CMMC 層級 3 (Azure Government) 法規合規性內建方案的詳細資料
下列文章詳細說明 Azure 原則法規合規性內建方案定義如何對應 CMMC 層級 3 (Azure Government)的合規性領域與控制項。 如需此合規性標準的詳細資訊,請參閱 CMMC 層級 3。 若要了解所有權,請檢閱原則類型與雲端中共同承擔的責任。
下列對應是針對 CMMC 層級 3 控制項。 許多控制措施都是以 Azure 原則方案定義實作的。 若要檢閱完整方案定義,請在 Azure 入口網站中開啟 [原則],然後選取 [定義] 頁面。 接著,尋找並選取 CMMC 層級 3 法規合規性內建計畫定義。
重要
下列每個控制措施都與一或多個 Azure 原則定義相關聯。 這些原則可協助您使用工具存取合規性;不過,控制措施和一或多個原則之間,通常不是一對一或完整對應。 因此,Azure 原則中的符合規範只是指原則定義本身,這不保證您完全符合所有控制措施需求的規範。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 此合規性標準的合規性領域、控制措施與 Azure 原則定義之間的關聯,可能會隨著時間而改變。 若要檢視變更歷程記錄,請參閱 GitHub 認可歷程記錄 \(英文\)。
存取控制
限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。
識別碼:CMMC L3 AC.1.001 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應關閉遠端偵錯 | 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
| App Service 應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取您的應用程式。 僅允許必要的網域與您的應用程式互動即可。 | AuditIfNotExists, Disabled | 2.0.0 |
| Azure AI 服務資源應限制網路存取 | 藉由限制網路存取,您可以確保只有允許的網路可以存取服務。 可以藉由設定網路規則,只有來自允許網路的應用程式才能存取 Azure AI 服務來達成這項操作。 | Audit, Deny, Disabled | 3.2.0 |
| 具有 Azure 資源擁有者權限的已封鎖帳戶應移除 | 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 | 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 不應允許不受限制的網路存取 | 根據預設,Azure 容器登錄會接受任何網路上的主機透過網際網路的連線。 為了保護登錄不受潛在威脅的影響,請只允許來自特定私人端點、公用 IP 位址或位址範圍的存取。 如果登錄沒有已設定的網路規則,則會出現在狀況不良的資源中。 在這裡深入了解 Azure Container Registry 網路規則:https://aka.ms/acr/privatelink、 https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/vnet。 | Audit, Deny, Disabled | 2.0.0 |
| 函數應用程式應關閉遠端偵錯 | 遠端偵錯需要在函數應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
| 函數應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取函式應用程式。 請只允許必要網域與您的函式應用程式互動。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應移除具有 Azure 資源擁有者權限的來賓帳戶 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有讀取權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
| 應對 Azure SQL Database 停用公用網路存取 | 停用公用網路存取屬性可確保您的 Azure SQL Database 只能從私人端點存取,藉此改善安全性。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 1.1.0 |
| 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 若要提供使用者可執行之動作的精細篩選,請使用角色型存取控制 (RBAC) 來管理 Kubernetes Service 叢集中的權限,並設定相關的授權原則。 | Audit, Disabled | 1.0.4 |
| 儲存體帳戶應允許來自信任 Microsoft 服務的存取 | 有些與儲存體帳戶互動的 Microsoft 服務是從無法透過網路規則授與存取權的網路運作。 若要讓這類服務如預期方式運作,請允許受信任的 Microsoft 服務集合略過網路規則。 這些服務會使用增強式驗證存取儲存體帳戶。 | Audit, Deny, Disabled | 1.0.0 |
| 儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
限制資訊系統存取允許授權使用者執行的交易類型和功能。
識別碼:CMMC L3 AC.1.002 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取您的應用程式。 僅允許必要的網域與您的應用程式互動即可。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應該僅限透過 HTTPS 來存取 App Service 應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 4.0.0 |
| Azure AI 服務資源應限制網路存取 | 藉由限制網路存取,您可以確保只有允許的網路可以存取服務。 可以藉由設定網路規則,只有來自允許網路的應用程式才能存取 Azure AI 服務來達成這項操作。 | Audit, Deny, Disabled | 3.2.0 |
| 不應允許不受限制的網路存取 | 根據預設,Azure 容器登錄會接受任何網路上的主機透過網際網路的連線。 為了保護登錄不受潛在威脅的影響,請只允許來自特定私人端點、公用 IP 位址或位址範圍的存取。 如果登錄沒有已設定的網路規則,則會出現在狀況不良的資源中。 在這裡深入了解 Azure Container Registry 網路規則:https://aka.ms/acr/privatelink、 https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/vnet。 | Audit, Deny, Disabled | 2.0.0 |
| 應為 MySQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 MySQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 MySQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
| 應為 PostgreSQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 PostgreSQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 PostgreSQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
| 函數應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取函式應用程式。 請只允許必要網域與您的函式應用程式互動。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應只能透過 HTTPS 存取函數應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 5.0.0 |
| 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
| 只允許對您 Azure Cache for Redis 的安全連線 | 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 1.0.0 |
| 應對 Azure SQL Database 停用公用網路存取 | 停用公用網路存取屬性可確保您的 Azure SQL Database 只能從私人端點存取,藉此改善安全性。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 1.1.0 |
| 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 若要提供使用者可執行之動作的精細篩選,請使用角色型存取控制 (RBAC) 來管理 Kubernetes Service 叢集中的權限,並設定相關的授權原則。 | Audit, Disabled | 1.0.4 |
| 應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
| 儲存體帳戶應允許來自信任 Microsoft 服務的存取 | 有些與儲存體帳戶互動的 Microsoft 服務是從無法透過網路規則授與存取權的網路運作。 若要讓這類服務如預期方式運作,請允許受信任的 Microsoft 服務集合略過網路規則。 這些服務會使用增強式驗證存取儲存體帳戶。 | Audit, Deny, Disabled | 1.0.0 |
| 儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
驗證及控制/限制外部資訊系統的連接和使用。
識別碼:CMMC L3 AC.1.003 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應使用網路安全性群組保護網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制對虛擬機器的存取,以保護您的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
採用最低權限準則,包括特定安全性功能和特殊權限帳戶。
識別碼:CMMC L3 AC.2.007 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源讀取權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有讀取權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
| 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 若要提供使用者可執行之動作的精細篩選,請使用角色型存取控制 (RBAC) 來管理 Kubernetes Service 叢集中的權限,並設定相關的授權原則。 | Audit, Disabled | 1.0.4 |
監視及控制遠端存取工作階段。
識別碼:CMMC L3 AC.2.013 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應關閉遠端偵錯 | 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
| 函數應用程式應關閉遠端偵錯 | 遠端偵錯需要在函數應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
| 應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
| 儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
根據已核准的授權來控制 CUI 流程。
識別碼:CMMC L3 AC.2.016 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure AI 服務資源應限制網路存取 | 藉由限制網路存取,您可以確保只有允許的網路可以存取服務。 可以藉由設定網路規則,只有來自允許網路的應用程式才能存取 Azure AI 服務來達成這項操作。 | Audit, Deny, Disabled | 3.2.0 |
| 不應允許不受限制的網路存取 | 根據預設,Azure 容器登錄會接受任何網路上的主機透過網際網路的連線。 為了保護登錄不受潛在威脅的影響,請只允許來自特定私人端點、公用 IP 位址或位址範圍的存取。 如果登錄沒有已設定的網路規則,則會出現在狀況不良的資源中。 在這裡深入了解 Azure Container Registry 網路規則:https://aka.ms/acr/privatelink、 https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/vnet。 | Audit, Deny, Disabled | 2.0.0 |
| 函數應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取函式應用程式。 請只允許必要網域與您的函式應用程式互動。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應使用網路安全性群組保護網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制對虛擬機器的存取,以保護您的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| 應對 Azure SQL Database 停用公用網路存取 | 停用公用網路存取屬性可確保您的 Azure SQL Database 只能從私人端點存取,藉此改善安全性。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 1.1.0 |
| 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 若要提供使用者可執行之動作的精細篩選,請使用角色型存取控制 (RBAC) 來管理 Kubernetes Service 叢集中的權限,並設定相關的授權原則。 | Audit, Disabled | 1.0.4 |
| 儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
區隔個人責任,以降低未經共謀的惡意活動風險。
識別碼:CMMC L3 AC.3.017 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對您的訂用帳戶指定最多 3 位擁有者 | 建議您最多指定 3 位訂用帳戶擁有者,以降低遭入侵擁有者導致資料外洩的可能。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應將一個以上的擁有者指派給您的訂用帳戶 | 建議指定多位訂用帳戶擁有者,如此才能設定系統管理員存取備援。 | AuditIfNotExists, Disabled | 3.0.0 |
防止不具權限的使用者執行需具有權限的功能,並在稽核記錄中擷取此類功能的執行。
識別碼:CMMC L3 AC.3.018 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 稽核自訂 RBAC 角色的使用方式 | 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 | Audit, Disabled | 1.0.1 |
授權遠端執行權限命令,以及遠端存取安全性相關資訊。
識別碼:CMMC L3 AC.3.021 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應在您的電腦上安裝來賓設定延伸模組 | 若要確保電腦來賓內設定的安全設定,請安裝來賓設定延伸模組。 延伸模組會監視的客體內設定包括作業系統的設定、應用程式設定或目前狀態,以及環境設定。 安裝後便可使用客體內原則,例如「應啟用 Windows 惡意探索防護」。 深入了解:https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 來賓設定擴充功能需要系統指派的受控識別。 安裝客體設定延伸模組但是沒有系統指派受控識別時,此原則範圍內的 Azure 虛擬機器將會不符合規範。 深入了解:https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
稽核和責任
確定個別系統使用者的動作可被唯一地追蹤到這些使用者,以便使用者對其動作負責。
識別碼:CMMC L3 AU.2.041 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1-preview |
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 特定原則作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定原則作業。 | AuditIfNotExists, Disabled | 3.0.0 |
| 特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 稽核所選取資源類型的診斷設定 | 稽核所選資源類型的診斷設定。 務必只選取支援診斷設定的資源類型。 | AuditIfNotExists | 2.0.1 |
| 應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| Azure 監視器記錄設定檔應收集 [寫入]、[刪除] 和 [動作] 分類的記錄 | 此原則可確保記錄設定檔會收集「寫入」、「刪除」和「動作」類別的記錄 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure 監視器應從所有區域收集活動記錄 | 此原則會稽核不從所有 Azure 支援區域 (包括全球) 匯出活動的 Azure 監視器記錄設定檔。 | AuditIfNotExists, Disabled | 2.0.0 |
| Azure 訂用帳戶應具有用於活動記錄的記錄設定檔 | 此原則可確保記錄設定檔已啟用,可用於匯出活動記錄。 如果沒有建立記錄檔設定檔來將記錄匯出至儲存體帳戶或事件中樞,則會進行稽核。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器擴展集回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1 |
| Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 | 此原則會稽核任何 Windows/Linux 虛擬機器擴展集是否未安裝 Log Analytics 延伸模組。 | AuditIfNotExists, Disabled | 1.0.1 |
| 虛擬機器應連線到指定的工作區 | 若虛擬機器不是登入原則/方案指派中指定的 Log Analytics 工作區,便會將其回報為不符合規範。 | AuditIfNotExists, Disabled | 1.1.0 |
| 虛擬機器應已安裝 Log Analytics 延伸模組 | 此原則會稽核任何 Windows/Linux 虛擬機器是否未安裝 Log Analytics 延伸模組。 | AuditIfNotExists, Disabled | 1.0.1 |
建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動。
識別碼:CMMC L3 AU.2.042 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1-preview |
| 活動記錄至少應保留一年 | 若保留期未設為 365 天或永久 (保留期設為 0),此原則就會稽核活動記錄。 | AuditIfNotExists, Disabled | 1.0.0 |
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 特定原則作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定原則作業。 | AuditIfNotExists, Disabled | 3.0.0 |
| 特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 稽核所選取資源類型的診斷設定 | 稽核所選資源類型的診斷設定。 務必只選取支援診斷設定的資源類型。 | AuditIfNotExists | 2.0.1 |
| 應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| Azure 監視器應從所有區域收集活動記錄 | 此原則會稽核不從所有 Azure 支援區域 (包括全球) 匯出活動的 Azure 監視器記錄設定檔。 | AuditIfNotExists, Disabled | 2.0.0 |
| Azure 訂用帳戶應具有用於活動記錄的記錄設定檔 | 此原則可確保記錄設定檔已啟用,可用於匯出活動記錄。 如果沒有建立記錄檔設定檔來將記錄匯出至儲存體帳戶或事件中樞,則會進行稽核。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器擴展集回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1 |
| Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 | 此原則會稽核任何 Windows/Linux 虛擬機器擴展集是否未安裝 Log Analytics 延伸模組。 | AuditIfNotExists, Disabled | 1.0.1 |
| 虛擬機器應連線到指定的工作區 | 若虛擬機器不是登入原則/方案指派中指定的 Log Analytics 工作區,便會將其回報為不符合規範。 | AuditIfNotExists, Disabled | 1.1.0 |
| 虛擬機器應已安裝 Log Analytics 延伸模組 | 此原則會稽核任何 Windows/Linux 虛擬機器是否未安裝 Log Analytics 延伸模組。 | AuditIfNotExists, Disabled | 1.0.1 |
發生稽核記錄處理失敗時發出警示。
識別碼:CMMC L3 AU.3.046 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1-preview |
| 稽核所選資源類型的診斷設定 | 稽核所選資源類型的診斷設定。 務必只選取支援診斷設定的資源類型。 | AuditIfNotExists | 2.0.1 |
| 應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器擴展集回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1 |
| 虛擬機器應連線到指定的工作區 | 若虛擬機器不是登入原則/方案指派中指定的 Log Analytics 工作區,便會將其回報為不符合規範。 | AuditIfNotExists, Disabled | 1.1.0 |
收集稽核資訊 (例如記錄) 至一個或多個中央存放庫。
識別碼:CMMC L3 AU.3.048 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1-preview |
| App Service 應用程式應啟用資源記錄 | 稽核應用程式上資源記錄的啟用。 如果發生安全性事件或網路遭到損害,這可讓您重新建立活動線索供調查之用。 | AuditIfNotExists, Disabled | 2.0.1 |
| 稽核所選資源類型的診斷設定 | 稽核所選資源類型的診斷設定。 務必只選取支援診斷設定的資源類型。 | AuditIfNotExists | 2.0.1 |
| 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器擴展集回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1 |
| Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 | 此原則會稽核任何 Windows/Linux 虛擬機器擴展集是否未安裝 Log Analytics 延伸模組。 | AuditIfNotExists, Disabled | 1.0.1 |
| 虛擬機器應連線到指定的工作區 | 若虛擬機器不是登入原則/方案指派中指定的 Log Analytics 工作區,便會將其回報為不符合規範。 | AuditIfNotExists, Disabled | 1.1.0 |
| 虛擬機器應已安裝 Log Analytics 延伸模組 | 此原則會稽核任何 Windows/Linux 虛擬機器是否未安裝 Log Analytics 延伸模組。 | AuditIfNotExists, Disabled | 1.0.1 |
保護稽核資訊和稽核記錄工具,防止未經授權的存取、修改和刪除。
識別碼:CMMC L3 AU.3.049 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定原則作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定原則作業。 | AuditIfNotExists, Disabled | 3.0.0 |
| 稽核所選資源類型的診斷設定 | 稽核所選資源類型的診斷設定。 務必只選取支援診斷設定的資源類型。 | AuditIfNotExists | 2.0.1 |
安全性評量
定期評估組織性系統中的安全性控制項,以判斷控制措施在其應用程式中是否有效。
識別碼:CMMC L3 CA.2.158 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應選取資訊安全中心標準定價層 | 標準定價層會為網路及虛擬機器啟用威脅偵測,在 Azure 資訊安全中心提供威脅情報、異常偵測及行為分析 | Audit, Disabled | 1.1.0 |
| 應在 SQL 受控執行個體上啟用弱點評定 | 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 1.0.1 |
| 弱點評估應於您的 SQL 伺服器上啟用 | 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
持續監視安全性控制項,以確保控制措施的持續有效性。
識別碼:CMMC L3 CA.3.161 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應選取資訊安全中心標準定價層 | 標準定價層會為網路及虛擬機器啟用威脅偵測,在 Azure 資訊安全中心提供威脅情報、異常偵測及行為分析 | Audit, Disabled | 1.1.0 |
| 應在 SQL 受控執行個體上啟用弱點評定 | 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 1.0.1 |
| 弱點評估應於您的 SQL 伺服器上啟用 | 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
組態管理
在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。
識別碼:CMMC L3 CM.2.061 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定原則作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定原則作業。 | AuditIfNotExists, Disabled | 3.0.0 |
將組織系統設為只提供基本功能,即可採用最少功能的原則。
識別碼:CMMC L3 CM.2.062 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 若要提供使用者可執行之動作的精細篩選,請使用角色型存取控制 (RBAC) 來管理 Kubernetes Service 叢集中的權限,並設定相關的授權原則。 | Audit, Disabled | 1.0.4 |
控制及監視使用者安裝的軟體。
識別碼:CMMC L3 CM.2.063 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應選取資訊安全中心標準定價層 | 標準定價層會為網路及虛擬機器啟用威脅偵測,在 Azure 資訊安全中心提供威脅情報、異常偵測及行為分析 | Audit, Disabled | 1.1.0 |
建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。
識別碼:CMMC L3 CM.2.064 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Front Door 進入點應啟用 Azure Web 應用程式防火牆 | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 1.0.2 |
| 應為應用程式閘道啟用 Web 應用程式防火牆 (WAF) | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 2.0.0 |
| Web 應用程式防火牆 (WAF) 應對應用程式閘道使用指定的模式 | 在應用程式閘道的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。 | Audit, Deny, Disabled | 1.0.0 |
| Web 應用程式防火牆 (WAF) 應對 Azure Front Door Service 使用指定的模式 | 在 Azure Front Door Service 的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。 | Audit, Deny, Disabled | 1.0.0 |
追蹤、檢閱、核准或不核准,以及記錄對於組織性系統的變更。
識別碼:CMMC L3 CM.2.065 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 特定原則作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定原則作業。 | AuditIfNotExists, Disabled | 3.0.0 |
| 特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure 監視器應從所有區域收集活動記錄 | 此原則會稽核不從所有 Azure 支援區域 (包括全球) 匯出活動的 Azure 監視器記錄設定檔。 | AuditIfNotExists, Disabled | 2.0.0 |
| Azure 訂用帳戶應具有用於活動記錄的記錄設定檔 | 此原則可確保記錄設定檔已啟用,可用於匯出活動記錄。 如果沒有建立記錄檔設定檔來將記錄匯出至儲存體帳戶或事件中樞,則會進行稽核。 | AuditIfNotExists, Disabled | 1.0.0 |
限制、停用或防止使用不必要的程式、函式、連接埠、通訊協定和服務。
識別碼:CMMC L3 CM.3.068 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
| App Service 應用程式應關閉遠端偵錯 | 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
| App Service 應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取您的應用程式。 僅允許必要的網域與您的應用程式互動即可。 | AuditIfNotExists, Disabled | 2.0.0 |
| Azure AI 服務資源應限制網路存取 | 藉由限制網路存取,您可以確保只有允許的網路可以存取服務。 可以藉由設定網路規則,只有來自允許網路的應用程式才能存取 Azure AI 服務來達成這項操作。 | Audit, Deny, Disabled | 3.2.0 |
| 不應允許不受限制的網路存取 | 根據預設,Azure 容器登錄會接受任何網路上的主機透過網際網路的連線。 為了保護登錄不受潛在威脅的影響,請只允許來自特定私人端點、公用 IP 位址或位址範圍的存取。 如果登錄沒有已設定的網路規則,則會出現在狀況不良的資源中。 在這裡深入了解 Azure Container Registry 網路規則:https://aka.ms/acr/privatelink、 https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/vnet。 | Audit, Deny, Disabled | 2.0.0 |
| 函數應用程式應關閉遠端偵錯 | 遠端偵錯需要在函數應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
| 函數應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取函式應用程式。 請只允許必要網域與您的函式應用程式互動。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應使用網路安全性群組保護網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制對虛擬機器的存取,以保護您的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
| 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制存取,以保護您非網際網路對應的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| 應對 Azure SQL Database 停用公用網路存取 | 停用公用網路存取屬性可確保您的 Azure SQL Database 只能從私人端點存取,藉此改善安全性。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 1.1.0 |
| 儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
| 子網路應該與網路安全性群組建立關聯 | 使用網路安全性群組 (NSG) 限制 VM 的存取,保護您的子網路遠離潛在威脅。 NSG 包含存取控制清單 (ACL) 規則的清單,可允許或拒絕子網路的網路流量。 | AuditIfNotExists, Disabled | 3.0.0 |
驗證與授權
驗證或確認這些使用者、流程或裝置的身分識別,做為允許存取組織性資訊系統的必要條件。
識別碼:CMMC L3 IA.1.077 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 對 Azure 資源具有讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
針對本機和網路存取特殊權限帳戶以及對網路存取非特殊權限帳戶使用多重要素驗證。
識別碼:CMMC L3 IA.3.083 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 對 Azure 資源具有讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
針對特殊權限和非特殊權限帳戶的網路存取,採用防重新執行驗證機制。
識別碼:CMMC L3 IA.3.084 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 對 Azure 資源具有讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應該僅限透過 HTTPS 來存取 App Service 應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 4.0.0 |
| App Service 應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.1.0 |
| 應只能透過 HTTPS 存取函數應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 5.0.0 |
| 函數應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.1.0 |
事件回應
為組織性系統建立作業事件處理功能,包括準備、偵測、分析、內含項目、復原及使用者回應活動。
識別碼:CMMC L3 IR.2.092 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對高嚴重性警示啟用電子郵件通知 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請在資訊安全中心內啟用高嚴重性警示的電子郵件通知。 | AuditIfNotExists, Disabled | 1.0.1 |
| 應已針對高嚴重性警示啟用傳送給訂用帳戶擁有者的電子郵件通知 | 為確保訂用帳戶擁有者會在其訂用帳戶有潛在安全性缺口時收到通知,請在資訊安全中心內設定發送對象為訂用帳戶擁有者的高嚴重性警示電子郵件通知。 | AuditIfNotExists, Disabled | 2.0.0 |
| 訂用帳戶應具有連絡人電子郵件地址以處理安全性問題 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請設定要接收資訊安全中心所傳來電子郵件通知的安全性連絡人。 | AuditIfNotExists, Disabled | 1.0.1 |
偵測並報告事件。
識別碼:CMMC L3 IR.2.093 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Front Door 進入點應啟用 Azure Web 應用程式防火牆 | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 1.0.2 |
| 應針對高嚴重性警示啟用電子郵件通知 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請在資訊安全中心內啟用高嚴重性警示的電子郵件通知。 | AuditIfNotExists, Disabled | 1.0.1 |
| 應為每個網路安全性群組設定流量記錄 | 稽核網路安全性群組,以驗證是否已設定流量記錄。 啟用流量記錄可讓您記錄流過網路安全性群組的 IP 流量相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.1.0 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或惡意探索。 | AuditIfNotExists, Disabled | 1.0.4 |
| 應為應用程式閘道啟用 Web 應用程式防火牆 (WAF) | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 2.0.0 |
| Web 應用程式防火牆 (WAF) 應對應用程式閘道使用指定的模式 | 在應用程式閘道的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。 | Audit, Deny, Disabled | 1.0.0 |
| Web 應用程式防火牆 (WAF) 應對 Azure Front Door Service 使用指定的模式 | 在 Azure Front Door Service 的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。 | Audit, Deny, Disabled | 1.0.0 |
復原
定期執行並測試資料備份。
識別碼:CMMC L3 RE.2.137 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 稽核未設定災害復原的虛擬機器 | 稽核未設定災害復原的虛擬機器。 若要深入了解災害復原,請造訪 https://aka.ms/asr-doc。 | auditIfNotExists | 1.0.0 |
| 應該為虛擬機器啟用 Azure 備份 | 藉由啟用 Azure 備份,確保您的 Azure 虛擬機器受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應為適用於 MariaDB 的 Azure 資料庫啟用異地備援備份 | 適用於 MariaDB 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為適用於 MySQL 的 Azure 資料庫啟用異地備援備份 | 適用於 MySQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為適用於 PostgreSQL 的 Azure 資料庫啟用異地備援備份 | 適用於 PostgreSQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為 Azure SQL Database 啟用長期異地備援備份 | 此原則會稽核所有未啟用長期異地備援備份的 Azure SQL Database。 | AuditIfNotExists, Disabled | 2.0.0 |
定期以組織定義的方式執行完整、全面且具復原性的資料備份。
識別碼:CMMC L3 RE.3.139 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 稽核未設定災害復原的虛擬機器 | 稽核未設定災害復原的虛擬機器。 若要深入了解災害復原,請造訪 https://aka.ms/asr-doc。 | auditIfNotExists | 1.0.0 |
| 應該為虛擬機器啟用 Azure 備份 | 藉由啟用 Azure 備份,確保您的 Azure 虛擬機器受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應為適用於 MariaDB 的 Azure 資料庫啟用異地備援備份 | 適用於 MariaDB 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為適用於 MySQL 的 Azure 資料庫啟用異地備援備份 | 適用於 MySQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為適用於 PostgreSQL 的 Azure 資料庫啟用異地備援備份 | 適用於 PostgreSQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為 Azure SQL Database 啟用長期異地備援備份 | 此原則會稽核所有未啟用長期異地備援備份的 Azure SQL Database。 | AuditIfNotExists, Disabled | 2.0.0 |
風險評估
定期評估由於組織系統作業以及關聯 CUI 的處理、儲存或傳輸,對組織營運 (包括任務、功能、形象或信譽)、組織資產及個人帶來的風險。
識別碼:CMMC L3 RM.2.141 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或惡意探索。 | AuditIfNotExists, Disabled | 1.0.4 |
| 應選取資訊安全中心標準定價層 | 標準定價層會為網路及虛擬機器啟用威脅偵測,在 Azure 資訊安全中心提供威脅情報、異常偵測及行為分析 | Audit, Disabled | 1.1.0 |
| 應在 SQL 受控執行個體上啟用弱點評定 | 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 1.0.1 |
| 弱點評估應於您的 SQL 伺服器上啟用 | 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
定期以及在發現會影響這些系統和應用程式的新弱點時,掃描組織系統和應用程式中的弱點。
識別碼:CMMC L3 RM.2.142 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或惡意探索。 | AuditIfNotExists, Disabled | 1.0.4 |
| 應選取資訊安全中心標準定價層 | 標準定價層會為網路及虛擬機器啟用威脅偵測,在 Azure 資訊安全中心提供威脅情報、異常偵測及行為分析 | Audit, Disabled | 1.1.0 |
| 應在 SQL 受控執行個體上啟用弱點評定 | 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 1.0.1 |
| 弱點評估應於您的 SQL 伺服器上啟用 | 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
根據風險評量補救弱點。
識別碼:CMMC L3 RM.2.143 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 將您的 Kubernetes 服務叢集升級為較新的 Kubernetes 版本,以防禦您目前 Kubernetes 版本中的已知弱點。 Kubernetes 版本 1.11.9 +、1.12.7+、1.13.5+ 及 1.14.0+ 中已修補弱點 CVE-2019-9946 | Audit, Disabled | 1.0.2 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或惡意探索。 | AuditIfNotExists, Disabled | 1.0.4 |
| 應選取資訊安全中心標準定價層 | 標準定價層會為網路及虛擬機器啟用威脅偵測,在 Azure 資訊安全中心提供威脅情報、異常偵測及行為分析 | Audit, Disabled | 1.1.0 |
| SQL 資料庫應已解決發現的弱點 | 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 | AuditIfNotExists, Disabled | 4.1.0 |
| 您應在機器上修復安全性組態的弱點 | Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 | AuditIfNotExists, Disabled | 3.1.0 |
| 應在 SQL 受控執行個體上啟用弱點評定 | 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 1.0.1 |
| 弱點評估應於您的 SQL 伺服器上啟用 | 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
風險管理 (Risk Management)
根據定義的風險類別、風險來源及風險測量準則,定期執行風險評估,以識別風險並設定風險處理優先順位。
識別碼:CMMC L3 RM.3.144 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或惡意探索。 | AuditIfNotExists, Disabled | 1.0.4 |
| 應選取資訊安全中心標準定價層 | 標準定價層會為網路及虛擬機器啟用威脅偵測,在 Azure 資訊安全中心提供威脅情報、異常偵測及行為分析 | Audit, Disabled | 1.1.0 |
系統與通訊保護
監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。
識別碼:CMMC L3 SC.1.175 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應該僅限透過 HTTPS 來存取 App Service 應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 4.0.0 |
| App Service 應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.1.0 |
| Azure AI 服務資源應限制網路存取 | 藉由限制網路存取,您可以確保只有允許的網路可以存取服務。 可以藉由設定網路規則,只有來自允許網路的應用程式才能存取 Azure AI 服務來達成這項操作。 | Audit, Deny, Disabled | 3.2.0 |
| Azure Front Door 進入點應啟用 Azure Web 應用程式防火牆 | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 1.0.2 |
| 不應允許不受限制的網路存取 | 根據預設,Azure 容器登錄會接受任何網路上的主機透過網際網路的連線。 為了保護登錄不受潛在威脅的影響,請只允許來自特定私人端點、公用 IP 位址或位址範圍的存取。 如果登錄沒有已設定的網路規則,則會出現在狀況不良的資源中。 在這裡深入了解 Azure Container Registry 網路規則:https://aka.ms/acr/privatelink、 https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/vnet。 | Audit, Deny, Disabled | 2.0.0 |
| 應為每個網路安全性群組設定流量記錄 | 稽核網路安全性群組,以驗證是否已設定流量記錄。 啟用流量記錄可讓您記錄流過網路安全性群組的 IP 流量相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.1.0 |
| 應只能透過 HTTPS 存取函數應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 5.0.0 |
| 函數應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.1.0 |
| 應使用網路安全性群組保護網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制對虛擬機器的存取,以保護您的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
| 應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制存取,以保護您非網際網路對應的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| 只允許對您 Azure Cache for Redis 的安全連線 | 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 1.0.0 |
| 應對 Azure SQL Database 停用公用網路存取 | 停用公用網路存取屬性可確保您的 Azure SQL Database 只能從私人端點存取,藉此改善安全性。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 1.1.0 |
| 應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
| 儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
| 應為應用程式閘道啟用 Web 應用程式防火牆 (WAF) | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 2.0.0 |
| Web 應用程式防火牆 (WAF) 應對應用程式閘道使用指定的模式 | 在應用程式閘道的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。 | Audit, Deny, Disabled | 1.0.0 |
| Web 應用程式防火牆 (WAF) 應對 Azure Front Door Service 使用指定的模式 | 在 Azure Front Door Service 的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。 | Audit, Deny, Disabled | 1.0.0 |
針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。
識別碼:CMMC L3 SC.1.176 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應使用網路安全性群組保護網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制對虛擬機器的存取,以保護您的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| 儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
| 子網路應該與網路安全性群組建立關聯 | 使用網路安全性群組 (NSG) 限制 VM 的存取,保護您的子網路遠離潛在威脅。 NSG 包含存取控制清單 (ACL) 規則的清單,可允許或拒絕子網路的網路流量。 | AuditIfNotExists, Disabled | 3.0.0 |
使用加密工作階段管理網路裝置。
識別碼:CMMC L3 SC.2.179 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
採用 FIPS 驗證的加密來保護 CUI 的機密性。
識別碼:CMMC L3 SC.3.177 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應加密自動化帳戶變數 | 儲存敏感性資料時,請務必為自動化帳戶變數資產啟用加密 | Audit, Deny, Disabled | 1.1.0 |
| Azure AI 服務資源應使用客戶管理的金鑰加密待用資料 (CMK) | 使用客戶管理的金鑰來加密待用資料,可提供對金鑰生命週期的更多控制,包括輪替和管理。 這與具有相關合規性需求的組織特別相關。 根據預設,這不會進行評估,而且只有在合規性或限制性原則需求需要時才應套用。 如果未啟用,則會使用平台管理的金鑰來加密資料。 若要實作此作業,請在適用範圍的安全原則中更新 'Effect' 參數。 | Audit, Deny, Disabled | 2.2.0 |
| Azure 資料箱作業應針對裝置上的待用資料啟用雙重加密 | 針對裝置上的待用資料啟用軟體型的第二層加密。 裝置已透過進階加密標準的 256 位加密來保護待用資料。 此選項會新增第二層資料加密。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 資料總管待用加密應使用客戶自控金鑰 | 在 Azure 資料總管叢集上使用客戶自控金鑰來啟用待用加密,可讓您進一步控制待用加密所使用的金鑰。 這項功能通常適用於具有特殊合規性需求的客戶,而且需要 Key Vault 來管理金鑰。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 串流分析作業應使用客戶自控金鑰來加密資料 | 要將串流分析作業的任何中繼資料和私人資料資產安全地儲存在儲存體帳戶中時,請使用客戶自控金鑰。 這可讓您完全控管串流分析資料的加密方式。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
| Azure Synapse 工作區應使用客戶自控金鑰來加密待用資料 | 使用客戶自控金鑰來控制 Azure Synapse 工作區中所儲存資料的待用加密。 客戶管理的金鑰會在使用服務管理的金鑰完成的預設加密以外新增第二層加密,來提供雙重加密。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Kubernetes Service 叢集中的作業系統和資料磁碟都應該使用客戶自控金鑰加密 | 使用客戶自控金鑰加密 OS 和資料磁碟,可在金鑰管理方面提供更大的控制能力和彈性。 這是許多法規和業界合規性標準的常見需求。 | Audit, Deny, Disabled | 1.0.1 |
| 容器登錄應使用客戶自控金鑰加密 | 使用客戶自控金鑰來管理登錄內容的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/acr/CMK。 | Audit, Deny, Disabled | 1.1.2 |
| 應該在 Azure 資料總管上啟用磁碟加密 | 啟用磁碟加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 | Audit, Deny, Disabled | 2.0.0 |
| 應該在 Azure 資料總管上啟用雙重加密 | 啟用雙重加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 啟用雙重加密時,儲存體帳戶中的資料會加密兩次;一次在服務層級,一次在基礎結構層級,且會使用兩個不同的加密演算法和兩個不同的金鑰。 | Audit, Deny, Disabled | 2.0.0 |
| Service Fabric 叢集應將 ClusterProtectionLevel 屬性設定為 EncryptAndSign | Service Fabric 使用主要叢集憑證,可為節點對節點的通訊提供三層保護 (None、Sign 及 EncryptAndSign)。 設定保護層級可確保所有節點對節點的訊息皆經過加密及數位簽署 | Audit, Deny, Disabled | 1.1.0 |
| SQL 受控執行個體應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.0 |
| SQL 伺服器應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.1 |
| 儲存體帳戶應具有基礎結構加密 | 啟用基礎結構加密,以取得資料安全的更高層級保證。 啟用基礎結構加密時,儲存體帳戶中的資料會加密兩次。 | Audit, Deny, Disabled | 1.0.0 |
| 儲存體帳戶應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰,以更具彈性的方式保護您的 blob 和檔案儲存體帳戶。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰提供額外的功能,可用於控制金鑰輪替,或以密碼編譯的方式清除資料。 | Audit, Disabled | 1.0.3 |
| 應在 SQL 資料庫上啟用透明資料加密 | 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 | AuditIfNotExists, Disabled | 2.0.0 |
採用架構設計、軟體發展技術和系統工程原則,在組織系統中提升有效的資訊安全性。
識別碼:CMMC L3 SC.3.180 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 子網路應該與網路安全性群組建立關聯 | 使用網路安全性群組 (NSG) 限制 VM 的存取,保護您的子網路遠離潛在威脅。 NSG 包含存取控制清單 (ACL) 規則的清單,可允許或拒絕子網路的網路流量。 | AuditIfNotExists, Disabled | 3.0.0 |
將使用者功能與系統管理功能加以區分。
識別碼:CMMC L3 SC.3.181 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對您的訂用帳戶指定最多 3 位擁有者 | 建議您最多指定 3 位訂用帳戶擁有者,以降低遭入侵擁有者導致資料外洩的可能。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應針對 SQL 伺服器佈建 Azure Active Directory 管理員 | 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源擁有者權限的已封鎖帳戶應移除 | 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源擁有者權限的來賓帳戶應移除 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應將一個以上的擁有者指派給您的訂用帳戶 | 建議指定多位訂用帳戶擁有者,如此才能設定系統管理員存取備援。 | AuditIfNotExists, Disabled | 3.0.0 |
預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。
識別碼:CMMC L3 SC.3.183 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
| App Service 應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取您的應用程式。 僅允許必要的網域與您的應用程式互動即可。 | AuditIfNotExists, Disabled | 2.0.0 |
| Azure AI 服務資源應限制網路存取 | 藉由限制網路存取,您可以確保只有允許的網路可以存取服務。 可以藉由設定網路規則,只有來自允許網路的應用程式才能存取 Azure AI 服務來達成這項操作。 | Audit, Deny, Disabled | 3.2.0 |
| Azure Front Door 進入點應啟用 Azure Web 應用程式防火牆 | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 1.0.2 |
| 不應允許不受限制的網路存取 | 根據預設,Azure 容器登錄會接受任何網路上的主機透過網際網路的連線。 為了保護登錄不受潛在威脅的影響,請只允許來自特定私人端點、公用 IP 位址或位址範圍的存取。 如果登錄沒有已設定的網路規則,則會出現在狀況不良的資源中。 在這裡深入了解 Azure Container Registry 網路規則:https://aka.ms/acr/privatelink、 https://aka.ms/acr/portal/public-network 和 https://aka.ms/acr/vnet。 | Audit, Deny, Disabled | 2.0.0 |
| 應為每個網路安全性群組設定流量記錄 | 稽核網路安全性群組,以驗證是否已設定流量記錄。 啟用流量記錄可讓您記錄流過網路安全性群組的 IP 流量相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.1.0 |
| 函數應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取函式應用程式。 請只允許必要網域與您的函式應用程式互動。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應使用網路安全性群組保護網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制對虛擬機器的存取,以保護您的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
| 應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制存取,以保護您非網際網路對應的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| 應對 Azure SQL Database 停用公用網路存取 | 停用公用網路存取屬性可確保您的 Azure SQL Database 只能從私人端點存取,藉此改善安全性。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 1.1.0 |
| 儲存體帳戶應允許來自信任 Microsoft 服務的存取 | 有些與儲存體帳戶互動的 Microsoft 服務是從無法透過網路規則授與存取權的網路運作。 若要讓這類服務如預期方式運作,請允許受信任的 Microsoft 服務集合略過網路規則。 這些服務會使用增強式驗證存取儲存體帳戶。 | Audit, Deny, Disabled | 1.0.0 |
| 儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
| 子網路應該與網路安全性群組建立關聯 | 使用網路安全性群組 (NSG) 限制 VM 的存取,保護您的子網路遠離潛在威脅。 NSG 包含存取控制清單 (ACL) 規則的清單,可允許或拒絕子網路的網路流量。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應為應用程式閘道啟用 Web 應用程式防火牆 (WAF) | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 2.0.0 |
| Web 應用程式防火牆 (WAF) 應對應用程式閘道使用指定的模式 | 在應用程式閘道的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。 | Audit, Deny, Disabled | 1.0.0 |
| Web 應用程式防火牆 (WAF) 應對 Azure Front Door Service 使用指定的模式 | 在 Azure Front Door Service 的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。 | Audit, Deny, Disabled | 1.0.0 |
實作密碼編譯機制,以防止在傳輸期間未經授權洩漏 CUI,除非受到其他實體保護。
識別碼:CMMC L3 SC.3.185 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應該僅限透過 HTTPS 來存取 App Service 應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 4.0.0 |
| App Service 應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.1.0 |
| 應為 MySQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 MySQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 MySQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
| 應為 PostgreSQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 PostgreSQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 PostgreSQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
| 應只能透過 HTTPS 存取函數應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 5.0.0 |
| 函數應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.1.0 |
| 只允許對您 Azure Cache for Redis 的安全連線 | 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 1.0.0 |
| 應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
| 儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
建立及管理組織性系統中所使用加密的密碼金鑰。
識別碼:CMMC L3 SC.3.187 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 金鑰保存庫應啟用刪除保護 | 惡意刪除金鑰保存庫可能會導致永久的資料遺失。 您可以啟用清除保護和虛刪除來防止永久遺失資料。 清除保護可對虛刪除的金鑰保存庫強制執行必要的保留期間,以保護您免於遭受內部攻擊。 您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的金鑰保存庫。 請記住,在 2019 年 9 月 1 日之後建立的金鑰保存庫依預設會啟用虛刪除。 | Audit, Deny, Disabled | 2.1.0 |
| 金鑰保存庫應已啟用虛刪除 | 刪除未啟用虛刪除的金鑰保存庫時,將會永久刪除儲存在金鑰保存庫中的所有秘密、金鑰和憑證。 意外刪除金鑰保存庫可能會導致永久的資料遺失。 虛刪除可讓您在可設定的保留期間內復原意外刪除的金鑰保存庫。 | Audit, Deny, Disabled | 3.0.0 |
保護通訊工作階段的真確性。
識別碼:CMMC L3 SC.3.190 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 對 Azure 資源具有讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應該僅限透過 HTTPS 來存取 App Service 應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 4.0.0 |
| App Service 應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.1.0 |
| 應為 MySQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 MySQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 MySQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
| 應為 PostgreSQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 PostgreSQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 PostgreSQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
| 應只能透過 HTTPS 存取函數應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 5.0.0 |
| 函數應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.1.0 |
保護待用 CUI 的機密性。
識別碼:CMMC L3 SC.3.191 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應加密自動化帳戶變數 | 儲存敏感性資料時,請務必為自動化帳戶變數資產啟用加密 | Audit, Deny, Disabled | 1.1.0 |
| Azure 資料箱作業應針對裝置上的待用資料啟用雙重加密 | 針對裝置上的待用資料啟用軟體型的第二層加密。 裝置已透過進階加密標準的 256 位加密來保護待用資料。 此選項會新增第二層資料加密。 | Audit, Deny, Disabled | 1.0.0 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應該在 Azure 資料總管上啟用磁碟加密 | 啟用磁碟加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 | Audit, Deny, Disabled | 2.0.0 |
| 應該在 Azure 資料總管上啟用雙重加密 | 啟用雙重加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 啟用雙重加密時,儲存體帳戶中的資料會加密兩次;一次在服務層級,一次在基礎結構層級,且會使用兩個不同的加密演算法和兩個不同的金鑰。 | Audit, Deny, Disabled | 2.0.0 |
| Service Fabric 叢集應將 ClusterProtectionLevel 屬性設定為 EncryptAndSign | Service Fabric 使用主要叢集憑證,可為節點對節點的通訊提供三層保護 (None、Sign 及 EncryptAndSign)。 設定保護層級可確保所有節點對節點的訊息皆經過加密及數位簽署 | Audit, Deny, Disabled | 1.1.0 |
| 儲存體帳戶應具有基礎結構加密 | 啟用基礎結構加密,以取得資料安全的更高層級保證。 啟用基礎結構加密時,儲存體帳戶中的資料會加密兩次。 | Audit, Deny, Disabled | 1.0.0 |
| 儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
| 應在 SQL 資料庫上啟用透明資料加密 | 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 | AuditIfNotExists, Disabled | 2.0.0 |
系統和資訊完整性
及時識別、報告及修正資訊和資訊系統缺陷。
識別碼:CMMC L3 SI.1.210 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
| App Service 應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.1.0 |
| 函數應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
| 函數應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.1.0 |
| Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 將您的 Kubernetes 服務叢集升級為較新的 Kubernetes 版本,以防禦您目前 Kubernetes 版本中的已知弱點。 Kubernetes 版本 1.11.9 +、1.12.7+、1.13.5+ 及 1.14.0+ 中已修補弱點 CVE-2019-9946 | Audit, Disabled | 1.0.2 |
| Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 | 此原則會稽核未設定自動更新 Microsoft Antimalware 保護簽章的任何 Windows 虛擬機器。 | AuditIfNotExists, Disabled | 1.0.0 |
| SQL 資料庫應已解決發現的弱點 | 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 | AuditIfNotExists, Disabled | 4.1.0 |
| 您應在機器上修復安全性組態的弱點 | Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 | AuditIfNotExists, Disabled | 3.1.0 |
在組織資訊系統適當的位置提供保護,防止惡意程式碼。
識別碼:CMMC L3 SI.1.211 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 | 此原則會稽核未設定自動更新 Microsoft Antimalware 保護簽章的任何 Windows 虛擬機器。 | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上 | 此原則會稽核任何未部署 Microsoft IaaSAntimalware 延伸模組的 Windows 伺服器 VM。 | AuditIfNotExists, Disabled | 1.1.0 |
在提供新版本時,立即更新惡意程式碼保護機制。
識別碼:CMMC L3 SI.1.212 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 | 此原則會稽核未設定自動更新 Microsoft Antimalware 保護簽章的任何 Windows 虛擬機器。 | AuditIfNotExists, Disabled | 1.0.0 |
在下載、開啟或執行檔案時,定期掃描資訊系統,並即時掃描來自外部來源的檔案。
識別碼:CMMC L3 SI.1.213 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 | 此原則會稽核未設定自動更新 Microsoft Antimalware 保護簽章的任何 Windows 虛擬機器。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或惡意探索。 | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上 | 此原則會稽核任何未部署 Microsoft IaaSAntimalware 延伸模組的 Windows 伺服器 VM。 | AuditIfNotExists, Disabled | 1.1.0 |
監視組織系統,包括輸入和輸出通訊流量,以偵測攻擊和潛在攻擊的指標。
識別碼:CMMC L3 SI.2.216 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 特定原則作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定原則作業。 | AuditIfNotExists, Disabled | 3.0.0 |
| 特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| Azure 監視器應從所有區域收集活動記錄 | 此原則會稽核不從所有 Azure 支援區域 (包括全球) 匯出活動的 Azure 監視器記錄設定檔。 | AuditIfNotExists, Disabled | 2.0.0 |
| Azure 訂用帳戶應具有用於活動記錄的記錄設定檔 | 此原則可確保記錄設定檔已啟用,可用於匯出活動記錄。 如果沒有建立記錄檔設定檔來將記錄匯出至儲存體帳戶或事件中樞,則會進行稽核。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Front Door 進入點應啟用 Azure Web 應用程式防火牆 | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 1.0.2 |
| 應已針對高嚴重性警示啟用傳送給訂用帳戶擁有者的電子郵件通知 | 為確保訂用帳戶擁有者會在其訂用帳戶有潛在安全性缺口時收到通知,請在資訊安全中心內設定發送對象為訂用帳戶擁有者的高嚴重性警示電子郵件通知。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應為每個網路安全性群組設定流量記錄 | 稽核網路安全性群組,以驗證是否已設定流量記錄。 啟用流量記錄可讓您記錄流過網路安全性群組的 IP 流量相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.1.0 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或惡意探索。 | AuditIfNotExists, Disabled | 1.0.4 |
| 應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
| 訂用帳戶應具有連絡人電子郵件地址以處理安全性問題 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請設定要接收資訊安全中心所傳來電子郵件通知的安全性連絡人。 | AuditIfNotExists, Disabled | 1.0.1 |
| 應為應用程式閘道啟用 Web 應用程式防火牆 (WAF) | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 2.0.0 |
| Web 應用程式防火牆 (WAF) 應對應用程式閘道使用指定的模式 | 在應用程式閘道的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。 | Audit, Deny, Disabled | 1.0.0 |
| Web 應用程式防火牆 (WAF) 應對 Azure Front Door Service 使用指定的模式 | 在 Azure Front Door Service 的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。 | Audit, Deny, Disabled | 1.0.0 |
識別組織性系統未經授權的使用。
識別碼:CMMC L3 SI.2.217 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 活動記錄至少應保留一年 | 若保留期未設為 365 天或永久 (保留期設為 0),此原則就會稽核活動記錄。 | AuditIfNotExists, Disabled | 1.0.0 |
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 特定原則作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定原則作業。 | AuditIfNotExists, Disabled | 3.0.0 |
| 特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| Azure 監視器記錄設定檔應收集 [寫入]、[刪除] 和 [動作] 分類的記錄 | 此原則可確保記錄設定檔會收集「寫入」、「刪除」和「動作」類別的記錄 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure 監視器應從所有區域收集活動記錄 | 此原則會稽核不從所有 Azure 支援區域 (包括全球) 匯出活動的 Azure 監視器記錄設定檔。 | AuditIfNotExists, Disabled | 2.0.0 |
| Azure 訂用帳戶應具有用於活動記錄的記錄設定檔 | 此原則可確保記錄設定檔已啟用,可用於匯出活動記錄。 如果沒有建立記錄檔設定檔來將記錄匯出至儲存體帳戶或事件中樞,則會進行稽核。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應已針對高嚴重性警示啟用傳送給訂用帳戶擁有者的電子郵件通知 | 為確保訂用帳戶擁有者會在其訂用帳戶有潛在安全性缺口時收到通知,請在資訊安全中心內設定發送對象為訂用帳戶擁有者的高嚴重性警示電子郵件通知。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
下一步
有關 Azure 原則的其他文章:
- 法規合規性概觀。
- 請參閱方案定義結構。
- 在 Azure 原則範例檢閱其他範例。
- 檢閱了解原則效果。
- 了解如何補救不符合規範的資源。