你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

NIST SP 800-53 Rev. 4(Azure 政府)法规合规性内置计划的详细信息

下文详细说明了 Azure Policy 法规合规性内置计划定义如何映射到 NIST SP 800-53 Rev. 4 的合规性域和控制措施 。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 4。 如需了解所有权,请查看策略类型云中责任分担

以下映射适用于 NIST SP 800-53 Rev. 4 控制措施。 许多控制措施都是使用 Azure Policy 计划定义实现的。 若要查看完整计划定义,请在 Azure 门户中打开“策略”,并选择“定义”页 。 然后,找到并选择 NIST SP 800-53 Rev. 4 法规符合性内置计划定义。

重要

下面的每个控件都与一个或多个 Azure Policy 定义关联。 这些策略有助于评估控制的合规性;但是,控制与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的符合性仅引用策略定义本身;这并不能确保你完全符合某个控制措施的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 此符合性标准的符合性域、控制措施和 Azure Policy 定义之间的关联可能会随着时间的推移而发生变化。 若要查看更改历史记录,请参阅 GitHub 提交历史记录

访问控制

访问控制策略和过程

ID:NIST SP 800-53 Rev. 4 AC-1,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1000 - 访问控制策略和程序要求 由 Microsoft 实现此访问控制控制措施 审核 1.0.0
Microsoft 管理的控制 1001 - 访问控制策略和程序要求 由 Microsoft 实现此访问控制控制措施 审核 1.0.0

帐户管理

ID:NIST SP 800-53 Rev. 4 AC-2,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
只多只为订阅指定 3 个所有者 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 AuditIfNotExists、Disabled 3.0.0
应该为 SQL 服务器预配 Azure Active Directory 管理员 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 AuditIfNotExists、Disabled 1.0.0
应用服务应用应使用托管标识 使用托管标识以实现增强的身份验证安全性 AuditIfNotExists、Disabled 3.0.0
审核自定义 RBAC 角色的使用情况 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 Audit、Disabled 1.0.1
Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://aka.ms/AI/auth Audit、Deny、Disabled 1.1.0
应删除对 Azure 资源拥有所有者权限的已封锁帐户 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 AuditIfNotExists、Disabled 1.0.0
应删除对 Azure 资源拥有读取和写入权限的已封锁帐户 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 AuditIfNotExists、Disabled 1.0.0
函数应用应使用托管标识 使用托管标识以实现增强的身份验证安全性 AuditIfNotExists、Disabled 3.0.0
应删除对 Azure 资源拥有所有者权限的来宾帐户 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 AuditIfNotExists、Disabled 1.0.0
应删除对 Azure 资源拥有读取权限的来宾帐户 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 AuditIfNotExists、Disabled 1.0.0
应删除对 Azure 资源拥有写入权限的来宾帐户 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 AuditIfNotExists、Disabled 1.0.0
Microsoft 托管的控制 1002 - 帐户管理 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1003 - 帐户管理 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1004 - 帐户管理 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1005 - 帐户管理 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1006 - 帐户管理 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1007 - 帐户管理 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1008 - 帐户管理 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1009 - 帐户管理 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1010 - 帐户管理 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1011 - 帐户管理 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1012 - 帐户管理 由 Microsoft 实现此访问控制控制 审核 1.0.0
Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 Audit、Deny、Disabled 1.1.0

自动系统帐户管理

ID:NIST SP 800-53 Rev. 4 AC-2 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应该为 SQL 服务器预配 Azure Active Directory 管理员 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 AuditIfNotExists、Disabled 1.0.0
Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://aka.ms/AI/auth Audit、Deny、Disabled 1.1.0
Microsoft 托管的控制 1013 - 帐户管理 | 自动系统帐户管理 由 Microsoft 实现此访问控制控制 审核 1.0.0
Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 Audit、Deny、Disabled 1.1.0

删除临时帐户/紧急帐户

ID:NIST SP 800-53 Rev. 4 AC-2 (2),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1014 - 帐户管理 | 删除临时帐户/紧急帐户 由 Microsoft 实现此访问控制控制 审核 1.0.0

禁用非活动帐户

ID:NIST SP 800-53 Rev. 4 AC-2 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1015 - 帐户管理 | 禁用非活动帐户 由 Microsoft 实现此访问控制控制 审核 1.0.0

自动审核操作

ID:NIST SP 800-53 Rev. 4 AC-2 (4),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1016 - 帐户管理 | 自动审核操作 由 Microsoft 实现此访问控制控制 审核 1.0.0

非活动状态注销

ID:NIST SP 800-53 Rev. 4 AC-2 (5),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1017 - 帐户管理 | 非活动状态注销 由 Microsoft 实现此访问控制控制 审核 1.0.0

基于角色的方案

ID:NIST SP 800-53 Rev. 4 AC-2 (7),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应该为 SQL 服务器预配 Azure Active Directory 管理员 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 AuditIfNotExists、Disabled 1.0.0
审核自定义 RBAC 角色的使用情况 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 Audit、Disabled 1.0.1
Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://aka.ms/AI/auth Audit、Deny、Disabled 1.1.0
Microsoft 托管的控制 1018 - 帐户管理 | 基于角色的方案 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1019 - 帐户管理 | 基于角色的方案 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1020 - 帐户管理 | 基于角色的方案 由 Microsoft 实现此访问控制控制 审核 1.0.0
Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 Audit、Deny、Disabled 1.1.0

共享组/帐户的使用限制

ID:NIST SP 800-53 Rev. 4 AC-2 (9),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1021 - 帐户管理 | 使用共享/组帐户的限制 由 Microsoft 实现此访问控制控制 审核 1.0.0

共享/组帐户凭据终止

ID:NIST SP 800-53 Rev. 4 AC-2 (10),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1022 - 帐户管理 | 共享/组帐户凭据终止 由 Microsoft 实现此访问控制控制 审核 1.0.0

使用条件

ID:NIST SP 800-53 Rev. 4 AC-2 (11),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1023 - 帐户管理 | 使用条件 由 Microsoft 实现此访问控制控制 审核 1.0.0

帐户监视/非典型使用

ID:NIST SP 800-53 Rev. 4 AC-2 (12),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览版]:已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc AuditIfNotExists、Disabled 4.0.1 - 预览版
应启用适用于 Azure SQL 数据库服务器的 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.2
应启用 Azure Defender for Resource Manager Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
应启用适用于服务器的 Azure Defender 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.3
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 审核所有未启用高级数据安全的 SQL 托管实例。 AuditIfNotExists、Disabled 1.0.2
应通过即时网络访问控制来保护虚拟机的管理端口 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 AuditIfNotExists、Disabled 3.0.0
应启用 Microsoft Defender for Containers Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 AuditIfNotExists、Disabled 1.0.0
应启用 Microsoft Defender for Storage(经典版) Microsoft Defender for Storage(经典版)可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。 AuditIfNotExists、Disabled 1.0.4
Microsoft 托管的控制 1024 - 帐户管理 | 帐户监视/异常使用 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1025 - 帐户管理 | 帐户监视/异常使用 由 Microsoft 实现此访问控制控制 审核 1.0.0

针对高风险个人禁用帐户

ID:NIST SP 800-53 Rev. 4 AC-2 (13),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1026 - 帐户管理 | 禁用高风险个人的帐户 由 Microsoft 实现此访问控制控制 审核 1.0.0

执法机构

ID:NIST SP 800-53 Rev. 4 AC-3,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
对 Azure 资源拥有所有者权限的帐户应启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 1.0.0
对 Azure 资源拥有读取权限的帐户应启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 1.0.0
对 Azure 资源拥有写入权限的帐户应启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 1.0.0
添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 1.3.0
添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 1.3.0
应该为 SQL 服务器预配 Azure Active Directory 管理员 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 AuditIfNotExists、Disabled 1.0.0
应用服务应用应使用托管标识 使用托管标识以实现增强的身份验证安全性 AuditIfNotExists、Disabled 3.0.0
审核具有不使用密码的帐户的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机具有不使用密码的帐户,则计算机不合规 AuditIfNotExists、Disabled 1.4.0
Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://aka.ms/AI/auth Audit、Deny、Disabled 1.1.0
部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 1.4.0
函数应用应使用托管标识 使用托管标识以实现增强的身份验证安全性 AuditIfNotExists、Disabled 3.0.0
Microsoft 托管的控制 1027 - 执法机构 由 Microsoft 实现此访问控制控制 审核 1.0.0
Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 Audit、Deny、Disabled 1.1.0
存储帐户应迁移到新的 Azure 资源管理器资源 使用新的 Azure 资源管理器为存储帐户提供安全增强功能,例如:更强大的访问控制 (RBAC)、更好的审核、基于 Azure 资源管理器的部署和监管、对托管标识的访问权限、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及对标记和资源组的支持,以简化安全管理 Audit、Deny、Disabled 1.0.0
应将虚拟机迁移到新的 Azure 资源管理器资源 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 Audit、Deny、Disabled 1.0.0

基于角色的访问控制

ID:NIST SP 800-53 Rev. 4 AC-3 (7),所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 若要对用户可以执行的操作提供粒度筛选,请使用基于角色的访问控制 (RBAC) 来管理 Kubernetes 服务群集中的权限并配置相关授权策略。 Audit、Disabled 1.0.4

信息流强制

ID:NIST SP 800-53 Rev. 4 AC-4,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[已弃用]:Azure 认知搜索服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure 认知搜索可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints Audit、Disabled 1.0.1-deprecated
[已弃用]:认知服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800 Audit、Disabled 3.0.1-deprecated
应限制在与虚拟机关联的网络安全组上使用所有网络端口 Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 AuditIfNotExists、Disabled 3.0.0
API 管理服务应使用虚拟网络 Azure 虚拟网络部署提供了增强的安全性和隔离,并允许你将 API 管理服务放置在不可经 Internet 路由的网络(你控制对其的访问权限)中。 然后,可以使用各种 VPN 技术将这些网络连接到本地网络,这样就能够访问网络中的和/或本地的后端服务。 可以将开发人员门户和 API 网关配置为可以从 Internet 访问或只能在虚拟网络内访问。 Audit、Deny、Disabled 1.0.2
应用程序配置应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint AuditIfNotExists、Disabled 1.0.2
应用服务应用不应将 CORS 配置为允许每个资源访问应用 跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许所需的域与应用交互。 AuditIfNotExists、Disabled 2.0.0
应在 Kubernetes 服务上定义经授权的 IP 范围 通过仅向特定范围内的 IP 地址授予 API 访问权限,来限制对 Kubernetes 服务管理 API 的访问。 建议将访问权限限制给已获授权的 IP 范围,以确保只有受允许网络中的应用程序可以访问群集。 Audit、Disabled 2.0.0
Azure AI 服务资源应限制网络访问 通过限制网络访问,可以确保只有允许的网络才能访问该服务。 这可以通过配置网络规则来实现,从其确保只有允许的网络中的应用程序才可以访问 Azure AI 服务。 Audit、Deny、Disabled 3.2.0
Azure Cache for Redis 应使用专用链接 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 实例,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link AuditIfNotExists、Disabled 1.0.0
Azure 认知搜索服务应使用支持专用链接的 SKU 使用 Azure 认知搜索的受支持的 SKU,可以通过 Azure 专用链接在源位置或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints Audit、Deny、Disabled 1.0.0
Azure 认知搜索服务应禁用公用网络访问 禁用公用网络访问可确保 Azure 认知搜索服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制搜索服务的公开。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints Audit、Deny、Disabled 1.0.0
Azure Cosmos DB 帐户应有防火墙规则 应在 Azure Cosmos DB 帐户上定义防火墙规则,以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。 Audit、Deny、Disabled 2.1.0
Azure 数据工厂应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link AuditIfNotExists、Disabled 1.0.0
Azure 事件网格域应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints Audit、Disabled 1.0.2
Azure 事件网格主题应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格主题(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints Audit、Disabled 1.0.2
Azure 文件同步应使用专用链接 为指定的存储同步服务资源创建专用终结点,可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源,而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。 AuditIfNotExists、Disabled 1.0.0
Azure 密钥保管库应启用防火墙 启用密钥保管库防火墙,以便默认情况下,任何公共 IP 都无法访问密钥保管库。 (可选)可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息:https://docs.microsoft.com/azure/key-vault/general/network-security Audit、Deny、Disabled 1.4.1
Azure 机器学习工作区应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link Audit、Disabled 1.0.0
Azure 服务总线命名空间应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service AuditIfNotExists、Disabled 1.0.0
Azure SignalR 服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure SignalR 服务资源而不是整个服务,可降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/asrs/privatelink Audit、Disabled 1.0.0
Azure Synapse 工作区应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Synapse 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links Audit、Disabled 1.0.1
容器注册表不得允许无限制的网络访问 默认情况下,Azure 容器注册表接受来自任何网络上的主机的 Internet 连接。 为了防止注册表受到潜在的威胁,只允许来自特定的专用终结点、公共 IP 地址或地址范围的访问。 如果注册表没有配置网络规则,它将出现在不正常资源中。 若要详细了解容器注册表网络规则,请访问:https://aka.ms/acr/privatelink、 https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet Audit、Deny、Disabled 2.0.0
容器注册表应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。通过将专用终结点映射到容器注册表,而不是整个服务,还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/acr/private-link Audit、Disabled 1.0.1
CosmosDB 帐户应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints Audit、Disabled 1.0.0
磁盘访问资源应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 diskAccesses,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/disksprivatelinksdoc AuditIfNotExists、Disabled 1.0.0
事件中心命名空间应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/event-hubs/private-link-service AuditIfNotExists、Disabled 1.0.0
面向 Internet 的虚拟机应使用网络安全组进行保护 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc AuditIfNotExists、Disabled 3.0.0
IoT 中心设备预配服务实例应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/iotdpsvnet Audit、Disabled 1.0.0
应禁用虚拟机上的 IP 转发 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 AuditIfNotExists、Disabled 3.0.0
应通过即时网络访问控制来保护虚拟机的管理端口 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 AuditIfNotExists、Disabled 3.0.0
应关闭虚拟机上的管理端口 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 AuditIfNotExists、Disabled 3.0.0
Microsoft 托管的控制 1028 - 信息流强制 由 Microsoft 实现此访问控制控制 审核 1.0.0
应使用网络安全组来保护非面向 Internet 的虚拟机 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc AuditIfNotExists、Disabled 3.0.0
应启用 Azure SQL 数据库上的专用终结点连接 专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。 Audit、Disabled 1.1.0
应禁用 Azure SQL 数据库上的公用网络访问 禁用公用网络访问属性可确保只能从专用终结点访问 Azure SQL 数据库,从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 Audit、Deny、Disabled 1.1.0
应限制对存储帐户的网络访问 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 Audit、Deny、Disabled 1.1.1
存储帐户应使用虚拟网络规则来限制网络访问 使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 Audit、Deny、Disabled 1.0.1
存储帐户应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview AuditIfNotExists、Disabled 2.0.0
子网应与网络安全组关联 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 AuditIfNotExists、Disabled 3.0.0

动态信息流控制

ID:NIST SP 800-53 Rev. 4 AC-4 (3),所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应通过即时网络访问控制来保护虚拟机的管理端口 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 AuditIfNotExists、Disabled 3.0.0

安全策略筛选器

ID:NIST SP 800-53 Rev. 4 AC-4 (8),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1029 - 信息流强制实施 | 安全策略筛选器 由 Microsoft 实现此访问控制控制 审核 1.0.0

信息流的物理/逻辑分离

ID:NIST SP 800-53 Rev. 4 AC-4 (21),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1030 - 信息流实施 | 信息流的物理/逻辑分离 由 Microsoft 实现此访问控制控制 审核 1.0.0

职责划分

ID:NIST SP 800-53 Rev. 4 AC-5,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1031 - 职责分离 由 Microsoft 实现此访问控制控制措施 审核 1.0.0
Microsoft 托管的控制 1032 - 职责分离 由 Microsoft 实现此访问控制控制措施 审核 1.0.0
Microsoft 托管的控制 1033 - 职责分离 由 Microsoft 实现此访问控制控制措施 审核 1.0.0
应为订阅分配了多个所有者 建议指定多个订阅所有者,这样才会有管理员访问冗余。 AuditIfNotExists、Disabled 3.0.0

最小特权

ID:NIST SP 800-53 Rev. 4 AC-6,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
只多只为订阅指定 3 个所有者 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 AuditIfNotExists、Disabled 3.0.0
审核自定义 RBAC 角色的使用情况 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 Audit、Disabled 1.0.1
Microsoft 托管的控制 1034 - 最小特权 由 Microsoft 实现此访问控制控制 审核 1.0.0

授权对安全性函数的访问

ID:NIST SP 800-53 Rev. 4 AC-6 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1035 - 最小特权 | 授权对安全功能的访问 由 Microsoft 实现此访问控制控制 审核 1.0.0

非安全性函数的非特权访问

ID:NIST SP 800-53 Rev. 4 AC-6 (2),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1036 - 最小特权 | 非安全功能的非特权访问 由 Microsoft 实现此访问控制控制 审核 1.0.0

对特权命令的网络访问

ID:NIST SP 800-53 Rev. 4 AC-6 (3),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1037 - 最小特权 | 特权命令的网络访问 由 Microsoft 实现此访问控制控制 审核 1.0.0

特权帐户

ID:NIST SP 800-53 Rev. 4 AC-6 (5),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1038 - 最小权限 | 特权帐户 由 Microsoft 实现此访问控制控制 审核 1.0.0

用户特权评审

ID:NIST SP 800-53 Rev. 4 AC-6 (7),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
只多只为订阅指定 3 个所有者 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 AuditIfNotExists、Disabled 3.0.0
审核自定义 RBAC 角色的使用情况 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 Audit、Disabled 1.0.1
Microsoft 托管的控制 1039 - 最小权限 | 用户特权评审 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1040 - 最小权限 | 用户特权评审 由 Microsoft 实现此访问控制控制 审核 1.0.0

代码执行的特权级别

ID:NIST SP 800-53 Rev. 4 AC-6 (8),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1041 - 最小特权 | 代码执行的特权等级 由 Microsoft 实现此访问控制控制 审核 1.0.0

审核特权函数的使用

ID:NIST SP 800-53 Rev. 4 AC-6 (9),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1042 - 最小特权 | 审核使用特权功能 由 Microsoft 实现此访问控制控制 审核 1.0.0

禁止非特权用户执行特权函数

ID:NIST SP 800-53 Rev. 4 AC-6 (10),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1043 - 最小特权 | 禁止非特权用户执行特权功能 由 Microsoft 实现此访问控制控制 审核 1.0.0

失败的登录尝试次数

ID:NIST SP 800-53 Rev. 4 AC-7,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1044 - 失败的登录尝试次数 由 Microsoft 实现此访问控制控制措施 审核 1.0.0
Microsoft 托管的控制 1045 - 失败的登录尝试次数 由 Microsoft 实现此访问控制控制 审核 1.0.0

清除/擦除移动设备

ID:NIST SP 800-53 Rev. 4 AC-7 (2),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1046 - 失败的登录尝试 | 清除或擦除移动设备 由 Microsoft 实现此访问控制控制措施 审核 1.0.0

系统使用通知

ID:NIST SP 800-53 Rev. 4 AC-8,所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1047 - 系统使用通知 由 Microsoft 实现此访问控制控制措施 审核 1.0.0
Microsoft 托管的控制 1048 - 系统使用通知 由 Microsoft 实现此访问控制控制措施 审核 1.0.0
Microsoft 托管的控制 1049 - 系统使用通知 由 Microsoft 实现此访问控制控制措施 审核 1.0.0

并发会话控制

ID:NIST SP 800-53 Rev. 4 AC-10,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1050 - 并发会话控制 由 Microsoft 实现此访问控制控制 审核 1.0.0

会话锁定

ID:NIST SP 800-53 Rev. 4 AC-11,所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1051 - 会话锁定 由 Microsoft 实现此访问控制控制措施 审核 1.0.0
Microsoft 托管的控制 1052 - 会话锁定 由 Microsoft 实现此访问控制控制措施 审核 1.0.0

模式-隐藏显示

ID:NIST SP 800-53 Rev. 4 AC-11 (1),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1053 - 会话锁定 | 模式隐藏显示 由 Microsoft 实现此访问控制控制 审核 1.0.0

会话终止

ID:NIST SP 800-53 Rev. 4 AC-12,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1054 - 会话终止 由 Microsoft 实现此访问控制控制措施 审核 1.0.0

用户发起的注销/消息显示

ID:NIST SP 800-53 Rev. 4 AC-12 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1055 - 会话终止 | 用户启动的注销/消息显示 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1056 - 会话终止 | 用户启动的注销/消息显示 由 Microsoft 实现此访问控制控制 审核 1.0.0

允许的操作,无需标识或身份验证

ID:NIST SP 800-53 Rev. 4 AC-14,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1057 - 允许的操作,无需标识或身份验证 由 Microsoft 实现此访问控制控制措施 审核 1.0.0
Microsoft 托管的控制 1058 - 允许的操作,无需标识或身份验证 由 Microsoft 实现此访问控制控制 审核 1.0.0

安全属性

ID:NIST SP 800-53 Rev. 4 AC-16,所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 审核没有高级数据安全的 SQL 服务器 AuditIfNotExists、Disabled 2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 审核所有未启用高级数据安全的 SQL 托管实例。 AuditIfNotExists、Disabled 1.0.2

远程访问

ID:NIST SP 800-53 Rev. 4 AC-17,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[已弃用]:Azure 认知搜索服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure 认知搜索可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints Audit、Disabled 1.0.1-deprecated
[已弃用]:认知服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800 Audit、Disabled 3.0.1-deprecated
添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 1.3.0
添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 1.3.0
应用程序配置应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint AuditIfNotExists、Disabled 1.0.2
应用服务应用应已禁用远程调试 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 AuditIfNotExists、Disabled 2.0.0
审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机允许通过没有密码的帐户进行远程连接,则计算机不合规 AuditIfNotExists、Disabled 1.4.0
Azure Cache for Redis 应使用专用链接 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 实例,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link AuditIfNotExists、Disabled 1.0.0
Azure 认知搜索服务应使用支持专用链接的 SKU 使用 Azure 认知搜索的受支持的 SKU,可以通过 Azure 专用链接在源位置或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints Audit、Deny、Disabled 1.0.0
Azure 数据工厂应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link AuditIfNotExists、Disabled 1.0.0
Azure 事件网格域应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints Audit、Disabled 1.0.2
Azure 事件网格主题应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格主题(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints Audit、Disabled 1.0.2
Azure 文件同步应使用专用链接 为指定的存储同步服务资源创建专用终结点,可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源,而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。 AuditIfNotExists、Disabled 1.0.0
Azure 机器学习工作区应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link Audit、Disabled 1.0.0
Azure 服务总线命名空间应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service AuditIfNotExists、Disabled 1.0.0
Azure SignalR 服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure SignalR 服务资源而不是整个服务,可降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/asrs/privatelink Audit、Disabled 1.0.0
Azure Synapse 工作区应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Synapse 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links Audit、Disabled 1.0.1
容器注册表应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。通过将专用终结点映射到容器注册表,而不是整个服务,还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/acr/private-link Audit、Disabled 1.0.1
CosmosDB 帐户应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints Audit、Disabled 1.0.0
部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 1.4.0
部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 1.2.0
磁盘访问资源应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 diskAccesses,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/disksprivatelinksdoc AuditIfNotExists、Disabled 1.0.0
事件中心命名空间应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/event-hubs/private-link-service AuditIfNotExists、Disabled 1.0.0
函数应用应已禁用远程调试 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 AuditIfNotExists、Disabled 2.0.0
IoT 中心设备预配服务实例应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/iotdpsvnet Audit、Disabled 1.0.0
Microsoft 托管的控制 1059 - 远程访问 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1060 - 远程访问 由 Microsoft 实现此访问控制控制 审核 1.0.0
应启用 Azure SQL 数据库上的专用终结点连接 专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。 Audit、Disabled 1.1.0
应限制对存储帐户的网络访问 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 Audit、Deny、Disabled 1.1.1
存储帐户应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview AuditIfNotExists、Disabled 2.0.0

自动监视/控制

ID:NIST SP 800-53 Rev. 4 AC-17 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[已弃用]:Azure 认知搜索服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure 认知搜索可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints Audit、Disabled 1.0.1-deprecated
[已弃用]:认知服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800 Audit、Disabled 3.0.1-deprecated
添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 1.3.0
添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 1.3.0
应用程序配置应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint AuditIfNotExists、Disabled 1.0.2
应用服务应用应已禁用远程调试 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 AuditIfNotExists、Disabled 2.0.0
审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机允许通过没有密码的帐户进行远程连接,则计算机不合规 AuditIfNotExists、Disabled 1.4.0
Azure Cache for Redis 应使用专用链接 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 实例,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link AuditIfNotExists、Disabled 1.0.0
Azure 认知搜索服务应使用支持专用链接的 SKU 使用 Azure 认知搜索的受支持的 SKU,可以通过 Azure 专用链接在源位置或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints Audit、Deny、Disabled 1.0.0
Azure 数据工厂应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link AuditIfNotExists、Disabled 1.0.0
Azure 事件网格域应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints Audit、Disabled 1.0.2
Azure 事件网格主题应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格主题(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints Audit、Disabled 1.0.2
Azure 文件同步应使用专用链接 为指定的存储同步服务资源创建专用终结点,可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源,而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。 AuditIfNotExists、Disabled 1.0.0
Azure 机器学习工作区应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link Audit、Disabled 1.0.0
Azure 服务总线命名空间应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service AuditIfNotExists、Disabled 1.0.0
Azure SignalR 服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure SignalR 服务资源而不是整个服务,可降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/asrs/privatelink Audit、Disabled 1.0.0
Azure Synapse 工作区应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Synapse 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links Audit、Disabled 1.0.1
容器注册表应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。通过将专用终结点映射到容器注册表,而不是整个服务,还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/acr/private-link Audit、Disabled 1.0.1
CosmosDB 帐户应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints Audit、Disabled 1.0.0
部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 1.4.0
部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 1.2.0
磁盘访问资源应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 diskAccesses,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/disksprivatelinksdoc AuditIfNotExists、Disabled 1.0.0
事件中心命名空间应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/event-hubs/private-link-service AuditIfNotExists、Disabled 1.0.0
函数应用应已禁用远程调试 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 AuditIfNotExists、Disabled 2.0.0
IoT 中心设备预配服务实例应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/iotdpsvnet Audit、Disabled 1.0.0
Microsoft 托管的控制 1061 - 远程访问 | 自动监视/控制 由 Microsoft 实现此访问控制控制 审核 1.0.0
应启用 Azure SQL 数据库上的专用终结点连接 专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。 Audit、Disabled 1.1.0
应限制对存储帐户的网络访问 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 Audit、Deny、Disabled 1.1.1
存储帐户应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview AuditIfNotExists、Disabled 2.0.0

使用加密机制的机密性/完整性保护

ID:NIST SP 800-53 Rev. 4 AC-17 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1062 - 远程访问 | 使用加密保护保密性/完整性 由 Microsoft 实现此访问控制控制 审核 1.0.0

托管的访问控制点

ID:NIST SP 800-53 Rev. 4 AC-17 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1063 - 远程访问 | 托管的访问控制点 由 Microsoft 实现此访问控制控制 审核 1.0.0

特权命令/访问

ID:NIST SP 800-53 Rev. 4 AC-17 (4),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1064 - 远程访问 | 特权命令/访问 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1065 - 远程访问 | 特权命令/访问 由 Microsoft 实现此访问控制控制 审核 1.0.0

断开连接/禁用访问

ID:NIST SP 800-53 Rev. 4 AC-17 (9),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1066 - 远程访问 | 断开连接/禁用访问 由 Microsoft 实现此访问控制控制 审核 1.0.0

无线访问

ID:NIST SP 800-53 Rev. 4 AC-18,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1067 - 无线访问限制 由 Microsoft 实现此访问控制控制措施 审核 1.0.0
Microsoft 管理的控制 1068 - 无线访问限制 由 Microsoft 实现此访问控制控制措施 审核 1.0.0

身份验证和加密

ID:NIST SP 800-53 Rev. 4 AC-18 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1069 - 无线访问限制 | 身份验证和加密 由 Microsoft 实现此访问控制控制措施 审核 1.0.0

禁用无线网络

ID:NIST SP 800-53 Rev. 4 AC-18 (3),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1070 - 无线访问限制 | 禁用无线网络 由 Microsoft 实现此访问控制控制措施 审核 1.0.0

限制不同用户的配置

ID:NIST SP 800-53 Rev. 4 AC-18 (4),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1071 - 无线访问限制 | 限制用户配置 由 Microsoft 实现此访问控制控制措施 审核 1.0.0

天线/传输功率电平

ID:NIST SP 800-53 Rev. 4 AC-18 (5),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1072 - 无线访问限制 | 天线/传输功率电平 由 Microsoft 实现此访问控制控制措施 审核 1.0.0

移动设备的访问控制

ID:NIST SP 800-53 Rev. 4 AC-19,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1073 - 便携式和移动系统的访问控制 由 Microsoft 实现此访问控制控制措施 审核 1.0.0
Microsoft 管理的控制 1074 - 便携式和移动系统的访问控制 由 Microsoft 实现此访问控制控制措施 审核 1.0.0

基于完整设备/容器的加密

ID:NIST SP 800-53 Rev. 4 AC-19 (5),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1075 - 便携式和移动系统的访问控制 | 全设备/基于容器的加密 由 Microsoft 实现此访问控制控制措施 审核 1.0.0

使用外部信息系统

ID:NIST SP 800-53 Rev. 4 AC-20,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1076 - 使用外部信息系统 由 Microsoft 实现此访问控制控制措施 审核 1.0.0
Microsoft 托管的控制 1077 - 使用外部信息系统 由 Microsoft 实现此访问控制控制措施 审核 1.0.0

授权使用的限制

ID:NIST SP 800-53 Rev. 4 AC-20 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1078 - 使用外部信息系统 | 授权使用的限制 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1079 - 使用外部信息系统 | 授权使用的限制 由 Microsoft 实现此访问控制控制 审核 1.0.0

便携式存储设备

ID:NIST SP 800-53 Rev. 4 AC-20 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1080 - 使用外部信息系统 | 便携式存储设备 由 Microsoft 实现此访问控制控制 审核 1.0.0

信息共享

ID:NIST SP 800-53 Rev. 4 AC-21,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1081 - 信息共享 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1082 - 信息共享 由 Microsoft 实现此访问控制控制 审核 1.0.0

可公开访问的内容

ID:NIST SP 800-53 Rev. 4 AC-22,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1083 - 可公开访问的内容 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1084 - 可公开访问的内容 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1085 - 可公开访问的内容 由 Microsoft 实现此访问控制控制 审核 1.0.0
Microsoft 托管的控制 1086 - 可公开访问的内容 由 Microsoft 实现此访问控制控制 审核 1.0.0

意识和培训

安全意识和培训策略及程序

ID:NIST SP 800-53 Rev. 4 AT-1,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1087 - 安全意识与培训政策和程序 由 Microsoft 实现此意识和培训控制 审核 1.0.0
Microsoft 托管的控制 1088 - 安全意识与培训政策和程序 由 Microsoft 实现此意识和培训控制 审核 1.0.0

安全意识培训

ID:NIST SP 800-53 Rev. 4 AT-2,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1089 - 安全意识 由 Microsoft 实现此意识和培训控制 审核 1.0.0
Microsoft 管理的控制 1090 - 安全意识 由 Microsoft 实现此意识和培训控制 审核 1.0.0
Microsoft 管理的控制 1091 - 安全意识 由 Microsoft 实现此意识和培训控制 审核 1.0.0

内部威胁

ID:NIST SP 800-53 Rev. 4 AT-2 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1092 - 安全意识 | 内部威胁 由 Microsoft 实现此意识和培训控制 审核 1.0.0

基于角色的安全培训

ID:NIST SP 800-53 Rev. 4 AT-3,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1093 - 基于角色的安全培训 由 Microsoft 实现此意识和培训控制 审核 1.0.0
Microsoft 托管的控制 1094 - 基于角色的安全培训 由 Microsoft 实现此意识和培训控制 审核 1.0.0
Microsoft 托管的控制 1095 - 基于角色的安全培训 由 Microsoft 实现此意识和培训控制 审核 1.0.0

实践练习

ID:NIST SP 800-53 Rev. 4 AT-3 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1096 - 基于角色的安全培训 | 实践练习 由 Microsoft 实现此意识和培训控制 审核 1.0.0

可疑的通信和异常系统行为

ID:NIST SP 800-53 Rev. 4 AT-3 (4),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1097 - 基于角色的安全培训 | 可疑通信和异常系统行为 由 Microsoft 实现此意识和培训控制 审核 1.0.0

安全培训记录

ID:NIST SP 800-53 Rev. 4 AT-4,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1098 - 安全培训记录 由 Microsoft 实现此意识和培训控制 审核 1.0.0
Microsoft 托管的控制 1099 - 安全培训记录 由 Microsoft 实现此意识和培训控制 审核 1.0.0

审核和责任

审核和责任策略和过程

ID:NIST SP 800-53 Rev. 4 AU-1,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1100 - 审核和责任政策和程序 由 Microsoft 实现此审核和问责制控制 审核 1.0.0
Microsoft 托管的控制 1101 - 审核和责任政策和程序 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

审核事件

ID:NIST SP 800-53 Rev. 4 AU-2,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1102 - 审核事件 由 Microsoft 实现此审核和问责制控制 审核 1.0.0
Microsoft 托管的控制 1103 - 审核事件 由 Microsoft 实现此审核和问责制控制 审核 1.0.0
Microsoft 托管的控制 1104 - 审核事件 由 Microsoft 实现此审核和问责制控制 审核 1.0.0
Microsoft 托管的控制 1105 - 审核事件 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

审阅和更新

ID:NIST SP 800-53 Rev. 4 AU-2 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1106 - 审核事件 | 评审和更新 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

审核记录的内容

ID:NIST SP 800-53 Rev. 4 AU-3,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1107 - 审核记录的内容 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

其他审核信息

ID:NIST SP 800-53 Rev. 4 AU-3 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1108 - 审核记录的内容 | 其他审核信息 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

计划审核记录内容的集中管理

ID:NIST SP 800-53 Rev. 4 AU-3 (2),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1109 - 审核记录的内容 | 集中管理计划的审核记录内容 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

审核存储容量

ID:NIST SP 800-53 Rev. 4 AU-4,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1110 - 审核存储容量 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

对审核处理失败的响应

ID:NIST SP 800-53 Rev. 4 AU-5,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1111 - 对审核处理失败的响应 由 Microsoft 实现此审核和问责制控制 审核 1.0.0
Microsoft 托管的控制 1112 - 对审核处理失败的响应 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

审核存储容量

ID:NIST SP 800-53 Rev. 4 AU-5 (1),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1113 - 对审核处理失败的响应 | 审核存储容量 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

实时警报

ID:NIST SP 800-53 Rev. 4 AU-5 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1114 - 对审核处理失败的响应 | 实时警报 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

审核评审、分析和报告

ID:NIST SP 800-53 Rev. 4 AU-6,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览版]:已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc AuditIfNotExists、Disabled 4.0.1 - 预览版
[预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 AuditIfNotExists、Disabled 1.0.2-preview
[预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 AuditIfNotExists、Disabled 1.0.2-preview
应启用适用于 Azure SQL 数据库服务器的 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.2
应启用 Azure Defender for Resource Manager Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
应启用适用于服务器的 Azure Defender 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.3
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 审核没有高级数据安全的 SQL 服务器 AuditIfNotExists、Disabled 2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 审核所有未启用高级数据安全的 SQL 托管实例。 AuditIfNotExists、Disabled 1.0.2
应启用 Microsoft Defender for Containers Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 AuditIfNotExists、Disabled 1.0.0
应启用 Microsoft Defender for Storage(经典版) Microsoft Defender for Storage(经典版)可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。 AuditIfNotExists、Disabled 1.0.4
Microsoft 托管的控制 1115 - 审核评审、分析和报告 由 Microsoft 实现此审核和问责制控制 审核 1.0.0
Microsoft 托管的控制 1116 - 审核评审、分析和报告 由 Microsoft 实现此审核和问责制控制 审核 1.0.0
应启用网络观察程序 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 AuditIfNotExists、Disabled 3.0.0

过程集成

ID:NIST SP 800-53 Rev. 4 AU-6 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1117 - 审核评审、分析和报告 | 过程集成 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

关联审核存储库

ID:NIST SP 800-53 Rev. 4 AU-6 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1118 - 审核评审、分析和报告 | 关联审核存储库 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

集中评审和分析

ID:NIST SP 800-53 Rev. 4 AU-6 (4),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览版]:已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc AuditIfNotExists、Disabled 4.0.1 - 预览版
[预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 AuditIfNotExists、Disabled 1.0.2-preview
[预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 AuditIfNotExists、Disabled 1.0.2-preview
应用服务应用应已启用资源日志 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 AuditIfNotExists、Disabled 2.0.1
应启用 SQL 服务器上的审核 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 AuditIfNotExists、Disabled 2.0.0
应启用适用于 Azure SQL 数据库服务器的 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.2
应启用 Azure Defender for Resource Manager Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
应启用适用于服务器的 Azure Defender 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.3
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 审核没有高级数据安全的 SQL 服务器 AuditIfNotExists、Disabled 2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 审核所有未启用高级数据安全的 SQL 托管实例。 AuditIfNotExists、Disabled 1.0.2
应在计算机上安装来宾配置扩展 若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾内策略将可用,如“应启用 Windows 攻击防护”。 更多信息请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.2
应启用 Microsoft Defender for Containers Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 AuditIfNotExists、Disabled 1.0.0
应启用 Microsoft Defender for Storage(经典版) Microsoft Defender for Storage(经典版)可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。 AuditIfNotExists、Disabled 1.0.4
Microsoft 托管的控制 1119 - 审核评审、分析和报告 | 中心评审和分析 由 Microsoft 实现此审核和问责制控制 审核 1.0.0
应启用网络观察程序 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 AuditIfNotExists、Disabled 3.0.0
应启用 Azure Data Lake Store 中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Azure 流分析中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Batch 帐户中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Data Lake Analytics 中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用事件中心内的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Key Vault 中的资源日志 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 AuditIfNotExists、Disabled 5.0.0
应启用逻辑应用中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.1.0
应启用搜索服务中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用服务总线中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.1

集成/扫描和监视功能

ID:NIST SP 800-53 Rev. 4 AU-6 (5),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览版]:已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc AuditIfNotExists、Disabled 4.0.1 - 预览版
[预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 AuditIfNotExists、Disabled 1.0.2-preview
[预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 AuditIfNotExists、Disabled 1.0.2-preview
应用服务应用应已启用资源日志 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 AuditIfNotExists、Disabled 2.0.1
应启用 SQL 服务器上的审核 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 AuditIfNotExists、Disabled 2.0.0
应启用适用于 Azure SQL 数据库服务器的 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.2
应启用 Azure Defender for Resource Manager Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
应启用适用于服务器的 Azure Defender 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.3
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 审核没有高级数据安全的 SQL 服务器 AuditIfNotExists、Disabled 2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 审核所有未启用高级数据安全的 SQL 托管实例。 AuditIfNotExists、Disabled 1.0.2
应在计算机上安装来宾配置扩展 若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾内策略将可用,如“应启用 Windows 攻击防护”。 更多信息请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.2
应启用 Microsoft Defender for Containers Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 AuditIfNotExists、Disabled 1.0.0
应启用 Microsoft Defender for Storage(经典版) Microsoft Defender for Storage(经典版)可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。 AuditIfNotExists、Disabled 1.0.4
Microsoft 托管的控制 1120 - 审核评审、分析和报告 | 集成/扫描和监视功能 由 Microsoft 实现此审核和问责制控制 审核 1.0.0
应启用网络观察程序 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 AuditIfNotExists、Disabled 3.0.0
应启用 Azure Data Lake Store 中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Azure 流分析中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Batch 帐户中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Data Lake Analytics 中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用事件中心内的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Key Vault 中的资源日志 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 AuditIfNotExists、Disabled 5.0.0
应启用逻辑应用中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.1.0
应启用搜索服务中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用服务总线中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.1

与物理监视的关联

ID:NIST SP 800-53 Rev. 4 AU-6 (6),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1121 - 审核评审、分析和报告 | 与物理监视关联 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

允许的操作

ID:NIST SP 800-53 Rev. 4 AU-6 (7),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1122 - 审核评审、分析和报告 | 允许的操作 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

审核等级调整

ID:NIST SP 800-53 Rev. 4 AU-6 (10),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1123 - 审核评审、分析和报告 | 审核等级调整 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

审核缩减和报表生成

ID:NIST SP 800-53 Rev. 4 AU-7,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1124 - 审核缩减和报表生成 由 Microsoft 实现此审核和问责制控制 审核 1.0.0
Microsoft 托管的控制 1125 - 审核缩减和报表生成 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

自动处理

ID:NIST SP 800-53 Rev. 4 AU-7 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1126 - 审核缩减和报表生成 | 自动处理 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

时间戳

ID:NIST SP 800-53 Rev. 4 AU-8,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1127 - 时间戳 由 Microsoft 实现此审核和问责制控制 审核 1.0.0
Microsoft 托管的控制 1128 - 时间戳 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

与权威时间源同步

ID:NIST SP 800-53 Rev. 4 AU-8 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1129 - 时间戳 | 与权威时间源同步 由 Microsoft 实现此审核和问责制控制 审核 1.0.0
Microsoft 托管的控制 1130 - 时间戳 | 与权威时间源同步 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

审核信息保护

ID:NIST SP 800-53 Rev. 4 AU-9,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1131 - 审核信息保护 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

对单独物理系统/组件的审核备份

ID:NIST SP 800-53 Rev. 4 AU-9 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1132 - 审核信息保护 | 对独立物理系统/组件的审核备份 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

加密保护

ID:NIST SP 800-53 Rev. 4 AU-9 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1133 - 审核信息保护 | 加密保护 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

由特权用户的子集访问

ID:NIST SP 800-53 Rev. 4 AU-9 (4),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1134 - 审核信息保护 | 特权用户子集的访问权限 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

不可否认性

ID:NIST SP 800-53 Rev. 4 AU-10,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1135 - 不可否认性 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

审核记录保留期

ID:NIST SP 800-53 Rev. 4 AU-11,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1136 - 审核记录保留期 由 Microsoft 实现此审核和问责制控制 审核 1.0.0
对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 为便于调查事件,建议将 SQL Server 审核数据在存储帐户目标中的数据保留期设置为至少 90 天。 确认你遵守所运营区域的必要保留规则。 为了符合监管标准,有时需要这样做。 AuditIfNotExists、Disabled 3.0.0

审核生成

ID:NIST SP 800-53 Rev. 4 AU-12,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览版]:已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc AuditIfNotExists、Disabled 4.0.1 - 预览版
[预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 AuditIfNotExists、Disabled 1.0.2-preview
[预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 AuditIfNotExists、Disabled 1.0.2-preview
应用服务应用应已启用资源日志 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 AuditIfNotExists、Disabled 2.0.1
应启用 SQL 服务器上的审核 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 AuditIfNotExists、Disabled 2.0.0
应启用适用于 Azure SQL 数据库服务器的 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.2
应启用 Azure Defender for Resource Manager Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
应启用适用于服务器的 Azure Defender 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.3
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 审核没有高级数据安全的 SQL 服务器 AuditIfNotExists、Disabled 2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 审核所有未启用高级数据安全的 SQL 托管实例。 AuditIfNotExists、Disabled 1.0.2
应在计算机上安装来宾配置扩展 若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾内策略将可用,如“应启用 Windows 攻击防护”。 更多信息请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.2
应启用 Microsoft Defender for Containers Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 AuditIfNotExists、Disabled 1.0.0
应启用 Microsoft Defender for Storage(经典版) Microsoft Defender for Storage(经典版)可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。 AuditIfNotExists、Disabled 1.0.4
Microsoft 托管的控制 1137 - 审核生成 由 Microsoft 实现此审核和问责制控制 审核 1.0.0
Microsoft 托管的控制 1138 - 审核生成 由 Microsoft 实现此审核和问责制控制 审核 1.0.0
Microsoft 托管的控制 1139 - 审核生成 由 Microsoft 实现此审核和问责制控制 审核 1.0.0
应启用网络观察程序 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 AuditIfNotExists、Disabled 3.0.0
应启用 Azure Data Lake Store 中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Azure 流分析中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Batch 帐户中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Data Lake Analytics 中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用事件中心内的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Key Vault 中的资源日志 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 AuditIfNotExists、Disabled 5.0.0
应启用逻辑应用中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.1.0
应启用搜索服务中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用服务总线中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.1

系统范围/时间相关的审核线索

ID:NIST SP 800-53 Rev. 4 AU-12 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览版]:已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc AuditIfNotExists、Disabled 4.0.1 - 预览版
[预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 AuditIfNotExists、Disabled 1.0.2-preview
[预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 AuditIfNotExists、Disabled 1.0.2-preview
应用服务应用应已启用资源日志 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 AuditIfNotExists、Disabled 2.0.1
应启用 SQL 服务器上的审核 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 AuditIfNotExists、Disabled 2.0.0
应启用适用于 Azure SQL 数据库服务器的 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.2
应启用 Azure Defender for Resource Manager Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
应启用适用于服务器的 Azure Defender 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.3
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 审核没有高级数据安全的 SQL 服务器 AuditIfNotExists、Disabled 2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 审核所有未启用高级数据安全的 SQL 托管实例。 AuditIfNotExists、Disabled 1.0.2
应在计算机上安装来宾配置扩展 若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾内策略将可用,如“应启用 Windows 攻击防护”。 更多信息请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.2
应启用 Microsoft Defender for Containers Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 AuditIfNotExists、Disabled 1.0.0
应启用 Microsoft Defender for Storage(经典版) Microsoft Defender for Storage(经典版)可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。 AuditIfNotExists、Disabled 1.0.4
Microsoft 托管的控制 1140 - 审核生成 | 系统范围/时间相关的审核跟踪 由 Microsoft 实现此审核和问责制控制 审核 1.0.0
应启用网络观察程序 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 AuditIfNotExists、Disabled 3.0.0
应启用 Azure Data Lake Store 中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Azure 流分析中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Batch 帐户中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Data Lake Analytics 中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用事件中心内的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Key Vault 中的资源日志 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 AuditIfNotExists、Disabled 5.0.0
应启用逻辑应用中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.1.0
应启用搜索服务中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用服务总线中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.1

获授权个人所做的更改

ID:NIST SP 800-53 Rev. 4 AU-12 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1141 - 审核生成 | 已获授权的个人的更改 由 Microsoft 实现此审核和问责制控制 审核 1.0.0

安全评估和授权

安全评估和授权策略和过程

ID:NIST SP 800-53 Rev. 4 CA-1,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1142 - 认证、授权、安全评估策略和程序 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0
Microsoft 管理的控制 1143 - 认证、授权、安全评估策略和程序 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0

安全评估

ID:NIST SP 800-53 Rev. 4 CA-2,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1144 - 安全评估 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0
Microsoft 托管的控制 1145 - 安全评估 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0
Microsoft 托管的控制 1146 - 安全评估 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0
Microsoft 托管的控制 1147 - 安全评估 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0

独立评估者

ID:NIST SP 800-53 Rev. 4 CA-2 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1148 - 安全评估 | 独立评估师 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0

专业评估

ID:NIST SP 800-53 Rev. 4 CA-2 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1149 - 安全评估 | 专业评估 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0

外部组织

ID:NIST SP 800-53 Rev. 4 CA-2 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1150 - 安全评估 | 外部组织 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0

系统互连

ID:NIST SP 800-53 Rev. 4 CA-3,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1151 - 系统互连 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0
Microsoft 托管的控制 1152 - 系统互连 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0
Microsoft 托管的控制 1153 - 系统互连 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0

未分类的非国内安全系统连接

ID:NIST SP 800-53 Rev. 4 CA-3 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1154 - 系统互连 | 未分类非国家安全系统连接 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0

外部系统连接的限制

ID:NIST SP 800-53 Rev. 4 CA-3 (5),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1155 - 系统互连 | 外部系统连接限制 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0

操作和里程碑计划

ID:NIST SP 800-53 Rev. 4 CA-5,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1156 - 操作和里程碑计划 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0
Microsoft 托管的控制 1157 - 操作和里程碑计划 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0

安全授权

ID:NIST SP 800-53 Rev. 4 CA-6,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1158 - 安全授权 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0
Microsoft 托管的控制 1159 - 安全授权 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0
Microsoft 托管的控制 1160 - 安全授权 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0

持续监视

ID:NIST SP 800-53 Rev. 4 CA-7,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1161 - 持续监视 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0
Microsoft 托管的控制 1162 - 持续监视 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0
Microsoft 托管的控制 1163 - 持续监视 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0
Microsoft 托管的控制 1164 - 持续监视 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0
Microsoft 托管的控制 1165 - 持续监视 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0
Microsoft 托管的控制 1166 - 持续监视 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0
Microsoft 托管的控制 1167 - 持续监视 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0

独立评估

ID:NIST SP 800-53 Rev. 4 CA-7 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1168 - 持续监视 | 独立评估 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0

趋势分析

ID:NIST SP 800-53 Rev. 4 CA-7 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1169 - 持续监视 | 趋势分析 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0

渗透测试

ID:NIST SP 800-53 Rev. 4 CA-8,所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1170 - 渗透测试 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0

独立的渗透代理或团队

ID:NIST SP 800-53 Rev. 4 CA-8 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1171 - 渗透测试 | 独立渗透机构或团队 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0

内部系统连接

ID:NIST SP 800-53 Rev. 4 CA-9,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1172 - 内部系统连接 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0
Microsoft 托管的控制 1173 - 内部系统连接 由 Microsoft 实现此安全评估和授权控制 审核 1.0.0

配置管理

配置管理策略和过程

ID:NIST SP 800-53 Rev. 4 CM-1,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1174 - 配置管理政策和程序 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1175 - 配置管理政策和程序 由 Microsoft 实现此配置管理控制 审核 1.0.0

基线配置

ID:NIST SP 800-53 Rev. 4 CM-2,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1176 - 基线配置 由 Microsoft 实现此配置管理控制 审核 1.0.0

审阅和更新

ID:NIST SP 800-53 Rev. 4 CM-2 (1),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1177 - 基线配置 | 评审和更新 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1178 - 基线配置 | 评审和更新 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1179 - 基线配置 | 评审和更新 由 Microsoft 实现此配置管理控制 审核 1.0.0

准确度/货币的自动化支持

ID:NIST SP 800-53 Rev. 4 CM-2 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1180 - 基线配置 | 准确度/货币的自动化支持 由 Microsoft 实现此配置管理控制 审核 1.0.0

保留以前的配置

ID:NIST SP 800-53 Rev. 4 CM-2 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1181 - 基线配置 | 保留以前的配置 由 Microsoft 实现此配置管理控制 审核 1.0.0

为高风险区域配置系统、组件或设备

ID:NIST SP 800-53 Rev. 4 CM-2 (7),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1182 - 基线配置 | 为高风险区域配置系统、组件或设备 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1183 - 基线配置 | 为高风险区域配置系统、组件或设备 由 Microsoft 实现此配置管理控制 审核 1.0.0

配置变更控制措施

ID:NIST SP 800-53 Rev. 4 CM-3,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1184 - 配置变更控制 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1185 - 配置变更控制 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1186 - 配置变更控制 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1187 - 配置变更控制 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1188 - 配置变更控制 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1189 - 配置变更控制 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1190 - 配置变更控制 由 Microsoft 实现此配置管理控制 审核 1.0.0

自动化记录/通知/禁止更改

ID:NIST SP 800-53 Rev. 4 CM-3 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1191 - 配置变更控制 | 自动记录/通知/禁止变更 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1192 - 配置变更控制 | 自动记录/通知/禁止变更 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1193 - 配置变更控制 | 自动记录/通知/禁止变更 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1194 - 配置变更控制 | 自动记录/通知/禁止变更 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1195 - 配置变更控制 | 自动记录/通知/禁止变更 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1196 - 配置变更控制 | 自动记录/通知/禁止变更 由 Microsoft 实现此配置管理控制 审核 1.0.0

测试/验证/记录变更

ID:NIST SP 800-53 Rev. 4 CM-3 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1197 - 配置变更控制 | 测试/验证/记录变更 由 Microsoft 实现此配置管理控制 审核 1.0.0

安全代表

ID:NIST SP 800-53 Rev. 4 CM-3 (4),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1198 - 配置变更控制 | 安全代表 由 Microsoft 实现此配置管理控制 审核 1.0.0

加密管理

ID:NIST SP 800-53 Rev. 4 CM-3 (6),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1199 - 配置变更控制 | 加密管理 由 Microsoft 实现此配置管理控制 审核 1.0.0

安全影响分析

ID:NIST SP 800-53 Rev. 4 CM-4,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1200 - 安全影响分析 由 Microsoft 实现此配置管理控制 审核 1.0.0

单独的测试环境

ID:NIST SP 800-53 Rev. 4 CM-4 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1201 - 安全影响分析 | 单独的测试环境 由 Microsoft 实现此配置管理控制 审核 1.0.0

变更的访问限制

ID:NIST SP 800-53 Rev. 4 CM-5,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1202 - 变更的访问限制 由 Microsoft 实现此配置管理控制 审核 1.0.0

自动化访问强制执行/审核

ID:NIST SP 800-53 Rev. 4 CM-5 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1203 - 变更的访问限制 | 强制执行/审核自动化访问 由 Microsoft 实现此配置管理控制 审核 1.0.0

查看系统变更

ID:NIST SP 800-53 Rev. 4 CM-5 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1204 - 变更的访问限制 | 查看系统变更 由 Microsoft 实现此配置管理控制 审核 1.0.0

已签名的组件

ID:NIST SP 800-53 Rev. 4 CM-5 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1205 - 变更的访问限制 | 已签名的组件 由 Microsoft 实现此配置管理控制 审核 1.0.0

限制生产/操作权限

ID:NIST SP 800-53 Rev. 4 CM-5 (5),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1206 - 变更的访问限制 | 限制生产/操作权限 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1207 - 变更的访问限制 | 限制生产/操作权限 由 Microsoft 实现此配置管理控制 审核 1.0.0

配置设置

ID:NIST SP 800-53 Rev. 4 CM-6,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[已弃用]:函数应用应启用“客户端证书(传入客户端证书)” 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 由于 Http 2.0 不支持客户端证书,此策略已替换为同名的新策略。 Audit、Disabled 3.1.0-deprecated
应用服务应用应启用“客户端证书(传入客户端证书)” 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 AuditIfNotExists、Disabled 1.0.0
应用服务应用应已禁用远程调试 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 AuditIfNotExists、Disabled 2.0.0
应用服务应用不应将 CORS 配置为允许每个资源访问应用 跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许所需的域与应用交互。 AuditIfNotExists、Disabled 2.0.0
应在群集上安装并启用用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项 用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项扩展了 Gatekeeper v3(用于开放策略代理 (OPA) 的许可控制器 Webhook),以集中、一致的方式在群集上应用大规模强制措施和安全措施。 Audit、Disabled 1.0.2
函数应用应已禁用远程调试 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 AuditIfNotExists、Disabled 2.0.0
函数应用不应将 CORS 配置为允许每个资源访问应用 跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。 AuditIfNotExists、Disabled 2.0.0
Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制 强制实施容器 CPU 和内存资源限制,以防止 Kubernetes 群集中发生资源耗尽攻击。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 10.2.0
Kubernetes 群集容器不得共享主机进程 ID 命名空间或主机 IPC 命名空间 阻止 Pod 容器在 Kubernetes 群集中共享主机进程 ID 命名空间和主机 IPC 命名空间。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.2 和 CIS 5.2.3 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 6.1.0
Kubernetes 群集容器只应使用允许的 AppArmor 配置文件 容器只应使用 Kubernetes 群集中允许的 AppArmor 配置文件。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 7.1.1
Kubernetes 群集容器只应使用允许的功能 限制功能以减小 Kubernetes 群集中容器的受攻击面。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.8 和 CIS 5.2.9 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 7.1.0
Kubernetes 群集容器应只使用允许的映像 使用受信任注册表中的映像,以降低 Kubernetes 群集暴露于未知漏洞、安全问题和恶意映像的风险。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 10.2.0
Kubernetes 群集容器应使用只读根文件系统运行 运行使用只读根文件系统的容器,以防止在运行时发生更改而导致恶意二进制文件添加到 Kubernetes 群集中的 PATH。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 7.1.0
Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径 仅限将 Pod HostPath 卷装载到 Kubernetes 群集中允许的主机路径。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 7.1.1
Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 控制 Pod 和容器可以使用哪些用户、主要组、补充组和文件系统组 ID 在 Kubernetes 群集中运行。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 7.1.1
Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 限制 Pod 在 Kubernetes 群集中对主机网络和允许的主机端口范围的访问。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.4 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 7.1.0
Kubernetes 群集服务应只侦听允许的端口 将服务限制为只侦听允许的端口,以确保对 Kubernetes 群集进行的访问安全。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 9.1.0
Kubernetes 群集不应允许特权容器 不允许在 Kubernetes 群集中创建特权容器。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.1 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 10.1.0
Kubernetes 群集不得允许容器特权提升 不允许容器使用特权提升运行,从而进入 Kubernetes 群集的根。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.5 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 8.1.0
Linux 计算机应符合 Azure 计算安全基线的要求 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未根据 Azure 计算安全基线中的某条建议进行正确配置,则计算机不合规。 AuditIfNotExists、Disabled 1.5.0
Microsoft 托管的控制 1208 - 配置设置 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1209 - 配置设置 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1210 - 配置设置 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1211 - 配置设置 由 Microsoft 实现此配置管理控制 审核 1.0.0
Windows 计算机应符合 Azure 计算安全基线的要求 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未根据 Azure 计算安全基线中的某条建议进行正确配置,则计算机不合规。 AuditIfNotExists、Disabled 1.0.0

自动化的集中管理/应用/验证

ID:NIST SP 800-53 Rev. 4 CM-6 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1212 - 配置设置 | 自动化的中央管理/应用/验证 由 Microsoft 实现此配置管理控制 审核 1.0.0

响应未经授权的更改

ID:NIST SP 800-53 Rev. 4 CM-6 (2),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1213 - 配置设置 | 响应未经授权的变更 由 Microsoft 实现此配置管理控制 审核 1.0.0

最少的功能

ID:NIST SP 800-53 Rev. 4 CM-7,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用适用于服务器的 Azure Defender 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.3
Microsoft 托管的控制 1214 - 最少的功能 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1215 - 最少的功能 由 Microsoft 实现此配置管理控制 审核 1.0.0

定期评审

ID:NIST SP 800-53 Rev. 4 CM-7 (1),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1216 - 最少的功能 | 定期评审 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1217 - 最少的功能 | 定期评审 由 Microsoft 实现此配置管理控制 审核 1.0.0

阻止程序执行

ID:NIST SP 800-53 Rev. 4 CM-7 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1218 - 最少的功能 | 防止程序执行 由 Microsoft 实现此配置管理控制 审核 1.0.0

授权软件/允许列表

ID:NIST SP 800-53 Rev. 4 CM-7 (5),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1219 - 最少的功能 | 授权软件/允许列表 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1220 - 最少的功能 | 授权软件/允许列表 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1221 - 最少的功能 | 授权软件/允许列表 由 Microsoft 实现此配置管理控制 审核 1.0.0

信息系统组件清单

ID:NIST SP 800-53 Rev. 4 CM-8,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1222 - 信息系统组件清单 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1223 - 信息系统组件清单 由 Microsoft 实现此配置管理控制 审核 1.0.0

在安装/删除过程中更新

ID:NIST SP 800-53 Rev. 4 CM-8 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1224 - 信息系统组件清单 | 在安装/删除过程中更新 由 Microsoft 实现此配置管理控制 审核 1.0.0

自动化维护

ID:NIST SP 800-53 Rev. 4 CM-8 (2),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1225 - 信息系统组件清单 | 自动维护 由 Microsoft 实现此配置管理控制 审核 1.0.0

自动检测未经授权的组件

ID:NIST SP 800-53 Rev. 4 CM-8 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1226 - 信息系统组件清单 | 自动检测未经授权的组件 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1227 - 信息系统组件清单 | 自动检测未经授权的组件 由 Microsoft 实现此配置管理控制 审核 1.0.0

责任制信息

ID:NIST SP 800-53 Rev. 4 CM-8 (4),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1228 - 信息系统组件清单 | 问责制信息 由 Microsoft 实现此配置管理控制 审核 1.0.0

不存在组件的重复核算

ID:NIST SP 800-53 Rev. 4 CM-8 (5),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1229 - 信息系统组件清单 | 没有重复的组件核算 由 Microsoft 实现此配置管理控制 审核 1.0.0

配置管理计划

ID:NIST SP 800-53 Rev. 4 CM-9,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1230 - 配置管理计划 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1231 - 配置管理计划 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1232 - 配置管理计划 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1233 - 配置管理计划 由 Microsoft 实现此配置管理控制 审核 1.0.0

软件使用限制

ID:NIST SP 800-53 Rev. 4 CM-10,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1234 - 软件使用限制 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1235 - 软件使用限制 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1236 - 软件使用限制 由 Microsoft 实现此配置管理控制 审核 1.0.0

开放源代码软件

ID:NIST SP 800-53 Rev. 4 CM-10 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1237 - 软件使用限制 | 开放源代码软件 由 Microsoft 实现此配置管理控制 审核 1.0.0

用户安装的软件

ID:NIST SP 800-53 Rev. 4 CM-11,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1238 - 用户安装的软件 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1239 - 用户安装的软件 由 Microsoft 实现此配置管理控制 审核 1.0.0
Microsoft 托管的控制 1240 - 用户安装的软件 由 Microsoft 实现此配置管理控制 审核 1.0.0

面向未经授权的安装的警报

ID:NIST SP 800-53 Rev. 4 CM-11 (1),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1241 - 用户安装的软件 | 未经授权的安装的警报 由 Microsoft 实现此配置管理控制 审核 1.0.0

应变规划

应变计划策略和流程

ID:NIST SP 800-53 Rev. 4 CP-1,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1242 - 应变计划政策和程序 由 Microsoft 实现此应变计划控制 审核 1.0.0
Microsoft 托管的控制 1243 - 应变计划政策和程序 由 Microsoft 实现此应变计划控制 审核 1.0.0

应变计划

ID:NIST SP 800-53 Rev. 4 CP-2,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1244 - 应变计划 由 Microsoft 实现此应变计划控制 审核 1.0.0
Microsoft 托管的控制 1245 - 应变计划 由 Microsoft 实现此应变计划控制 审核 1.0.0
Microsoft 托管的控制 1246 - 应变计划 由 Microsoft 实现此应变计划控制 审核 1.0.0
Microsoft 托管的控制 1247 - 应变计划 由 Microsoft 实现此应变计划控制 审核 1.0.0
Microsoft 托管的控制 1248 - 应变计划 由 Microsoft 实现此应变计划控制 审核 1.0.0
Microsoft 托管的控制 1249 - 应变计划 由 Microsoft 实现此应变计划控制 审核 1.0.0
Microsoft 托管的控制 1250 - 应变计划 由 Microsoft 实现此应变计划控制 审核 1.0.0

ID:NIST SP 800-53 Rev. 4 CP-2 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1251 - 应变计划 | 与相关计划协调 由 Microsoft 实现此应变计划控制 审核 1.0.0

容量规划

ID:NIST SP 800-53 Rev. 4 CP-2 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1252 - 应变计划 | 容量规划 由 Microsoft 实现此应变计划控制 审核 1.0.0

恢复关键任务/业务功能

ID:NIST SP 800-53 Rev. 4 CP-2 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1253 - 应变计划 | 恢复关键任务/业务功能 由 Microsoft 实现此应变计划控制 审核 1.0.0

恢复所有任务/业务功能

ID:NIST SP 800-53 Rev. 4 CP-2 (4),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1254 - 应变计划 | 恢复所有任务/业务功能 由 Microsoft 实现此应变计划控制 审核 1.0.0

继续执行基本任务/业务功能

ID:NIST SP 800-53 Rev. 4 CP-2 (5),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1255 - 应变计划 | 继续关键任务/业务功能 由 Microsoft 实现此应变计划控制 审核 1.0.0

识别关键资产

ID:NIST SP 800-53 Rev. 4 CP-2 (8),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1256 - 应变计划 | 识别关键资产 由 Microsoft 实现此应变计划控制 审核 1.0.0

应变培训

ID:NIST SP 800-53 Rev. 4 CP-3,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1257 - 应变培训 由 Microsoft 实现此应变计划控制 审核 1.0.0
Microsoft 托管的控制 1258 - 应变培训 由 Microsoft 实现此应变计划控制 审核 1.0.0
Microsoft 托管的控制 1259 - 应变培训 由 Microsoft 实现此应变计划控制 审核 1.0.0

模拟事件

ID:NIST SP 800-53 Rev. 4 CP-3 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1260 - 应变培训 | 模拟事件 由 Microsoft 实现此应变计划控制 审核 1.0.0

应变计划测试

ID:NIST SP 800-53 Rev. 4 CP-4,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1261 - 应变计划测试 由 Microsoft 实现此应变计划控制 审核 1.0.0
Microsoft 托管的控制 1262 - 应变计划测试 由 Microsoft 实现此应变计划控制 审核 1.0.0
Microsoft 托管的控制 1263 - 应变计划测试 由 Microsoft 实现此应变计划控制 审核 1.0.0

ID:NIST SP 800-53 Rev. 4 CP-4 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1264 - 应变计划测试 | 与相关计划协调 由 Microsoft 实现此应变计划控制 审核 1.0.0

备用处理站点

ID:NIST SP 800-53 Rev. 4 CP-4 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1265 - 应变计划测试 | 备用处理站点 由 Microsoft 实现此应变计划控制 审核 1.0.0
Microsoft 托管的控制 1266 - 应变计划测试 | 备用处理站点 由 Microsoft 实现此应变计划控制 审核 1.0.0

备用存储站点

ID:NIST SP 800-53 Rev. 4 CP-6,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应为 Azure Database for MariaDB 启用异地冗余备份 通过 Azure Database for MariaDB,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 Audit、Disabled 1.0.1
应为 Azure Database for MySQL 启用异地冗余备份 通过 Azure Database for MySQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 Audit、Disabled 1.0.1
应为 Azure Database for PostgreSQL 启用异地冗余备份 通过 Azure Database for PostgreSQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 Audit、Disabled 1.0.1
应为存储帐户启用异地冗余存储 使用异地冗余创建高可用性应用程序 Audit、Disabled 1.0.0
应为 Azure SQL 数据库启用长期异地冗余备份 此策略将审核未启用长期异地冗余备份的任何 Azure SQL 数据库。 AuditIfNotExists、Disabled 2.0.0
Microsoft 托管的控制 1267 - 备用存储站点 由 Microsoft 实现此应变计划控制 审核 1.0.0
Microsoft 托管的控制 1268 - 备用存储站点 由 Microsoft 实现此应变计划控制 审核 1.0.0

从主站点分离

ID:NIST SP 800-53 Rev. 4 CP-6 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应为 Azure Database for MariaDB 启用异地冗余备份 通过 Azure Database for MariaDB,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 Audit、Disabled 1.0.1
应为 Azure Database for MySQL 启用异地冗余备份 通过 Azure Database for MySQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 Audit、Disabled 1.0.1
应为 Azure Database for PostgreSQL 启用异地冗余备份 通过 Azure Database for PostgreSQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 Audit、Disabled 1.0.1
应为存储帐户启用异地冗余存储 使用异地冗余创建高可用性应用程序 Audit、Disabled 1.0.0
应为 Azure SQL 数据库启用长期异地冗余备份 此策略将审核未启用长期异地冗余备份的任何 Azure SQL 数据库。 AuditIfNotExists、Disabled 2.0.0
Microsoft 托管的控制 1269 - 备用存储站点 | 从主站点分离 由 Microsoft 实现此应变计划控制 审核 1.0.0

恢复时间/点目标

ID:NIST SP 800-53 Rev. 4 CP-6 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1270 - 备用存储站点 | 恢复时间/点目标 由 Microsoft 实现此应变计划控制 审核 1.0.0

可访问性

ID:NIST SP 800-53 Rev. 4 CP-6 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1271 - 备用存储站点 | 辅助功能 由 Microsoft 实现此应变计划控制 审核 1.0.0

备用处理站点

ID:NIST SP 800-53 Rev. 4 CP-7,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核未配置灾难恢复的虚拟机 审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc auditIfNotExists 1.0.0
Microsoft 托管的控制 1272 - 备用处理站点 由 Microsoft 实现此应变计划控制 审核 1.0.0
Microsoft 托管的控制 1273 - 备用处理站点 由 Microsoft 实现此应变计划控制 审核 1.0.0
Microsoft 托管的控制 1274 - 备用处理站点 由 Microsoft 实现此应变计划控制 审核 1.0.0

从主站点分离

ID:NIST SP 800-53 Rev. 4 CP-7 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1275 - 备用处理站点 | 从主站点分离 由 Microsoft 实现此应变计划控制 审核 1.0.0

可访问性

ID:NIST SP 800-53 Rev. 4 CP-7 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1276 - 备用处理站点 | 辅助功能 由 Microsoft 实现此应变计划控制 审核 1.0.0

服务优先级

ID:NIST SP 800-53 Rev. 4 CP-7 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1277 - 备用处理网站 | 服务优先级 由 Microsoft 实现此应变计划控制 审核 1.0.0

使用准备

ID:NIST SP 800-53 Rev. 4 CP-7 (4),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1278 - 备用处理网站 | 使用准备 由 Microsoft 实现此应变计划控制 审核 1.0.0

电信服务

ID:NIST SP 800-53 Rev. 4 CP-8,所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1279 - 电信服务 由 Microsoft 实现此应变计划控制 审核 1.0.0

服务条款优先级

ID:NIST SP 800-53 Rev. 4 CP-8 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1280 - 电信服务 | 服务优先级规定 由 Microsoft 实现此应变计划控制 审核 1.0.0
Microsoft 托管的控制 1281 - 电信服务 | 服务优先级规定 由 Microsoft 实现此应变计划控制 审核 1.0.0

单一故障点

ID:NIST SP 800-53 Rev. 4 CP-8 (2),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1282 - 电信服务 | 单一故障点 由 Microsoft 实现此应变计划控制 审核 1.0.0

主要/备用提供程序的分离

ID:NIST SP 800-53 Rev. 4 CP-8 (3),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1283 - 电信服务 | 主要/备用提供商的分离 由 Microsoft 实现此应变计划控制 审核 1.0.0

提供商应变计划

ID:NIST SP 800-53 Rev. 4 CP-8 (4),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1284 - 电信服务 | 提供商应变计划 由 Microsoft 实现此应变计划控制 审核 1.0.0
Microsoft 托管的控制 1285 - 电信服务 | 提供商应变计划 由 Microsoft 实现此应变计划控制 审核 1.0.0
Microsoft 托管的控制 1286 - 电信服务 | 提供商应变计划 由 Microsoft 实现此应变计划控制 审核 1.0.0

信息系统备份

ID:NIST SP 800-53 Rev. 4 CP-9,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应为虚拟机启用 Azure 备份 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 AuditIfNotExists、Disabled 3.0.0
应为 Azure Database for MariaDB 启用异地冗余备份 通过 Azure Database for MariaDB,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 Audit、Disabled 1.0.1
应为 Azure Database for MySQL 启用异地冗余备份 通过 Azure Database for MySQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 Audit、Disabled 1.0.1
应为 Azure Database for PostgreSQL 启用异地冗余备份 通过 Azure Database for PostgreSQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 Audit、Disabled 1.0.1
Key Vault 应启用删除保护 恶意删除密钥保管库可能会导致永久丢失数据。 可以通过启用清除保护和软删除来防止永久数据丢失。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 你的组织内的任何人都无法在软删除保留期内清除你的密钥保管库。 请记住,在 2019 年 9 月 1 日之后创建的密钥保管库默认启用软删除。 Audit、Deny、Disabled 2.1.0
密钥保管库应启用软删除 在未启用软删除的情况下删除密钥保管库,将永久删除密钥保管库中存储的所有机密、密钥和证书。 意外删除密钥保管库可能会导致永久丢失数据。 软删除允许在可配置的保持期内恢复意外删除的密钥保管库。 Audit、Deny、Disabled 3.0.0
Microsoft 托管的控制 1287 - 信息系统备份 由 Microsoft 实现此应变计划控制 审核 1.0.0
Microsoft 托管的控制 1288 - 信息系统备份 由 Microsoft 实现此应变计划控制 审核 1.0.0
Microsoft 托管的控制 1289 - 信息系统备份 由 Microsoft 实现此应变计划控制 审核 1.0.0
Microsoft 托管的控制 1290 - 信息系统备份 由 Microsoft 实现此应变计划控制 审核 1.0.0

可靠性/完整性测试

ID:NIST SP 800-53 Rev. 4 CP-9 (1),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1291 - 信息系统备份 | 测试可靠性/完整性 由 Microsoft 实现此应变计划控制 审核 1.0.0

使用采样测试恢复

ID:NIST SP 800-53 Rev. 4 CP-9 (2),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1292 - 信息系统备份 | 使用采样法测试还原 由 Microsoft 实现此应变计划控制 审核 1.0.0

关键信息的独立存储

ID:NIST SP 800-53 Rev. 4 CP-9 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1293 - 信息系统备份 | 单独存储关键信息 由 Microsoft 实现此应变计划控制 审核 1.0.0

转移到备用存储站点

ID:NIST SP 800-53 Rev. 4 CP-9 (5),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1294 - 信息系统备份 | 转移到备用存储站点 由 Microsoft 实现此应变计划控制 审核 1.0.0

信息系统恢复与重建

ID:NIST SP 800-53 Rev. 4 CP-10,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1295 - 信息系统恢复与重建 由 Microsoft 实现此应变计划控制 审核 1.0.0

事务恢复

ID:NIST SP 800-53 Rev. 4 CP-10 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1296 - 信息系统恢复与重建 | 事务恢复 由 Microsoft 实现此应变计划控制 审核 1.0.0

时间段内还原

ID:NIST SP 800-53 Rev. 4 CP-10 (4),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1297 - 信息系统恢复与重建 | 时间段内还原 由 Microsoft 实现此应变计划控制 审核 1.0.0

识别和身份验证

标识和身份验证策略和过程

ID:NIST SP 800-53 Rev. 4 IA-1,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1298 - 标识和身份验证政策和程序 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1299 - 标识和身份验证政策和程序 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

标识和身份验证(组织用户)

ID:NIST SP 800-53 Rev. 4 IA-2,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
对 Azure 资源拥有所有者权限的帐户应启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 1.0.0
对 Azure 资源拥有读取权限的帐户应启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 1.0.0
对 Azure 资源拥有写入权限的帐户应启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 1.0.0
应该为 SQL 服务器预配 Azure Active Directory 管理员 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 AuditIfNotExists、Disabled 1.0.0
应用服务应用应使用托管标识 使用托管标识以实现增强的身份验证安全性 AuditIfNotExists、Disabled 3.0.0
Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://aka.ms/AI/auth Audit、Deny、Disabled 1.1.0
函数应用应使用托管标识 使用托管标识以实现增强的身份验证安全性 AuditIfNotExists、Disabled 3.0.0
Microsoft 管理的控制 1300 - 用户标识和身份验证 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 Audit、Deny、Disabled 1.1.0

对特权帐户的网络访问

ID:NIST SP 800-53 Rev. 4 IA-2 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
对 Azure 资源拥有所有者权限的帐户应启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 1.0.0
对 Azure 资源拥有写入权限的帐户应启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 1.0.0
Microsoft 管理的控制 1301 - 用户标识和身份验证 | 对特权帐户的网络访问 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

对非特权帐户的网络访问

ID:NIST SP 800-53 Rev. 4 IA-2 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
对 Azure 资源拥有读取权限的帐户应启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 1.0.0
Microsoft 管理的控制 1302 - 用户标识和身份验证 | 对非特权帐户的网络访问 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

对特权帐户的本地访问

ID:NIST SP 800-53 Rev. 4 IA-2 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1303 - 用户标识和身份验证 | 对特权帐户的本地访问 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

对非特权帐户的本地访问

ID:NIST SP 800-53 Rev. 4 IA-2 (4),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1304 - 用户标识和身份验证 | 对非特权帐户的本地访问 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

组身份验证

ID:NIST SP 800-53 Rev. 4 IA-2 (5),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1305 - 用户标识和身份验证 | 组身份验证 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

对特权帐户的网络访问 - 抗重放

ID:NIST SP 800-53 Rev. 4 IA-2 (8),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1306 - 用户标识和身份验证 | 对特权帐户的网络访问 - 重播... 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

对非特权帐户的网络访问 - 抗重放

ID:NIST SP 800-53 Rev. 4 IA-2 (9),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1307 - 用户标识和身份验证 | 对非特权帐户的网络访问 - 重播... 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

远程访问 - 单独的设备

ID:NIST SP 800-53 Rev. 4 IA-2 (11),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1308 - 用户标识和身份验证 | 远程访问 - 单独的设备 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

接受 Piv 凭据

ID:NIST SP 800-53 Rev. 4 IA-2 (12),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1309 - 用户标识和身份验证 | Piv 凭据接受 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

设备标识和身份验证

ID:NIST SP 800-53 Rev. 4 IA-3,所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1310 - 设备标识和身份验证 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

标识符管理

ID:NIST SP 800-53 Rev. 4 IA-4,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应该为 SQL 服务器预配 Azure Active Directory 管理员 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 AuditIfNotExists、Disabled 1.0.0
应用服务应用应使用托管标识 使用托管标识以实现增强的身份验证安全性 AuditIfNotExists、Disabled 3.0.0
Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 了解详细信息:https://aka.ms/AI/auth Audit、Deny、Disabled 1.1.0
函数应用应使用托管标识 使用托管标识以实现增强的身份验证安全性 AuditIfNotExists、Disabled 3.0.0
Microsoft 托管的控制 1311 - 标识符管理 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1312 - 标识符管理 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1313 - 标识符管理 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1314 - 标识符管理 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1315 - 标识符管理 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 Audit、Deny、Disabled 1.1.0

标识用户状态

ID:NIST SP 800-53 Rev. 4 IA-4 (4),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1316 - 标识符管理 | 标识用户状态 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

验证器管理

ID:NIST SP 800-53 Rev. 4 IA-5,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 1.3.0
添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 1.3.0
审核未将密码文件权限设为 0644 的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机未将密码文件权限设为 0644,则计算机不合规 AuditIfNotExists、Disabled 1.4.0
审核未存储使用可逆加密的密码的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未存储使用可逆加密的密码,则计算机不合规 AuditIfNotExists、Disabled 1.0.0
部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 1.4.0
部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 1.2.0
Microsoft 托管的控制 1317 - 验证器管理 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1318 - 验证器管理 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1319 - 验证器管理 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1320 - 验证器管理 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1321 - 验证器管理 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1322 - 验证器管理 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1323 - 验证器管理 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1324 - 验证器管理 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1325 - 验证器管理 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1326 - 验证器管理 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

基于密码的身份验证

ID:NIST SP 800-53 Rev. 4 IA-5 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 1.3.0
添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 1.3.0
审核未将密码文件权限设为 0644 的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机未将密码文件权限设为 0644,则计算机不合规 AuditIfNotExists、Disabled 1.4.0
审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机允许在指定数量的唯一密码后重新使用密码,则这些计算机是不合规的。 唯一密码的默认值为 24 AuditIfNotExists、Disabled 1.1.0
审核未将最长密码期限设置为指定天数的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最长密码期限设置为指定天数,则这些计算机是不合规的。 最长密码期限的默认值为 70 天 AuditIfNotExists、Disabled 1.1.0
审核未将最短密码期限设置为指定天数的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最短密码期限设置为指定天数,则这些计算机是不合规的。 最短密码期限的默认值为 1 天 AuditIfNotExists、Disabled 1.1.0
审核未启用密码复杂性设置的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未启用密码复杂性设置,则计算机不合规 AuditIfNotExists、Disabled 1.0.0
审核未将最短密码长度限制为特定字符数的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机没有将最短密码长度限制为特定字符数,则这些计算机是不合规的。 最短密码长度的默认值为 14 个字符 AuditIfNotExists、Disabled 1.1.0
审核未存储使用可逆加密的密码的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未存储使用可逆加密的密码,则计算机不合规 AuditIfNotExists、Disabled 1.0.0
部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 1.4.0
部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 1.2.0
Microsoft 托管的控制 1327 - 验证器管理 | 基于密码的身份验证 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1328 - 验证器管理 | 基于密码的身份验证 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1329 - 验证器管理 | 基于密码的身份验证 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1330 - 验证器管理 | 基于密码的身份验证 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1331 - 验证器管理 | 基于密码的身份验证 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1332 - 验证器管理 | 基于密码的身份验证 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

基于 PKI 的身份验证

ID:NIST SP 800-53 Rev. 4 IA-5 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1333 - 验证器管理 | 基于 PKI 的身份验证 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1334 - 验证器管理 | 基于 PKI 的身份验证 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1335 - 验证器管理 | 基于 PKI 的身份验证 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0
Microsoft 托管的控制 1336 - 验证器管理 | 基于 PKI 的身份验证 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

亲自或受信任的第三方注册

ID:NIST SP 800-53 Rev. 4 IA-5 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1337 - 验证器管理 | 自行注册或受信任的第三方注册 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

密码强度确定自动化支持

ID:NIST SP 800-53 Rev. 4 IA-5 (4),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1338 - 验证器管理 | 自动支持密码强度确定 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

验证器保护

ID:NIST SP 800-53 Rev. 4 IA-5 (6),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1339 - 验证器管理 | 验证器的保护 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

无嵌入式未加密的静态验证器

ID:NIST SP 800-53 Rev. 4 IA-5 (7),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1340 - 验证器管理 | 无嵌入式未加密的静态验证器 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

多个信息系统帐户

ID:NIST SP 800-53 Rev. 4 IA-5 (8),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1341 - 验证器管理 | 多个信息系统帐户 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

基于令牌的硬件身份验证

ID:NIST SP 800-53 Rev. 4 IA-5 (11),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1342 - 验证器管理 | 基于硬件令牌的身份验证 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

缓存验证器的过期

ID:NIST SP 800-53 Rev. 4 IA-5 (13),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1343 - 验证器管理 | 缓存验证器的有效期限 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

验证器反馈

ID:NIST SP 800-53 Rev. 4 IA-6,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1344 - 验证器反馈 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

加密模块身份验证

ID:NIST SP 800-53 Rev. 4 IA-7,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1345 - 加密模块身份验证 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

标识和身份验证(非组织用户)

ID:NIST SP 800-53 Rev. 4 IA-8,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1346 - 标识和身份验证(非组织用户) 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

接受来自其他机构的 PIV 凭据

ID:NIST SP 800-53 Rev. 4 IA-8 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1347 - 标识和身份验证(非组织用户)| Piv 凭据接受... 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

接受第三方凭据

ID:NIST SP 800-53 Rev. 4 IA-8 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1348 - 标识和身份验证(非组织用户)| 第三方凭据接受... 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

使用 Ficam 批准的产品

ID:NIST SP 800-53 Rev. 4 IA-8 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1349 - 标识和身份验证(非组织用户)| Ficam 批准的产品的使用 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

使用 Ficam 发布的配置文件

ID:NIST SP 800-53 Rev. 4 IA-8 (4),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1350 - 标识和身份验证(非组织用户)| Ficam 发出的配置文件的使用 由 Microsoft 实现此标识和身份验证控制 审核 1.0.0

事件响应

事件响应策略和过程

ID:NIST SP 800-53 Rev. 4 IR-1,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1351 - 事件响应政策和程序 由 Microsoft 实现此事件响应控制 审核 1.0.0
Microsoft 托管的控制 1352 - 事件响应政策和程序 由 Microsoft 实现此事件响应控制 审核 1.0.0

事件响应培训

ID:NIST SP 800-53 Rev. 4 IR-2,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1353 - 事件响应培训 由 Microsoft 实现此事件响应控制 审核 1.0.0
Microsoft 托管的控制 1354 - 事件响应培训 由 Microsoft 实现此事件响应控制 审核 1.0.0
Microsoft 托管的控制 1355 - 事件响应培训 由 Microsoft 实现此事件响应控制 审核 1.0.0

模拟事件

ID:NIST SP 800-53 Rev. 4 IR-2 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1356 - 事件响应培训 | 模拟事件 由 Microsoft 实现此事件响应控制 审核 1.0.0

自动化培训环境

ID:NIST SP 800-53 Rev. 4 IR-2 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1357 - 事件响应培训 | 自动化培训环境 由 Microsoft 实现此事件响应控制 审核 1.0.0

事件响应测试

ID:NIST SP 800-53 Rev. 4 IR-3,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1358 - 事件响应测试 由 Microsoft 实现此事件响应控制 审核 1.0.0

ID:NIST SP 800-53 Rev. 4 IR-3 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1359 - 事件响应测试 | 与相关计划协调 由 Microsoft 实现此事件响应控制 审核 1.0.0

事件处理

ID:NIST SP 800-53 Rev. 4 IR-4,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用适用于 Azure SQL 数据库服务器的 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.2
应启用 Azure Defender for Resource Manager Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
应启用适用于服务器的 Azure Defender 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.3
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 审核没有高级数据安全的 SQL 服务器 AuditIfNotExists、Disabled 2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 审核所有未启用高级数据安全的 SQL 托管实例。 AuditIfNotExists、Disabled 1.0.2
应启用高严重性警报的电子邮件通知 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请在安全中心为高严重性警报启用电子邮件通知。 AuditIfNotExists、Disabled 1.0.1
应启用向订阅所有者发送高严重性警报的电子邮件通知 当订阅中存在潜在的安全漏洞时,若要确保订阅所有者收到通知,请在安全中心设置向订阅所有者发送高严重性警报的电子邮件通知。 AuditIfNotExists、Disabled 2.0.0
应启用 Microsoft Defender for Containers Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 AuditIfNotExists、Disabled 1.0.0
应启用 Microsoft Defender for Storage(经典版) Microsoft Defender for Storage(经典版)可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。 AuditIfNotExists、Disabled 1.0.4
Microsoft 托管的控制 1360 - 事件处理 由 Microsoft 实现此事件响应控制 审核 1.0.0
Microsoft 托管的控制 1361 - 事件处理 由 Microsoft 实现此事件响应控制 审核 1.0.0
Microsoft 托管的控制 1362 - 事件处理 由 Microsoft 实现此事件响应控制 审核 1.0.0
订阅应有一个联系人电子邮件地址,用于接收安全问题通知 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请设置一个安全联系人,以接收来自安全中心的电子邮件通知。 AuditIfNotExists、Disabled 1.0.1

自动化事件处理过程

ID:NIST SP 800-53 Rev. 4 IR-4 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1363 - 事件处理 | 自动化事件处理过程 由 Microsoft 实现此事件响应控制 审核 1.0.0

动态重新配置

ID:NIST SP 800-53 Rev. 4 IR-4 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1364 - 事件处理 | 动态重新配置 由 Microsoft 实现此事件响应控制 审核 1.0.0

操作连续性

ID:NIST SP 800-53 Rev. 4 IR-4 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1365 - 事件处理 | 操作连续性 由 Microsoft 实现此事件响应控制 审核 1.0.0

信息关联

ID:NIST SP 800-53 Rev. 4 IR-4 (4),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1366 - 事件处理 | 信息关联 由 Microsoft 实现此事件响应控制 审核 1.0.0

内部威胁 - 特定力量

ID:NIST SP 800-53 Rev. 4 IR-4 (6),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1367 - 事件处理 | 内部威胁 - 特定力量 由 Microsoft 实现此事件响应控制 审核 1.0.0

与外部组织的关联

ID:NIST SP 800-53 Rev. 4 IR-4 (8),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1368 - 事件处理 | 与外部组织关联 由 Microsoft 实现此事件响应控制 审核 1.0.0

事件监视

ID:NIST SP 800-53 Rev. 4 IR-5,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用适用于 Azure SQL 数据库服务器的 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.2
应启用 Azure Defender for Resource Manager Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
应启用适用于服务器的 Azure Defender 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.3
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 审核没有高级数据安全的 SQL 服务器 AuditIfNotExists、Disabled 2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 审核所有未启用高级数据安全的 SQL 托管实例。 AuditIfNotExists、Disabled 1.0.2
应启用高严重性警报的电子邮件通知 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请在安全中心为高严重性警报启用电子邮件通知。 AuditIfNotExists、Disabled 1.0.1
应启用向订阅所有者发送高严重性警报的电子邮件通知 当订阅中存在潜在的安全漏洞时,若要确保订阅所有者收到通知,请在安全中心设置向订阅所有者发送高严重性警报的电子邮件通知。 AuditIfNotExists、Disabled 2.0.0
应启用 Microsoft Defender for Containers Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 AuditIfNotExists、Disabled 1.0.0
应启用 Microsoft Defender for Storage(经典版) Microsoft Defender for Storage(经典版)可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。 AuditIfNotExists、Disabled 1.0.4
Microsoft 托管的控制 1369 - 事件监视 由 Microsoft 实现此事件响应控制 审核 1.0.0
订阅应有一个联系人电子邮件地址,用于接收安全问题通知 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请设置一个安全联系人,以接收来自安全中心的电子邮件通知。 AuditIfNotExists、Disabled 1.0.1

自动跟踪/数据收集/分析

ID:NIST SP 800-53 Rev. 4 IR-5 (1),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1370 - 事件监视 | 自动跟踪/数据收集/分析 由 Microsoft 实现此事件响应控制 审核 1.0.0

事件报告

ID:NIST SP 800-53 Rev. 4 IR-6,所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1371 - 事件报告 由 Microsoft 实现此事件响应控制 审核 1.0.0
Microsoft 托管的控制 1372 - 事件报告 由 Microsoft 实现此事件响应控制 审核 1.0.0

自动化报告

ID:NIST SP 800-53 Rev. 4 IR-6 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1373 - 事件报告 | 自动化报告 由 Microsoft 实现此事件响应控制 审核 1.0.0

ID:NIST SP 800-53 Rev. 4 IR-6 (2),所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用高严重性警报的电子邮件通知 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请在安全中心为高严重性警报启用电子邮件通知。 AuditIfNotExists、Disabled 1.0.1
应启用向订阅所有者发送高严重性警报的电子邮件通知 当订阅中存在潜在的安全漏洞时,若要确保订阅所有者收到通知,请在安全中心设置向订阅所有者发送高严重性警报的电子邮件通知。 AuditIfNotExists、Disabled 2.0.0
订阅应有一个联系人电子邮件地址,用于接收安全问题通知 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请设置一个安全联系人,以接收来自安全中心的电子邮件通知。 AuditIfNotExists、Disabled 1.0.1

事件响应协助

ID:NIST SP 800-53 Rev. 4 IR-7,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1374 - 事件响应协助 由 Microsoft 实现此事件响应控制 审核 1.0.0

对信息/支持可用性的自动化支持

ID:NIST SP 800-53 Rev. 4 IR-7 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1375 - 事件响应协助 | 对信息/支持可用性的自动化支持 由 Microsoft 实现此事件响应控制 审核 1.0.0

与外部访问接口的协调

ID:NIST SP 800-53 Rev. 4 IR-7 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1376 - 事件响应协助 | 与外部提供商协调 由 Microsoft 实现此事件响应控制 审核 1.0.0
Microsoft 托管的控制 1377 - 事件响应协助 | 与外部提供商协调 由 Microsoft 实现此事件响应控制 审核 1.0.0

事件响应计划

ID:NIST SP 800-53 Rev. 4 IR-8,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1378 - 事件响应计划 由 Microsoft 实现此事件响应控制 审核 1.0.0
Microsoft 托管的控制 1379 - 事件响应计划 由 Microsoft 实现此事件响应控制 审核 1.0.0
Microsoft 托管的控制 1380 - 事件响应计划 由 Microsoft 实现此事件响应控制 审核 1.0.0
Microsoft 托管的控制 1381 - 事件响应计划 由 Microsoft 实现此事件响应控制 审核 1.0.0
Microsoft 托管的控制 1382 - 事件响应计划 由 Microsoft 实现此事件响应控制 审核 1.0.0
Microsoft 托管的控制 1383 - 事件响应计划 由 Microsoft 实现此事件响应控制 审核 1.0.0

信息泄漏响应

ID:NIST SP 800-53 Rev. 4 IR-9,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1384 - 信息泄漏响应 由 Microsoft 实现此事件响应控制 审核 1.0.0
Microsoft 托管的控制 1385 - 信息泄漏响应 由 Microsoft 实现此事件响应控制 审核 1.0.0
Microsoft 托管的控制 1386 - 信息泄漏响应 由 Microsoft 实现此事件响应控制 审核 1.0.0
Microsoft 托管的控制 1387 - 信息泄漏响应 由 Microsoft 实现此事件响应控制 审核 1.0.0
Microsoft 托管的控制 1388 - 信息泄漏响应 由 Microsoft 实现此事件响应控制 审核 1.0.0
Microsoft 托管的控制 1389 - 信息泄漏响应 由 Microsoft 实现此事件响应控制 审核 1.0.0

负责人员

ID:NIST SP 800-53 Rev. 4 IR-9 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1390 - 信息泄漏响应 | 负责人员 由 Microsoft 实现此事件响应控制 审核 1.0.0

培训

ID:NIST SP 800-53 Rev. 4 IR-9 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1391 - 信息泄漏响应 | 培训 由 Microsoft 实现此事件响应控制 审核 1.0.0

溢后操作

ID:NIST SP 800-53 Rev. 4 IR-9 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1392 - 信息泄漏响应 | 泄漏后操作 由 Microsoft 实现此事件响应控制 审核 1.0.0

曝光未经授权人员

ID:NIST SP 800-53 Rev. 4 IR-9 (4),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1393 - 信息泄漏响应 | 信息遭他人未经授权地访问 由 Microsoft 实现此事件响应控制 审核 1.0.0

维护

系统维护策略和流程

ID:NIST SP 800-53 Rev. 4 MA-1,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1394 - 系统维护政策和程序 由 Microsoft 实现此维护控制 审核 1.0.0
Microsoft 托管的控制 1395 - 系统维护策略和流程 由 Microsoft 实现此维护控制 审核 1.0.0

受控性维护

ID:NIST SP 800-53 Rev. 4 MA-2,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1396 - 受控性维护 由 Microsoft 实现此维护控制 审核 1.0.0
Microsoft 托管的控制 1397 - 受控性维护 由 Microsoft 实现此维护控制 审核 1.0.0
Microsoft 托管的控制 1398 - 受控性维护 由 Microsoft 实现此维护控制 审核 1.0.0
Microsoft 托管的控制 1399 - 受控性维护 由 Microsoft 实现此维护控制 审核 1.0.0
Microsoft 托管的控制 1400 - 受控性维护 由 Microsoft 实现此维护控制 审核 1.0.0
Microsoft 托管的控制 1401 - 受控性维护 由 Microsoft 实现此维护控制 审核 1.0.0

自动化维护活动

ID:NIST SP 800-53 Rev. 4 MA-2 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1402 - 受控性维护 | 自动维护活动 由 Microsoft 实现此维护控制 审核 1.0.0
Microsoft 托管的控制 1403 - 受控性维护 | 自动维护活动 由 Microsoft 实现此维护控制 审核 1.0.0

维护工具

ID:NIST SP 800-53 Rev. 4 MA-3,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1404 - 维护工具 由 Microsoft 实现此维护控制 审核 1.0.0

检查工具

ID:NIST SP 800-53 Rev. 4 MA-3 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1405 - 维护工具 | 检查工具 由 Microsoft 实现此维护控制 审核 1.0.0

检查媒体

ID:NIST SP 800-53 Rev. 4 MA-3 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1406 - 维护工具 | 检查媒体 由 Microsoft 实现此维护控制 审核 1.0.0

防止未经授权的删除

ID:NIST SP 800-53 Rev. 4 MA-3 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1407 - 维护工具 | 防止未经授权的移除 由 Microsoft 实现此维护控制 审核 1.0.0
Microsoft 托管的控制 1408 - 维护工具 | 防止未经授权的移除 由 Microsoft 实现此维护控制 审核 1.0.0
Microsoft 托管的控制 1409 - 维护工具 | 防止未经授权的移除 由 Microsoft 实现此维护控制 审核 1.0.0
Microsoft 托管的控制 1410 - 维护工具 | 防止未经授权的移除 由 Microsoft 实现此维护控制 审核 1.0.0

非本地维护

ID:NIST SP 800-53 Rev. 4 MA-4,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1411 - 远程维护 由 Microsoft 实现此维护控制 审核 1.0.0
Microsoft 管理的控制 1412 - 远程维护 由 Microsoft 实现此维护控制 审核 1.0.0
Microsoft 管理的控制 1413 - 远程维护 由 Microsoft 实现此维护控制 审核 1.0.0
Microsoft 管理的控制 1414 - 远程维护 由 Microsoft 实现此维护控制 审核 1.0.0
Microsoft 管理的控制 1415 - 远程维护 由 Microsoft 实现此维护控制 审核 1.0.0

记录非本地维护

ID:NIST SP 800-53 Rev. 4 MA-4 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1416 - 远程维护 | 记录远程维护 由 Microsoft 实现此维护控制 审核 1.0.0

等效安全性/清理

ID:NIST SP 800-53 Rev. 4 MA-4 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1417 - 远程维护 | 等效安全性/清理 由 Microsoft 实现此维护控制 审核 1.0.0
Microsoft 管理的控制 1418 - 远程维护 | 等效安全性/清理 由 Microsoft 实现此维护控制 审核 1.0.0

加密保护

ID:NIST SP 800-53 Rev. 4 MA-4 (6),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1419 - 远程维护 | 加密保护 由 Microsoft 实现此维护控制 审核 1.0.0

维护人员

ID:NIST SP 800-53 Rev. 4 MA-5,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1420 - 维护人员 由 Microsoft 实现此维护控制 审核 1.0.0
Microsoft 托管的控制 1421 - 维护人员 由 Microsoft 实现此维护控制 审核 1.0.0
Microsoft 托管的控制 1422 - 维护人员 由 Microsoft 实现此维护控制 审核 1.0.0

不具备相应访问权限的人员

ID:NIST SP 800-53 Rev. 4 MA-5 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1423 - 维护人员 | 不具备相应访问权限的人员 由 Microsoft 实现此维护控制 审核 1.0.0
Microsoft 托管的控制 1424 - 维护人员 | 不具备相应访问权限的人员 由 Microsoft 实现此维护控制 审核 1.0.0

及时维护

ID:NIST SP 800-53 Rev. 4 MA-6,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1425 - 及时维护 由 Microsoft 实现此维护控制 审核 1.0.0

媒体保护

媒体保护策略和过程

ID:NIST SP 800-53 Rev. 4 MP-1,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1426 - 媒体保护政策和程序 由 Microsoft 实现此媒体保护控制 审核 1.0.0
Microsoft 托管的控制 1427-媒体保护政策和程序 由 Microsoft 实现此媒体保护控制 审核 1.0.0

媒体访问

ID:NIST SP 800-53 Rev. 4 MP-2,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1428 - 媒体访问 由 Microsoft 实现此媒体保护控制 审核 1.0.0

媒体标记

ID:NIST SP 800-53 Rev. 4 MP-3,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1429 - 媒体标签 由 Microsoft 实现此媒体保护控制 审核 1.0.0
Microsoft 管理的控制 1430 - 媒体标签 由 Microsoft 实现此媒体保护控制 审核 1.0.0

媒体存储

ID:NIST SP 800-53 Rev. 4 MP-4,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1431 - 媒体存储 由 Microsoft 实现此媒体保护控制 审核 1.0.0
Microsoft 托管的控制 1432 - 媒体存储 由 Microsoft 实现此媒体保护控制 审核 1.0.0

媒体传输

ID:NIST SP 800-53 Rev. 4 MP-5,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1433 - 媒体传输 由 Microsoft 实现此媒体保护控制 审核 1.0.0
Microsoft 托管的控制 1434 - 媒体传输 由 Microsoft 实现此媒体保护控制 审核 1.0.0
Microsoft 托管的控制 1435 - 媒体传输 由 Microsoft 实现此媒体保护控制 审核 1.0.0
Microsoft 托管的控制 1436 - 媒体传输 由 Microsoft 实现此媒体保护控制 审核 1.0.0

加密保护

ID:NIST SP 800-53 Rev. 4 MP-5 (4),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1437 - 媒体传输 | 加密保护 由 Microsoft 实现此媒体保护控制 审核 1.0.0

媒体清理

ID:NIST SP 800-53 Rev. 4 MP-6,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1438 - 媒体清理和处置 由 Microsoft 实现此媒体保护控制 审核 1.0.0
Microsoft 管理的控制 1439 - 媒体清理和处置 由 Microsoft 实现此媒体保护控制 审核 1.0.0

评审/审核/跟踪/记录/验证

ID:NIST SP 800-53 Rev. 4 MP-6 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1440 - 媒体清理和处置 | 评审/审核/跟踪/记录/验证 由 Microsoft 实现此媒体保护控制 审核 1.0.0

设备测试

ID:NIST SP 800-53 Rev. 4 MP-6 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1441 - 媒体清理和处置 | 设备测试 由 Microsoft 实现此媒体保护控制 审核 1.0.0

非销毁性技术

ID:NIST SP 800-53 Rev. 4 MP-6 (3),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1442 - 媒体清理和处置 | 设备测试 由 Microsoft 实现此媒体保护控制 审核 1.0.0

媒体使用

ID:NIST SP 800-53 Rev. 4 MP-7,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1443 - 媒体使用 由 Microsoft 实现此媒体保护控制 审核 1.0.0

禁止使用没有所有者的媒体资产

ID:NIST SP 800-53 Rev. 4 MP-7 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1444 - 媒体使用 | 禁止使用没有所有者的资产 由 Microsoft 实现此媒体保护控制 审核 1.0.0

物理保护和环境保护

物理保护和环境保护政策与过程

ID:NIST SP 800-53 Rev. 4 PE-1,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1445 - 物理保护和环境保护政策和程序 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0
Microsoft 托管的控制 1446 - 物理保护和环境保护政策和程序 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

物理访问授权

ID:NIST SP 800-53 Rev. 4 PE-2,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1447 - 物理访问授权 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0
Microsoft 托管的控制 1448 - 物理访问授权 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0
Microsoft 托管的控制 1449 - 物理访问授权 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0
Microsoft 托管的控制 1450 - 物理访问授权 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

物理访问控制

ID:NIST SP 800-53 Rev. 4 PE-3,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1451 - 物理访问控制 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0
Microsoft 托管的控制 1452 - 物理访问控制 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0
Microsoft 托管的控制 1453 - 物理访问控制 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0
Microsoft 托管的控制 1454 - 物理访问控制 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0
Microsoft 托管的控制 1455 - 物理访问控制 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0
Microsoft 托管的控制 1456 - 物理访问控制 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0
Microsoft 托管的控制 1457 - 物理访问控制 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

信息系统访问

ID:NIST SP 800-53 Rev. 4 PE-3 (1),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1458 - 物理访问控制 | 信息系统访问 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

传输媒体的访问控制

ID:NIST SP 800-53 Rev. 4 PE-4,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1459 - 传输媒体的访问控制 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

输出设备的访问控制

ID:NIST SP 800-53 Rev. 4 PE-5,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1460 - 输出设备的访问控制 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

监视物理访问

ID:NIST SP 800-53 Rev. 4 PE-6,所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1461 - 监视物理访问 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0
Microsoft 托管的控制 1462 - 监视物理访问 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0
Microsoft 托管的控制 1463 - 监视物理访问 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

入侵警报/监视设备

ID:NIST SP 800-53 Rev. 4 PE-6 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1464 - 监视物理访问 | 入侵警报/监视设备 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

监视对信息系统的物理访问

ID:NIST SP 800-53 Rev. 4 PE-6 (4),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1465 - 监视物理访问 | 监视对信息系统的物理访问 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

访客访问记录

ID:NIST SP 800-53 Rev. 4 PE-8,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1466 - 访客访问记录 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0
Microsoft 托管的控制 1467 - 访客访问记录 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

自动记录维护/评审

ID:NIST SP 800-53 Rev. 4 PE-8 (1),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1468 - 访客访问记录 | 自动记录维护/评审 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

电源设备和布线

ID:NIST SP 800-53 Rev. 4 PE-9,所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1469 - 电源设备和布线 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

紧急关闭

ID:NIST SP 800-53 Rev. 4 PE-10,所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1470 - 紧急关闭 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0
Microsoft 托管的控制 1471 - 紧急关闭 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0
Microsoft 托管的控制 1472 - 紧急关闭 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

应急电源

ID:NIST SP 800-53 Rev. 4 PE-11,所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1473 - 应急电源 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

长期备用电源 - 最低运作能力

ID:NIST SP 800-53 Rev. 4 PE-11 (1),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1474 - 应急电源 | 长期备用电源 - 最低运作能力 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

应急照明

ID:NIST SP 800-53 Rev. 4 PE-12,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1475 - 应急照明 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

消防

ID:NIST SP 800-53 Rev. 4 PE-13,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1476 - 消防 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

检测设备/系统

ID:NIST SP 800-53 Rev. 4 PE-13 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1477 - 消防 | 检测设备/系统 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

灭火设备/系统

ID:NIST SP 800-53 Rev. 4 PE-13 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1478 - 消防 | 灭火设备/系统 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

自动灭火

ID:NIST SP 800-53 Rev. 4 PE-13 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1479 - 消防 | 自动灭火 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

温度和湿度控制

ID:NIST SP 800-53 Rev. 4 PE-14,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1480 - 温度和湿度控制 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0
Microsoft 托管的控制 1481 - 温度和湿度控制 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

通过警报/通知监视

ID:NIST SP 800-53 Rev. 4 PE-14 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1482 - 温度和湿度控制 | 监视警报/通知 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

水害保护

ID:NIST SP 800-53 Rev. 4 PE-15,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1483 - 水害保护 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

自动化支持

ID:NIST SP 800-53 Rev. 4 PE-15 (1),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1484 - 水害保护 | 自动化支持 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

传递和删除

ID:NIST SP 800-53 Rev. 4 PE-16,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1485 - 传递和删除 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

备用工作站点

ID:NIST SP 800-53 Rev. 4 PE-17,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1486 - 备用工作站点 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0
Microsoft 托管的控制 1487 - 备用工作站点 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0
Microsoft 托管的控制 1488 - 备用工作站点 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

信息系统组件的位置

ID:NIST SP 800-53 Rev. 4 PE-18,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1489 - 信息系统组件的位置 由 Microsoft 实现此物理保护和环境保护控制 审核 1.0.0

规划

安全计划政策和程序

ID:NIST SP 800-53 Rev. 4 PL-1,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1490 - 安全计划政策和程序 由 Microsoft 实现此计划控制 审核 1.0.0
Microsoft 托管的控制 1491 - 安全计划政策和程序 由 Microsoft 实现此计划控制 审核 1.0.0

系统安全计划

ID:NIST SP 800-53 Rev. 4 PL-2,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1492 - 系统安全计划 由 Microsoft 实现此计划控制 审核 1.0.0
Microsoft 托管的控制 1493 - 系统安全计划 由 Microsoft 实现此计划控制 审核 1.0.0
Microsoft 托管的控制 1494 - 系统安全计划 由 Microsoft 实现此计划控制 审核 1.0.0
Microsoft 托管的控制 1495 - 系统安全计划 由 Microsoft 实现此计划控制 审核 1.0.0
Microsoft 托管的控制 1496 - 系统安全计划 由 Microsoft 实现此计划控制 审核 1.0.0

与其他组织实体进行规划/协调

ID:NIST SP 800-53 Rev. 4 PL-2 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1497 - 系统安全计划 | 与其他组织实体规划/协调 由 Microsoft 实现此计划控制 审核 1.0.0

行为规则

ID:NIST SP 800-53 Rev. 4 PL-4,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1498 - 行为规则 由 Microsoft 实现此计划控制 审核 1.0.0
Microsoft 托管的控制 1499 - 行为规则 由 Microsoft 实现此计划控制 审核 1.0.0
Microsoft 托管的控制 1500 - 行为规则 由 Microsoft 实现此计划控制 审核 1.0.0
Microsoft 托管的控制 1501 - 行为规则 由 Microsoft 实现此计划控制 审核 1.0.0

社交媒体和网络限制

ID:NIST SP 800-53 Rev. 4 PL-4 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1502 - 行为规则 | 社交媒体和网络限制 由 Microsoft 实现此计划控制 审核 1.0.0

信息安全体系结构

ID:NIST SP 800-53 Rev. 4 PL-8,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1503 - 信息安全体系结构 由 Microsoft 实现此计划控制 审核 1.0.0
Microsoft 托管的控制 1504 - 信息安全体系结构 由 Microsoft 实现此计划控制 审核 1.0.0
Microsoft 托管的控制 1505 - 信息安全体系结构 由 Microsoft 实现此计划控制 审核 1.0.0

人员安全

人员安全政策和程序

ID:NIST SP 800-53 Rev. 4 PS-1,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1506 - 人员安全政策和程序 由 Microsoft 实现此人员安全控制 审核 1.0.0
Microsoft 托管的控制 1507 - 人员安全政策和程序 由 Microsoft 实现此人员安全控制 审核 1.0.0

岗位风险指示

ID:NIST SP 800-53 Rev. 4 PS-2,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1508 - 位置分类 由 Microsoft 实现此人员安全控制 审核 1.0.0
Microsoft 管理的控制 1509 - 位置分类 由 Microsoft 实现此人员安全控制 审核 1.0.0
Microsoft 管理的控制 1510 - 位置分类 由 Microsoft 实现此人员安全控制 审核 1.0.0

人员筛选

ID:NIST SP 800-53 Rev. 4 PS-3,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1511 - 人员筛选 由 Microsoft 实现此人员安全控制 审核 1.0.0
Microsoft 托管的控制 1512 - 人员筛选 由 Microsoft 实现此人员安全控制 审核 1.0.0

具有特殊保护措施的信息

ID:NIST SP 800-53 Rev. 4 PS-3 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1513 - 人员筛选 | 具有特殊保护措施的信息 由 Microsoft 实现此人员安全控制 审核 1.0.0
Microsoft 托管的控制 1514 - 人员筛选 | 具有特殊保护措施的信息 由 Microsoft 实现此人员安全控制 审核 1.0.0

人员解职

ID:NIST SP 800-53 Rev. 4 PS-4,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1515 - 人员解职 由 Microsoft 实现此人员安全控制 审核 1.0.0
Microsoft 托管的控制 1516 - 人员解职 由 Microsoft 实现此人员安全控制 审核 1.0.0
Microsoft 托管的控制 1517 - 人员解职 由 Microsoft 实现此人员安全控制 审核 1.0.0
Microsoft 托管的控制 1518 - 人员解职 由 Microsoft 实现此人员安全控制 审核 1.0.0
Microsoft 托管的控制 1519 - 人员解职 由 Microsoft 实现此人员安全控制 审核 1.0.0
Microsoft 托管的控制 1520 - 人员解职 由 Microsoft 实现此人员安全控制 审核 1.0.0

自动化通知

ID:NIST SP 800-53 Rev. 4 PS-4 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1521 - 人员解职 | 自动通知 由 Microsoft 实现此人员安全控制 审核 1.0.0

人事调动

ID:NIST SP 800-53 Rev. 4 PS-5,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1522 - 人事调动 由 Microsoft 实现此人员安全控制 审核 1.0.0
Microsoft 托管的控制 1523 - 人事调动 由 Microsoft 实现此人员安全控制 审核 1.0.0
Microsoft 托管的控制 1524 - 人事调动 由 Microsoft 实现此人员安全控制 审核 1.0.0
Microsoft 托管的控制 1525 - 人事调动 由 Microsoft 实现此人员安全控制 审核 1.0.0

访问协议

ID:NIST SP 800-53 Rev. 4 PS-6,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1526 - 访问协议 由 Microsoft 实现此人员安全控制 审核 1.0.0
Microsoft 托管的控制 1527 - 访问协议 由 Microsoft 实现此人员安全控制 审核 1.0.0
Microsoft 托管的控制 1528 - 访问协议 由 Microsoft 实现此人员安全控制 审核 1.0.0

第三方人员的安全

ID:NIST SP 800-53 Rev. 4 PS-7,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1529 - 第三方人员的安全 由 Microsoft 实现此人员安全控制 审核 1.0.0
Microsoft 托管的控制 1530 - 第三方人员的安全 由 Microsoft 实现此人员安全控制 审核 1.0.0
Microsoft 托管的控制 1531 - 第三方人员的安全 由 Microsoft 实现此人员安全控制 审核 1.0.0
Microsoft 托管的控制 1532 - 第三方人员的安全 由 Microsoft 实现此人员安全控制 审核 1.0.0
Microsoft 托管的控制 1533 - 第三方人员的安全 由 Microsoft 实现此人员安全控制 审核 1.0.0

人事处分

ID:NIST SP 800-53 Rev. 4 PS-8,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1534 - 人事处分 由 Microsoft 实现此人员安全控制 审核 1.0.0
Microsoft 托管的控制 1535 - 人事处分 由 Microsoft 实现此人员安全控制 审核 1.0.0

风险评估

风险评估政策和程序

ID:NIST SP 800-53 Rev. 4 RA-1,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1536 - 风险评估政策和程序 由 Microsoft 实现此风险评估控制 审核 1.0.0
Microsoft 托管的控制 1537 - 风险评估政策和程序 由 Microsoft 实现此风险评估控制 审核 1.0.0

安全分类

ID:NIST SP 800-53 Rev. 4 RA-2,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1538 - 安全分类 由 Microsoft 实现此风险评估控制 审核 1.0.0
Microsoft 托管的控制 1539 - 安全分类 由 Microsoft 实现此风险评估控制 审核 1.0.0
Microsoft 托管的控制 1540 - 安全分类 由 Microsoft 实现此风险评估控制 审核 1.0.0

风险评估

ID:NIST SP 800-53 Rev. 4 RA-3,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1541 - 风险评估 由 Microsoft 实现此风险评估控制 审核 1.0.0
Microsoft 托管的控制 1542 - 风险评估 由 Microsoft 实现此风险评估控制 审核 1.0.0
Microsoft 托管的控制 1543 - 风险评估 由 Microsoft 实现此风险评估控制 审核 1.0.0
Microsoft 托管的控制 1544 - 风险评估 由 Microsoft 实现此风险评估控制 审核 1.0.0
Microsoft 托管的控制 1545 - 风险评估 由 Microsoft 实现此风险评估控制 审核 1.0.0

漏洞扫描

ID:NIST SP 800-53 Rev. 4 RA-5,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用适用于 Azure SQL 数据库服务器的 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.2
应启用 Azure Defender for Resource Manager Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
应启用适用于服务器的 Azure Defender 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.3
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 审核没有高级数据安全的 SQL 服务器 AuditIfNotExists、Disabled 2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 审核所有未启用高级数据安全的 SQL 托管实例。 AuditIfNotExists、Disabled 1.0.2
应启用 Microsoft Defender for Containers Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 AuditIfNotExists、Disabled 1.0.0
应启用 Microsoft Defender for Storage(经典版) Microsoft Defender for Storage(经典版)可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。 AuditIfNotExists、Disabled 1.0.4
Microsoft 托管的控制 1546 - 漏洞扫描 由 Microsoft 实现此风险评估控制 审核 1.0.0
Microsoft 托管的控制 1547 - 漏洞扫描 由 Microsoft 实现此风险评估控制 审核 1.0.0
Microsoft 托管的控制 1548 - 漏洞扫描 由 Microsoft 实现此风险评估控制 审核 1.0.0
Microsoft 托管的控制 1549 - 漏洞扫描 由 Microsoft 实现此风险评估控制 审核 1.0.0
Microsoft 托管的控制 1550 - 漏洞扫描 由 Microsoft 实现此风险评估控制 审核 1.0.0
SQL 数据库应已解决漏洞结果 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 AuditIfNotExists、Disabled 4.1.0
计算机上的 SQL Server 应已解决漏洞结果 SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,例如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 AuditIfNotExists、Disabled 1.0.0
应修复计算机上安全配置中的漏洞 建议通过 Azure 安全中心监视不满足配置的基线的服务器 AuditIfNotExists、Disabled 3.1.0
应在 SQL 托管实例上启用漏洞评估 审核未启用定期漏洞评估扫描的每个 SQL 托管实例。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 AuditIfNotExists、Disabled 1.0.1
应对 SQL 服务器启用漏洞评估 审核未正确配置漏洞评估的 Azure SQL 服务器。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 AuditIfNotExists、Disabled 3.0.0
应对 Synapse 工作区启用漏洞评估 通过在 Synapse 工作区上配置定期 SQL 漏洞评估扫描来发现、跟踪和修复潜在的漏洞。 AuditIfNotExists、Disabled 1.0.0

更新工具功能

ID:NIST SP 800-53 Rev. 4 RA-5 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1551 - 漏洞扫描 | 更新工具功能 由 Microsoft 实现此风险评估控制 审核 1.0.0

按频率/新扫描前/遭识别时更新

ID:NIST SP 800-53 Rev. 4 RA-5 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1552 - 漏洞扫描 | 按频率更新/新扫描之前/识别时 由 Microsoft 实现此风险评估控制 审核 1.0.0

覆盖范围的广度/深度

ID:NIST SP 800-53 Rev. 4 RA-5 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1553 - 漏洞扫描 | 作用广度/深度 由 Microsoft 实现此风险评估控制 审核 1.0.0

可发现的信息

ID:NIST SP 800-53 Rev. 4 RA-5 (4),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1554 - 漏洞扫描 | 可检测到的信息 由 Microsoft 实现此风险评估控制 审核 1.0.0

特权访问

ID:NIST SP 800-53 Rev. 4 RA-5 (5),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1555 - 漏洞扫描 | 特权访问 由 Microsoft 实现此风险评估控制 审核 1.0.0

自动趋势分析

ID:NIST SP 800-53 Rev. 4 RA-5 (6),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1556 - 漏洞扫描 | 自动趋势分析 由 Microsoft 实现此风险评估控制 审核 1.0.0

审查历史审核日志

ID:NIST SP 800-53 Rev. 4 RA-5 (8),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1557 - 漏洞扫描 | 查阅历史审核日志 由 Microsoft 实现此风险评估控制 审核 1.0.0

关联扫描信息

ID:NIST SP 800-53 Rev. 4 RA-5 (10),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1558 - 漏洞扫描 | 关联扫描信息 由 Microsoft 实现此风险评估控制 审核 1.0.0

系统和服务获取

系统和服务采购政策与流程

ID:NIST SP 800-53 Rev. 4 SA-1,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1559 - 系统和服务采购政策和程序 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1560 - 系统和服务采购政策和程序 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

资源分配

ID:NIST SP 800-53 Rev. 4 SA-2,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1561 - 资源分配 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1562 - 资源分配 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1563 - 资源分配 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

系统开发生命周期

ID:NIST SP 800-53 Rev. 4 SA-3,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1564 - 系统开发生命周期 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1565 - 系统开发生命周期 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1566 - 系统开发生命周期 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1567 - 系统开发生命周期 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

采购流程

ID:NIST SP 800-53 Rev. 4 SA-4,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1568 - 采购流程 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 管理的控制 1569 - 采购流程 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 管理的控制 1570 - 采购流程 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 管理的控制 1571 - 采购流程 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 管理的控制 1572 - 采购流程 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 管理的控制 1573 - 采购流程 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 管理的控制 1574 - 采购流程 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

安全控件的功能属性

ID:NIST SP 800-53 Rev. 4 SA-4 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1575 - 采购流程 | 安全控制的功能属性 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

安全控件的设计/实现信息

ID:NIST SP 800-53 Rev. 4 SA-4 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1576 - 采购流程 | 安全控制的设计/实施信息 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

持续监控计划

ID:NIST SP 800-53 Rev. 4 SA-4 (8),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1577 - 采购流程 | 持续监控计划 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

使用的功能/端口/协议/服务

ID:NIST SP 800-53 Rev. 4 SA-4 (9),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1578 - 采购流程 | 使用的功能/端口/协议/服务 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

使用已批准的 PIV 产品

ID:NIST SP 800-53 Rev. 4 SA-4 (10),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1579 - 采购流程 | 批准的 Piv 产品的使用 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

信息系统文档

ID:NIST SP 800-53 Rev. 4 SA-5,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1580 - 信息系统文档 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1581 - 信息系统文档 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1582 - 信息系统文档 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1583 - 信息系统文档 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1584 - 信息系统文档 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

安全工程原则

ID:NIST SP 800-53 Rev. 4 SA-8,所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1585 - 安全工程原则 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

外部信息系统服务

ID:NIST SP 800-53 Rev. 4 SA-9,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1586 - 外部信息系统服务 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1587 - 外部信息系统服务 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1588 - 外部信息系统服务 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

风险评估/组织审批

ID:NIST SP 800-53 Rev. 4 SA-9 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1589 - 外部信息系统服务 | 风险评估/组织审批 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1590 - 外部信息系统服务 | 风险评估/组织审批 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

功能/端口/协议/服务的标识

ID:NIST SP 800-53 Rev. 4 SA-9 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1591 - 外部信息系统服务 | 功能/端口/协议的标识... 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

使用者和提供者的一致利益

ID:NIST SP 800-53 Rev. 4 SA-9 (4),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1592 - 外部信息系统服务 | 使用者和提供商的一致利益 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

处理、存储和服务位置

ID:NIST SP 800-53 Rev. 4 SA-9 (5),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1593 - 外部信息系统服务 | 处理、存储和服务位置 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

开发商配置管理

ID:NIST SP 800-53 Rev. 4 SA-10,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1594 - 开发商配置管理 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1595 - 开发商配置管理 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1596 - 开发商配置管理 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1597 - 开发商配置管理 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1598 - 开发商配置管理 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

软件/固件完整性验证

ID:NIST SP 800-53 Rev. 4 SA-10 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1599 - 开发商配置管理 | 软件/固件完整性验证 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

开发商安全测试和评估

ID:NIST SP 800-53 Rev. 4 SA-11,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1600 - 开发人商安全测试和评估 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1601 - 开发人商安全测试和评估 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1602 - 开发人商安全测试和评估 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1603 - 开发人商安全测试和评估 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1604 - 开发人商安全测试和评估 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

静态代码分析

ID:NIST SP 800-53 Rev. 4 SA-11 (1),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1605 - 开发商安全测试和评估 | 静态代码分析 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

威胁和漏洞分析

ID:NIST SP 800-53 Rev. 4 SA-11 (2),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1606 - 开发商安全测试和评估 | 威胁和漏洞分析 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

动态代码分析

ID:NIST SP 800-53 Rev. 4 SA-11 (8),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1607 - 开发商安全测试和评估 | 动态代码分析 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

供应链保护

ID:NIST SP 800-53 Rev. 4 SA-12,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1608 - 供应链保护 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

开发流程、标准和工具

ID:NIST SP 800-53 Rev. 4 SA-15,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1609 - 开发流程、标准和工具 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1610 - 开发流程、标准和工具 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

开发商提供的培训

ID:NIST SP 800-53 Rev. 4 SA-16,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1611 - 开发商提供的培训 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

开发人员安全体系结构和设计

ID:NIST SP 800-53 Rev. 4 SA-17,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1612 - 开发商安全体系结构和设计 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1613 - 开发商安全体系结构和设计 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0
Microsoft 托管的控制 1614 - 开发商安全体系结构和设计 由 Microsoft 实现此系统和服务获取控制 审核 1.0.0

系统和通信保护

系统和通信保护策略及过程

ID:NIST SP 800-53 Rev. 4 SC-1,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1615 - 系统和通信保护政策和程序 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0
Microsoft 托管的控制 1616 - 系统和通信保护政策和程序 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

应用分区

ID:NIST SP 800-53 Rev. 4 SC-2,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1617 - 应用程序分区 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

安全功能隔离

ID:NIST SP 800-53 Rev. 4 SC-3,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用适用于服务器的 Azure Defender 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.3
Microsoft 托管的控制 1618 - 安全功能隔离 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0
应在计算机上启用 Windows Defender 攻击防护 Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 AuditIfNotExists、Disabled 1.1.1

共享资源中的信息

ID:NIST SP 800-53 Rev. 4 SC-4,所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1619 - 共享资源中的信息 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

拒绝服务保护

ID:NIST SP 800-53 Rev. 4 SC-5,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用 Azure DDoS 防护 应对具有相关子网(属于具有公共 IP 的应用程序网关)的所有虚拟网络启用 DDoS 防护。 AuditIfNotExists、Disabled 3.0.1
应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 Audit、Deny、Disabled 1.0.2
应禁用虚拟机上的 IP 转发 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 AuditIfNotExists、Disabled 3.0.0
Microsoft 托管的控制 1620 - 拒绝服务保护 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0
应为应用程序网关启用 Web 应用程序防火墙 (WAF) 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 Audit、Deny、Disabled 2.0.0

资源可用性

ID:NIST SP 800-53 Rev. 4 SC-6,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1621 - 资源可用性 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

边界保护

ID:NIST SP 800-53 Rev. 4 SC-7,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[已弃用]:Azure 认知搜索服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure 认知搜索可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints Audit、Disabled 1.0.1-deprecated
[已弃用]:认知服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800 Audit、Disabled 3.0.1-deprecated
应限制在与虚拟机关联的网络安全组上使用所有网络端口 Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 AuditIfNotExists、Disabled 3.0.0
API 管理服务应使用虚拟网络 Azure 虚拟网络部署提供了增强的安全性和隔离,并允许你将 API 管理服务放置在不可经 Internet 路由的网络(你控制对其的访问权限)中。 然后,可以使用各种 VPN 技术将这些网络连接到本地网络,这样就能够访问网络中的和/或本地的后端服务。 可以将开发人员门户和 API 网关配置为可以从 Internet 访问或只能在虚拟网络内访问。 Audit、Deny、Disabled 1.0.2
应用程序配置应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint AuditIfNotExists、Disabled 1.0.2
应在 Kubernetes 服务上定义经授权的 IP 范围 通过仅向特定范围内的 IP 地址授予 API 访问权限,来限制对 Kubernetes 服务管理 API 的访问。 建议将访问权限限制给已获授权的 IP 范围,以确保只有受允许网络中的应用程序可以访问群集。 Audit、Disabled 2.0.0
Azure AI 服务资源应限制网络访问 通过限制网络访问,可以确保只有允许的网络才能访问该服务。 这可以通过配置网络规则来实现,从其确保只有允许的网络中的应用程序才可以访问 Azure AI 服务。 Audit、Deny、Disabled 3.2.0
Azure Cache for Redis 应使用专用链接 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 实例,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link AuditIfNotExists、Disabled 1.0.0
Azure 认知搜索服务应使用支持专用链接的 SKU 使用 Azure 认知搜索的受支持的 SKU,可以通过 Azure 专用链接在源位置或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints Audit、Deny、Disabled 1.0.0
Azure 认知搜索服务应禁用公用网络访问 禁用公用网络访问可确保 Azure 认知搜索服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制搜索服务的公开。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints Audit、Deny、Disabled 1.0.0
Azure Cosmos DB 帐户应有防火墙规则 应在 Azure Cosmos DB 帐户上定义防火墙规则,以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。 Audit、Deny、Disabled 2.1.0
Azure 数据工厂应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link AuditIfNotExists、Disabled 1.0.0
Azure 事件网格域应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints Audit、Disabled 1.0.2
Azure 事件网格主题应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格主题(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints Audit、Disabled 1.0.2
Azure 文件同步应使用专用链接 为指定的存储同步服务资源创建专用终结点,可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源,而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。 AuditIfNotExists、Disabled 1.0.0
Azure 密钥保管库应启用防火墙 启用密钥保管库防火墙,以便默认情况下,任何公共 IP 都无法访问密钥保管库。 (可选)可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息:https://docs.microsoft.com/azure/key-vault/general/network-security Audit、Deny、Disabled 1.4.1
Azure 机器学习工作区应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link Audit、Disabled 1.0.0
Azure 服务总线命名空间应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service AuditIfNotExists、Disabled 1.0.0
Azure SignalR 服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure SignalR 服务资源而不是整个服务,可降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/asrs/privatelink Audit、Disabled 1.0.0
Azure Synapse 工作区应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Synapse 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links Audit、Disabled 1.0.1
应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 Audit、Deny、Disabled 1.0.2
容器注册表不得允许无限制的网络访问 默认情况下,Azure 容器注册表接受来自任何网络上的主机的 Internet 连接。 为了防止注册表受到潜在的威胁,只允许来自特定的专用终结点、公共 IP 地址或地址范围的访问。 如果注册表没有配置网络规则,它将出现在不正常资源中。 若要详细了解容器注册表网络规则,请访问:https://aka.ms/acr/privatelink、 https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet Audit、Deny、Disabled 2.0.0
容器注册表应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。通过将专用终结点映射到容器注册表,而不是整个服务,还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/acr/private-link Audit、Disabled 1.0.1
CosmosDB 帐户应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints Audit、Disabled 1.0.0
磁盘访问资源应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 diskAccesses,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/disksprivatelinksdoc AuditIfNotExists、Disabled 1.0.0
事件中心命名空间应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/event-hubs/private-link-service AuditIfNotExists、Disabled 1.0.0
面向 Internet 的虚拟机应使用网络安全组进行保护 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc AuditIfNotExists、Disabled 3.0.0
IoT 中心设备预配服务实例应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/iotdpsvnet Audit、Disabled 1.0.0
应禁用虚拟机上的 IP 转发 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 AuditIfNotExists、Disabled 3.0.0
应通过即时网络访问控制来保护虚拟机的管理端口 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 AuditIfNotExists、Disabled 3.0.0
应关闭虚拟机上的管理端口 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 AuditIfNotExists、Disabled 3.0.0
Microsoft 托管的控制 1622 - 边界保护 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0
Microsoft 托管的控制 1623 - 边界保护 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0
Microsoft 托管的控制 1624 - 边界保护 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0
应使用网络安全组来保护非面向 Internet 的虚拟机 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc AuditIfNotExists、Disabled 3.0.0
应启用 Azure SQL 数据库上的专用终结点连接 专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。 Audit、Disabled 1.1.0
应禁用 Azure SQL 数据库上的公用网络访问 禁用公用网络访问属性可确保只能从专用终结点访问 Azure SQL 数据库,从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 Audit、Deny、Disabled 1.1.0
应限制对存储帐户的网络访问 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 Audit、Deny、Disabled 1.1.1
存储帐户应使用虚拟网络规则来限制网络访问 使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 Audit、Deny、Disabled 1.0.1
存储帐户应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview AuditIfNotExists、Disabled 2.0.0
子网应与网络安全组关联 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 AuditIfNotExists、Disabled 3.0.0
应为应用程序网关启用 Web 应用程序防火墙 (WAF) 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 Audit、Deny、Disabled 2.0.0

接入点

ID:NIST SP 800-53 Rev. 4 SC-7 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[已弃用]:Azure 认知搜索服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 Azure 认知搜索可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints Audit、Disabled 1.0.1-deprecated
[已弃用]:认知服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到认知服务将减少数据泄露的可能性。 有关专用链接的详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800 Audit、Disabled 3.0.1-deprecated
应限制在与虚拟机关联的网络安全组上使用所有网络端口 Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 AuditIfNotExists、Disabled 3.0.0
API 管理服务应使用虚拟网络 Azure 虚拟网络部署提供了增强的安全性和隔离,并允许你将 API 管理服务放置在不可经 Internet 路由的网络(你控制对其的访问权限)中。 然后,可以使用各种 VPN 技术将这些网络连接到本地网络,这样就能够访问网络中的和/或本地的后端服务。 可以将开发人员门户和 API 网关配置为可以从 Internet 访问或只能在虚拟网络内访问。 Audit、Deny、Disabled 1.0.2
应用程序配置应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint AuditIfNotExists、Disabled 1.0.2
应在 Kubernetes 服务上定义经授权的 IP 范围 通过仅向特定范围内的 IP 地址授予 API 访问权限,来限制对 Kubernetes 服务管理 API 的访问。 建议将访问权限限制给已获授权的 IP 范围,以确保只有受允许网络中的应用程序可以访问群集。 Audit、Disabled 2.0.0
Azure AI 服务资源应限制网络访问 通过限制网络访问,可以确保只有允许的网络才能访问该服务。 这可以通过配置网络规则来实现,从其确保只有允许的网络中的应用程序才可以访问 Azure AI 服务。 Audit、Deny、Disabled 3.2.0
Azure Cache for Redis 应使用专用链接 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 实例,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link AuditIfNotExists、Disabled 1.0.0
Azure 认知搜索服务应使用支持专用链接的 SKU 使用 Azure 认知搜索的受支持的 SKU,可以通过 Azure 专用链接在源位置或目标位置没有公共 IP 地址的情况下将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务,可以降低数据泄露风险。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints Audit、Deny、Disabled 1.0.0
Azure 认知搜索服务应禁用公用网络访问 禁用公用网络访问可确保 Azure 认知搜索服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制搜索服务的公开。 有关详细信息,请访问:https://aka.ms/azure-cognitive-search/inbound-private-endpoints Audit、Deny、Disabled 1.0.0
Azure Cosmos DB 帐户应有防火墙规则 应在 Azure Cosmos DB 帐户上定义防火墙规则,以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。 Audit、Deny、Disabled 2.1.0
Azure 数据工厂应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/data-factory/data-factory-private-link AuditIfNotExists、Disabled 1.0.0
Azure 事件网格域应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints Audit、Disabled 1.0.2
Azure 事件网格主题应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格主题(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints Audit、Disabled 1.0.2
Azure 文件同步应使用专用链接 为指定的存储同步服务资源创建专用终结点,可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源,而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。 AuditIfNotExists、Disabled 1.0.0
Azure 密钥保管库应启用防火墙 启用密钥保管库防火墙,以便默认情况下,任何公共 IP 都无法访问密钥保管库。 (可选)可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息:https://docs.microsoft.com/azure/key-vault/general/network-security Audit、Deny、Disabled 1.4.1
Azure 机器学习工作区应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link Audit、Disabled 1.0.0
Azure 服务总线命名空间应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service AuditIfNotExists、Disabled 1.0.0
Azure SignalR 服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure SignalR 服务资源而不是整个服务,可降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/asrs/privatelink Audit、Disabled 1.0.0
Azure Synapse 工作区应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Synapse 工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links Audit、Disabled 1.0.1
应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 Audit、Deny、Disabled 1.0.2
容器注册表不得允许无限制的网络访问 默认情况下,Azure 容器注册表接受来自任何网络上的主机的 Internet 连接。 为了防止注册表受到潜在的威胁,只允许来自特定的专用终结点、公共 IP 地址或地址范围的访问。 如果注册表没有配置网络规则,它将出现在不正常资源中。 若要详细了解容器注册表网络规则,请访问:https://aka.ms/acr/privatelink、 https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet Audit、Deny、Disabled 2.0.0
容器注册表应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。通过将专用终结点映射到容器注册表,而不是整个服务,还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/acr/private-link Audit、Disabled 1.0.1
CosmosDB 帐户应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints Audit、Disabled 1.0.0
磁盘访问资源应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 diskAccesses,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/disksprivatelinksdoc AuditIfNotExists、Disabled 1.0.0
事件中心命名空间应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/event-hubs/private-link-service AuditIfNotExists、Disabled 1.0.0
面向 Internet 的虚拟机应使用网络安全组进行保护 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc AuditIfNotExists、Disabled 3.0.0
IoT 中心设备预配服务实例应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/iotdpsvnet Audit、Disabled 1.0.0
应禁用虚拟机上的 IP 转发 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 AuditIfNotExists、Disabled 3.0.0
应通过即时网络访问控制来保护虚拟机的管理端口 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 AuditIfNotExists、Disabled 3.0.0
应关闭虚拟机上的管理端口 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 AuditIfNotExists、Disabled 3.0.0
Microsoft 托管的控制 1625 - 边界保护 | 接入点 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0
应使用网络安全组来保护非面向 Internet 的虚拟机 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc AuditIfNotExists、Disabled 3.0.0
应启用 Azure SQL 数据库上的专用终结点连接 专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。 Audit、Disabled 1.1.0
应禁用 Azure SQL 数据库上的公用网络访问 禁用公用网络访问属性可确保只能从专用终结点访问 Azure SQL 数据库,从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 Audit、Deny、Disabled 1.1.0
应限制对存储帐户的网络访问 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 Audit、Deny、Disabled 1.1.1
存储帐户应使用虚拟网络规则来限制网络访问 使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 Audit、Deny、Disabled 1.0.1
存储帐户应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview AuditIfNotExists、Disabled 2.0.0
子网应与网络安全组关联 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 AuditIfNotExists、Disabled 3.0.0
应为应用程序网关启用 Web 应用程序防火墙 (WAF) 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 Audit、Deny、Disabled 2.0.0

外部电信服务

ID:NIST SP 800-53 Rev. 4 SC-7 (4),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1626 - 边界保护 | 外部电信服务 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0
Microsoft 托管的控制 1627 - 边界保护 | 外部电信服务 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0
Microsoft 托管的控制 1628 - 边界保护 | 外部电信服务 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0
Microsoft 托管的控制 1629 - 边界保护 | 外部电信服务 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0
Microsoft 托管的控制 1630 - 边界保护 | 外部电信服务 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

默认拒绝/按例外允许

ID:NIST SP 800-53 Rev. 4 SC-7 (5),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1631 - 边界保护 | 默认拒绝/例外允许 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

阻止远程设备的拆分隧道

ID:NIST SP 800-53 Rev. 4 SC-7 (7),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1632 - 边界保护 | 阻止远程设备发生隧道分离 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

将流量路由到已验证代理服务器

ID:NIST SP 800-53 Rev. 4 SC-7 (8),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1633 - 边界保护 | 将流量路由到已验证代理服务器 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

防止未经授权的外泄

ID:NIST SP 800-53 Rev. 4 SC-7 (10),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1634 - 边界保护 | 防止未经授权的渗漏 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

基于主机的保护

ID:NIST SP 800-53 Rev. 4 SC-7 (12),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1635 - 边界保护 | 基于主机的保护 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

安全工具/机制/支持组件隔离

ID:NIST SP 800-53 Rev. 4 SC-7 (13),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1636 - 边界保护 | 隔离安全工具/机制/支持组件 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

失效安全

ID:NIST SP 800-53 Rev. 4 SC-7 (18),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1637 - 边界保护 | 以安全妥善的方式发生故障 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

动态隔离/分离

ID:NIST SP 800-53 Rev. 4 SC-7 (20),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1638 - 边界保护 | 动态隔离/划分 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

信息系统组件隔离

ID:NIST SP 800-53 Rev. 4 SC-7 (21),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1639 - 边界保护 | 隔离信息系统组件 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

传输保密性和完整性

ID:NIST SP 800-53 Rev. 4 SC-8,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
只应通过 HTTPS 访问应用服务应用 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 审核、已禁用、拒绝 4.0.0
应用服务应用应仅需要 FTPS 启用“FTPS 强制实施”以增强安全性。 AuditIfNotExists、Disabled 3.0.0
应用服务应用应使用最新的 TLS 版本 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 AuditIfNotExists、Disabled 2.1.0
Azure HDInsight 群集应使用传输中加密来加密 Azure HDInsight 群集节点之间的通信 在 Azure HDInsight 群集节点之间的传输过程中,数据可能会被篡改。 启用传输中加密可解决传输过程中的滥用和篡改问题。 Audit、Deny、Disabled 1.0.0
应为 MySQL 数据库服务器启用“强制 SSL 连接” Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 Audit、Disabled 1.0.1
应为 PostgreSQL 数据库服务器启用“强制 SSL 连接” Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 Audit、Disabled 1.0.1
只应通过 HTTPS 访问函数应用 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 审核、已禁用、拒绝 5.0.0
函数应用应仅需要 FTPS 启用“FTPS 强制实施”以增强安全性。 AuditIfNotExists、Disabled 3.0.0
函数应用应使用最新 TLS 版本 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 AuditIfNotExists、Disabled 2.1.0
Kubernetes 群集应只可通过 HTTPS 进行访问 使用 HTTPS 可确保执行身份验证,并保护传输中的数据不受网络层窃听攻击威胁。 此功能目前已面向 Kubernetes 服务 (AKS) 正式发布,并面向已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请访问 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 9.1.0
Microsoft 托管的控制 1640 - 传输保密性和完整性 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0
只能与 Azure Cache for Redis 建立安全连接 审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 Audit、Deny、Disabled 1.0.0
应启用安全传输到存储帐户 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 Audit、Deny、Disabled 2.0.0
应将 Windows 计算机配置为使用安全通信协议 为了保护通过 Internet 进行通信的信息的隐私,计算机应使用最新版本的行业标准加密协议,即传输层安全性 (TLS)。 TLS 对计算机之间的连接进行加密来保护网络上的通信。 AuditIfNotExists、Disabled 3.0.1

加密或备用物理保护

ID:NIST SP 800-53 Rev. 4 SC-8 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
只应通过 HTTPS 访问应用服务应用 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 审核、已禁用、拒绝 4.0.0
应用服务应用应仅需要 FTPS 启用“FTPS 强制实施”以增强安全性。 AuditIfNotExists、Disabled 3.0.0
应用服务应用应使用最新的 TLS 版本 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 AuditIfNotExists、Disabled 2.1.0
Azure HDInsight 群集应使用传输中加密来加密 Azure HDInsight 群集节点之间的通信 在 Azure HDInsight 群集节点之间的传输过程中,数据可能会被篡改。 启用传输中加密可解决传输过程中的滥用和篡改问题。 Audit、Deny、Disabled 1.0.0
应为 MySQL 数据库服务器启用“强制 SSL 连接” Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 Audit、Disabled 1.0.1
应为 PostgreSQL 数据库服务器启用“强制 SSL 连接” Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 Audit、Disabled 1.0.1
只应通过 HTTPS 访问函数应用 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 审核、已禁用、拒绝 5.0.0
函数应用应仅需要 FTPS 启用“FTPS 强制实施”以增强安全性。 AuditIfNotExists、Disabled 3.0.0
函数应用应使用最新 TLS 版本 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 AuditIfNotExists、Disabled 2.1.0
Kubernetes 群集应只可通过 HTTPS 进行访问 使用 HTTPS 可确保执行身份验证,并保护传输中的数据不受网络层窃听攻击威胁。 此功能目前已面向 Kubernetes 服务 (AKS) 正式发布,并面向已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请访问 https://aka.ms/kubepolicydoc audit、Audit、deny、Deny、disabled、Disabled 9.1.0
Microsoft 托管的控制 1641 - 传输保密性和完整性 | 加密或备用物理保护 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0
只能与 Azure Cache for Redis 建立安全连接 审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 Audit、Deny、Disabled 1.0.0
应启用安全传输到存储帐户 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 Audit、Deny、Disabled 2.0.0
应将 Windows 计算机配置为使用安全通信协议 为了保护通过 Internet 进行通信的信息的隐私,计算机应使用最新版本的行业标准加密协议,即传输层安全性 (TLS)。 TLS 对计算机之间的连接进行加密来保护网络上的通信。 AuditIfNotExists、Disabled 3.0.1

网络连接中断

ID:NIST SP 800-53 Rev. 4 SC-10,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1642 - 网络连接中断 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

加密密钥建立和管理

ID:NIST SP 800-53 Rev. 4 SC-12,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 使用客户管理的密钥来管理备份数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/AB-CmkEncryption Audit、Deny、Disabled 1.0.0-preview
[预览]:应使用客户管理的密钥(CMK)来加密 IoT 中心设备预配服务数据 使用客户管理的密钥来管理 IoT 中心设备预配服务的静态加密。 将使用服务管理的密钥自动对数据进行静态加密,但为了满足监管合规标准,通常需要使用客户管理的密钥 (CMK)。 CMK 允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 访问 https://aka.ms/dps/CMK,了解有关 CMK 加密的详细信息。 Audit、Deny、Disabled 1.0.0-preview
Azure AI 服务资源应使用客户管理的密钥 (CMK) 加密静态数据 使用客户管理的密钥加密静态数据可以更好地控制密钥生命周期,包括轮换和管理。 对于需要满足相关合规性要求的组织而言尤其如此。 默认情况下不会对此进行评估,并且只会根据合规性或限制性策略的要求应用此建议。 如果未启用,将使用平台管理的密钥来加密数据。 为实现此目的,请更新安全策略中适用范围的“效果”参数。 Audit、Deny、Disabled 2.2.0
Azure 自动化帐户应使用客户管理的密钥来加密静态数据 使用客户管理的密钥来管理 Azure 自动化帐户的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/automation-cmk Audit、Deny、Disabled 1.0.0
Azure Batch 帐户应使用客户管理的密钥来加密数据 使用客户管理的密钥来管理 Batch 帐户数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/Batch-CMK Audit、Deny、Disabled 1.0.1
Azure 容器实例容器组应使用客户管理的密钥进行加密 使用客户管理的密钥更灵活地保护容器。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 审核、已禁用、拒绝 1.0.0
Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据 使用客户管理的密钥来管理 Azure Cosmos DB 的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/cosmosdb-cmk audit、Audit、deny、Deny、disabled、Disabled 1.1.0
Azure Data Box 作业应使用客户管理的密钥加密设备解锁密码 使用客户管理的密钥控制 Azure Data Box 的设备解锁密码的加密。 客户管理的密钥还有助于通过 Data Box 服务管理对设备解锁密码的访问,以便以自动方式准备设备和复制数据。 设备本身的数据已使用高级加密标准 256 位加密进行静态加密,并且设备解锁密码默认使用 Microsoft 托管密钥进行加密。 Audit、Deny、Disabled 1.0.0
Azure 数据资源管理器静态加密应使用客户管理的密钥 对 Azure 数据资源管理器群集使用客户管理的密钥启用静态加密,可提供针对静态加密所使用密钥的额外控制。 此功能通常适用于具有特殊合规性要求并且需要使用 Key Vault 管理密钥的客户。 Audit、Deny、Disabled 1.0.0
应使用客户管理的密钥对 Azure 数据工厂进行加密 使用客户管理的密钥来管理 Azure 数据工厂的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规合规性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/adf-cmk Audit、Deny、Disabled 1.0.1
Azure HDInsight 群集应使用客户管理的密钥来加密静态数据 使用客户管理的密钥来管理 Azure HDInsight 群集的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/hdi.cmk Audit、Deny、Disabled 1.0.1
Azure HDInsight 群集应使用主机加密来加密静态数据 启用主机加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用主机加密时,存储在 VM 主机上的数据将静态加密,且已加密的数据将流向存储服务。 Audit、Deny、Disabled 1.0.0
应使用客户管理的密钥对 Azure 机器学习工作区进行加密 使用客户管理的密钥管理 Azure 机器学习工作区数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/azureml-workspaces-cmk Audit、Deny、Disabled 1.1.0
应使用客户管理的密钥对 Azure Monitor 日志群集进行加密 创建 Azure Monitor 日志群集并使用客户管理的密钥进行加密。 默认情况下,使用服务管理的密钥对日志数据进行加密,但为了满足法规合规性,通常需要使用客户管理的密钥。 借助 Azure Monitor 中客户管理的密钥,可更好地控制对数据的访问,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys audit、Audit、deny、Deny、disabled、Disabled 1.1.0
Azure 流分析作业应使用客户管理的密钥来加密数据 当你想要将流分析作业的任何元数据和专用数据资产安全地存储在存储帐户中时,请使用客户管理的密钥。 这样就可以完全控制流分析数据的加密方式。 audit、Audit、deny、Deny、disabled、Disabled 1.1.0
Azure Synapse 工作区应使用客户管理的密钥来加密静态数据 使用客户管理的密钥来控制对 Azure Synapse 工作区中存储的数据的静态加密。 客户管理的密钥提供双重加密,方法是在使用服务托管密钥完成的默认加密层上添加另一层加密。 Audit、Deny、Disabled 1.0.0
机器人服务应使用客户管理的密钥进行加密 Azure 机器人服务自动加密你的资源,以保护数据并实现组织安全性和合规性承诺。 默认使用 Microsoft 管理的加密密钥。 为了能够更灵活地管理密钥或控制对订阅的访问,请选择“客户管理的密钥”(亦称为“创建自己的密钥 (BYOK)”)。 详细了解 Azure 机器人服务加密:https://docs.microsoft.com/azure/bot-service/bot-service-encryption audit、Audit、deny、Deny、disabled、Disabled 1.1.0
Azure Kubernetes 服务群集中的操作系统和数据磁盘都应使用客户托管的密钥进行加密 使用客户管理的密钥加密 OS 和数据磁盘可以更好地控制密钥管理并提高密钥管理的灵活性。 这是许多法规和行业合规性标准中的常见要求。 Audit、Deny、Disabled 1.0.1
应使用客户管理的密钥对容器注册表进行加密 使用客户管理的密钥来管理注册表内容的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/acr/CMK Audit、Deny、Disabled 1.1.2
事件中心命名空间应使用客户管理的密钥进行加密 Azure 事件中心支持通过 Microsoft 管理的密钥(默认)或客户管理的密钥来加密静态数据。 如果选择使用客户管理的密钥加密数据,则可分配、轮换、禁用和撤销对密钥的访问权限,事件中心将使用密钥加密命名空间中的数据。 请注意,事件中心仅支持使用客户管理的密钥对专用群集中的命名空间进行加密。 Audit、Disabled 1.0.0
应使用客户管理的密钥对逻辑应用集成服务环境进行加密 使用客户管理的密钥部署到集成服务环境,以管理逻辑应用数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 Audit、Deny、Disabled 1.0.0
应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘 对安全性高度敏感的客户如果担心出现与任何特定加密算法、实现或密钥泄露相关的风险,可以选择在使用平台管理的加密密钥的基础结构层上使用其他加密算法/模式的额外加密层。 需要提供磁盘加密集才能使用双重加密。 更多信息请访问 https://aka.ms/disks-doubleEncryption Audit、Deny、Disabled 1.0.0
Microsoft 托管的控制 1643 - 加密密钥建立和管理 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0
应使用客户管理的密钥来加密 OS 和数据磁盘 使用客户管理的密钥来管理托管磁盘内容的静态加密。 默认情况下,使用平台管理的密钥对数据进行静态加密,但为了满足合规性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/disks-cmk Audit、Deny、Disabled 3.0.0
应将 Azure Monitor 中已保存的查询保存在客户存储帐户中以进行日志加密 将存储帐户链接到 Log Analytics 工作区,以通过存储帐户加密保护保存的查询。 为了满足法规合规性并更好地控制对 Azure Monitor 中保存的查询的访问,通常需要使用客户管理的密钥。 有关上述内容的更多详细信息,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries audit、Audit、deny、Deny、disabled、Disabled 1.1.0
服务总线高级命名空间应使用客户管理的密钥进行加密 Azure 服务总线支持通过 Microsoft 管理的密钥(默认)或客户管理的密钥来加密静态数据。 如果选择使用客户管理的密钥加密数据,则可分配、轮换、禁用和撤销对服务总线将用于加密命名空间中的数据的密钥的访问权限。 请注意,服务总线仅支持使用客户管理的密钥对高级命名空间进行加密。 Audit、Disabled 1.0.0
SQL 托管实例应使用客户管理的密钥进行静态数据加密 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 Audit、Deny、Disabled 2.0.0
SQL Server 应使用客户管理的密钥进行静态数据加密 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 Audit、Deny、Disabled 2.0.1
存储帐户加密范围应使用客户管理的密钥对静态数据进行加密 使用客户管理的密钥来管理存储帐户加密范围的静态加密。 客户管理的密钥允许使用由你创建并拥有的 Azure 密钥保管库密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 若要详细了解存储帐户加密范围,请访问 https://aka.ms/encryption-scopes-overview Audit、Deny、Disabled 1.0.0
存储帐户应使用客户管理的密钥进行加密 使用客户管理的密钥更灵活地保护 blob 和文件存储帐户。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 Audit、Disabled 1.0.3

可用性

ID:NIST SP 800-53 Rev. 4 SC-12 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1644 - 加密密钥建立和管理 | 可用性 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

对称密钥

ID:NIST SP 800-53 Rev. 4 SC-12 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1645 - 加密密钥建立和管理 | 对称密钥 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

非对称密钥

ID:NIST SP 800-53 Rev. 4 SC-12 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1646 - 加密密钥建立和管理 | 非对称密钥 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

加密保护

ID:NIST SP 800-53 Rev. 4 SC-13,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1647 - 加密的使用 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

协作计算设备

ID:NIST SP 800-53 Rev. 4 SC-15,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1648 - 协作计算设备 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0
Microsoft 托管的控制 1649 - 协作计算设备 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

公钥基础结构证书

ID:NIST SP 800-53 Rev. 4 SC-17,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1650 - 公钥基础结构证书 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

移动代码

ID:NIST SP 800-53 Rev. 4 SC-18,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1651 - 移动代码 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0
Microsoft 托管的控制 1652 - 移动代码 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0
Microsoft 托管的控制 1653 - 移动代码 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

IP 语音 (VoIP)

ID:NIST SP 800-53 Rev. 4 SC-19,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1654 - IP 语音 (VoIP) 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0
Microsoft 托管的控制 1655 - IP 语音 (VoIP) 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

安全名称/地址解析服务(权威源)

ID:NIST SP 800-53 Rev. 4 SC-20,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1656 - 安全名称/地址解析服务(权威源) 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0
Microsoft 托管的控制 1657 - 安全名称/地址解析服务(权威源) 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

安全名称/地址解析服务(递归或缓存解析程序)

ID:NIST SP 800-53 Rev. 4 SC-21,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1658 - 安全名称/地址解析服务(递归或缓存解析程序) 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

名称体系结构和预配/地址解析服务

ID:NIST SP 800-53 Rev. 4 SC-22,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1659 - 名称体系结构和预配/地址解析服务 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

会话验证

ID:NIST SP 800-53 Rev. 4 SC-23,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1660 - 会话验证 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

注销时让会话标识符失效

ID:NIST SP 800-53 Rev. 4 SC-23 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1661 - 会话验证 | 注销时让会话标识符失效 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

发生故障时处于已知状态

ID:NIST SP 800-53 Rev. 4 SC-24,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1662 - 发生故障时处于已知状态 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

保护静态信息

ID:NIST SP 800-53 Rev. 4 SC-28,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应用服务环境应启用内部加密 如果将 InternalEncryption 设置为 true,会对应用服务环境中前端和辅助角色之间的页面文件、辅助角色磁盘和内部网络流量进行加密。 若要了解详细信息,请查看 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption Audit、Disabled 1.0.1
自动化帐户变量应加密 存储敏感数据时,请务必启用自动化帐户变量资产加密 Audit、Deny、Disabled 1.1.0
Azure Data Box 作业应为设备上静态数据启用双重加密 为设备上的静态数据启用第二层基于软件的加密。 设备已通过用于静态数据的高级加密标准 256 位加密受到保护。 此选项将添加第二层数据加密。 Audit、Deny、Disabled 1.0.0
应创建启用了基础结构加密(双重加密)的 Azure Monitor 日志群集 若要确保使用两种不同的加密算法和两个不同的密钥在服务级别和基础结构级别启用安全数据加密,请使用 Azure Monitor 专用群集。 在区域受支持时,默认情况下会启用此选项,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview audit、Audit、deny、Deny、disabled、Disabled 1.1.0
Azure Stack Edge 设备应使用双重加密 若要在设备上保护静态数据,请确保静态数据已双重加密,已控制对数据的访问,并在设备停用后从数据磁盘安全地清除数据。 双重加密使用两层加密:数据卷上的 BitLocker XTS-AES 256 位加密和硬盘驱动器上的内置加密。 有关详细信息,请参阅特定 Stack Edge 设备的安全概述文档。 audit、Audit、deny、Deny、disabled、Disabled 1.1.0
应为 Azure 数据资源管理器启用磁盘加密 启用磁盘加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 Audit、Deny、Disabled 2.0.0
应为 Azure 数据资源管理器启用双重加密 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 Audit、Deny、Disabled 2.0.0
Microsoft 托管的控制 1663 - 保护静态信息 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0
Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别(None、Sign 和 EncryptAndSign)。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名 Audit、Deny、Disabled 1.1.0
存储帐户应具有基础结构加密 启用基础结构加密,以便增强数据安全。 启用基础结构加密后,存储帐户中的数据将加密两次。 Audit、Deny、Disabled 1.0.0
应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存 为了增强数据安全性,应对存储在 Azure Kubernetes 服务节点 VM 的虚拟机 (VM) 主机上的数据进行静态加密。 这是许多法规和行业合规性标准中的常见要求。 Audit、Deny、Disabled 1.0.1
应在 SQL 数据库上启用透明数据加密 应启用透明数据加密以保护静态数据并满足符合性要求 AuditIfNotExists、Disabled 2.0.0
虚拟机和虚拟机规模集应启用主机中加密 使用主机中加密可对虚拟机和虚拟机规模集数据进行端到端加密。 主机中加密可对临时磁盘和 OS/数据磁盘缓存实现静态加密。 启用主机中加密后,将使用平台管理的密钥对临时 OS 磁盘进行加密。 OS/数据磁盘缓存使用客户管理的密钥或平台管理的密钥进行静态加密,具体取决于在磁盘中选择的加密类型。 更多信息请访问 https://aka.ms/vm-hbe Audit、Deny、Disabled 1.0.0

加密保护

ID:NIST SP 800-53 Rev. 4 SC-28 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应用服务环境应启用内部加密 如果将 InternalEncryption 设置为 true,会对应用服务环境中前端和辅助角色之间的页面文件、辅助角色磁盘和内部网络流量进行加密。 若要了解详细信息,请查看 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption Audit、Disabled 1.0.1
自动化帐户变量应加密 存储敏感数据时,请务必启用自动化帐户变量资产加密 Audit、Deny、Disabled 1.1.0
Azure Data Box 作业应为设备上静态数据启用双重加密 为设备上的静态数据启用第二层基于软件的加密。 设备已通过用于静态数据的高级加密标准 256 位加密受到保护。 此选项将添加第二层数据加密。 Audit、Deny、Disabled 1.0.0
应创建启用了基础结构加密(双重加密)的 Azure Monitor 日志群集 若要确保使用两种不同的加密算法和两个不同的密钥在服务级别和基础结构级别启用安全数据加密,请使用 Azure Monitor 专用群集。 在区域受支持时,默认情况下会启用此选项,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview audit、Audit、deny、Deny、disabled、Disabled 1.1.0
Azure Stack Edge 设备应使用双重加密 若要在设备上保护静态数据,请确保静态数据已双重加密,已控制对数据的访问,并在设备停用后从数据磁盘安全地清除数据。 双重加密使用两层加密:数据卷上的 BitLocker XTS-AES 256 位加密和硬盘驱动器上的内置加密。 有关详细信息,请参阅特定 Stack Edge 设备的安全概述文档。 audit、Audit、deny、Deny、disabled、Disabled 1.1.0
应为 Azure 数据资源管理器启用磁盘加密 启用磁盘加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 Audit、Deny、Disabled 2.0.0
应为 Azure 数据资源管理器启用双重加密 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 Audit、Deny、Disabled 2.0.0
Microsoft 托管的控制 1664 - 保护静态信息 | 加密保护 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0
Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别(None、Sign 和 EncryptAndSign)。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名 Audit、Deny、Disabled 1.1.0
存储帐户应具有基础结构加密 启用基础结构加密,以便增强数据安全。 启用基础结构加密后,存储帐户中的数据将加密两次。 Audit、Deny、Disabled 1.0.0
应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存 为了增强数据安全性,应对存储在 Azure Kubernetes 服务节点 VM 的虚拟机 (VM) 主机上的数据进行静态加密。 这是许多法规和行业合规性标准中的常见要求。 Audit、Deny、Disabled 1.0.1
应在 SQL 数据库上启用透明数据加密 应启用透明数据加密以保护静态数据并满足符合性要求 AuditIfNotExists、Disabled 2.0.0
虚拟机和虚拟机规模集应启用主机中加密 使用主机中加密可对虚拟机和虚拟机规模集数据进行端到端加密。 主机中加密可对临时磁盘和 OS/数据磁盘缓存实现静态加密。 启用主机中加密后,将使用平台管理的密钥对临时 OS 磁盘进行加密。 OS/数据磁盘缓存使用客户管理的密钥或平台管理的密钥进行静态加密,具体取决于在磁盘中选择的加密类型。 更多信息请访问 https://aka.ms/vm-hbe Audit、Deny、Disabled 1.0.0

进程隔离

ID:NIST SP 800-53 Rev. 4 SC-39,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1665 - 进程隔离 由 Microsoft 实现此系统和通信保护控制 审核 1.0.0

系统和信息完整性

系统和信息完整性策略和过程

ID:NIST SP 800-53 Rev. 4 SI-1,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1666 - 系统和信息完整性政策和程序 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 托管的控制 1667 - 系统和信息完整性政策和程序 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

缺陷修正

ID:NIST SP 800-53 Rev. 4 SI-2,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应用服务应用应使用最新“HTTP 版本” 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 AuditIfNotExists、Disabled 4.0.0
应启用适用于 Azure SQL 数据库服务器的 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.2
应启用 Azure Defender for Resource Manager Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
应启用适用于服务器的 Azure Defender 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.3
函数应用应使用最新“HTTP 版本” 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 AuditIfNotExists、Disabled 4.0.0
Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 将 Kubernetes 服务群集升级到更高 Kubernetes 版本,以抵御当前 Kubernetes 版本中的已知漏洞。 Kubernetes 版本 1.11.9+、1.12.7+、1.13.5+ 和 1.14.0+ 中已修补漏洞 CVE-2019-9946 Audit、Disabled 1.0.2
应启用 Microsoft Defender for Containers Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 AuditIfNotExists、Disabled 1.0.0
应启用 Microsoft Defender for Storage(经典版) Microsoft Defender for Storage(经典版)可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。 AuditIfNotExists、Disabled 1.0.4
Microsoft 托管的控制 1668 - 缺陷修正 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 托管的控制 1669 - 缺陷修正 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 托管的控制 1670 - 缺陷修正 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 托管的控制 1671 - 缺陷修正 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
SQL 数据库应已解决漏洞结果 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 AuditIfNotExists、Disabled 4.1.0
应修复计算机上安全配置中的漏洞 建议通过 Azure 安全中心监视不满足配置的基线的服务器 AuditIfNotExists、Disabled 3.1.0

集中管理

ID:NIST SP 800-53 Rev. 4 SI-2 (1),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1672 - 缺陷修正 | 集中管理 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

自动缺陷修正状态

ID:NIST SP 800-53 Rev. 4 SI-2 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1673 - 缺陷修正 | 自动缺陷修正状态 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

纠正措施的修正缺陷时间/基准

ID:NIST SP 800-53 Rev. 4 SI-2 (3),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1674 - 缺陷修正 | 修正缺陷的时间/纠正措施的基准 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 托管的控制 1675 - 缺陷修正 | 修正缺陷的时间/纠正措施的基准 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

删除以前版本的软件/固件

ID:NIST SP 800-53 Rev. 4 SI-2 (6),所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应用服务应用应使用最新“HTTP 版本” 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 AuditIfNotExists、Disabled 4.0.0
函数应用应使用最新“HTTP 版本” 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 AuditIfNotExists、Disabled 4.0.0
Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 将 Kubernetes 服务群集升级到更高 Kubernetes 版本,以抵御当前 Kubernetes 版本中的已知漏洞。 Kubernetes 版本 1.11.9+、1.12.7+、1.13.5+ 和 1.14.0+ 中已修补漏洞 CVE-2019-9946 Audit、Disabled 1.0.2

恶意代码防护

ID:NIST SP 800-53 Rev. 4 SI-3,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用适用于服务器的 Azure Defender 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.3
Microsoft 托管的控制 1676 - 恶意代码防护 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 托管的控制 1677 - 恶意代码防护 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 托管的控制 1678 - 恶意代码防护 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 托管的控制 1679 - 恶意代码防护 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
应在计算机上启用 Windows Defender 攻击防护 Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 AuditIfNotExists、Disabled 1.1.1

集中管理

ID:NIST SP 800-53 Rev. 4 SI-3 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用适用于服务器的 Azure Defender 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.3
Microsoft 托管的控制 1680 - 恶意代码防护 | 集中管理 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
应在计算机上启用 Windows Defender 攻击防护 Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 AuditIfNotExists、Disabled 1.1.1

自动更新

ID:NIST SP 800-53 Rev. 4 SI-3 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1681 - 恶意代码防护 | 自动更新 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

基于非签名的检测

ID:NIST SP 800-53 Rev. 4 SI-3 (7),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1682 - 恶意代码防护 | 基于非签名的检测 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

信息系统监视

ID:NIST SP 800-53 Rev. 4 SI-4,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览版]:已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc AuditIfNotExists、Disabled 4.0.1 - 预览版
[预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 AuditIfNotExists、Disabled 1.0.2-preview
[预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 AuditIfNotExists、Disabled 1.0.2-preview
应启用适用于 Azure SQL 数据库服务器的 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.2
应启用 Azure Defender for Resource Manager Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 若要详细了解 Azure Defender for Resource Manager 的功能,请参阅 https://aka.ms/defender-for-resource-manager。 启用此 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
应启用适用于服务器的 Azure Defender 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.3
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 审核没有高级数据安全的 SQL 服务器 AuditIfNotExists、Disabled 2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 审核所有未启用高级数据安全的 SQL 托管实例。 AuditIfNotExists、Disabled 1.0.2
应在计算机上安装来宾配置扩展 若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾内策略将可用,如“应启用 Windows 攻击防护”。 更多信息请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.2
应启用 Microsoft Defender for Containers Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 AuditIfNotExists、Disabled 1.0.0
应启用 Microsoft Defender for Storage(经典版) Microsoft Defender for Storage(经典版)可检测企图访问或恶意利用存储帐户的可能有害的异常尝试。 AuditIfNotExists、Disabled 1.0.4
Microsoft 托管的控制 1683 - 信息系统监视 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 托管的控制 1684 - 信息系统监视 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 托管的控制 1685 - 信息系统监视 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 托管的控制 1686 - 信息系统监视 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 托管的控制 1687 - 信息系统监视 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 托管的控制 1688 - 信息系统监视 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 托管的控制 1689 - 信息系统监视 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
应启用网络观察程序 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 AuditIfNotExists、Disabled 3.0.0
应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.1

整个系统范围内的入侵检测系统

ID:NIST SP 800-53 Rev. 4 SI-4 (1),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1690 - 信息系统监视 | 系统范围的入侵检测系统 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

用于实时分析的自动化工具

ID:NIST SP 800-53 Rev. 4 SI-4 (2),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1691 - 信息系统监视 | 用于实时分析的自动化工具 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

入站和出站通信流量

ID:NIST SP 800-53 Rev. 4 SI-4 (4),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1692 - 信息系统监视 | 入站和出站通信流量 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

系统生成的警报

ID:NIST SP 800-53 Rev. 4 SI-4 (5),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1693 - 信息系统监视 | 系统生成的警报 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

分析通信流量异常

ID:NIST SP 800-53 Rev. 4 SI-4 (11),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1694 - 信息系统监视 | 分析通信流量异常 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

自动警报

ID:NIST SP 800-53 Rev. 4 SI-4 (12),所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用高严重性警报的电子邮件通知 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请在安全中心为高严重性警报启用电子邮件通知。 AuditIfNotExists、Disabled 1.0.1
应启用向订阅所有者发送高严重性警报的电子邮件通知 当订阅中存在潜在的安全漏洞时,若要确保订阅所有者收到通知,请在安全中心设置向订阅所有者发送高严重性警报的电子邮件通知。 AuditIfNotExists、Disabled 2.0.0
订阅应有一个联系人电子邮件地址,用于接收安全问题通知 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请设置一个安全联系人,以接收来自安全中心的电子邮件通知。 AuditIfNotExists、Disabled 1.0.1

无线入侵检测

ID:NIST SP 800-53 Rev. 4 SI-4 (14),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1695 - 信息系统监视 | 无线入侵检测 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

关联监视信息

ID:NIST SP 800-53 Rev. 4 SI-4 (16),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1696 - 信息系统监视 | 关联监视信息 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

分析流量/隐蔽外泄

ID:NIST SP 800-53 Rev. 4 SI-4 (18),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1697 - 信息系统监视 | 分析流量/隐蔽渗透 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

个人带来的更大风险

ID:NIST SP 800-53 Rev. 4 SI-4 (19),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1698 - 信息系统监视 | 个人带来的更大风险 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

特权用户

ID:NIST SP 800-53 Rev. 4 SI-4 (20),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1699 - 信息系统监视 | 特权用户 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

未经授权的网络服务

ID:NIST SP 800-53 Rev. 4 SI-4 (22),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1700 - 信息系统监视 | 未经授权的网络服务 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

基于主机的设备

ID:NIST SP 800-53 Rev. 4 SI-4 (23),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1701 - 信息系统监视 | 基于主机的设备 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

入侵指标

ID:NIST SP 800-53 Rev. 4 SI-4 (24),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1702 - 信息系统监视 | 泄露指示器 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

安全警报、公告和指令

ID:NIST SP 800-53 Rev. 4 SI-5,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1703 - 安全警报和公告 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 管理的控制 1704 - 安全警报和公告 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 管理的控制 1705 - 安全警报和公告 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 管理的控制 1706 - 安全警报和公告 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

自动化警报和公告

ID:NIST SP 800-53 Rev. 4 SI-5 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1707 - 安全警报和公告 | 自动警报和公告 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

安全功能验证

ID:NIST SP 800-53 Rev. 4 SI-6,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1708 - 安全功能验证 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 管理的控制 1709 - 安全功能验证 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 管理的控制 1710 - 安全功能验证 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 管理的控制 1711 - 安全功能验证 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

软件、固件和信息完整性

ID:NIST SP 800-53 Rev. 4 SI-7,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1712 - 软件和信息完整性 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

完整性检查

ID:NIST SP 800-53 Rev. 4 SI-7 (1),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1713 - 软件和信息完整性 | 完整性检查 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

完整性违规的自动化通知

ID:NIST SP 800-53 Rev. 4 SI-7 (2),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1714 - 软件和信息完整性 | 完整性冲突的自动通知 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

自动化响应完整性冲突

ID:NIST SP 800-53 Rev. 4 SI-7 (5),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1715 - 软件和信息完整性 | 完整性冲突的自动响应 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

检测和响应集成

ID:NIST SP 800-53 Rev. 4 SI-7 (7),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1716 - 软件和信息完整性 | 检测和响应的集成 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

二进制或计算机可执行代码

ID:NIST SP 800-53 Rev. 4 SI-7 (14),所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1717 - 软件和信息完整性 | 二进制或计算机可执行代码 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 托管的控制 1718 - 软件和信息完整性 | 二进制或计算机可执行代码 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

垃圾邮件防护

ID:NIST SP 800-53 Rev. 4 SI-8,所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1719 - 垃圾邮件防护 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 托管的控制 1720 - 垃圾邮件防护 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

集中管理

ID:NIST SP 800-53 Rev. 4 SI-8 (1),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1721 - 垃圾邮件防护 | 集中管理 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

自动更新

ID:NIST SP 800-53 Rev. 4 SI-8 (2),所有权:Microsoft

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1722 - 垃圾邮件防护 | 自动更新 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

信息输入验证

ID:NIST SP 800-53 Rev. 4 SI-10,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1723 - 信息输入验证 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

错误处理

ID:NIST SP 800-53 Rev. 4 SI-11,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 托管的控制 1724 - 错误处理 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
Microsoft 托管的控制 1725 - 错误处理 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

信息处理和保留

ID:NIST SP 800-53 Rev. 4 SI-12,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft 管理的控制 1726 - 信息输出处理和保留 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0

内存保护

ID:NIST SP 800-53 Rev. 4 SI-16,所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用适用于服务器的 Azure Defender 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.3
Microsoft 托管的控制 1727 - 内存保护 由 Microsoft 实现此系统和信息完整性控制 审核 1.0.0
应在计算机上启用 Windows Defender 攻击防护 Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 AuditIfNotExists、Disabled 1.1.1

后续步骤

有关 Azure Policy 的其他文章: