你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure SQL 数据库和 SQL 托管实例的 Azure Policy 法规遵从性控制
适用于: Azure SQL 数据库 Azure SQL 托管实例
Azure Policy 中的法规遵从性为与不同合规性标准相关的“合规性域”和“安全控制”提供由 Microsoft 创建和管理的计划定义,称为“内置项” 。 此页列出 Azure SQL 数据库和 SQL 托管实例的“符合域”和“安全控件” 。 可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
重要
每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的“符合”仅指策略本身。 这并不能确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 对于这些合规性标准,控件与 Azure Policy 法规合规性定义之间的关联可能会随时间的推移而发生变化。
澳大利亚政府 ISM PROTECTED
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 澳大利亚政府 ISM PROTECTED。 有关此合规性标准的详细信息,请参阅澳大利亚政府 ISM PROTECTED。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
系统管理指导原则 - 系统修补 | 940 | 何时修补安全漏洞 - 940 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
系统管理指导原则 - 系统修补 | 940 | 何时修补安全漏洞 - 940 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
系统管理指导原则 - 系统修补 | 940 | 何时修补安全漏洞 - 940 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
系统管理指导原则 - 系统修补 | 1144 | 何时修补安全漏洞-1144 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
系统管理指导原则 - 系统修补 | 1144 | 何时修补安全漏洞-1144 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
系统管理指导原则 - 系统修补 | 1144 | 何时修补安全漏洞-1144 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
数据库系统的指导原则 - 数据库管理系统软件 | 1260 | 数据库管理员帐户 - 1260 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
数据库系统的指导原则 - 数据库管理系统软件 | 1261 | 数据库管理员帐户 - 1261 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
数据库系统的指导原则 - 数据库管理系统软件 | 1262 | 数据库管理员帐户 - 1262 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
数据库系统的指导原则 - 数据库管理系统软件 | 1263 | 数据库管理员帐户 - 1263 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
数据库系统的指导原则 - 数据库管理系统软件 | 1264 | 数据库管理员帐户 - 1264 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
数据库系统指导原则 - 数据库服务器 | 1425 | 保护数据库服务器的内容 - 1425 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
系统管理指导原则 - 系统修补 | 1472 | 何时修补安全漏洞 - 1472 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
系统管理指导原则 - 系统修补 | 1472 | 何时修补安全漏洞 - 1472 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
系统管理指导原则 - 系统修补 | 1472 | 何时修补安全漏洞 - 1472 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
系统管理指导原则 - 系统修补 | 1494 | 何时修补安全漏洞 - 1494 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
系统管理指导原则 - 系统修补 | 1494 | 何时修补安全漏洞 - 1494 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
系统管理指导原则 - 系统修补 | 1494 | 何时修补安全漏洞 - 1494 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
系统管理指导原则 - 系统修补 | 1495 | 何时修补安全漏洞 - 1495 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
系统管理指导原则 - 系统修补 | 1495 | 何时修补安全漏洞 - 1495 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
系统管理指导原则 - 系统修补 | 1495 | 何时修补安全漏洞 - 1495 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
系统管理指导原则 - 系统修补 | 1496 | 何时修补安全漏洞 - 1496 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
系统管理指导原则 - 系统修补 | 1496 | 何时修补安全漏洞 - 1496 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
系统管理指导原则 - 系统修补 | 1496 | 何时修补安全漏洞 - 1496 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
系统监视指导原则 - 事件日志记录和审核 | 1537 | 要记录的事件 - 1537 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
系统监视指导原则 - 事件日志记录和审核 | 1537 | 要记录的事件 - 1537 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
加拿大联邦 PBMM
若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - 加拿大联邦 PBMM。 有关此合规性标准的详细信息,请参阅加拿大联邦 PBMM。
CIS Microsoft Azure 基础基准检验 1.1.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - CIS Microsoft Azure 基础基准 1.1.0。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
2 安全中心 | 2.14 | 确保 ASC 默认策略设置“监视 SQL 审核”不是处于“已禁用”状态 | 应启用 SQL 服务器上的审核 | 2.0.0 |
2 安全中心 | 2.15 | 确保 ASC 默认策略设置“监视 SQL 加密”不是处于“已禁用”状态 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
4 数据库服务 | 4.1 | 确保“审核”设置为“打开” | 应启用 SQL 服务器上的审核 | 2.0.0 |
4 数据库服务 | 4.10 | 确保使用 BYOK(使用自己的密钥)加密 SQL 服务器的 TDE 保护器 | SQL 托管实例应使用客户管理的密钥进行静态数据加密 | 2.0.0 |
4 数据库服务 | 4.10 | 确保使用 BYOK(使用自己的密钥)加密 SQL 服务器的 TDE 保护器 | SQL Server 应使用客户管理的密钥进行静态数据加密 | 2.0.1 |
4 数据库服务 | 4.2 | 确保在“审核”策略中为 SQL 服务器正确设置“AuditActionGroups” | SQL 审核设置中应包含配置为捕获关键活动的操作组 | 1.0.0 |
4 数据库服务 | 4.3 | 确保审核保留期“大于 90 天” | 对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 | 3.0.0 |
4 数据库服务 | 4.4 | 确保将 SQL 服务器上的“高级数据安全性”设置为“打开” | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
4 数据库服务 | 4.4 | 确保将 SQL 服务器上的“高级数据安全性”设置为“打开” | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
4 数据库服务 | 4.8 | 确保配置 Azure Active Directory 管理员 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
4 数据库服务 | 4.9 | 确保将 SQL 数据库上的“数据加密”设置为“打开” | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
CIS Microsoft Azure 基础基准检验 1.3.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - CIS Microsoft Azure 基础基准 1.3.0。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
4 数据库服务 | 4.1.1 | 确保“审核”设置为“打开” | 应启用 SQL 服务器上的审核 | 2.0.0 |
4 数据库服务 | 4.1.2 | 确保将 SQL 数据库上的“数据加密”设置为“打开” | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
4 数据库服务 | 4.1.3 | 确保审核保留期“大于 90 天” | 对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 | 3.0.0 |
4 数据库服务 | 4.2.1 | 确保将 SQL Server 上的高级威胁防护 (ATP) 设置为“已启用” | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
4 数据库服务 | 4.2.1 | 确保将 SQL Server 上的高级威胁防护 (ATP) 设置为“已启用” | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
4 数据库服务 | 4.2.2 | 通过设置存储帐户,确保在 SQL Server 上启用了漏洞评估 (VA) | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
4 数据库服务 | 4.2.2 | 通过设置存储帐户,确保在 SQL Server 上启用了漏洞评估 (VA) | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
4 数据库服务 | 4.4 | 确保配置 Azure Active Directory 管理员 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
4 数据库服务 | 4.5 | 确保使用客户管理的密钥对 SQL Server TDE 保护器进行加密 | SQL 托管实例应使用客户管理的密钥进行静态数据加密 | 2.0.0 |
4 数据库服务 | 4.5 | 确保使用客户管理的密钥对 SQL Server TDE 保护器进行加密 | SQL Server 应使用客户管理的密钥进行静态数据加密 | 2.0.1 |
CIS Microsoft Azure 基础基准 1.4.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 CIS v1.4.0 的 Azure Policy 合规性详细信息。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
4 数据库服务 | 4.1.1 | 确保“审核”设置为“打开” | 应启用 SQL 服务器上的审核 | 2.0.0 |
4 数据库服务 | 4.1.2 | 确保将 SQL 数据库上的“数据加密”设置为“打开” | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
4 数据库服务 | 4.1.3 | 确保审核保留期“大于 90 天” | 对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 | 3.0.0 |
4 数据库服务 | 4.2.1 | 确保将 SQL Server 上的高级威胁防护 (ATP) 设置为“已启用” | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
4 数据库服务 | 4.2.1 | 确保将 SQL Server 上的高级威胁防护 (ATP) 设置为“已启用” | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
4 数据库服务 | 4.2.2 | 通过设置存储帐户,确保在 SQL Server 上启用了漏洞评估 (VA) | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
4 数据库服务 | 4.2.2 | 通过设置存储帐户,确保在 SQL Server 上启用了漏洞评估 (VA) | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
4 数据库服务 | 4.5 | 确保配置 Azure Active Directory 管理员 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
4 数据库服务 | 4.6 | 确保使用客户管理的密钥对 SQL Server TDE 保护器进行加密 | SQL 托管实例应使用客户管理的密钥进行静态数据加密 | 2.0.0 |
4 数据库服务 | 4.6 | 确保使用客户管理的密钥对 SQL Server TDE 保护器进行加密 | SQL Server 应使用客户管理的密钥进行静态数据加密 | 2.0.1 |
CIS Microsoft Azure 基础基准检验 2.0.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 CIS v2.0.0 的 Azure Policy 合规性详细信息。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
4.1 | 4.1.1 | 确保“审核”设置为“打开” | 应启用 SQL 服务器上的审核 | 2.0.0 |
4.1 | 4.1.2 | 确保任何 Azure SQL 数据库都不允许来自 0.0.0.0/0(任何 IP)的流入量 | 应禁用 Azure SQL 数据库上的公用网络访问 | 1.1.0 |
4.1 | 4.1.3 | 确保使用客户管理的密钥对 SQL 服务器的透明数据加密 (TDE) 保护程序进行加密 | SQL 托管实例应使用客户管理的密钥进行静态数据加密 | 2.0.0 |
4.1 | 4.1.3 | 确保使用客户管理的密钥对 SQL 服务器的透明数据加密 (TDE) 保护程序进行加密 | SQL Server 应使用客户管理的密钥进行静态数据加密 | 2.0.1 |
4.1 | 4.1.4 | 确保为 SQL 服务器配置 Azure Active Directory 管理员 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
4.1 | 4.1.5 | 确保将 SQL 数据库上的“数据加密”设置为“打开” | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
4.1 | 4.1.6 | 确保审核保留期“大于 90 天” | 对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 | 3.0.0 |
4.2 | 4.2.1 | 确保为关键 SQL 服务器将“Microsoft Defender for SQL”设置为“开” | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
4.2 | 4.2.1 | 确保为关键 SQL 服务器将“Microsoft Defender for SQL”设置为“开” | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
4.2 | 4.2.2 | 通过设置存储帐户,确保在 SQL Server 上启用了漏洞评估 (VA) | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
4.2 | 4.2.2 | 通过设置存储帐户,确保在 SQL Server 上启用了漏洞评估 (VA) | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
4.2 | 4.2.3 | 确保为每个 SQL 服务器将漏洞评估 (VA) 设置“定期扫描”设置为“开” | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
4.2 | 4.2.4 | 确保为 SQL 服务器将漏洞评估 (VA) 设置配置为“将扫描报告发送到” | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
4.2 | 4.2.5 | 确保为每个 SQL Server 设置“同时向管理员和订阅所有者发送电子邮件通知”漏洞评估 (VA) 设置 | SQL 数据库应已解决漏洞结果 | 4.1.0 |
4.2 | 4.2.5 | 确保为每个 SQL Server 设置“同时向管理员和订阅所有者发送电子邮件通知”漏洞评估 (VA) 设置 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
CMMC 级别 3
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - CMMC 级别 3。 有关此合规性标准的详细信息,请参阅网络安全成熟度模型认证 (CMMC)。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 应禁用 Azure SQL 数据库上的公用网络访问 | 1.1.0 |
访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | 应禁用 Azure SQL 数据库上的公用网络访问 | 1.1.0 |
访问控制 | AC.2.016 | 根据批准的授权控制 CUI 流。 | 应禁用 Azure SQL 数据库上的公用网络访问 | 1.1.0 |
审核和责任 | AU.2.041 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 应启用 SQL 服务器上的审核 | 2.0.0 |
审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
审核和责任 | AU.2.041 | 确保单个系统用户的操作可唯一地跟踪到相应用户,使其能够对自己的操作负责。 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 应启用 SQL 服务器上的审核 | 2.0.0 |
审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
审核和责任 | AU.2.042 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
审核和责任 | AU.3.046 | 审核日志记录过程失败时发出警报。 | 应启用 SQL 服务器上的审核 | 2.0.0 |
审核和责任 | AU.3.046 | 审核日志记录过程失败时发出警报。 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
审核和责任 | AU.3.046 | 审核日志记录过程失败时发出警报。 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
安全评估 | CA.2.158 | 定期评估组织系统中的安全控制措施,以确定这些控制措施在其应用中是否有效。 | 应启用 SQL 服务器上的审核 | 2.0.0 |
安全评估 | CA.2.158 | 定期评估组织系统中的安全控制措施,以确定这些控制措施在其应用中是否有效。 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
安全评估 | CA.2.158 | 定期评估组织系统中的安全控制措施,以确定这些控制措施在其应用中是否有效。 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
安全评估 | CA.3.161 | 持续监视安全控制措施,确保措施持续有效。 | 应启用 SQL 服务器上的审核 | 2.0.0 |
安全评估 | CA.3.161 | 持续监视安全控制措施,确保措施持续有效。 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
安全评估 | CA.3.161 | 持续监视安全控制措施,确保措施持续有效。 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
配置管理 | CM.2.064 | 为组织系统中使用的信息技术产品建立和实施安全配置设置。 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
配置管理 | CM.2.064 | 为组织系统中使用的信息技术产品建立和实施安全配置设置。 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 应禁用 Azure SQL 数据库上的公用网络访问 | 1.1.0 |
恢复 | RE.2.137 | 定期执行和测试数据备份。 | 应为 Azure SQL 数据库启用长期异地冗余备份 | 2.0.0 |
恢复 | RE.3.139 | 根据组织规定定期执行完整、全面且可复原的数据备份。 | 应为 Azure SQL 数据库启用长期异地冗余备份 | 2.0.0 |
风险评估 | RM.2.141 | 定期评估组织操作(包括任务、功能、映像或信誉)、组织资产和个人因组织系统的操作和相关的 CUI 处理、存储或传输而产生的风险。 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
风险评估 | RM.2.141 | 定期评估组织操作(包括任务、功能、映像或信誉)、组织资产和个人因组织系统的操作和相关的 CUI 处理、存储或传输而产生的风险。 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
风险评估 | RM.2.141 | 定期评估组织操作(包括任务、功能、映像或信誉)、组织资产和个人因组织系统的操作和相关的 CUI 处理、存储或传输而产生的风险。 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
风险评估 | RM.2.141 | 定期评估组织操作(包括任务、功能、映像或信誉)、组织资产和个人因组织系统的操作和相关的 CUI 处理、存储或传输而产生的风险。 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
风险评估 | RM.2.142 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
风险评估 | RM.2.142 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
风险评估 | RM.2.142 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
风险评估 | RM.2.142 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
风险评估 | RM.2.143 | 根据风险评估修正漏洞。 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
风险评估 | RM.2.143 | 根据风险评估修正漏洞。 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
风险评估 | RM.2.143 | 根据风险评估修正漏洞。 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
风险评估 | RM.2.143 | 根据风险评估修正漏洞。 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
风险评估 | RM.2.143 | 根据风险评估修正漏洞。 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应禁用 Azure SQL 数据库上的公用网络访问 | 1.1.0 |
系统和通信保护 | SC.3.177 | 采用经 FIPS 验证的加密模块来保护 CUI 的机密性。 | SQL 托管实例应使用客户管理的密钥进行静态数据加密 | 2.0.0 |
系统和通信保护 | SC.3.177 | 采用经 FIPS 验证的加密模块来保护 CUI 的机密性。 | SQL Server 应使用客户管理的密钥进行静态数据加密 | 2.0.1 |
系统和通信保护 | SC.3.177 | 采用经 FIPS 验证的加密模块来保护 CUI 的机密性。 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
系统和通信保护 | SC.3.181 | 将用户功能与系统管理功能分开。 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应禁用 Azure SQL 数据库上的公用网络访问 | 1.1.0 |
系统和通信保护 | SC.3.191 | 保护静态 CUI 的机密性。 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
系统和通信保护 | SC.3.191 | 保护静态 CUI 的机密性。 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
系统和通信保护 | SC.3.191 | 保护静态 CUI 的机密性。 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
系统和信息完整性 | SI.1.210 | 及时识别、报告和更正信息及信息系统缺陷。 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
系统和信息完整性 | SI.2.216 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
系统和信息完整性 | SI.2.216 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
系统和信息完整性 | SI.2.217 | 识别未经授权使用组织系统的情况。 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
系统和信息完整性 | SI.2.217 | 识别未经授权使用组织系统的情况。 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
FedRAMP 高
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP High。 有关此合规性标准的详细信息,请参阅 FedRAMP High。
FedRAMP 中等
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP Moderate。 有关此合规性标准的详细信息,请参阅 FedRAMP Moderate。
HIPAA HITRUST 9.2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - HIPAA HITRUST 9.2。 有关此合规性标准的详细信息,请参阅 HIPAA HITRUST 9.2。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
03 可移植媒体安全性 | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.o 09.07 介质处理 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
03 可移植媒体安全性 | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.o 09.07 介质处理 | SQL 托管实例应使用客户管理的密钥进行静态数据加密 | 2.0.0 |
03 可移植媒体安全性 | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.o 09.07 介质处理 | SQL Server 应使用客户管理的密钥进行静态数据加密 | 2.0.1 |
07 漏洞管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技术漏洞管理 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
07 漏洞管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技术漏洞管理 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
07 漏洞管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技术漏洞管理 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
07 漏洞管理 | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 技术漏洞管理 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
07 漏洞管理 | 0716.10m3Organizational.1-10.m | 0716.10m3Organizational.1-10.m 10.06 技术漏洞管理 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
07 漏洞管理 | 0719.10m3Organizational.5-10.m | 0719.10m3Organizational.5-10.m 10.06 技术漏洞管理 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
08 网络保护 | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 网络访问控制 | SQL Server 应使用虚拟网络服务终结点 | 1.0.0 |
08 网络保护 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 网络访问控制 | SQL Server 应使用虚拟网络服务终结点 | 1.0.0 |
08 网络保护 | 0862.09m2Organizational.8-09.m | 0862.09m2Organizational.8-09.m 09.06 网络安全管理 | SQL Server 应使用虚拟网络服务终结点 | 1.0.0 |
08 网络保护 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 网络访问控制 | SQL Server 应使用虚拟网络服务终结点 | 1.0.0 |
12 审核日志记录和监视 | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 监视 | 应启用 SQL 服务器上的审核 | 2.0.0 |
16 业务连续性和灾难恢复 | 1616.09l1Organizational.16-09.l | 1616.09l1Organizational.16-09.l 09.05 信息备份 | 应为 Azure SQL 数据库启用长期异地冗余备份 | 2.0.0 |
16 业务连续性和灾难恢复 | 1621.09l2Organizational.1-09.l | 1621.09l2Organizational.1-09.l 09.05 信息备份 | 应为 Azure SQL 数据库启用长期异地冗余备份 | 2.0.0 |
IRS 1075 2016 年 9 月
若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - IRS 1075 2016 年 9 月版。 有关此合规性标准的详细信息,请参阅 IRS 1075 2016 年 9 月版。
ISO 27001:2013
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - ISO 27001:2013。 有关此合规性标准的详细信息,请参阅 ISO 27001:2013。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
加密 | 10.1.1 | 有关使用加密控制措施的策略 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
操作安全性 | 12.4.1 | 事件日志记录 | 应启用 SQL 服务器上的审核 | 2.0.0 |
操作安全性 | 12.4.3 | 管理员和操作员日志 | 应启用 SQL 服务器上的审核 | 2.0.0 |
操作安全性 | 12.4.4 | 时钟同步 | 应启用 SQL 服务器上的审核 | 2.0.0 |
操作安全性 | 12.6.1 | 管理技术漏洞 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
资产管理 | 8.2.1 | 信息分类 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
访问控制 | 9.2.3 | 管理特权访问权限 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
Microsoft Cloud for Sovereignty 基线机密政策
要查看所有 Azure 服务的可用 Azure Policy 内置内容与此合规性标准的映射关系,请参阅 MCfS Sovereignty 基线机密政策的 Azure Policy 法规合规性详细信息。 有关此合规性标准的详细信息,请参阅 Microsoft Cloud for Sovereignty 政策组合。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
SO.3 - 客户管理的密钥 | SO.3 | Azure 产品必须配置为尽可能使用客户管理的密钥。 | SQL 托管实例应使用客户管理的密钥进行静态数据加密 | 2.0.0 |
SO.3 - 客户管理的密钥 | SO.3 | Azure 产品必须配置为尽可能使用客户管理的密钥。 | SQL Server 应使用客户管理的密钥进行静态数据加密 | 2.0.1 |
Microsoft 云安全基准
Microsoft Cloud 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Microsoft Cloud 安全基准,请参阅 Azure 安全基准映射文件。
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - Microsoft Cloud 安全基准。
NIST SP 800-171 R2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-171 R2。 有关此符合性标准的详细信息,请参阅 NIST SP 800-171 R2。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 应启用 Azure SQL 数据库上的专用终结点连接 | 1.1.0 |
访问控制 | 3.1.12 | 监视和控制远程访问会话。 | 应启用 Azure SQL 数据库上的专用终结点连接 | 1.1.0 |
访问控制 | 3.1.13 | 采用加密机制来保护远程访问会话的机密性。 | 应启用 Azure SQL 数据库上的专用终结点连接 | 1.1.0 |
访问控制 | 3.1.14 | 通过托管的访问控制点路由远程访问。 | 应启用 Azure SQL 数据库上的专用终结点连接 | 1.1.0 |
访问控制 | 3.1.2 | 仅限授权用户有权执行的事务和函数类型进行系统访问。 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 应启用 Azure SQL 数据库上的专用终结点连接 | 1.1.0 |
访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 应禁用 Azure SQL 数据库上的公用网络访问 | 1.1.0 |
风险评估 | 3.11.2 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
风险评估 | 3.11.2 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
风险评估 | 3.11.2 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | SQL 数据库应已解决漏洞结果 | 4.1.0 |
风险评估 | 3.11.2 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
风险评估 | 3.11.2 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
风险评估 | 3.11.3 | 根据风险评估修正漏洞。 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
风险评估 | 3.11.3 | 根据风险评估修正漏洞。 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
风险评估 | 3.11.3 | 根据风险评估修正漏洞。 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
风险评估 | 3.11.3 | 根据风险评估修正漏洞。 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
风险评估 | 3.11.3 | 根据风险评估修正漏洞。 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应启用 Azure SQL 数据库上的专用终结点连接 | 1.1.0 |
系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应禁用 Azure SQL 数据库上的公用网络访问 | 1.1.0 |
系统和通信保护 | 3.13.10 | 为组织系统中使用的加密技术建立加密密钥并进行管理。 | SQL 托管实例应使用客户管理的密钥进行静态数据加密 | 2.0.0 |
系统和通信保护 | 3.13.10 | 为组织系统中使用的加密技术建立加密密钥并进行管理。 | SQL Server 应使用客户管理的密钥进行静态数据加密 | 2.0.1 |
系统和通信保护 | 3.13.16 | 保护静态 CUI 的机密性。 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 应启用 Azure SQL 数据库上的专用终结点连接 | 1.1.0 |
系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 应禁用 Azure SQL 数据库上的公用网络访问 | 1.1.0 |
系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应启用 Azure SQL 数据库上的专用终结点连接 | 1.1.0 |
系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应禁用 Azure SQL 数据库上的公用网络访问 | 1.1.0 |
系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应禁用 Azure SQL 数据库上的公用网络访问 | 1.1.0 |
系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | SQL 数据库应已解决漏洞结果 | 4.1.0 |
系统和信息完整性 | 3.14.6 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
系统和信息完整性 | 3.14.6 | 监视组织系统(包括入站和出站通信流量),检测攻击和潜在攻击的指示。 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
系统和信息完整性 | 3.14.7 | 识别未经授权使用组织系统的情况。 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
系统和信息完整性 | 3.14.7 | 识别未经授权使用组织系统的情况。 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | 应启用 SQL 服务器上的审核 | 2.0.0 |
审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | 对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 | 3.0.0 |
审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 应启用 SQL 服务器上的审核 | 2.0.0 |
审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 | 3.0.0 |
审核和责任 | 3.3.4 | 审核日志记录过程失败时发出警报。 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
审核和责任 | 3.3.4 | 审核日志记录过程失败时发出警报。 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
审核和责任 | 3.3.5 | 将审核记录评审、分析和报告过程关联起来,以调查和响应非法、未经授权、可疑或异常活动的迹象。 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
审核和责任 | 3.3.5 | 将审核记录评审、分析和报告过程关联起来,以调查和响应非法、未经授权、可疑或异常活动的迹象。 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
识别和身份验证 | 3.5.1 | 识别系统用户、代表用户执行的进程以及设备。 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
识别和身份验证 | 3.5.5 | 防止在定义时间段内重复使用标识符。 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
识别和身份验证 | 3.5.6 | 在处于不活动状态的时间超过定义的时间段后禁用标识符。 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
NIST SP 800-53 修订版 4
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - NIST SP 800-53 修订版 4。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 4。
NIST SP 800-53 Rev. 5
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-53 Rev. 5。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 5。
NL BIO 云主题
若要查看所有 Azure 服务内置的可用 Azure Policy 如何映射到此合规性标准,请参阅 NL BIO 云主题的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅基线信息安全政府网络安全 - 数字政府 (digitaleoverheid.nl)。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
C.04.3 技术漏洞管理 - 时间线 | C.04.3 | 如果滥用和预期损坏的可能性都很高,则修补程序安装时间不晚于一周内。 | SQL 数据库应已解决漏洞结果 | 4.1.0 |
C.04.6 技术漏洞管理 - 时间线 | C.04.6 | 可以通过及时执行修补程序管理来补救技术弱点。 | SQL 数据库应已解决漏洞结果 | 4.1.0 |
C.04.7 技术漏洞管理 - 评估 | C.04.7 | 记录并报告技术漏洞评估。 | SQL 数据库应已解决漏洞结果 | 4.1.0 |
C.04.8 技术漏洞管理 - 评估 | C.04.8 | 评估报告包含改进建议,并与经理/所有者沟通。 | SQL 数据库应已解决漏洞结果 | 4.1.0 |
U.05.1 数据保护 - 加密措施 | U.05.1 | 数据传输使用加密技术进行保护,其中密钥管理由 CSC 自行执行(如果可能)。 | Azure SQL 数据库应运行 TLS 版本 1.2 或更高版本 | 2.0.0 |
U.05.2 数据保护 - 加密措施 | U.05.2 | 存储在云服务中的数据应得到最先进的保护。 | SQL 托管实例应使用客户管理的密钥进行静态数据加密 | 2.0.0 |
U.05.2 数据保护 - 加密措施 | U.05.2 | 存储在云服务中的数据应得到最先进的保护。 | SQL Server 应使用客户管理的密钥进行静态数据加密 | 2.0.1 |
U.05.2 数据保护 - 加密措施 | U.05.2 | 存储在云服务中的数据应得到最先进的保护。 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 | Azure SQL 托管实例应禁用公用网络访问 | 1.0.0 |
U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 | 应启用 Azure SQL 数据库上的专用终结点连接 | 1.1.0 |
U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 | 应禁用 Azure SQL 数据库上的公用网络访问 | 1.1.0 |
U.07.3 数据分离 - 管理功能 | U.07.3 | U.07.3 - 以受控方式授予查看或修改 CSC 数据和/或加密密钥的权限,并记录使用。 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
U.07.3 数据分离 - 管理功能 | U.07.3 | U.07.3 - 以受控方式授予查看或修改 CSC 数据和/或加密密钥的权限,并记录使用。 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
U.09.3 恶意软件防护 - 检测、预防和恢复 | U.09.3 | 恶意软件防护在不同的环境中运行。 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
U.09.3 恶意软件防护 - 检测、预防和恢复 | U.09.3 | 恶意软件防护在不同的环境中运行。 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
U.09.3 恶意软件防护 - 检测、预防和恢复 | U.09.3 | 恶意软件防护在不同的环境中运行。 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
U.09.3 恶意软件防护 - 检测、预防和恢复 | U.09.3 | 恶意软件防护在不同的环境中运行。 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
U.10.2 访问 IT 服务和数据 - 用户 | U.10.2 | 根据 CSP 的责任,向管理员授予访问权限。 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
U.10.3 访问 IT 服务和数据 - 用户 | U.10.3 | 只有拥有已进行身份验证的设备的用户才能访问 IT 服务和数据。 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
U.10.3 访问 IT 服务和数据 - 用户 | U.10.3 | 只有拥有已进行身份验证的设备的用户才能访问 IT 服务和数据。 | 对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 | 3.0.0 |
U.10.5 访问 IT 服务和数据 - 胜任 | U.10.5 | 对 IT 服务和数据的访问受技术措施的限制,并已实施。 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
U.11.1 加密服务 - 策略 | U.11.1 | 在加密策略中,至少已对符合 BIO 的主题进行了详细说明。 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
U.11.2 加密服务 - 加密度量值 | U.11.2 | 对于 PKIoverheid 证书,请使用 PKIoverheid 要求进行密钥管理。 在其他情况下,请使用 ISO11770。 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
U.11.3 加密服务 - 加密 | U.11.3 | 敏感数据始终使用 CSC 管理的私钥进行加密。 | SQL 托管实例应使用客户管理的密钥进行静态数据加密 | 2.0.0 |
U.11.3 加密服务 - 加密 | U.11.3 | 敏感数据始终使用 CSC 管理的私钥进行加密。 | SQL Server 应使用客户管理的密钥进行静态数据加密 | 2.0.1 |
U.11.3 加密服务 - 加密 | U.11.3 | 敏感数据始终使用 CSC 管理的私钥进行加密。 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
U.15.1 日志记录和监视 - 记录的事件 | U.15.1 | CSP 和 CSC 记录违反策略规则。 | 应启用 SQL 服务器上的审核 | 2.0.0 |
U.15.1 日志记录和监视 - 记录的事件 | U.15.1 | CSP 和 CSC 记录违反策略规则。 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
U.15.1 日志记录和监视 - 记录的事件 | U.15.1 | CSP 和 CSC 记录违反策略规则。 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
U.15.3 日志记录和监视 - 记录的事件 | U.15.3 | 对于对日志记录和监视至关重要的所有资产,CSP 维护此类资产的清单并进行核查。 | 应启用 SQL 服务器上的审核 | 2.0.0 |
PCI DSS 3.2.1
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 PCI DSS 3.2.1。 有关此合规性标准的详细信息,请参阅 PCI DSS 3.2.1。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
要求 10 | 10.5.4 | PCI DSS 要求 10.5.4 | 应启用 SQL 服务器上的审核 | 2.0.0 |
要求 11 | 11.2.1 | PCI DSS 要求 11.2.1 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
要求 3 | 3.2 | PCI DSS 要求 3.2 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
要求 3 | 3.4 | PCI DSS 要求 3.4 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
要求 4 | 4.1 | PCI DSS 要求 4.1 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
要求 5 | 5.1 | PCI DSS 要求 5.1 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
要求 6 | 6.2 | PCI DSS 要求 6.2 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
要求 6 | 6.5.3 | PCI DSS 要求 6.5.3 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
要求 6 | 6.6 | PCI DSS 要求 6.6 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
要求 7 | 7.2.1 | PCI DSS 要求 7.2.1 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
要求 8 | 8.3.1 | PCI DSS 要求 8.3.1 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
PCI DSS v4.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 PCI DSS v4.0 的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅 PCI DSS v4.0。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
要求 10:记录和监视对系统组件和持卡人数据的所有访问 | 10.2.2 | 实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析 | 应启用 SQL 服务器上的审核 | 2.0.0 |
要求 10:记录和监视对系统组件和持卡人数据的所有访问 | 10.3.3 | 保护审核日志,以免遭破坏和未经授权的修改 | 应启用 SQL 服务器上的审核 | 2.0.0 |
要求 11:定期测试系统和网络的安全性 | 11.3.1 | 定期标识、确定外部和内部漏洞的优先级并加以解决 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
要求 03:保护存储的帐户数据 | 3.3.3 | 授权后不存储敏感的身份验证数据 (SAD) | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
要求 03:保护存储的帐户数据 | 3.5.1 | 无论主帐号 (PAN) 存储在何处,都对其进行保护 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.1 | 阻止或检测和解决恶意软件 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.2 | 阻止或检测和解决恶意软件 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
要求 05:保护所有系统和网络免受恶意软件侵害 | 5.2.3 | 阻止或检测和解决恶意软件 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
要求 06:开发和维护安全系统及软件 | 6.2.4 | 以安全方式开发 Bespoke 和自定义软件 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
要求 06:开发和维护安全系统及软件 | 6.3.3 | 识别并解决安全漏洞 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
要求 06:开发和维护安全系统及软件 | 6.4.1 | 保护面向公众的 Web 应用程序免受攻击 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
要求 07:按业务须知限制访问系统组件和持卡人数据 | 7.3.1 | 通过访问控制系统管理对系统组件和数据的访问 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
要求 08:标识用户并对系统组件的访问进行身份验证 | 8.4.1 | 实现多重身份验证 (MFA) 以保护对 CDE 的访问 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
印度储备银行 - 面向 NBFC 的 IT 框架
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 印度储备银行 - 面向 NBFC 的 IT 框架。 有关此合规性标准的详细信息,请参阅印度储备银行 - 面向 NBFC 的 IT 框架。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
IT 治理 | 1 | IT 治理-1 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
IT 治理 | 1 | IT 治理-1 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
IT 治理 | 1 | IT 治理-1 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
信息和网络安全 | 3.1.f | Maker-checker-3.1 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
信息和网络安全 | 3.1.f | Maker-checker-3.1 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
信息和网络安全 | 3.1.g | Trails-3.1 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
信息和网络安全 | 3.1.g | Trails-3.1 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
信息和网络安全 | 3.1.g | Trails-3.1 | 对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 | 3.0.0 |
信息和网络安全 | 3.1.h | 公钥基础结构 (PKI)-3.1 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
信息和网络安全 | 3.3 | 漏洞管理 - 3.3 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
信息和网络安全 | 3.3 | 漏洞管理 - 3.3 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
信息和网络安全 | 3.3 | 漏洞管理 - 3.3 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
业务连续性规划 | 6 | 业务连续性规划 (BCP) 和灾难恢复-6 | 应为 Azure SQL 数据库启用长期异地冗余备份 | 2.0.0 |
业务连续性规划 | 6.2 | 恢复策略/应变计划-6.2 | 应为 Azure SQL 数据库启用长期异地冗余备份 | 2.0.0 |
业务连续性规划 | 6.3 | 恢复策略/应变计划-6.3 | 应为 Azure SQL 数据库启用长期异地冗余备份 | 2.0.0 |
印度储备银行面向银行的 IT 框架 v2016
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - RBI ITF Banks v2016。 有关此合规性标准的详细信息,请参阅 RBI ITF Banks v2016 (PDF)。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
用户访问控制/管理 | 用户访问控制/管理-8.2 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 | |
网络管理和安全性 | 安全运营中心-4.9 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 | |
网络管理和安全性 | 安全运营中心-4.9 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 | |
补丁/漏洞和变更管理 | 补丁/漏洞和更改管理-7.7 | 应启用 Azure SQL 数据库上的专用终结点连接 | 1.1.0 | |
补丁/漏洞和变更管理 | 补丁/漏洞和更改管理-7.7 | 应禁用 Azure SQL 数据库上的公用网络访问 | 1.1.0 | |
防止执行未经授权的软件 | 安全更新管理-2.3 | SQL 数据库应已解决漏洞发现 | 4.1.0 | |
指标 | 指标-21.1 | SQL 托管实例应使用客户管理的密钥进行静态数据加密 | 2.0.0 | |
指标 | 指标-21.1 | SQL Server 应使用客户管理的密钥进行静态数据加密 | 2.0.1 | |
高级 Real-Timethreat Defenceand 管理 | 高级 Real-Time Threat Defence and Management-13.4 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 | |
补丁/漏洞和变更管理 | 补丁/漏洞和变更管理-7.1 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 | |
补丁/漏洞和变更管理 | 补丁/漏洞和变更管理-7.1 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
马来西亚 RMIT
若要查看可供所有 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - 马来西亚 RMIT。 有关此合规性标准的详细信息,请参阅马来西亚 RMIT。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
加密 | 10.16 | 加密 - 10.16 | SQL 托管实例应使用客户管理的密钥进行静态数据加密 | 2.0.0 |
加密 | 10.16 | 加密 - 10.16 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
加密 | 10.19 | 加密- 10.19 | SQL Server 应使用客户管理的密钥进行静态数据加密 | 2.0.1 |
网络复原能力 | 10.33 | 网络复原能力 - 10.33 | 将 Azure SQL Server 配置为禁用公用网络访问 | 1.0.0 |
网络复原能力 | 10.33 | 网络复原能力 - 10.33 | 将 Azure SQL Server 配置为启用专用终结点连接 | 1.0.0 |
网络复原能力 | 10.33 | 网络复原能力 - 10.33 | 应启用 Azure SQL 数据库上的专用终结点连接 | 1.1.0 |
网络复原能力 | 10.39 | 网络复原能力 - 10.39 | SQL Server 应使用虚拟网络服务终结点 | 1.0.0 |
云服务 | 10.49 | 云服务 - 10.49 | SQL 数据库应避免使用 GRS 备份冗余 | 2.0.0 |
云服务 | 10.49 | 云服务 - 10.49 | SQL 托管实例应避免使用 GRS 备份冗余 | 2.0.0 |
云服务 | 10.51 | 云服务 - 10.51 | 应为 Azure SQL 数据库启用长期异地冗余备份 | 2.0.0 |
云服务 | 10.53 | 云服务 - 10.53 | SQL Server 应使用客户管理的密钥进行静态数据加密 | 2.0.1 |
访问控制 | 10.54 | 访问控制 - 10.54 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
数字服务的安全性 | 10.66 | 数字服务的安全性 - 10.66 | 部署 - 配置 SQL 数据库的诊断设置,以部署到 Log Analytics 工作区 | 4.0.0 |
数据丢失防护 (DLP) | 11.15 | 数据丢失防护 (DLP) - 11.15 | 将 Azure SQL Server 配置为禁用公用网络访问 | 1.0.0 |
数据丢失防护 (DLP) | 11.15 | 数据丢失防护 (DLP) - 11.15 | SQL 托管实例应使用客户管理的密钥进行静态数据加密 | 2.0.0 |
数据丢失防护 (DLP) | 11.15 | 数据丢失防护 (DLP) - 11.15 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
安全运营中心 (SOC) | 11.18 | 安全运营中心 (SOC) - 11.18 | 应启用 SQL 服务器上的审核 | 2.0.0 |
安全运营中心 (SOC) | 11.18 | 安全运营中心 (SOC) - 11.18 | SQL 审核设置中应包含配置为捕获关键活动的操作组 | 1.0.0 |
网络安全操作 | 11.8 | 网络安全操作 - 11.8 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
网络安全操作 | 11.8 | 网络安全操作 - 11.8 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
网络安全控制措施 | 附录 5.6 | 网络安全控制措施 - 附录 5.6 | Azure SQL 数据库应运行 TLS 版本 1.2 或更高版本 | 2.0.0 |
网络安全控制措施 | 附录 5.6 | 网络安全控制措施 - 附录 5.6 | 应禁用 Azure SQL 数据库上的公用网络访问 | 1.1.0 |
网络安全控制措施 | 附录 5.6 | 网络安全控制措施 - 附录 5.6 | SQL 托管实例的最低 TLS 版本应为 1.2 | 1.0.1 |
网络安全控制措施 | 附录 5.6 | 网络安全控制措施 - 附录 5.6 | 应启用 Azure SQL 数据库上的虚拟网络防火墙规则,以允许来自指定子网的流量 | 1.0.0 |
网络安全控制措施 | 附录 5.7 | 网络安全控制措施 - 附录 5.7 | 将 Azure SQL Server 配置为启用专用终结点连接 | 1.0.0 |
SWIFT CSP-CSCF v2021
要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅针对 SWIFT CSP-CSCF v2021 的 Azure Policy 法规合规性详细信息。 有关此合规性标准的详细信息,请参阅 SWIFT CSP CSCF v2021。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
SWIFT 环境保护 | 1.1 | SWIFT 环境保护 | 应启用 Azure SQL 数据库上的专用终结点连接 | 1.1.0 |
SWIFT 环境保护 | 1.1 | SWIFT 环境保护 | SQL Server 应使用虚拟网络服务终结点 | 1.0.0 |
SWIFT 环境保护 | 1.2 | 操作系统特权帐户控制 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
减少攻击面和漏洞 | 2.1 | 内部数据流安全性 | Azure SQL 数据库应运行 TLS 版本 1.2 或更高版本 | 2.0.0 |
减少攻击面和漏洞 | 2.1 | 内部数据流安全性 | SQL 托管实例的最低 TLS 版本应为 1.2 | 1.0.1 |
减少攻击面和漏洞 | 2.5A | 外部传输数据保护 | 应为 Azure SQL 数据库启用长期异地冗余备份 | 2.0.0 |
减少攻击面和漏洞 | 2.5A | 外部传输数据保护 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
减少攻击面和漏洞 | 2.6 | 操作员会话的保密性和完整性 | Azure SQL 数据库应运行 TLS 版本 1.2 或更高版本 | 2.0.0 |
减少攻击面和漏洞 | 2.6 | 操作员会话的保密性和完整性 | SQL 托管实例的最低 TLS 版本应为 1.2 | 1.0.1 |
减少攻击面和漏洞 | 2.7 | 漏洞扫描 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
减少攻击面和漏洞 | 2.7 | 漏洞扫描 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
减少攻击面和漏洞 | 2.7 | 漏洞扫描 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
检测系统或事务记录的异常活动 | 6.3 | 数据库完整性 | 应启用 SQL 服务器上的审核 | 2.0.0 |
检测系统或事务记录的异常活动 | 6.3 | 数据库完整性 | 应禁用 Azure SQL 数据库上的公用网络访问 | 1.1.0 |
检测系统或事务记录的异常活动 | 6.3 | 数据库完整性 | 对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 | 3.0.0 |
检测系统或事务记录的异常活动 | 6.3 | 数据库完整性 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
检测系统或事务记录的异常活动 | 6.4 | 日志记录和监视 | 应启用 SQL 服务器上的审核 | 2.0.0 |
英国官方和英国 NHS
若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - UK OFFICIAL 和 UK NHS。 有关此合规性标准的详细信息,请参阅 UK OFFICIAL。
域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
---|---|---|---|---|
标识和身份验证 | 10 | 标识和身份验证 | 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 1.0.0 |
用户的审核信息 | 13 | 用户的审核信息 | 应启用 SQL 服务器上的审核 | 2.0.0 |
用户的审核信息 | 13 | 用户的审核信息 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
资产保护和复原能力 | 2.3 | 静态数据保护 | 应在 SQL 数据库上启用透明数据加密 | 2.0.0 |
运营安全 | 5.2 | 漏洞管理 | 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 2.0.1 |
运营安全 | 5.2 | 漏洞管理 | 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 1.0.2 |
运营安全 | 5.2 | 漏洞管理 | SQL 数据库应已解决漏洞发现 | 4.1.0 |
运营安全 | 5.2 | 漏洞管理 | 应在 SQL 托管实例上启用漏洞评估 | 1.0.1 |
运营安全 | 5.2 | 漏洞管理 | 应对 SQL 服务器启用漏洞评估 | 3.0.0 |
后续步骤
- 详细了解 Azure Policy 法规符合性。
- 在 Azure Policy GitHub 存储库中查看这些内置项。