должна быть включена оценка уязвимостей	1.0.0
Операционная платформа	op.exp.6	Операция	Настройка включения Microsoft Defender для SQL в рабочих областях Synapse	1.0.0
Операционная платформа	op.exp.6	Операция	Для незащищенных рабочих областей Synapse следует включить Microsoft Defender для SQL	1.0.0
Операционная платформа	op.exp.8	Операция	Для рабочих областей Synapse с аудитом SQL в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более	2.0.0
Операционная платформа	op.mon.3	Мониторинг системы	В рабочих областях Synapse должна быть включена оценка уязвимостей	1.0.0

Следующие шаги

Узнайте больше о соответствии требованиям Политики Azure.
Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.

Поделиться через