適用於 Azure Synapse Analytics 的 Azure 原則 法規合規性控制
Azure 原則中的法規合規性可針對與不同合規性標準相關的合規性網域和安全性控制,提供 Microsoft 建立和管理的方案定義 (稱為「內建項目」)。 此頁面會列出適用於 Azure 應用程式組態的合規性網域和安全性控制。 您可以針對安全性控制個別指派內建項目,以協助讓您的 Azure 資源符合特定標準的規範。
每個內建原則定義的標題都會連結到 Azure 入口網站中的原則定義。 使用 [原則版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
重要
每個控制項都與一或多個 Azure 原則定義建立關聯。 這些原則可協助您評估控制項的合規性。 然而,控制項與一或多個原則之間通常不是一對一相符或完全相符。 因此,Azure 原則中的符合規範僅指原則本身。 這不保證您完全符合控制項的所有要求。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 這些合規性標準的控制項與 Azure 原則法規合規性定義之間的關聯,可能會隨著時間而改變。
CMMC 第 3 級
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - CMMC 第 3 級。 如需此合規性標準的詳細資訊,請參閱網路安全性成熟度模型認證 (CMMC)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 系統與通訊保護 | SC.3.177 | 採用 FIPS 驗證的加密來保護 CUI 的機密性。 | Azure Synapse 工作區應使用客戶自控金鑰來加密待用資料 | 1.0.0 |
FedRAMP High
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - FedRAMP High。 如需此合規性標準的詳細資訊,請參閱 FedRAMP High
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC-4 | 資訊流程強制 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 存取控制 | AC-17 | 遠端存取 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 存取控制 | AC-17 (1) | 自動化監視/控制 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 風險評估 | RA-5 | 弱點掃描 | 應在您的 Synapse 工作區上啟用弱點評量 | 1.0.0 |
| 系統與通訊保護 | SC-7 | 界限保護 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 系統與通訊保護 | SC-7 (3) | 存取點 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 系統與通訊保護 | SC-12 | 密碼編譯金鑰建立和管理 | Azure Synapse 工作區應使用客戶自控金鑰來加密待用資料 | 1.0.0 |
FedRAMP Moderate
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - FedRAMP Moderate。 如需此合規性標準的詳細資訊,請參閱 FedRAMP Moderate。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC-4 | 資訊流程強制 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 存取控制 | AC-17 | 遠端存取 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 存取控制 | AC-17 (1) | 自動化監視/控制 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 風險評估 | RA-5 | 弱點掃描 | 應在您的 Synapse 工作區上啟用弱點評量 | 1.0.0 |
| 系統與通訊保護 | SC-7 | 界限保護 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 系統與通訊保護 | SC-7 (3) | 存取點 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 系統與通訊保護 | SC-12 | 密碼編譯金鑰建立和管理 | Azure Synapse 工作區應使用客戶自控金鑰來加密待用資料 | 1.0.0 |
Microsoft 雲端安全性基準
Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 若要查看此服務如何完全對應至 Microsoft 雲端安全性基準,請參閱 Azure 安全性基準對應檔案。
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應至此合規性標準的方法,請參閱 Azure 原則法規合規性 - Microsoft 雲端安全性基準。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 身分識別管理 | IM-1 | 使用集中式身分識別和驗證系統 | Synapse 工作區應已啟用僅限 Microsoft Entra 驗證 | 1.0.0 |
| 身分識別管理 | IM-1 | 使用集中式身分識別和驗證系統 | Synapse 工作區應在工作區建立期間只使用 Microsoft Entra 身分識別進行驗證 | 1.2.0 |
| 記錄與威脅偵測 | LT-1 | 啟用威脅偵測功能 | 應針對未受保護的 Synapse 工作區啟用適用於 SQL 的 Microsoft Defender | 1.0.0 |
| 記錄與威脅偵測 | LT-2 | 啟用適用於身分識別與存取管理的威脅偵測 | 應針對未受保護的 Synapse 工作區啟用適用於 SQL 的 Microsoft Defender | 1.0.0 |
| 事件回應 | IR-3 | 偵測和分析 – 根據高品質警示建立事件 | 應針對未受保護的 Synapse 工作區啟用適用於 SQL 的 Microsoft Defender | 1.0.0 |
| 事件回應 | AIR-5 | 偵測和分析 – 設定事件的優先順位 | 應針對未受保護的 Synapse 工作區啟用適用於 SQL 的 Microsoft Defender | 1.0.0 |
NIST SP 800-171 R2
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-171 R2。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-171 R2。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | 3.1.1 | 限制系統存取獲授權的使用者、代表獲授權使用者處理,以及裝置 (包括其他系統)。 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 存取控制 | 3.1.12 | 監視及控制遠端存取工作階段。 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 存取控制 | 3.1.13 | 採用密碼編譯機制來保護遠端存取工作階段的機密性。 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 存取控制 | 3.1.14 | 透過受控存取控制點路由遠端存取。 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 存取控制 | 3.1.3 | 根據已核准的授權來控制 CUI 流程。 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 風險評估 | 3.11.2 | 定期以及在發現會影響這些系統和應用程式的新弱點時,掃描組織系統和應用程式中的弱點。 | 應在您的 Synapse 工作區上啟用弱點評量 | 1.0.0 |
| 風險評估 | 3.11.3 | 根據風險評量補救弱點。 | 應在您的 Synapse 工作區上啟用弱點評量 | 1.0.0 |
| 系統與通訊保護 | 3.13.1 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 系統與通訊保護 | 3.13.10 | 建立及管理組織性系統中所使用加密的密碼金鑰。 | Azure Synapse 工作區應使用客戶自控金鑰來加密待用資料 | 1.0.0 |
| 系統與通訊保護 | 3.13.2 | 採用架構設計、軟體發展技術和系統工程原則,在組織系統中提升有效的資訊安全性。 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 系統與通訊保護 | 3.13.5 | 針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
NIST SP 800-53 Rev. 4
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-53 Rev. 4。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-53 Rev. 4 (英文)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC-4 | 資訊流程強制 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 存取控制 | AC-17 | 遠端存取 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 存取控制 | AC-17 (1) | 自動化監視/控制 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 風險評估 | RA-5 | 弱點掃描 | 應在您的 Synapse 工作區上啟用弱點評量 | 1.0.0 |
| 系統與通訊保護 | SC-7 | 界限保護 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 系統與通訊保護 | SC-7 (3) | 存取點 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 系統與通訊保護 | SC-12 | 密碼編譯金鑰建立和管理 | Azure Synapse 工作區應使用客戶自控金鑰來加密待用資料 | 1.0.0 |
NIST SP 800-53 Rev. 5
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-53 Rev. 5。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-53 Rev. 5。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC-4 | 資訊流程強制 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 存取控制 | AC-17 | 遠端存取 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 存取控制 | AC-17 (1) | 監視和控制 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 風險評估 | RA-5 | 弱點監視和掃描 | 應在您的 Synapse 工作區上啟用弱點評量 | 1.0.0 |
| 系統與通訊保護 | SC-7 | 界限保護 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 系統與通訊保護 | SC-7 (3) | 存取點 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| 系統與通訊保護 | SC-12 | 密碼編譯金鑰的建立和管理 | Azure Synapse 工作區應使用客戶自控金鑰來加密待用資料 | 1.0.0 |
NL BIO 雲端主題
若要檢閱所有 Azure 服務中可用的 Azure 原則內建項目對應至此合規性標準的方法,請參閱適用於 NL BIO 雲端主題的 Azure 原則法規合規性詳細資料 (部分機器翻譯)。 如需此合規性標準的詳細資訊,請參閱基準資訊安全政府網路安全性:數位政府 (digitaleoverheid.nl)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| C.04.3 技術弱點管理 - 時間表 | C.04.3 | 如果濫用和預期的損害都很可能出現,則將在一週內安裝修補檔。 | 應在您的 Synapse 工作區上啟用弱點評量 | 1.0.0 |
| U.05.2 資料保護 - 加密措施 | U.05.2 | 儲存在雲端服務的資料應受到最新先進技術的保護。 | Azure Synapse 工作區應使用客戶自控金鑰來加密待用資料 | 1.0.0 |
| U.07.1 資料隔離:已隔離 | U.07.1 | 資料的永久隔離是多租用戶結構。 修補檔會以受控方式實現。 | Azure Synapse 工作區應使用私人連結 | 1.0.1 |
| U.11.3 Cryptoservices - 加密 | U.11.3 | 敏感性資料一律會使用由 CSC 管理的私密金鑰進行加密。 | Azure Synapse 工作區應使用客戶自控金鑰來加密待用資料 | 1.0.0 |
| U.17.1 多租用戶架構 - 加密 | U.17.1 | CSC 傳輸中和待用資料會加密。 | 應在您的 Synapse 工作區上啟用弱點評量 | 1.0.0 |
印度儲備銀行 - 適用於 NBFC 的 IT Framework
若要檢閱適用於所有 Azure 服務的可用 Azure 原則如何對應到此合規性標準,請參閱 Azure 原則法規合規性 - 印度儲備銀行 - 適用於 NBFC 的 IT Framework。 如需此合規性標準的詳細資訊,請參閱印度儲備銀行 - 適用於 NBFC 的 IT 架構。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 資訊和網路安全性 | 3.3 | 弱點管理-3.3 | 應在您的 Synapse 工作區上啟用弱點評量 | 1.0.0 |
| IS 稽核 | 5 | 資訊系統稽核 (IS 稽核) 的原則-5 | 應移除 Azure Synapse 工作區上的 IP 防火牆規則 | 1.0.0 |
西班牙 ENS
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應至此合規性標準的方法,請參閱適用於 Spain ENS 的 Azure 原則法規合規性詳細資料。 如需此合規性標準的詳細資訊,請參閱 CCN-STIC 884。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 保護措施 | mp.com.1 | 保護通訊 | 應移除 Azure Synapse 工作區上的 IP 防火牆規則 | 1.0.0 |
| 作業架構 | op.exp.2 | 作業 | 應在您的 Synapse 工作區上啟用弱點評量 | 1.0.0 |
| 作業架構 | op.exp.3 | 作業 | 應在您的 Synapse 工作區上啟用弱點評量 | 1.0.0 |
| 作業架構 | op.exp.4 | 作業 | 應在您的 Synapse 工作區上啟用弱點評量 | 1.0.0 |
| 作業架構 | op.exp.5 | 作業 | 應在您的 Synapse 工作區上啟用弱點評量 | 1.0.0 |
| 作業架構 | op.exp.6 | 作業 | 將適用於 SQL 的 Microsoft Defender 設定為在 Synapse 工作區上啟用 | 1.0.0 |
| 作業架構 | op.exp.6 | 作業 | 應針對未受保護的 Synapse 工作區啟用適用於 SQL 的 Microsoft Defender | 1.0.0 |
| 作業架構 | op.exp.8 | 作業 | 對儲存體帳戶目的地進行 SQL 稽核的 Synapse 工作區保留期應設定為 90 天 (含) 以上 | 2.0.0 |
| 作業架構 | op.mon.3 | 系統監視 | 應在您的 Synapse 工作區上啟用弱點評量 | 1.0.0 |
下一步
- 深入了解 Azure 原則法規合規性。
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。