你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
UK OFFICIAL 和 UK NHS 法规合规性内置计划的详细信息
下文详细说明了 Azure Policy 法规合规性内置计划定义如何映射到 UK OFFICIAL 和 UK NHS 中的合规性域和控制措施 。 有关此合规性标准的详细信息,请参阅 UK OFFICIAL 和 UK NHS。 如需了解所有权,请查看策略类型和云中责任分担。
以下映射对应于 UK OFFICIAL 和 UK NHS 控制措施。 许多控制措施都是使用 Azure Policy 计划定义实现的。 若要查看完整计划定义,请在 Azure 门户中打开“策略”,并选择“定义”页 。 然后,找到 UK OFFICIAL 和 UK NHS 法规合规性内置计划定义并将其选中。
重要
下面的每个控件都与一个或多个 Azure Policy 定义关联。 这些策略有助于评估控制的合规性;但是,控制与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的符合性仅引用策略定义本身;这并不能确保你完全符合某个控制措施的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 此符合性标准的符合性域、控制措施和 Azure Policy 定义之间的关联可能会随着时间的推移而发生变化。 若要查看更改历史记录,请参阅 GitHub 提交历史记录。
传输中数据保护
传输中数据保护
ID:UK NCSC CSP 1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 只应通过 HTTPS 访问应用服务应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 4.0.0 |
| 只应通过 HTTPS 访问函数应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 5.0.0 |
| 只能与 Azure Cache for Redis 建立安全连接 | 审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 | Audit、Deny、Disabled | 1.0.0 |
| 应启用安全传输到存储帐户 | 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | Audit、Deny、Disabled | 2.0.0 |
| 应将 Windows 计算机配置为使用安全通信协议 | 为了保护通过 Internet 进行通信的信息的隐私,计算机应使用最新版本的行业标准加密协议,即传输层安全性 (TLS)。 TLS 对计算机之间的连接进行加密来保护网络上的通信。 | AuditIfNotExists、Disabled | 4.1.1 |
标识和身份验证
标识和身份验证
ID:UK NCSC CSP 10,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对 Azure 资源拥有所有者权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有读取权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有写入权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
| 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机允许通过没有密码的帐户进行远程连接,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
| 审核未将密码文件权限设为 0644 的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机未将密码文件权限设为 0644,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
| 审核具有不使用密码的帐户的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机具有不使用密码的帐户,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
| 审核未使用托管磁盘的 VM | 此策略审核未使用托管磁盘的 VM | 审核 | 1.0.0 |
| 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机允许在指定数量的唯一密码后重新使用密码,则这些计算机是不合规的。 唯一密码的默认值为 24 | AuditIfNotExists、Disabled | 2.1.0 |
| 审核未将最长密码期限设置为指定天数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最长密码期限设置为指定天数,则这些计算机是不合规的。 最长密码期限的默认值为 70 天 | AuditIfNotExists、Disabled | 2.1.0 |
| 审核未将最短密码期限设置为指定天数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最短密码期限设置为指定天数,则这些计算机是不合规的。 最短密码期限的默认值为 1 天 | AuditIfNotExists、Disabled | 2.1.0 |
| 审核未启用密码复杂性设置的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未启用密码复杂性设置,则计算机不合规 | AuditIfNotExists、Disabled | 2.0.0 |
| 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机没有将最短密码长度限制为特定字符数,则这些计算机是不合规的。 最短密码长度的默认值为 14 个字符 | AuditIfNotExists、Disabled | 2.1.0 |
| 应删除对 Azure 资源拥有所有者权限的已封锁帐户 | 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取和写入权限的已封锁帐户 | 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取权限的来宾帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 | 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 | Audit、Deny、Disabled | 1.1.0 |
| 存储帐户应迁移到新的 Azure 资源管理器资源 | 使用新的 Azure 资源管理器为存储帐户提供安全增强功能,例如:更强大的访问控制 (RBAC)、更好的审核、基于 Azure 资源管理器的部署和监管、对托管标识的访问权限、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及对标记和资源组的支持,以简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
| 应将虚拟机迁移到新的 Azure 资源管理器资源 | 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
外部接口保护
外部接口保护
ID:UK NCSC CSP 11,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应用服务应用应已禁用远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 2.0.0 |
| 函数应用应已禁用远程调试 | 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应通过即时网络访问控制来保护虚拟机的管理端口 | 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 | AuditIfNotExists、Disabled | 3.0.0 |
| 应限制对存储帐户的网络访问 | 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 | Audit、Deny、Disabled | 1.1.1 |
用户的审核信息
用户的审核信息
ID:UK NCSC CSP 13,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核所选资源类型的诊断设置。 | 审核所选资源类型的诊断设置。 请确保仅选择支持诊断设置的资源类型。 | AuditIfNotExists | 2.0.1 |
| 应启用 SQL 服务器上的审核 | 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 SQL 服务器 | AuditIfNotExists、Disabled | 2.0.1 |
资产保护和复原能力
静态数据保护
ID:UK NCSC CSP 2.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 自动化帐户变量应加密 | 存储敏感数据时,请务必启用自动化帐户变量资产加密 | Audit、Deny、Disabled | 1.1.0 |
| Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign | Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别(None、Sign 和 EncryptAndSign)。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名 | Audit、Deny、Disabled | 1.1.0 |
| 应在 SQL 数据库上启用透明数据加密 | 应启用透明数据加密以保护静态数据并满足符合性要求 | AuditIfNotExists、Disabled | 2.0.0 |
运营安全
漏洞管理
ID:UK NCSC CSP 5.2,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 SQL 服务器 | AuditIfNotExists、Disabled | 2.0.1 |
| 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 审核所有未启用高级数据安全的 SQL 托管实例。 | AuditIfNotExists、Disabled | 1.0.2 |
| SQL 数据库应已解决漏洞结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 应修复计算机上安全配置中的漏洞 | 建议通过 Azure 安全中心监视不满足配置的基线的服务器 | AuditIfNotExists、Disabled | 3.1.0 |
| 应在 SQL 托管实例上启用漏洞评估 | 审核未启用定期漏洞评估扫描的每个 SQL 托管实例。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应对 SQL 服务器启用漏洞评估 | 审核未正确配置漏洞评估的 Azure SQL 服务器。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 3.0.0 |
保护监视
ID:UK NCSC CSP 5.3,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核未配置灾难恢复的虚拟机 | 审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc。 | auditIfNotExists | 1.0.0 |
| 应启用 Azure DDoS 防护 | 应对具有相关子网(属于具有公共 IP 的应用程序网关)的所有虚拟网络启用 DDoS 防护。 | AuditIfNotExists、Disabled | 3.0.1 |
| 应限制对存储帐户的网络访问 | 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 | Audit、Deny、Disabled | 1.1.1 |
安全用户管理
在管理界面和支持渠道对用户进行身份验证
ID:UK NCSC CSP 9.1,所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对 Azure 资源拥有所有者权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有读取权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有写入权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取权限的来宾帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
后续步骤
有关 Azure Policy 的其他文章:
- 法规符合性概述。
- 请参阅计划定义结构。
- 在 Azure Policy 示例中查看其他示例。
- 查看了解策略效果。
- 了解如何修正不符合的资源。