適用於 Azure 虛擬機器的 Azure 原則法規合規性控制
適用於: ✔️ Linux VM ✔️ Windows VM ✔️ 彈性擴展集 ✔️ 統一擴展集
Azure 原則中的法規合規性可針對與不同合規性標準相關的合規性網域和安全性控制,提供 Microsoft 建立和管理的方案定義 (稱為「內建項目」)。 此頁面會列出適用於 Azure 虛擬機器的合規性網域和安全性控制。 您可以針對安全性控制個別指派內建項目,以協助讓您的 Azure 資源符合特定標準的規範。
每個內建原則定義的標題都會連結到 Azure 入口網站中的原則定義。 使用 [原則版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
重要
每個控制項都與一或多個 Azure 原則定義建立關聯。 這些原則可協助您評估控制項的合規性。 然而,控制項與一或多個原則之間通常不是一對一相符或完全相符。 因此,Azure 原則中的符合規範僅指原則本身。 這不保證您完全符合控制項的所有要求。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 這些合規性標準的控制項與 Azure 原則法規合規性定義之間的關聯,可能會隨著時間而改變。
澳大利亞政府受保護的 ISM
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - 澳洲政府 ISM 保護藍圖。 如需此合規性標準的詳細資訊,請參閱澳洲政府 ISM 保護藍圖。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 人員安全性指導方針 - 對系統及其資源的存取 | 415 | 使用者身分識別 - 415 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 人員安全性指導方針 - 對系統及其資源的存取 | 415 | 使用者身分識別 - 415 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 人員安全性指導方針 - 對系統及其資源的存取 | 415 | 使用者身分識別 - 415 | 稽核具有 Administrators 群組中指定成員的 Windows 電腦 | 2.0.0 |
| 人員安全性指導方針 - 對系統及其資源的存取 | 415 | 使用者身分識別 - 415 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 系統強化指導方針 - 驗證強化 | 421 | 單一要素驗證 - 421 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 系統強化指導方針 - 驗證強化 | 421 | 單一要素驗證 - 421 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 系統強化指導方針 - 驗證強化 | 421 | 單一要素驗證 - 421 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 系統強化指導方針 - 驗證強化 | 421 | 單一要素驗證 - 421 | Windows 電腦應符合「安全性設定 - 帳戶原則」的需求 | 3.0.0 |
| 人員安全性指導方針 - 對系統及其資源的存取 | 445 | 特殊權限存取系統 - 445 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 人員安全性指導方針 - 對系統及其資源的存取 | 445 | 特殊權限存取系統 - 445 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 人員安全性指導方針 - 對系統及其資源的存取 | 445 | 特殊權限存取系統 - 445 | 稽核具有 Administrators 群組中指定成員的 Windows 電腦 | 2.0.0 |
| 人員安全性指導方針 - 對系統及其資源的存取 | 445 | 特殊權限存取系統 - 445 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 系統監視指導方針 - 事件記錄檔和稽核 | 582 | 要記錄的事件 - 582 | 虛擬機器應連線到指定的工作區 | 1.1.0 |
| 系統管理指導方針 - 系統修補 | 940 | 何時修補安全性弱點 - 940 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 系統管理指導方針 - 系統修補 | 940 | 何時修補安全性弱點 - 940 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 密碼編譯指導方針 - 傳輸層安全性 | 1139 | 使用傳輸層安全性 - 1139 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 密碼編譯指導方針 - 傳輸層安全性 | 1139 | 使用傳輸層安全性 - 1139 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 密碼編譯指導方針 - 傳輸層安全性 | 1139 | 使用傳輸層安全性 - 1139 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 密碼編譯指導方針 - 傳輸層安全性 | 1139 | 使用傳輸層安全性 - 1139 | Windows 機器應設定為使用安全通訊協定 | 4.1.1 |
| 系統管理指導方針 - 系統修補 | 1144 | 何時修補安全性弱點 - 1144 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 系統管理指導方針 - 系統修補 | 1144 | 何時修補安全性弱點 - 1144 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 網路指導方針 - 網路設計和設定 | 1182 | 網路存取控制 - 1182 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 資料庫系統指導方針 - 資料庫伺服器 | 1277 | 資料庫伺服器和網頁伺服器之間的通訊 - 1277 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 資料庫系統指導方針 - 資料庫伺服器 | 1277 | 資料庫伺服器和網頁伺服器之間的通訊 - 1277 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 資料庫系統指導方針 - 資料庫伺服器 | 1277 | 資料庫伺服器和網頁伺服器之間的通訊 - 1277 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 資料庫系統指導方針 - 資料庫伺服器 | 1277 | 資料庫伺服器和網頁伺服器之間的通訊 - 1277 | Windows 機器應設定為使用安全通訊協定 | 4.1.1 |
| 閘道指導方針 - 內容篩選 | 1288 | 防毒軟體掃描 - 1288 | Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上 | 1.1.0 |
| 系統管理指導方針 - 系統管理 | 1386 | 管理流量的限制 - 1386 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 系統強化指導方針 - 作業系統強化 | 1417 | 防毒軟體 - 1417 | Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上 | 1.1.0 |
| 系統管理指導方針 - 系統修補 | 1472 | 何時修補安全性弱點 - 1472 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 系統管理指導方針 - 系統修補 | 1472 | 何時修補安全性弱點 - 1472 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 系統管理指導方針 - 系統修補 | 1494 | 何時修補安全性弱點 - 1494 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 系統管理指導方針 - 系統修補 | 1494 | 何時修補安全性弱點 - 1494 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 系統管理指導方針 - 系統修補 | 1495 | 何時修補安全性弱點 - 1495 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 系統管理指導方針 - 系統修補 | 1495 | 何時修補安全性弱點 - 1495 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 系統管理指導方針 - 系統修補 | 1496 | 何時修補安全性弱點 - 1496 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 系統管理指導方針 - 系統修補 | 1496 | 何時修補安全性弱點 - 1496 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 人員安全性指導方針 - 對系統及其資源的存取 | 1503 | 標準存取系統 - 1503 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 人員安全性指導方針 - 對系統及其資源的存取 | 1503 | 標準存取系統 - 1503 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 人員安全性指導方針 - 對系統及其資源的存取 | 1503 | 標準存取系統 - 1503 | 稽核具有 Administrators 群組中指定成員的 Windows 電腦 | 2.0.0 |
| 人員安全性指導方針 - 對系統及其資源的存取 | 1503 | 標準存取系統 - 1503 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 人員安全性指導方針 - 對系統及其資源的存取 | 1507 | 特殊權限存取系統 - 1507 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 人員安全性指導方針 - 對系統及其資源的存取 | 1507 | 特殊權限存取系統 - 1507 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 人員安全性指導方針 - 對系統及其資源的存取 | 1507 | 特殊權限存取系統 - 1507 | 稽核具有 Administrators 群組中指定成員的 Windows 電腦 | 2.0.0 |
| 人員安全性指導方針 - 對系統及其資源的存取 | 1507 | 特殊權限存取系統 - 1507 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 人員安全性指導方針 - 對系統及其資源的存取 | 1508 | 特殊權限存取系統 - 1508 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 人員安全性指導方針 - 對系統及其資源的存取 | 1508 | 特殊權限存取系統 - 1508 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 人員安全性指導方針 - 對系統及其資源的存取 | 1508 | 特殊權限存取系統 - 1508 | 稽核具有 Administrators 群組中指定成員的 Windows 電腦 | 2.0.0 |
| 人員安全性指導方針 - 對系統及其資源的存取 | 1508 | 特殊權限存取系統 - 1508 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 人員安全性指導方針 - 對系統及其資源的存取 | 1508 | 特殊權限存取系統 - 1508 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 系統管理指導方針 - 資料備份和還原 | 1511 | 執行備份 - 1511 | 稽核未設定災害復原的虛擬機器 | 1.0.0 |
| 系統強化指導方針 - 驗證強化 | 1546 | 向系統驗證 - 1546 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 系統強化指導方針 - 驗證強化 | 1546 | 向系統驗證 - 1546 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 系統強化指導方針 - 驗證強化 | 1546 | 向系統驗證 - 1546 | 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 | 3.1.0 |
| 系統強化指導方針 - 驗證強化 | 1546 | 向系統驗證 - 1546 | 稽核有不需要密碼之帳戶的 Linux 電腦 | 3.1.0 |
| 系統強化指導方針 - 驗證強化 | 1546 | 向系統驗證 - 1546 | 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 3.1.0 |
加拿大聯邦 PBMM
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - 加拿大聯邦 PBMM。 如需此合規性標準的詳細資訊,請參閱加拿大聯邦 PBMM。
CIS Microsoft Azure Foundations Benchmark 1.1.0
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - CIS Microsoft Azure 基礎基準測試 1.1.0。 如需關於此合規性標準的詳細資訊,請參閱 CIS Microsoft Azure基礎基準測試。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 2 資訊安全中心 | 2.10 | 確定 ASC 預設原則設定 [監視弱點評估] 不是 [已停用] | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 2 資訊安全中心 | 2.12 | 確定 ASC 預設原則設定 [監視 JIT 網路存取] 不是 [已停用] | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 2 資訊安全中心 | 2.4 | 確定 ASC 預設原則設定 [監視 OS 弱點] 不是 [已停用] | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 2 資訊安全中心 | 2.9 | 確定 ASC 預設原則設定 [啟用新一代防火牆 (NGFW) 監視] 不是 [已停用] | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 7 虛擬機器 | 7.4 | 確定只安裝核准的擴充功能 | 僅應安裝已核准的 VM 擴充功能 | 1.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - CIS Microsoft Azure 基礎基準測試 1.3.0。 如需關於此合規性標準的詳細資訊,請參閱 CIS Microsoft Azure基礎基準測試。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 7 虛擬機器 | 7.1 | 確保虛擬機器使用受控磁碟 | 稽核不是使用受控磁碟的 VM | 1.0.0 |
| 7 虛擬機器 | 7.4 | 確定只安裝核准的擴充功能 | 僅應安裝已核准的 VM 擴充功能 | 1.0.0 |
| 7 虛擬機器 | 7.6 | 確定已為所有虛擬機器安裝端點 | 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱適用於 CIS v1.4.0 的 Azure 原則法規合規性詳細資料 (部分機器翻譯)。 如需關於此合規性標準的詳細資訊,請參閱 CIS Microsoft Azure基礎基準測試。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 7 虛擬機器 | 7.1 | 確保虛擬機器使用受控磁碟 | 稽核不是使用受控磁碟的 VM | 1.0.0 |
| 7 虛擬機器 | 7.4 | 確定只安裝核准的延伸模組 | 僅應安裝已核准的 VM 擴充功能 | 1.0.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱適用於 CIS v2.0.0 的 Azure 原則法規合規性詳細資料 (部分機器翻譯)。 如需關於此合規性標準的詳細資訊,請參閱 CIS Microsoft Azure基礎基準測試。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 2.1 | 2.1.13 | 確認 Microsoft Defender 建議的 [套用系統更新] 狀態為 [已完成] | 機器應設定定期檢查,以檢查是否有遺漏的系統更新 | 3.7.0 |
| 6 | 6.1 | 確定已評估並限制來自網際網路的 RDP 存取 | 應關閉虛擬機器上的管理連接埠 | 3.0.0 |
| 6 | 6.2 | 確定已評估並限制來自網際網路的 SSH 存取 | 應關閉虛擬機器上的管理連接埠 | 3.0.0 |
| 7 | 7.2 | 確保虛擬機器使用受控磁碟 | 稽核不是使用受控磁碟的 VM | 1.0.0 |
| 7 | 7.4 | 確定 [未連接的磁碟] 已使用客戶自控金鑰 (CMK) 加密 | 受控磁碟應同時使用平台管理的金鑰和客戶自控金鑰進行雙重加密 | 1.0.0 |
| 7 | 7.5 | 確定只安裝核准的延伸模組 | 僅應安裝已核准的 VM 擴充功能 | 1.0.0 |
CMMC 第 3 級
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - CMMC 第 3 級。 如需此合規性標準的詳細資訊,請參閱網路安全性成熟度模型認證 (CMMC)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC.1.001 | 限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 存取控制 | AC.1.001 | 限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 存取控制 | AC.1.001 | 限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。 | 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 | 3.1.0 |
| 存取控制 | AC.1.001 | 限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 存取控制 | AC.1.001 | 限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 存取控制 | AC.1.001 | 限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。 | Windows 電腦應符合「安全性選項 - 網路存取」的需求 | 3.0.0 |
| 存取控制 | AC.1.001 | 限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。 | Windows 電腦應符合「安全性選項 - 網路安全性」的需求 | 3.0.0 |
| 存取控制 | AC.1.002 | 限制資訊系統存取允許授權使用者執行的交易類型和功能。 | 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 | 3.1.0 |
| 存取控制 | AC.1.002 | 限制資訊系統存取允許授權使用者執行的交易類型和功能。 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 存取控制 | AC.1.002 | 限制資訊系統存取允許授權使用者執行的交易類型和功能。 | Windows 機器應設定為使用安全通訊協定 | 4.1.1 |
| 存取控制 | AC.1.002 | 限制資訊系統存取允許授權使用者執行的交易類型和功能。 | Windows 電腦應符合「安全性選項 - 網路存取」的需求 | 3.0.0 |
| 存取控制 | AC.1.003 | 驗證及控制/限制外部資訊系統的連接和使用。 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 存取控制 | AC.2.007 | 採用最低權限準則,包括特定安全性功能和特殊權限帳戶。 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 存取控制 | AC.2.008 | 存取非安全性功能時,請使用非權限帳戶或角色。 | Windows 電腦應符合「安全性選項 - 使用者帳戶控制」的需求 | 3.0.0 |
| 存取控制 | AC.2.008 | 存取非安全性功能時,請使用非權限帳戶或角色。 | Windows 電腦應符合「使用者權限指派」的需求 | 3.0.0 |
| 存取控制 | AC.2.013 | 監視及控制遠端存取工作階段。 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 存取控制 | AC.2.013 | 監視及控制遠端存取工作階段。 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 存取控制 | AC.2.013 | 監視及控制遠端存取工作階段。 | 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 | 3.1.0 |
| 存取控制 | AC.2.013 | 監視及控制遠端存取工作階段。 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 存取控制 | AC.2.013 | 監視及控制遠端存取工作階段。 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 存取控制 | AC.2.013 | 監視及控制遠端存取工作階段。 | Windows 電腦應符合「安全性選項 - 網路安全性」的需求 | 3.0.0 |
| 存取控制 | AC.2.016 | 根據已核准的授權來控制 CUI 流程。 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 存取控制 | AC.2.016 | 根據已核准的授權來控制 CUI 流程。 | Windows 電腦應符合「安全性選項 - 網路存取」的需求 | 3.0.0 |
| 存取控制 | AC.3.017 | 區隔個人責任,以降低未經共謀的惡意活動風險。 | 稽核遺漏 Administrators 群組中任一指定成員的 Windows 電腦 | 2.0.0 |
| 存取控制 | AC.3.017 | 區隔個人責任,以降低未經共謀的惡意活動風險。 | 稽核具有 Administrators 群組中指定成員的 Windows 電腦 | 2.0.0 |
| 存取控制 | AC.3.018 | 防止不具權限的使用者執行需具有權限的功能,並在稽核記錄中擷取此類功能的執行。 | Windows 電腦應符合「系統稽核原則 - 特殊權限使用」的需求 | 3.0.0 |
| 存取控制 | AC.3.021 | 授權遠端執行權限命令,以及遠端存取安全性相關資訊。 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 存取控制 | AC.3.021 | 授權遠端執行權限命令,以及遠端存取安全性相關資訊。 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 存取控制 | AC.3.021 | 授權遠端執行權限命令,以及遠端存取安全性相關資訊。 | 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 3.1.0 |
| 存取控制 | AC.3.021 | 授權遠端執行權限命令,以及遠端存取安全性相關資訊。 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 存取控制 | AC.3.021 | 授權遠端執行權限命令,以及遠端存取安全性相關資訊。 | 應在您的電腦上安裝來賓設定延伸模組 | 1.0.3 |
| 存取控制 | AC.3.021 | 授權遠端執行權限命令,以及遠端存取安全性相關資訊。 | 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 1.0.1 |
| 存取控制 | AC.3.021 | 授權遠端執行權限命令,以及遠端存取安全性相關資訊。 | Windows 電腦應符合「安全性選項 - 使用者帳戶控制」的需求 | 3.0.0 |
| 存取控制 | AC.3.021 | 授權遠端執行權限命令,以及遠端存取安全性相關資訊。 | Windows 電腦應符合「使用者權限指派」的需求 | 3.0.0 |
| 稽核和責任 | AU.2.041 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,以便使用者對其動作負責。 | [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 | 2.0.1-preview |
| 稽核和責任 | AU.2.041 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,以便使用者對其動作負責。 | 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 | 2.0.1 |
| 稽核和責任 | AU.2.041 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,以便使用者對其動作負責。 | Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 | 1.0.1 |
| 稽核和責任 | AU.2.041 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,以便使用者對其動作負責。 | 虛擬機器應連線到指定的工作區 | 1.1.0 |
| 稽核和責任 | AU.2.041 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,以便使用者對其動作負責。 | 虛擬機器應已安裝 Log Analytics 延伸模組 | 1.0.1 |
| 稽核和責任 | AU.2.042 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動。 | [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 | 2.0.1-preview |
| 稽核和責任 | AU.2.042 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動。 | 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 | 2.0.1 |
| 稽核和責任 | AU.2.042 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動。 | Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 | 1.0.1 |
| 稽核和責任 | AU.2.042 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動。 | 虛擬機器應連線到指定的工作區 | 1.1.0 |
| 稽核和責任 | AU.2.042 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動。 | 虛擬機器應已安裝 Log Analytics 延伸模組 | 1.0.1 |
| 稽核和責任 | AU.3.046 | 發生稽核記錄處理失敗時發出警示。 | [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 | 2.0.1-preview |
| 稽核和責任 | AU.3.046 | 發生稽核記錄處理失敗時發出警示。 | 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 | 2.0.1 |
| 稽核和責任 | AU.3.046 | 發生稽核記錄處理失敗時發出警示。 | 虛擬機器應連線到指定的工作區 | 1.1.0 |
| 稽核和責任 | AU.3.048 | 收集稽核資訊 (例如記錄) 至一個或多個中央存放庫。 | [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 | 2.0.1-preview |
| 稽核和責任 | AU.3.048 | 收集稽核資訊 (例如記錄) 至一個或多個中央存放庫。 | 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 | 2.0.1 |
| 稽核和責任 | AU.3.048 | 收集稽核資訊 (例如記錄) 至一個或多個中央存放庫。 | Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 | 1.0.1 |
| 稽核和責任 | AU.3.048 | 收集稽核資訊 (例如記錄) 至一個或多個中央存放庫。 | 虛擬機器應連線到指定的工作區 | 1.1.0 |
| 稽核和責任 | AU.3.048 | 收集稽核資訊 (例如記錄) 至一個或多個中央存放庫。 | 虛擬機器應已安裝 Log Analytics 延伸模組 | 1.0.1 |
| 安全性評量 | CA.2.158 | 定期評估組織性系統中的安全性控制項,以判斷控制措施在其應用程式中是否有效。 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 安全性評量 | CA.3.161 | 持續監視安全性控制項,以確保控制措施的持續有效性。 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 組態管理 | CM.2.061 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Linux 機器應符合 Azure 計算安全性基準的需求 | 2.2.0 |
| 組態管理 | CM.2.062 | 將組織系統設為只提供基本功能,即可採用最少功能的原則。 | Windows 電腦應符合「系統稽核原則 - 特殊權限使用」的需求 | 3.0.0 |
| 組態管理 | CM.2.063 | 控制及監視使用者安裝的軟體。 | Windows 電腦應符合「安全性選項 - 使用者帳戶控制」的需求 | 3.0.0 |
| 組態管理 | CM.2.064 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| 組態管理 | CM.2.064 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Windows 電腦應符合「安全性選項 - 網路安全性」的需求 | 3.0.0 |
| 組態管理 | CM.2.065 | 追蹤、檢閱、核准或不核准,以及記錄對於組織性系統的變更。 | Windows 電腦應符合「系統稽核原則 - 原則變更」的需求 | 3.0.0 |
| 組態管理 | CM.3.068 | 限制、停用或防止使用不必要的程式、函式、連接埠、通訊協定和服務。 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| 組態管理 | CM.3.068 | 限制、停用或防止使用不必要的程式、函式、連接埠、通訊協定和服務。 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 組態管理 | CM.3.068 | 限制、停用或防止使用不必要的程式、函式、連接埠、通訊協定和服務。 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 組態管理 | CM.3.068 | 限制、停用或防止使用不必要的程式、函式、連接埠、通訊協定和服務。 | 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 3.0.0 |
| 驗證與授權 | IA.1.077 | 驗證或確認這些使用者、流程或裝置的身分識別,做為允許存取組織性資訊系統的必要條件。 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 驗證與授權 | IA.1.077 | 驗證或確認這些使用者、流程或裝置的身分識別,做為允許存取組織性資訊系統的必要條件。 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 驗證與授權 | IA.1.077 | 驗證或確認這些使用者、流程或裝置的身分識別,做為允許存取組織性資訊系統的必要條件。 | 稽核密碼檔權限未設為 0644 的 Linux 電腦 | 3.1.0 |
| 驗證與授權 | IA.1.077 | 驗證或確認這些使用者、流程或裝置的身分識別,做為允許存取組織性資訊系統的必要條件。 | 稽核有不需要密碼之帳戶的 Linux 電腦 | 3.1.0 |
| 驗證與授權 | IA.1.077 | 驗證或確認這些使用者、流程或裝置的身分識別,做為允許存取組織性資訊系統的必要條件。 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 驗證與授權 | IA.1.077 | 驗證或確認這些使用者、流程或裝置的身分識別,做為允許存取組織性資訊系統的必要條件。 | Windows 電腦應符合「安全性選項 - 網路安全性」的需求 | 3.0.0 |
| 驗證與授權 | IA.2.078 | 在建立新密碼時,強制執行最小的密碼複雜性和字元變更。 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 驗證與授權 | IA.2.078 | 在建立新密碼時,強制執行最小的密碼複雜性和字元變更。 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 驗證與授權 | IA.2.078 | 在建立新密碼時,強制執行最小的密碼複雜性和字元變更。 | 稽核有不需要密碼之帳戶的 Linux 電腦 | 3.1.0 |
| 驗證與授權 | IA.2.078 | 在建立新密碼時,強制執行最小的密碼複雜性和字元變更。 | 稽核未啟用密碼複雜度設定的 Windows 電腦 | 2.0.0 |
| 驗證與授權 | IA.2.078 | 在建立新密碼時,強制執行最小的密碼複雜性和字元變更。 | 稽核未將密碼長度下限限制為指定字元數的 Windows 機器 | 2.1.0 |
| 驗證與授權 | IA.2.078 | 在建立新密碼時,強制執行最小的密碼複雜性和字元變更。 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 驗證與授權 | IA.2.078 | 在建立新密碼時,強制執行最小的密碼複雜性和字元變更。 | Windows 電腦應符合「安全性選項 - 網路安全性」的需求 | 3.0.0 |
| 驗證與授權 | IA.2.079 | 禁止重複使用密碼達指定數量的層代。 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 驗證與授權 | IA.2.079 | 禁止重複使用密碼達指定數量的層代。 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 驗證與授權 | IA.2.079 | 禁止重複使用密碼達指定數量的層代。 | 稽核允許在指定的唯一密碼數目之後重複使用密碼的 Windows 機器 | 2.1.0 |
| 驗證與授權 | IA.2.079 | 禁止重複使用密碼達指定數量的層代。 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 驗證與授權 | IA.2.079 | 禁止重複使用密碼達指定數量的層代。 | Windows 電腦應符合「安全性選項 - 網路安全性」的需求 | 3.0.0 |
| 驗證與授權 | IA.2.081 | 僅儲存和傳輸使用密碼編譯保護的密碼。 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 驗證與授權 | IA.2.081 | 僅儲存和傳輸使用密碼編譯保護的密碼。 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 驗證與授權 | IA.2.081 | 僅儲存和傳輸使用密碼編譯保護的密碼。 | 稽核未使用可逆加密來儲存密碼的 Windows 電腦 | 2.0.0 |
| 驗證與授權 | IA.2.081 | 僅儲存和傳輸使用密碼編譯保護的密碼。 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 驗證與授權 | IA.2.081 | 僅儲存和傳輸使用密碼編譯保護的密碼。 | Windows 電腦應符合「安全性選項 - 網路安全性」的需求 | 3.0.0 |
| 驗證與授權 | IA.3.084 | 針對特殊權限和非特殊權限帳戶的網路存取,採用防重新執行驗證機制。 | Windows 機器應設定為使用安全通訊協定 | 4.1.1 |
| 復原 | RE.2.137 | 定期執行並測試資料備份。 | 稽核未設定災害復原的虛擬機器 | 1.0.0 |
| 復原 | RE.2.137 | 定期執行並測試資料備份。 | 應該為虛擬機器啟用 Azure 備份 | 3.0.0 |
| 復原 | RE.3.139 | 定期以組織定義的方式執行完整、全面且具復原性的資料備份。 | 稽核未設定災害復原的虛擬機器 | 1.0.0 |
| 復原 | RE.3.139 | 定期以組織定義的方式執行完整、全面且具復原性的資料備份。 | 應該為虛擬機器啟用 Azure 備份 | 3.0.0 |
| 風險評估 | RM.2.141 | 定期評估由於組織系統作業以及關聯 CUI 的處理、儲存或傳輸,對組織營運 (包括任務、功能、形象或信譽)、組織資產及個人帶來的風險。 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 風險評估 | RM.2.142 | 定期以及在發現會影響這些系統和應用程式的新弱點時,掃描組織系統和應用程式中的弱點。 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 風險評估 | RM.2.143 | 根據風險評量補救弱點。 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 風險評估 | RM.2.143 | 根據風險評量補救弱點。 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 系統與通訊保護 | SC.1.175 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| 系統與通訊保護 | SC.1.175 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 系統與通訊保護 | SC.1.175 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 系統與通訊保護 | SC.1.175 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 3.0.0 |
| 系統與通訊保護 | SC.1.175 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | Windows 機器應設定為使用安全通訊協定 | 4.1.1 |
| 系統與通訊保護 | SC.1.175 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | Windows 電腦應符合「安全性選項 - 網路存取」的需求 | 3.0.0 |
| 系統與通訊保護 | SC.1.175 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | Windows 電腦應符合「安全性選項 - 網路安全性」的需求 | 3.0.0 |
| 系統與通訊保護 | SC.1.176 | 針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| 系統與通訊保護 | SC.1.176 | 針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 系統與通訊保護 | SC.2.179 | 使用加密工作階段管理網路裝置。 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 系統與通訊保護 | SC.3.177 | 採用 FIPS 驗證的加密來保護 CUI 的機密性。 | 稽核未使用可逆加密來儲存密碼的 Windows 電腦 | 2.0.0 |
| 系統與通訊保護 | SC.3.181 | 將使用者功能與系統管理功能加以區分。 | 稽核具有 Administrators 群組中指定成員的 Windows 電腦 | 2.0.0 |
| 系統與通訊保護 | SC.3.183 | 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| 系統與通訊保護 | SC.3.183 | 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 系統與通訊保護 | SC.3.183 | 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 系統與通訊保護 | SC.3.183 | 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 | 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 3.0.0 |
| 系統與通訊保護 | SC.3.183 | 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 | Windows 電腦應符合「安全性選項 - 網路存取」的需求 | 3.0.0 |
| 系統與通訊保護 | SC.3.183 | 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 | Windows 電腦應符合「安全性選項 - 網路安全性」的需求 | 3.0.0 |
| 系統與通訊保護 | SC.3.185 | 實作密碼編譯機制,以防止在傳輸期間未經授權洩漏 CUI,除非受到其他實體保護。 | Windows 機器應設定為使用安全通訊協定 | 4.1.1 |
| 系統與通訊保護 | SC.3.190 | 保護通訊工作階段的真確性。 | Windows 機器應設定為使用安全通訊協定 | 4.1.1 |
| 系統和資訊完整性 | SI.1.210 | 及時識別、報告及修正資訊和資訊系統缺陷。 | Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 | 1.0.0 |
| 系統和資訊完整性 | SI.1.210 | 及時識別、報告及修正資訊和資訊系統缺陷。 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 系統和資訊完整性 | SI.1.211 | 在組織資訊系統適當的位置提供保護,防止惡意程式碼。 | Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 | 1.0.0 |
| 系統和資訊完整性 | SI.1.211 | 在組織資訊系統適當的位置提供保護,防止惡意程式碼。 | Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上 | 1.1.0 |
| 系統和資訊完整性 | SI.1.212 | 在提供新版本時,立即更新惡意程式碼保護機制。 | Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 | 1.0.0 |
| 系統和資訊完整性 | SI.1.213 | 在下載、開啟或執行檔案時,定期掃描資訊系統,並即時掃描來自外部來源的檔案。 | Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 | 1.0.0 |
| 系統和資訊完整性 | SI.1.213 | 在下載、開啟或執行檔案時,定期掃描資訊系統,並即時掃描來自外部來源的檔案。 | Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上 | 1.1.0 |
FedRAMP High
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - FedRAMP High。 如需此合規性標準的詳細資訊,請參閱 FedRAMP High
FedRAMP Moderate
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - FedRAMP Moderate。 如需此合規性標準的詳細資訊,請參閱 FedRAMP Moderate。
HIPAA HITRUST 9.2
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - HIPAA HITRUST 9.2。 如需此合規性標準的詳細資訊,請參閱 HIPAA HITRUST 9.2。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 使用者識別與授權 | 11210.01q2Organizational.10 - 01.q | 針對電子記錄執行的電子簽章和手寫簽名,都應連結到其各自的電子記錄。 | 稽核具有 Administrators 群組中指定成員的 Windows 電腦 | 2.0.0 |
| 使用者識別與授權 | 11211.01q2Organizational.11 - 01.q | 簽署的電子記錄應該包含人類可讀格式的簽署相關資訊。 | 稽核遺漏 Administrators 群組中任一指定成員的 Windows 電腦 | 2.0.0 |
| 02 端點保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 惡意程式碼與行動程式碼防護 | 為 Windows Server 部署預設的 Microsoft IaaSAntimalware 延伸模組 | 1.1.0 |
| 02 端點保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 惡意程式碼與行動程式碼防護 | Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 | 1.0.0 |
| 06 組態管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 系統檔案安全性 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 06 組態管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 系統檔案安全性 | Windows 電腦應符合「安全性選項 - 稽核」的需求 | 3.0.0 |
| 06 組態管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 系統檔案安全性 | Windows 電腦應符合「系統稽核原則 - 帳戶管理」的需求 | 3.0.0 |
| 06 組態管理 | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 開發和支援程序的安全性 | Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 | 3.0.0 |
| 06 組態管理 | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 開發和支援程序的安全性 | Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 | 3.0.0 |
| 06 組態管理 | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 開發和支援程序的安全性 | Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 | 3.0.0 |
| 06 組態管理 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 開發和支援程序的安全性 | Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 | 3.0.0 |
| 06 組態管理 | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 開發和支援程序的安全性 | Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 | 3.0.0 |
| 06 組態管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開發和支援程序的安全性 | Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 | 3.0.0 |
| 06 組態管理 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 開發和支援程序的安全性 | Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 | 3.0.0 |
| 06 組態管理 | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 開發和支援程序的安全性 | Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 | 3.0.0 |
| 06 組態管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 開發和支援程序的安全性 | Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 | 3.0.0 |
| 06 組態管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開發和支援程序的安全性 | Windows 電腦應符合「系統稽核原則 - 詳細追蹤」的需求 | 3.0.0 |
| 07 弱點管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技術弱點管理 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 07 弱點管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技術弱點管理 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 07 弱點管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技術弱點管理 | Windows 電腦應符合「安全性選項 - Microsoft 網路伺服器」的需求 | 3.0.0 |
| 07 弱點管理 | 0711.10m2Organizational.23-10.m | 0711.10m2Organizational.23-10.m 10.06 技術弱點管理 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 07 弱點管理 | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 技術弱點管理 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 07 弱點管理 | 0718.10m3Organizational.34-10.m | 0718.10m3Organizational.34-10.m 10.06 技術弱點管理 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 08 網路保護 | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 網路存取控制 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 08 網路保護 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 網路存取控制 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 08 網路保護 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 網路存取控制 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 08 網路保護 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 網路存取控制 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 08 網路保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 網路存取控制 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 08 網路保護 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 網路存取控制 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 08 網路保護 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 網路存取控制 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 08 網路保護 | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 網路安全性管理 | [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
| 08 網路保護 | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 網路安全性管理 | 虛擬機器應遷移到新的 Azure Resource Manager 資源 | 1.0.0 |
| 08 網路保護 | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 網路安全性管理 | [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
| 08 網路保護 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 網路安全性管理 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| 08 網路保護 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 網路安全性管理 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 08 網路保護 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 網路安全性管理 | Windows 電腦應符合「Windows 防火牆屬性」的需求 | 3.0.0 |
| 08 網路保護 | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 網路安全性管理 | Windows 電腦應符合「安全性選項 - 網路存取」的需求 | 3.0.0 |
| 08 網路保護 | 0885.09n2Organizational.3-09.n | 0885.09n2Organizational.3-09.n 09.06 網路安全性管理 | [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
| 08 網路保護 | 0887.09n2Organizational.5-09.n | 0887.09n2Organizational.5-09.n 09.06 網路安全性管理 | [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
| 08 網路保護 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 網路存取控制 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 備份 | 1699.09l1Organizational.10 - 09.l | 識別資料備份程序中的員工成員角色和責任並傳達給員工;特別是,自行攜帶裝置 (BYOD) 使用者必須在其裝置上執行組織和/或用戶端資料的備份。 | 應該為虛擬機器啟用 Azure 備份 | 3.0.0 |
| 09 傳輸保護 | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 電子商務服務 | 稽核其受信任的根中未包含指定憑證的 Windows 電腦 | 3.0.0 |
| 11 存取控制 | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 對資訊系統的授權存取 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 11 存取控制 | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 網路存取控制 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 11 存取控制 | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 作業系統存取控制 | 在 Administrators 群組中審查具有額外帳戶的 Windows 電腦 | 2.0.0 |
| 11 存取控制 | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 作業系統存取控制 | 稽核具有 Administrators 群組中指定成員的 Windows 電腦 | 2.0.0 |
| 11 存取控制 | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 作業系統存取控制 | 稽核遺漏 Administrators 群組中任一指定成員的 Windows 電腦 | 2.0.0 |
| 11 存取控制 | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 對資訊系統的授權存取 | 應關閉虛擬機器上的管理連接埠 | 3.0.0 |
| 11 存取控制 | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 對資訊系統的授權存取 | Windows 電腦應符合「安全性選項 - 帳戶」的需求 | 3.0.0 |
| 11 存取控制 | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 對資訊系統的授權存取 | 應關閉虛擬機器上的管理連接埠 | 3.0.0 |
| 11 存取控制 | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 網路存取控制 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 11 存取控制 | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 網路存取控制 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 11 存取控制 | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 網路存取控制 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 11 存取控制 | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 網路存取控制 | 應關閉虛擬機器上的管理連接埠 | 3.0.0 |
| 12 稽核記錄和監視 | 12100.09ab2System.15-09.ab | 12100.09ab2System.15-09.ab 09.10 監視 | 虛擬機器應已安裝 Log Analytics 延伸模組 | 1.0.1 |
| 12 稽核記錄和監視 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 監視 | Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 | 1.0.1 |
| 12 稽核記錄和監視 | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 監視 | 稽核 Log Analytics 代理程式未如預期般連線的 Windows 電腦 | 2.0.0 |
| 12 稽核記錄和監視 | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 監視 | 虛擬機器應已安裝 Log Analytics 延伸模組 | 1.0.1 |
| 12 稽核記錄和監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 | 1.0.1 |
| 12 稽核記錄和監視 | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 監視 | 稽核 Log Analytics 代理程式未如預期般連線的 Windows 電腦 | 2.0.0 |
| 12 稽核記錄與監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 已記錄的操作程序 | Windows 電腦應符合「使用者權限指派」的需求 | 3.0.0 |
| 12 稽核記錄與監視 | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 已記錄的操作程序 | Windows 電腦應符合「安全性選項 - 使用者帳戶控制」的需求 | 3.0.0 |
| 16 商務持續性與災害復原 | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 資訊備份 | 應該為虛擬機器啟用 Azure 備份 | 3.0.0 |
| 16 商務持續性與災害復原 | 1625.09l3Organizational.34-09.l | 1625.09l3Organizational.34-09.l 09.05 資訊備份 | 應該為虛擬機器啟用 Azure 備份 | 3.0.0 |
| 16 商務持續性與災害復原 | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 商務持續性管理的資訊安全層面 | 稽核未設定災害復原的虛擬機器 | 1.0.0 |
| 16 商務持續性與災害復原 | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 商務持續性管理的資訊安全層面 | Windows 電腦應符合「安全性選項 - 修復主控台」的需求 | 3.0.0 |
| 16 商務持續性與災害復原 | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 商務持續性管理的資訊安全層面 | 稽核未設定災害復原的虛擬機器 | 1.0.0 |
IRS 1075 2016 年 9 月
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - 2016 年 9 月 IRS 1075。 如需此合規性標準的詳細資訊,請參閱 2016 年 9 月 IRS 1075。
ISO 27001:2013
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - ISO 27001:2013。 如需此合規性標準的詳細資訊,請參閱 ISO 27001:2013。
Microsoft Cloud for Sovereignty 基準機密原則
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱適用於 MCfS Sovereignty 基準機密原則的 Azure 原則法規合規性詳細資料。 如需此合規性標準的詳細資訊,請參閱 Microsoft Cloud for Sovereignty 原則組合。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| SO.3 - 客戶自控金鑰 | SO.3 | Azure 產品必須設定為盡可能使用客戶管理的金鑰。 | 受控磁碟應同時使用平台管理的金鑰和客戶自控金鑰進行雙重加密 | 1.0.0 |
| SO.4 - Azure 機密運算 | SO.4 | Azure 產品必須設定為盡可能使用 Azure 機密運算 SKU。 | 允許的虛擬機器大小 SKU | 1.0.1 |
Microsoft Cloud for Sovereignty 基準全域原則
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱適用於 MCfS Sovereignty 基準全域原則的 Azure 原則法規合規性詳細資料。 如需此合規性標準的詳細資訊,請參閱 Microsoft Cloud for Sovereignty 原則組合。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| SO.5 - 可信啟動 | SO.5 | VM 應該設定為盡可能啟用可信啟動 SKU 和可信啟動。 | 磁碟和 OS 映像應支援 TrustedLaunch | 1.0.0 |
| SO.5 - 可信啟動 | SO.5 | VM 應該設定為盡可能啟用可信啟動 SKU 和可信啟動。 | 虛擬機器應已啟用 TrustedLaunch | 1.0.0 |
Microsoft 雲端安全性基準
Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 若要查看此服務如何完全對應至 Microsoft 雲端安全性基準,請參閱 Azure 安全性基準對應檔案。
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應至此合規性標準的方法,請參閱 Azure 原則法規合規性 - Microsoft 雲端安全性基準。
NIST SP 800-171 R2
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-171 R2。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-171 R2。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | 3.1.1 | 限制系統存取獲授權的使用者、代表獲授權使用者處理,以及裝置 (包括其他系統)。 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 存取控制 | 3.1.1 | 限制系統存取獲授權的使用者、代表獲授權使用者處理,以及裝置 (包括其他系統)。 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 存取控制 | 3.1.1 | 限制系統存取獲授權的使用者、代表獲授權使用者處理,以及裝置 (包括其他系統)。 | 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 | 3.1.0 |
| 存取控制 | 3.1.1 | 限制系統存取獲授權的使用者、代表獲授權使用者處理,以及裝置 (包括其他系統)。 | 稽核有不需要密碼之帳戶的 Linux 電腦 | 3.1.0 |
| 存取控制 | 3.1.1 | 限制系統存取獲授權的使用者、代表獲授權使用者處理,以及裝置 (包括其他系統)。 | 對 Linux 電腦進行驗證需要 SSH 金鑰 | 3.2.0 |
| 存取控制 | 3.1.1 | 限制系統存取獲授權的使用者、代表獲授權使用者處理,以及裝置 (包括其他系統)。 | 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 3.1.0 |
| 存取控制 | 3.1.1 | 限制系統存取獲授權的使用者、代表獲授權使用者處理,以及裝置 (包括其他系統)。 | 磁碟存取資源應使用私人連結 | 1.0.0 |
| 存取控制 | 3.1.1 | 限制系統存取獲授權的使用者、代表獲授權使用者處理,以及裝置 (包括其他系統)。 | 虛擬機器應遷移到新的 Azure Resource Manager 資源 | 1.0.0 |
| 存取控制 | 3.1.12 | 監視及控制遠端存取工作階段。 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 存取控制 | 3.1.12 | 監視及控制遠端存取工作階段。 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 存取控制 | 3.1.12 | 監視及控制遠端存取工作階段。 | 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 | 3.1.0 |
| 存取控制 | 3.1.12 | 監視及控制遠端存取工作階段。 | 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 3.1.0 |
| 存取控制 | 3.1.12 | 監視及控制遠端存取工作階段。 | 磁碟存取資源應使用私人連結 | 1.0.0 |
| 存取控制 | 3.1.13 | 採用密碼編譯機制來保護遠端存取工作階段的機密性。 | 磁碟存取資源應使用私人連結 | 1.0.0 |
| 存取控制 | 3.1.14 | 透過受控存取控制點路由遠端存取。 | 磁碟存取資源應使用私人連結 | 1.0.0 |
| 存取控制 | 3.1.2 | 限制系統存取授權使用者允許執行的交易和函式類型。 | 虛擬機器應遷移到新的 Azure Resource Manager 資源 | 1.0.0 |
| 存取控制 | 3.1.3 | 根據已核准的授權來控制 CUI 流程。 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| 存取控制 | 3.1.3 | 根據已核准的授權來控制 CUI 流程。 | 磁碟存取資源應使用私人連結 | 1.0.0 |
| 存取控制 | 3.1.3 | 根據已核准的授權來控制 CUI 流程。 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 存取控制 | 3.1.3 | 根據已核准的授權來控制 CUI 流程。 | 應停用虛擬機器上的 IP 轉送 | 3.0.0 |
| 存取控制 | 3.1.3 | 根據已核准的授權來控制 CUI 流程。 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 存取控制 | 3.1.3 | 根據已核准的授權來控制 CUI 流程。 | 應關閉虛擬機器上的管理連接埠 | 3.0.0 |
| 存取控制 | 3.1.3 | 根據已核准的授權來控制 CUI 流程。 | 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 3.0.0 |
| 存取控制 | 3.1.4 | 區隔個人責任,以降低未經共謀的惡意活動風險。 | 稽核遺漏 Administrators 群組中任一指定成員的 Windows 電腦 | 2.0.0 |
| 存取控制 | 3.1.4 | 區隔個人責任,以降低未經共謀的惡意活動風險。 | 稽核具有 Administrators 群組中指定成員的 Windows 電腦 | 2.0.0 |
| 風險評估 | 3.11.2 | 定期以及在發現會影響這些系統和應用程式的新弱點時,掃描組織系統和應用程式中的弱點。 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 風險評定 | 3.11.2 | 定期以及在發現會影響這些系統和應用程式的新弱點時,掃描組織系統和應用程式中的弱點。 | 機器上的 SQL Server 應已解決發現的弱點 | 1.0.0 |
| 風險評估 | 3.11.2 | 定期以及在發現會影響這些系統和應用程式的新弱點時,掃描組織系統和應用程式中的弱點。 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 風險評定 | 3.11.3 | 根據風險評量補救弱點。 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 風險評定 | 3.11.3 | 根據風險評量補救弱點。 | 機器上的 SQL Server 應已解決發現的弱點 | 1.0.0 |
| 風險評估 | 3.11.3 | 根據風險評量補救弱點。 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 系統與通訊保護 | 3.13.1 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| 系統與通訊保護 | 3.13.1 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | 磁碟存取資源應使用私人連結 | 1.0.0 |
| 系統與通訊保護 | 3.13.1 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 系統與通訊保護 | 3.13.1 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | 應停用虛擬機器上的 IP 轉送 | 3.0.0 |
| 系統與通訊保護 | 3.13.1 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 系統與通訊保護 | 3.13.1 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | 應關閉虛擬機器上的管理連接埠 | 3.0.0 |
| 系統與通訊保護 | 3.13.1 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 3.0.0 |
| 系統與通訊保護 | 3.13.10 | 建立及管理組織性系統中所使用加密的密碼金鑰。 | 受控磁碟應同時使用平台管理的金鑰和客戶自控金鑰進行雙重加密 | 1.0.0 |
| 系統與通訊保護 | 3.13.10 | 建立及管理組織性系統中所使用加密的密碼金鑰。 | OS 和資料磁碟應使用客戶自控金鑰進行加密 | 3.0.0 |
| 系統與通訊保護 | 3.13.16 | 保護待用 CUI 的機密性。 | 虛擬機器和虛擬機器擴展集應啟用主機上的加密 | 1.0.0 |
| 系統與通訊保護 | 3.13.2 | 採用架構設計、軟體發展技術和系統工程原則,在組織系統中提升有效的資訊安全性。 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| 系統與通訊保護 | 3.13.2 | 採用架構設計、軟體發展技術和系統工程原則,在組織系統中提升有效的資訊安全性。 | 磁碟存取資源應使用私人連結 | 1.0.0 |
| 系統與通訊保護 | 3.13.2 | 採用架構設計、軟體發展技術和系統工程原則,在組織系統中提升有效的資訊安全性。 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 系統與通訊保護 | 3.13.2 | 採用架構設計、軟體發展技術和系統工程原則,在組織系統中提升有效的資訊安全性。 | 應停用虛擬機器上的 IP 轉送 | 3.0.0 |
| 系統與通訊保護 | 3.13.2 | 採用架構設計、軟體發展技術和系統工程原則,在組織系統中提升有效的資訊安全性。 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 系統與通訊保護 | 3.13.2 | 採用架構設計、軟體發展技術和系統工程原則,在組織系統中提升有效的資訊安全性。 | 應關閉虛擬機器上的管理連接埠 | 3.0.0 |
| 系統與通訊保護 | 3.13.2 | 採用架構設計、軟體發展技術和系統工程原則,在組織系統中提升有效的資訊安全性。 | 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 3.0.0 |
| 系統與通訊保護 | 3.13.5 | 針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| 系統與通訊保護 | 3.13.5 | 針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。 | 磁碟存取資源應使用私人連結 | 1.0.0 |
| 系統與通訊保護 | 3.13.5 | 針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 系統與通訊保護 | 3.13.5 | 針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。 | 應停用虛擬機器上的 IP 轉送 | 3.0.0 |
| 系統與通訊保護 | 3.13.5 | 針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 系統與通訊保護 | 3.13.5 | 針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。 | 應關閉虛擬機器上的管理連接埠 | 3.0.0 |
| 系統與通訊保護 | 3.13.5 | 針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。 | 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 3.0.0 |
| 系統與通訊保護 | 3.13.6 | 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| 系統與通訊保護 | 3.13.6 | 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 系統與通訊保護 | 3.13.6 | 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 系統與通訊保護 | 3.13.6 | 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 | 應關閉虛擬機器上的管理連接埠 | 3.0.0 |
| 系統與通訊保護 | 3.13.6 | 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 | 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 3.0.0 |
| 系統與通訊保護 | 3.13.8 | 實作密碼編譯機制,以防止在傳輸期間未經授權洩漏 CUI,除非受到其他實體保護。 | Windows 機器應設定為使用安全通訊協定 | 4.1.1 |
| 系統和資訊完整性 | 3.14.1 | 及時識別、報告及更正系統缺陷。 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 系統和資訊完整性 | 3.14.1 | 及時識別、報告及更正系統缺陷。 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 系統和資訊完整性 | 3.14.1 | 及時識別、報告及更正系統缺陷。 | 應在您的機器上啟用 Windows Defender 惡意探索防護 | 2.0.0 |
| 系統和資訊完整性 | 3.14.2 | 提供保護,避免遭受組織系統內指定位置的惡意程式碼攻擊。 | Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 | 1.0.0 |
| 系統和資訊完整性 | 3.14.2 | 提供保護,避免遭受組織系統內指定位置的惡意程式碼攻擊。 | Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上 | 1.1.0 |
| 系統和資訊完整性 | 3.14.2 | 提供保護,避免遭受組織系統內指定位置的惡意程式碼攻擊。 | 應在您的機器上啟用 Windows Defender 惡意探索防護 | 2.0.0 |
| 系統和資訊完整性 | 3.14.4 | 在提供新版本時,立即更新惡意程式碼保護機制。 | Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 | 1.0.0 |
| 系統和資訊完整性 | 3.14.4 | 在提供新版本時,立即更新惡意程式碼保護機制。 | Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上 | 1.1.0 |
| 系統和資訊完整性 | 3.14.4 | 在提供新版本時,立即更新惡意程式碼保護機制。 | 應在您的機器上啟用 Windows Defender 惡意探索防護 | 2.0.0 |
| 系統和資訊完整性 | 3.14.5 | 在下載、開啟或執行檔案時執行組織系統的定期掃描,以及即時掃描外部來源的檔案。 | Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 | 1.0.0 |
| 系統和資訊完整性 | 3.14.5 | 在下載、開啟或執行檔案時執行組織系統的定期掃描,以及即時掃描外部來源的檔案。 | Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上 | 1.1.0 |
| 系統和資訊完整性 | 3.14.5 | 在下載、開啟或執行檔案時執行組織系統的定期掃描,以及即時掃描外部來源的檔案。 | 應在您的機器上啟用 Windows Defender 惡意探索防護 | 2.0.0 |
| 系統和資訊完整性 | 3.14.6 | 監視組織系統,包括輸入和輸出通訊流量,以偵測攻擊和潛在攻擊的指標。 | [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
| 系統和資訊完整性 | 3.14.6 | 監視組織系統,包括輸入和輸出通訊流量,以偵測攻擊和潛在攻擊的指標。 | [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
| 系統和資訊完整性 | 3.14.6 | 監視組織系統,包括輸入和輸出通訊流量,以偵測攻擊和潛在攻擊的指標。 | 應在您的電腦上安裝來賓設定延伸模組 | 1.0.3 |
| 系統和資訊完整性 | 3.14.6 | 監視組織系統,包括輸入和輸出通訊流量,以偵測攻擊和潛在攻擊的指標。 | 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 1.0.1 |
| 系統和資訊完整性 | 3.14.7 | 識別組織性系統未經授權的使用。 | [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
| 系統和資訊完整性 | 3.14.7 | 識別組織性系統未經授權的使用。 | [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
| 系統和資訊完整性 | 3.14.7 | 識別組織性系統未經授權的使用。 | 應在您的電腦上安裝來賓設定延伸模組 | 1.0.3 |
| 系統和資訊完整性 | 3.14.7 | 識別組織性系統未經授權的使用。 | 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 1.0.1 |
| 稽核和責任 | 3.3.1 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動 | [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
| 稽核和責任 | 3.3.1 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動 | [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
| 稽核和責任 | 3.3.1 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動 | 應在您的電腦上安裝來賓設定延伸模組 | 1.0.3 |
| 稽核和責任 | 3.3.1 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動 | Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 | 1.0.1 |
| 稽核和責任 | 3.3.1 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動 | 虛擬機器應連線到指定的工作區 | 1.1.0 |
| 稽核和責任 | 3.3.1 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動 | 虛擬機器應已安裝 Log Analytics 延伸模組 | 1.0.1 |
| 稽核和責任 | 3.3.1 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動 | 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 1.0.1 |
| 稽核和責任 | 3.3.2 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,讓使用者可以對其動作保有責任。 | [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
| 稽核和責任 | 3.3.2 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,讓使用者可以對其動作保有責任。 | [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
| 稽核和責任 | 3.3.2 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,讓使用者可以對其動作保有責任。 | 應在您的電腦上安裝來賓設定延伸模組 | 1.0.3 |
| 稽核和責任 | 3.3.2 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,讓使用者可以對其動作保有責任。 | Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 | 1.0.1 |
| 稽核和責任 | 3.3.2 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,讓使用者可以對其動作保有責任。 | 虛擬機器應連線到指定的工作區 | 1.1.0 |
| 稽核和責任 | 3.3.2 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,讓使用者可以對其動作保有責任。 | 虛擬機器應已安裝 Log Analytics 延伸模組 | 1.0.1 |
| 稽核和責任 | 3.3.2 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,讓使用者可以對其動作保有責任。 | 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 1.0.1 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Linux 機器應符合 Azure 計算安全性基準的需求 | 2.2.0 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Windows 機器應符合 Azure 計算安全性基準的需求 | 2.0.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Linux 機器應符合 Azure 計算安全性基準的需求 | 2.2.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Windows 機器應符合 Azure 計算安全性基準的需求 | 2.0.0 |
| 驗證與授權 | 3.5.10 | 僅儲存和傳輸使用密碼編譯保護的密碼。 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 驗證與授權 | 3.5.10 | 僅儲存和傳輸使用密碼編譯保護的密碼。 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 驗證與授權 | 3.5.10 | 僅儲存和傳輸使用密碼編譯保護的密碼。 | 稽核密碼檔權限未設為 0644 的 Linux 電腦 | 3.1.0 |
| 驗證與授權 | 3.5.10 | 僅儲存和傳輸使用密碼編譯保護的密碼。 | 稽核未使用可逆加密來儲存密碼的 Windows 電腦 | 2.0.0 |
| 驗證與授權 | 3.5.10 | 僅儲存和傳輸使用密碼編譯保護的密碼。 | 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 3.1.0 |
| 驗證與授權 | 3.5.10 | 僅儲存和傳輸使用密碼編譯保護的密碼。 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 驗證與授權 | 3.5.10 | 僅儲存和傳輸使用密碼編譯保護的密碼。 | Windows 電腦應符合「安全性選項 - 網路安全性」的需求 | 3.0.0 |
| 驗證與授權 | 3.5.2 | 驗證 (或確認) 使用者、處理程序或裝置的識別,做為允許存取組織系統的先決條件。 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 驗證與授權 | 3.5.2 | 驗證 (或確認) 使用者、處理程序或裝置的識別,做為允許存取組織系統的先決條件。 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 驗證與授權 | 3.5.2 | 驗證 (或確認) 使用者、處理程序或裝置的識別,做為允許存取組織系統的先決條件。 | 稽核密碼檔權限未設為 0644 的 Linux 電腦 | 3.1.0 |
| 驗證與授權 | 3.5.2 | 驗證 (或確認) 使用者、處理程序或裝置的識別,做為允許存取組織系統的先決條件。 | 稽核未使用可逆加密來儲存密碼的 Windows 電腦 | 2.0.0 |
| 驗證與授權 | 3.5.2 | 驗證 (或確認) 使用者、處理程序或裝置的識別,做為允許存取組織系統的先決條件。 | 對 Linux 電腦進行驗證需要 SSH 金鑰 | 3.2.0 |
| 驗證與授權 | 3.5.2 | 驗證 (或確認) 使用者、處理程序或裝置的識別,做為允許存取組織系統的先決條件。 | 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 3.1.0 |
| 驗證與授權 | 3.5.2 | 驗證 (或確認) 使用者、處理程序或裝置的識別,做為允許存取組織系統的先決條件。 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 驗證與授權 | 3.5.4 | 針對特殊權限和非特殊權限帳戶的網路存取,採用防重新執行驗證機制。 | Windows 電腦應符合「安全性選項 - 網路安全性」的需求 | 3.0.0 |
| 驗證與授權 | 3.5.7 | 在建立新密碼時,強制執行最小的密碼複雜性和字元變更。 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 驗證與授權 | 3.5.7 | 在建立新密碼時,強制執行最小的密碼複雜性和字元變更。 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 驗證與授權 | 3.5.7 | 在建立新密碼時,強制執行最小的密碼複雜性和字元變更。 | 稽核未啟用密碼複雜度設定的 Windows 電腦 | 2.0.0 |
| 驗證與授權 | 3.5.7 | 在建立新密碼時,強制執行最小的密碼複雜性和字元變更。 | 稽核未將密碼長度下限限制為指定字元數的 Windows 機器 | 2.1.0 |
| 驗證與授權 | 3.5.7 | 在建立新密碼時,強制執行最小的密碼複雜性和字元變更。 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 驗證與授權 | 3.5.8 | 禁止重複使用密碼達指定數量的層代。 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 驗證與授權 | 3.5.8 | 禁止重複使用密碼達指定數量的層代。 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 驗證與授權 | 3.5.8 | 禁止重複使用密碼達指定數量的層代。 | 稽核允許在指定的唯一密碼數目之後重複使用密碼的 Windows 機器 | 2.1.0 |
| 驗證與授權 | 3.5.8 | 禁止重複使用密碼達指定數量的層代。 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 媒體保護 | 3.8.9 | 保護儲存位置備份 CUI 的機密性。 | 應該為虛擬機器啟用 Azure 備份 | 3.0.0 |
NIST SP 800-53 Rev. 4
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-53 Rev. 4。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-53 Rev. 4 (英文)。
NIST SP 800-53 Rev. 5
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-53 Rev. 5。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-53 Rev. 5。
NL BIO 雲端主題
若要檢閱所有 Azure 服務中可用的 Azure 原則內建項目對應至此合規性標準的方法,請參閱適用於 NL BIO 雲端主題的 Azure 原則法規合規性詳細資料 (部分機器翻譯)。 如需此合規性標準的詳細資訊,請參閱基準資訊安全政府網路安全性:數位政府 (digitaleoverheid.nl)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| C.04.3 技術弱點管理 - 時間表 | C.04.3 | 如果濫用和預期的損害都很可能出現,則修補檔將在一週內安裝。 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| C.04.3 技術弱點管理 - 時間表 | C.04.3 | 如果濫用和預期的損害都很可能出現,則修補檔將在一週內安裝。 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| C.04.3 技術弱點管理 - 時間表 | C.04.3 | 如果濫用和預期的損害都很可能出現,則將在一週內安裝修補檔。 | 應在您的機器上啟用 Windows Defender 惡意探索防護 | 2.0.0 |
| C.04.6 技術弱點管理 - 時間表 | C.04.6 | 技術弱點可藉由及時執行修補檔管理來補救。 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| C.04.6 技術弱點管理 - 時間表 | C.04.6 | 技術弱點可藉由及時執行修補檔管理來補救。 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| C.04.6 技術弱點管理 - 時間表 | C.04.6 | 技術弱點可藉由及時執行修補檔管理來補救。 | 應在您的機器上啟用 Windows Defender 惡意探索防護 | 2.0.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | 應在您的機器上啟用 Windows Defender 惡意探索防護 | 2.0.0 |
| C.04.8 技術弱點管理 - 已評估 | C.04.8 | 評估報告包含改進建議,並與管理員/擁有者溝通。 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| C.04.8 技術弱點管理 - 已評估 | C.04.8 | 評估報告包含改進建議,並與管理員/擁有者溝通。 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| U.03.1 商務持續性服務 - 備援 | U.03.1 | 議定的持續性由充分合邏輯或實體上的多個系統函式所保證。 | 稽核未設定災害復原的虛擬機器 | 1.0.0 |
| U.03.1 商務持續性服務 - 備援 | U.03.1 | 議定的持續性由充分合邏輯或實體上的多個系統函式所保證。 | 應該為虛擬機器啟用 Azure 備份 | 3.0.0 |
| U.03.2 商務持續性服務 - 持續性需求 | U.03.2 | 與 CSC 議定的雲端服務持續性需求由系統架構確保。 | 稽核未設定災害復原的虛擬機器 | 1.0.0 |
| U.03.2 商務持續性服務 - 持續性需求 | U.03.2 | 與 CSC 議定的雲端服務持續性需求由系統架構確保。 | 應該為虛擬機器啟用 Azure 備份 | 3.0.0 |
| U.04.1 資料和雲端服務復原 - 還原功能 | U.04.1 | 資料和雲端服務會在議定的期間內和達到資料遺失上限時還原,並提供給 CSC。 | 稽核未設定災害復原的虛擬機器 | 1.0.0 |
| U.04.2 資料和雲端服務復原 - 還原功能 | U.04.2 | 資料的可復原保護持續程序會受到監視。 | 稽核未設定災害復原的虛擬機器 | 1.0.0 |
| U.04.3 資料和雲端服務復原 - 已測試 | U.04.3 | 復原功能的運作會定期測試,且結果會與 CSC 共用。 | 稽核未設定災害復原的虛擬機器 | 1.0.0 |
| U.05.1 資料保護 - 密碼編譯量值 | U.05.1 | 如果可能,資料傳輸會受到加密保護,其中 CSC 本身會執行金鑰管理。 | Windows 機器應設定為使用安全通訊協定 | 4.1.1 |
| U.05.2 資料保護:密碼編譯量值 | U.05.2 | 儲存在雲端服務的資料應受到最新先進技術的保護。 | [預覽]:應在受支援的 Linux 虛擬機器上安裝來賓證明延伸模組 | 6.0.0-preview |
| U.05.2 資料保護:密碼編譯量值 | U.05.2 | 儲存在雲端服務的資料應受到最新先進技術的保護。 | [預覽]:應在受支援的 Linux 虛擬機器擴展集上安裝來賓證明延伸模組 | 5.1.0-預覽版 |
| U.05.2 資料保護:密碼編譯量值 | U.05.2 | 儲存在雲端服務的資料應受到最新先進技術的保護。 | [預覽]:應在受支援的 Windows 虛擬機器上安裝來賓證明延伸模組 | 4.0.0-preview |
| U.05.2 資料保護:密碼編譯量值 | U.05.2 | 儲存在雲端服務的資料應受到最新先進技術的保護。 | [預覽]:應在受支援的 Windows 虛擬機器擴展集上安裝來賓證明延伸模組 | 3.1.0-preview |
| U.05.2 資料保護:密碼編譯量值 | U.05.2 | 儲存在雲端服務的資料應受到最新先進技術的保護。 | [預覽]:應在受支援的 Windows 虛擬機器上啟用安全開機 | 4.0.0-preview |
| U.05.2 資料保護:密碼編譯量值 | U.05.2 | 儲存在雲端服務的資料應受到最新先進技術的保護。 | [預覽]:應在受支援的虛擬機器上啟用 vTPM | 2.0.0-preview |
| U.05.2 資料保護:密碼編譯量值 | U.05.2 | 儲存在雲端服務的資料應受到最新先進技術的保護。 | 受控磁碟應同時使用平台管理的金鑰和客戶自控金鑰進行雙重加密 | 1.0.0 |
| U.05.2 資料保護 - 加密措施 | U.05.2 | 儲存在雲端服務的資料應受到最新先進技術的保護。 | OS 和資料磁碟應使用客戶自控金鑰進行加密 | 3.0.0 |
| U.05.2 資料保護 - 密碼編譯量值 | U.05.2 | 儲存在雲端服務的資料應受到最新先進技術的保護。 | 虛擬機器和虛擬機器擴展集應啟用主機上的加密 | 1.0.0 |
| U.07.1 資料隔離:已隔離 | U.07.1 | 資料的永久隔離是多租用戶結構。 修補檔會以受控制的方式實現。 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| U.07.1 資料隔離:已隔離 | U.07.1 | 資料的永久隔離是多租用戶結構。 修補檔會以受控制的方式實現。 | 磁碟存取資源應使用私人連結 | 1.0.0 |
| U.07.1 資料隔離:已隔離 | U.07.1 | 資料的永久隔離是多租用戶結構。 修補檔會以受控制的方式實現。 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| U.07.1 資料隔離:已隔離 | U.07.1 | 資料的永久隔離是多租用戶結構。 修補檔會以受控制的方式實現。 | 應停用虛擬機器上的 IP 轉送 | 3.0.0 |
| U.07.1 資料隔離:已隔離 | U.07.1 | 資料的永久隔離是多租用戶結構。 修補檔會以受控制的方式實現。 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| U.07.1 資料隔離:已隔離 | U.07.1 | 資料的永久隔離是多租用戶結構。 修補檔會以受控制的方式實現。 | 應關閉虛擬機器上的管理連接埠 | 3.0.0 |
| U.07.1 資料隔離:已隔離 | U.07.1 | 資料的永久隔離是多租用戶結構。 修補檔會以受控制的方式實現。 | 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 3.0.0 |
| U.09.3 惡意程式碼保護 - 偵測、預防及復原 | U.09.3 | 惡意程式碼防護可在不同的環境中執行。 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| U.09.3 惡意程式碼保護 - 偵測、預防及復原 | U.09.3 | 惡意程式碼防護可在不同的環境中執行。 | 應停用虛擬機器上的 IP 轉送 | 3.0.0 |
| U.09.3 惡意程式碼保護 - 偵測、預防及復原 | U.09.3 | 惡意程式碼防護可在不同的環境中執行。 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| U.09.3 惡意程式碼保護 - 偵測、預防及復原 | U.09.3 | 惡意程式碼防護可在不同的環境中執行。 | 應在您的機器上啟用 Windows Defender 惡意探索防護 | 2.0.0 |
| U.10.2 對 IT 服務和資料的存取 - 使用者 | U.10.2 | 根據 CSP 的責任,將存取權授與系統管理員。 | 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 | 3.1.0 |
| U.10.2 對 IT 服務和資料的存取 - 使用者 | U.10.2 | 根據 CSP 的責任,將存取權授與系統管理員。 | 稽核有不需要密碼之帳戶的 Linux 電腦 | 3.1.0 |
| U.10.2 對 IT 服務和資料的存取 - 使用者 | U.10.2 | 根據 CSP 的責任,將存取權授與系統管理員。 | 稽核不是使用受控磁碟的 VM | 1.0.0 |
| U.10.2 對 IT 服務和資料的存取權 - 使用者 | U.10.2 | 根據 CSP 的責任,將存取權授與系統管理員。 | 虛擬機器應遷移到新的 Azure Resource Manager 資源 | 1.0.0 |
| U.10.3 對 IT 服務和資料的存取權 - 使用者 | U.10.3 | 使用者須具有已驗證的設備,才能存取 IT 服務和資料。 | 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 | 3.1.0 |
| U.10.3 對 IT 服務和資料的存取 - 使用者 | U.10.3 | 使用者須具有已驗證的設備,才能存取 IT 服務和資料。 | 稽核有不需要密碼之帳戶的 Linux 電腦 | 3.1.0 |
| U.10.3 對 IT 服務和資料的存取 - 使用者 | U.10.3 | 使用者須具有已驗證的設備,才能存取 IT 服務和資料。 | 稽核不是使用受控磁碟的 VM | 1.0.0 |
| U.10.3 對 IT 服務和資料的存取權 - 使用者 | U.10.3 | 使用者須具有已驗證的設備,才能存取 IT 服務和資料。 | 虛擬機器應遷移到新的 Azure Resource Manager 資源 | 1.0.0 |
| U.10.5 對 IT 服務和資料的存取權 - 合格人員 | U.10.5 | 對 IT 服務和資料的存取受到技術措施的限制,且已實作。 | 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 | 3.1.0 |
| U.10.5 對 IT 服務和資料的存取 - 合格人員 | U.10.5 | 對 IT 服務和資料的存取受到技術措施的限制,且已實作。 | 稽核有不需要密碼之帳戶的 Linux 電腦 | 3.1.0 |
| U.10.5 對 IT 服務和資料的存取 - 合格人員 | U.10.5 | 對 IT 服務和資料的存取受到技術措施的限制,且已實作。 | 稽核不是使用受控磁碟的 VM | 1.0.0 |
| U.10.5 對 IT 服務和資料的存取權 - 合格人員 | U.10.5 | 對 IT 服務和資料的存取受到技術措施的限制,且已實作。 | 虛擬機器應遷移到新的 Azure Resource Manager 資源 | 1.0.0 |
| U.11.1 加密服務 - 原則 | U.11.1 | 在加密原則中,至少已制定了符合 BIO 的主題。 | 稽核未使用可逆加密來儲存密碼的 Windows 電腦 | 2.0.0 |
| U.11.1 加密服務 - 原則 | U.11.1 | 在加密原則中,至少已制定了符合 BIO 的主題。 | Windows 機器應設定為使用安全通訊協定 | 4.1.1 |
| U.11.2 加密服務 - 密碼編譯量值 | U.11.2 | 對於 PKIoverheid 憑證,請使用 PKIoverheid 需求進行金鑰管理。 在其他情況下,請使用 ISO11770。 | 稽核未使用可逆加密來儲存密碼的 Windows 電腦 | 2.0.0 |
| U.11.2 加密服務 - 密碼編譯量值 | U.11.2 | 對於 PKIoverheid 憑證,請使用 PKIoverheid 需求進行金鑰管理。 在其他情況下,請使用 ISO11770。 | Windows 機器應設定為使用安全通訊協定 | 4.1.1 |
| U.11.3 Cryptoservices:已加密 | U.11.3 | 敏感性資料一律會使用由 CSC 管理的私密金鑰進行加密。 | [預覽]:應在受支援的 Linux 虛擬機器上安裝來賓證明延伸模組 | 6.0.0-preview |
| U.11.3 Cryptoservices:已加密 | U.11.3 | 敏感性資料一律會使用由 CSC 管理的私密金鑰進行加密。 | [預覽]:應在受支援的 Linux 虛擬機器擴展集上安裝來賓證明延伸模組 | 5.1.0-預覽版 |
| U.11.3 Cryptoservices:已加密 | U.11.3 | 敏感性資料一律會使用由 CSC 管理的私密金鑰進行加密。 | [預覽]:應在受支援的 Windows 虛擬機器上安裝來賓證明延伸模組 | 4.0.0-preview |
| U.11.3 Cryptoservices:已加密 | U.11.3 | 敏感性資料一律會使用由 CSC 管理的私密金鑰進行加密。 | [預覽]:應在受支援的 Windows 虛擬機器擴展集上安裝來賓證明延伸模組 | 3.1.0-preview |
| U.11.3 Cryptoservices:已加密 | U.11.3 | 敏感性資料一律會使用由 CSC 管理的私密金鑰進行加密。 | [預覽]:應在受支援的 Windows 虛擬機器上啟用安全開機 | 4.0.0-preview |
| U.11.3 Cryptoservices:已加密 | U.11.3 | 敏感性資料一律會使用由 CSC 管理的私密金鑰進行加密。 | [預覽]:應在受支援的虛擬機器上啟用 vTPM | 2.0.0-preview |
| U.11.3 Cryptoservices:已加密 | U.11.3 | 敏感性資料一律會使用由 CSC 管理的私密金鑰進行加密。 | 受控磁碟應同時使用平台管理的金鑰和客戶自控金鑰進行雙重加密 | 1.0.0 |
| U.11.3 Cryptoservices - 已加密 | U.11.3 | 敏感性資料一律會使用由 CSC 管理的私密金鑰進行加密。 | OS 和資料磁碟應使用客戶自控金鑰進行加密 | 3.0.0 |
| U.11.3 Cryptoservices:已加密 | U.11.3 | 敏感性資料一律會使用由 CSC 管理的私密金鑰進行加密。 | 虛擬機器和虛擬機器擴展集應啟用主機上的加密 | 1.0.0 |
| U.12.1 介面 - 網路連線 | U.12.1 | 在與外部或不受信任區域的連接點中,會針對攻擊採取措施。 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| U.12.1 介面 - 網路連線 | U.12.1 | 在與外部或不受信任區域的連接點中,會針對攻擊採取措施。 | 應停用虛擬機器上的 IP 轉送 | 3.0.0 |
| U.12.2 介面 - 網路連線 | U.12.2 | 網路元件會使得受信任和不受信任網路之間的網路連接受到限制。 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| U.12.2 介面 - 網路連線 | U.12.2 | 網路元件會使得受信任和不受信任網路之間的網路連接受到限制。 | 應停用虛擬機器上的 IP 轉送 | 3.0.0 |
| U.15.1 記錄和監視 - 記錄的事件 | U.15.1 | CSP 和 CSC 會記錄原則規則的違規。 | [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 | 2.0.1-preview |
| U.15.1 記錄和監視 - 記錄的事件 | U.15.1 | CSP 和 CSC 會記錄原則規則的違規。 | [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
| U.15.1 記錄和監視 - 記錄的事件 | U.15.1 | CSP 和 CSC 會記錄原則規則的違規。 | [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
| U.15.1 記錄和監視 - 記錄的事件 | U.15.1 | CSP 和 CSC 會記錄原則規則的違規。 | 應為列出的虛擬機器映像啟用 Dependency Agent | 2.0.0 |
| U.15.1 記錄和監視 - 記錄的事件 | U.15.1 | CSP 和 CSC 會記錄原則規則的違規。 | 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Dependency Agent | 2.0.0 |
| U.15.1 記錄和監視 - 記錄的事件 | U.15.1 | CSP 和 CSC 會記錄原則規則的違規。 | 應在您的電腦上安裝來賓設定延伸模組 | 1.0.3 |
| U.15.1 記錄和監視 - 記錄的事件 | U.15.1 | CSP 和 CSC 會記錄原則規則的違規。 | 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 | 2.0.1 |
| U.15.1 記錄和監視 - 記錄的事件 | U.15.1 | CSP 和 CSC 會記錄原則規則的違規。 | 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 1.0.1 |
| U.15.3 記錄和監視 - 記錄的事件 | U.15.3 | CSP 會維護記錄和監視和檢閱此清單方面全部重要資產的清單。 | [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 | 2.0.1-preview |
| U.15.3 記錄和監視 - 記錄的事件 | U.15.3 | CSP 會維護記錄和監視和檢閱此清單方面全部重要資產的清單。 | 應為列出的虛擬機器映像啟用 Dependency Agent | 2.0.0 |
| U.15.3 記錄和監視 - 記錄的事件 | U.15.3 | CSP 會維護記錄和監視和檢閱此清單方面全部重要資產的清單。 | 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Dependency Agent | 2.0.0 |
| U.15.3 記錄和監視 - 記錄的事件 | U.15.3 | CSP 會維護記錄和監視和檢閱此清單方面全部重要資產的清單。 | 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 | 2.0.1 |
| U.17.1 多租用戶架構 - 加密 | U.17.1 | CSC 傳輸中和待用資料會加密。 | 稽核未設定災害復原的虛擬機器 | 1.0.0 |
| U.17.1 多租用戶架構 - 加密 | U.17.1 | CSC 傳輸中和待用資料會加密。 | 應該為虛擬機器啟用 Azure 備份 | 3.0.0 |
PCI DSS 3.2.1
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 PCI DSS 3.2.1。 如需此合規性標準的詳細資訊,請參閱 PCI DSS 3.2.1。
PCI DSS v4.0
若要檢閱所有 Azure 服務的可用 Azure 原則內建項目與此合規性標準的對應,請參閱 PCI DSS v4.0 的 Azure 原則法規合規性詳細資料。 如需此合規性標準的詳細資訊,請參閱 PCI DSS v4.0。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 需求 01:安裝和維護網路安全性控制 | 1.3.2 | 限制持卡人資料環境的網路存取 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| 需求 01:安裝和維護網路安全性控制 | 1.4.2 | 控制受信任和未受信任網路之間的網路連線 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| 需求 10:記錄和監視對系統元件和持卡人資料的所有存取 | 10.2.2 | 實作稽核記錄以支援異常和可疑活動的偵測,以及事件的鑑識分析 | 虛擬機器應遷移到新的 Azure Resource Manager 資源 | 1.0.0 |
| 需求 10:記錄和監視對系統元件和持卡人資料的所有存取 | 10.3.3 | 稽核記錄受到保護,不會遭到毀損和未經授權的修改 | 虛擬機器應遷移到新的 Azure Resource Manager 資源 | 1.0.0 |
| 需求 11:定期測試系統和網路的安全性 | 11.3.1 | 定期識別、設定優先權及解决外部和內部弱點 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 需求 11:定期測試系統和網路的安全性 | 11.3.1 | 定期識別、設定優先權及解决外部和內部弱點 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 需求 05:保護所有系統和網路免受惡意軟體的攻擊 | 5.2.1 | 防止、偵測和解决惡意軟體 (惡意程式碼) | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 需求 05:保護所有系統和網路免受惡意軟體的攻擊 | 5.2.1 | 防止、偵測和解决惡意軟體 (惡意程式碼) | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 需求 05:保護所有系統和網路免受惡意軟體的攻擊 | 5.2.2 | 防止、偵測和解决惡意軟體 (惡意程式碼) | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 需求 05:保護所有系統和網路免受惡意軟體的攻擊 | 5.2.2 | 防止、偵測和解决惡意軟體 (惡意程式碼) | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 需求 05:保護所有系統和網路免受惡意軟體的攻擊 | 5.2.3 | 防止、偵測和解决惡意軟體 (惡意程式碼) | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 需求 05:保護所有系統和網路免受惡意軟體的攻擊 | 5.2.3 | 防止、偵測和解决惡意軟體 (惡意程式碼) | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 需求 06:開發和維護安全系統與軟體 | 6.3.3 | 識別並解决安全性弱點 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 需求 06:開發和維護安全系統與軟體 | 6.3.3 | 識別並解决安全性弱點 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 需求 06:開發和維護安全系統與軟體 | 6.4.1 | 對外公開的 Web 應用程式受到保護,免受攻擊 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 需求 06:開發和維護安全系統與軟體 | 6.4.1 | 對外公開的 Web 應用程式受到保護,免受攻擊 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 需求 08:識別使用者並驗證對系統元件的存取 | 8.3.6 | 建立並管理使用者和系統管理員的增強式驗證 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 需求 08:識別使用者並驗證對系統元件的存取 | 8.3.6 | 建立並管理使用者和系統管理員的增強式驗證 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 需求 08:識別使用者並驗證對系統元件的存取 | 8.3.6 | 建立並管理使用者和系統管理員的增強式驗證 | 稽核允許在指定的唯一密碼數目之後重複使用密碼的 Windows 機器 | 2.1.0 |
| 需求 08:識別使用者並驗證對系統元件的存取 | 8.3.6 | 建立並管理使用者和系統管理員的增強式驗證 | 稽核未將密碼最長有效期設定為指定天數的 Windows 機器 | 2.1.0 |
| 需求 08:識別使用者並驗證對系統元件的存取 | 8.3.6 | 建立並管理使用者和系統管理員的增強式驗證 | 稽核未將密碼長度下限限制為指定字元數的 Windows 機器 | 2.1.0 |
| 需求 08:識別使用者並驗證對系統元件的存取 | 8.3.6 | 建立並管理使用者和系統管理員的增強式驗證 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
印度儲備銀行 - 適用於 NBFC 的 IT Framework
若要檢閱適用於所有 Azure 服務的可用 Azure 原則如何對應到此合規性標準,請參閱 Azure 原則法規合規性 - 印度儲備銀行 - 適用於 NBFC 的 IT Framework。 如需此合規性標準的詳細資訊,請參閱印度儲備銀行 - 適用於 NBFC 的 IT 架構。
印度儲備銀行 - 銀行的 IT 架構 v2016
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應至此合規性標準的方式,請參閱 Azure 原則法規合規性 - RBI ITF 銀行 v2016。 如需此合規性標準的詳細資訊,請參閱 RBI ITF 銀行 v2016 (PDF)。
RMIT 馬來西亞
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - RMIT 馬來西亞。 如需此合規性標準的詳細資訊,請參閱 RMIT 馬來西亞。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 資料中心作業 | 10.27 | 資料中心作業 - 10.27 | 部署 - 設定要在 Windows 虛擬機器擴展集上啟用的 Log Analytics 延伸模組 | 3.1.0 |
| 資料中心作業 | 10.27 | 資料中心作業 - 10.27 | 虛擬機器應遷移到新的 Azure Resource Manager 資源 | 1.0.0 |
| 資料中心作業 | 10.30 | 資料中心作業 - 10.30 | 應該為虛擬機器啟用 Azure 備份 | 3.0.0 |
| 網路復原能力 | 10.33 | 網路復原能力 - 10.33 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| 網路復原能力 | 10.33 | 網路復原能力 - 10.33 | 設定受控磁碟以停用公用網路存取 | 2.0.0 |
| 網路復原能力 | 10.33 | 網路復原能力 - 10.33 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 網路復原能力 | 10.33 | 網路復原能力 - 10.33 | 應停用虛擬機器上的 IP 轉送 | 3.0.0 |
| 網路復原能力 | 10.33 | 網路復原能力 - 10.33 | 受控磁碟應停用公用網路存取 | 2.0.0 |
| 網路復原能力 | 10.33 | 網路復原能力 - 10.33 | 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 3.0.0 |
| 網路復原能力 | 10.35 | 網路復原能力 - 10.35 | 部署 - 設定要在 Windows 虛擬機器擴展集上啟用的 Log Analytics 延伸模組 | 3.1.0 |
| 雲端服務 | 10.49 | 雲端服務 - 10.49 | 應關閉虛擬機器上的管理連接埠 | 3.0.0 |
| 雲端服務 | 10.51 | 雲端服務 - 10.51 | 稽核未設定災害復原的虛擬機器 | 1.0.0 |
| 雲端服務 | 10.53 | 雲端服務 - 10.53 | 受控磁碟應針對客戶自控金鑰加密使用一組特定的磁碟加密集 | 2.0.0 |
| 雲端服務 | 10.53 | 雲端服務 - 10.53 | OS 和資料磁碟應使用客戶自控金鑰進行加密 | 3.0.0 |
| 存取控制 | 10.54% | 存取控制 - 10.54 | 應在您的電腦上安裝來賓設定延伸模組 | 1.0.3 |
| 存取控制 | 10.54% | 存取控制 - 10.54 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 存取控制 | 10.54% | 存取控制 - 10.54 | 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 1.0.1 |
| 存取控制 | 10.61 | 存取控制 - 10.61 | 應在您的電腦上安裝來賓設定延伸模組 | 1.0.3 |
| 存取控制 | 10.61 | 存取控制 - 10.61 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 存取控制 | 10.61 | 存取控制 - 10.61 | 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 1.0.1 |
| 修補程式和生命週期結束系統管理 | 10.63 | 修補程式和生命週期結束系統管理 - 10.63 | Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 | 1.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 部署 - 設定要在 Windows 虛擬機器上啟用的 Log Analytics 延伸模組 | 3.1.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 | 2.0.1 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 | 1.0.1 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 虛擬機器應已安裝 Log Analytics 延伸模組 | 1.0.1 |
| 資料外洩防護 (DLP) | 11.15 | 資料外洩防護 (DLP) - 11.15 | 設定受控磁碟以停用公用網路存取 | 2.0.0 |
| 資料外洩防護 (DLP) | 11.15 | 資料外洩防護 (DLP) - 11.15 | 受控磁碟應停用公用網路存取 | 2.0.0 |
| 資料外洩防護 (DLP) | 11.15 | 資料外洩防護 (DLP) - 11.15 | 受控磁碟應針對客戶自控金鑰加密使用一組特定的磁碟加密集 | 2.0.0 |
| 網路風險管理 | 11.2 | 網路風險管理 - 11.2 | 虛擬機器和虛擬機器擴展集應啟用主機上的加密 | 1.0.0 |
| 安全性作業中心 (SOC) | 11.20% | 安全性作業中心 (SOC) - 11.20 | 虛擬機器和虛擬機器擴展集應啟用主機上的加密 | 1.0.0 |
| 網路風險管理 | 11.4 | 網路風險管理 - 11.4 | 將沒有指定標籤之虛擬機器上的備份,設定為相同位置中的現有復原服務保存庫 | 9.4.0 |
| 網路風險管理 | 11.4 | 網路風險管理 - 11.4 | 僅應安裝已核准的 VM 擴充功能 | 1.0.0 |
| 網路安全性作業 | 11.8 | 網路安全性作業 - 11.8 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 網路安全性控制措施 | 附錄 5.2 | 網路安全性控制措施 - 附錄 5.2 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 網路安全性控制措施 | 附錄 5.7 | 網路安全性控制措施 - 附錄 5.7 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| 網路安全性控制措施 | 附錄 5.7 | 網路安全性控制措施 - 附錄 5.7 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 網路安全性控制措施 | 附錄 5.7 | 網路安全性控制措施 - 附錄 5.7 | 應停用虛擬機器上的 IP 轉送 | 3.0.0 |
| 網路安全性控制措施 | 附錄 5.7 | 網路安全性控制措施 - 附錄 5.7 | Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上 | 1.1.0 |
| 網路安全性控制措施 | 附錄 5.7 | 網路安全性控制措施 - 附錄 5.7 | 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 3.0.0 |
西班牙 ENS
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應至此合規性標準的方法,請參閱適用於 Spain ENS 的 Azure 原則法規合規性詳細資料。 如需此合規性標準的詳細資訊,請參閱 CCN-STIC 884。
SWIFT CSP-CSCF v2021
若要檢閱所有 Azure 服務的可用 Azure 原則內建項目與此合規性標準的對應,請參閱 SWIFT CSP-CSCF v2021 的 Azure 原則法規合規性詳細資料 (部分機器翻譯)。 如需此合規性標準的詳細資訊,請參閱 SWIFT CSP CSCF v2021 (英文)。
SWIFT CSP-CSCF v2022
若要檢閱所有 Azure 服務的可用 Azure 原則內建項目與此合規性標準的對應,請參閱 SWIFT CSP-CSCF v2022 的 Azure 原則法規合規性詳細資料。 如需此合規性標準的詳細資訊,請參閱 SWIFT CSP CSCF v2022。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 1.限制網際網路存取並保護重要系統不受一般 IT 環境影響 | 1.1 | 確保保護使用者的本機 SWIFT 基礎結構,避免一般 IT 環境和外部環境的潛在入侵元素。 | [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
| 1.限制網際網路存取並保護重要系統不受一般 IT 環境影響 | 1.1 | 確保保護使用者的本機 SWIFT 基礎結構,避免一般 IT 環境和外部環境的潛在入侵元素。 | [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
| 1.限制網際網路存取並保護重要系統不受一般 IT 環境影響 | 1.1 | 確保保護使用者的本機 SWIFT 基礎結構,避免一般 IT 環境和外部環境的潛在入侵元素。 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| 1.限制網際網路存取並保護重要系統不受一般 IT 環境影響 | 1.1 | 確保保護使用者的本機 SWIFT 基礎結構,避免一般 IT 環境和外部環境的潛在入侵元素。 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 1.限制網際網路存取並保護重要系統不受一般 IT 環境影響 | 1.1 | 確保保護使用者的本機 SWIFT 基礎結構,避免一般 IT 環境和外部環境的潛在入侵元素。 | 應停用虛擬機器上的 IP 轉送 | 3.0.0 |
| 1.限制網際網路存取並保護重要系統不受一般 IT 環境影響 | 1.2 | 限制和控制系統管理員層級作業系統帳戶的配置和使用。 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 1.限制網際網路存取並保護重要系統不受一般 IT 環境影響 | 1.3 | 按照與實體系統相同的層級,保護裝載 SWIFT 相關元件的虛擬化平台和虛擬機器 (VM)。 | 稽核不是使用受控磁碟的 VM | 1.0.0 |
| 1.限制網際網路存取並保護重要系統不受一般 IT 環境影響 | 1.4 | 控制/保護安全區域內操作員電腦和系統的網際網路存取。 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 1.限制網際網路存取並保護重要系統不受一般 IT 環境影響 | 1.4 | 控制/保護安全區域內操作員電腦和系統的網際網路存取。 | 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 3.0.0 |
| 1.限制網際網路存取並保護重要系統不受一般 IT 環境影響 | 1.5A | 確保保護客戶的連線基礎結構,避免外部環境和一般 IT 環境的潛在入侵元素。 | [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
| 1.限制網際網路存取並保護重要系統不受一般 IT 環境影響 | 1.5A | 確保保護客戶的連線基礎結構,避免外部環境和一般 IT 環境的潛在入侵元素。 | [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
| 1.限制網際網路存取並保護重要系統不受一般 IT 環境影響 | 1.5A | 確保保護客戶的連線基礎結構,避免外部環境和一般 IT 環境的潛在入侵元素。 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| 1.限制網際網路存取並保護重要系統不受一般 IT 環境影響 | 1.5A | 確保保護客戶的連線基礎結構,避免外部環境和一般 IT 環境的潛在入侵元素。 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 1.限制網際網路存取並保護重要系統不受一般 IT 環境影響 | 1.5A | 確保保護客戶的連線基礎結構,避免外部環境和一般 IT 環境的潛在入侵元素。 | 應停用虛擬機器上的 IP 轉送 | 3.0.0 |
| 2.降低受攻擊面和弱點 | 2.1 | 確定本機 SWIFT 相關元件之間的應用程式資料流程具有機密性、完整性和真實性。 | 對 Linux 電腦進行驗證需要 SSH 金鑰 | 3.2.0 |
| 2.降低受攻擊面和弱點 | 2.1 | 確定本機 SWIFT 相關元件之間的應用程式資料流程具有機密性、完整性和真實性。 | Windows 機器應設定為使用安全通訊協定 | 4.1.1 |
| 2.降低受攻擊面和弱點 | 2.2 | 確保廠商支援、採用強制軟體更新,以及套用與評估的風險對應的安全性更新,以避免操作員電腦上和本機 SWIFT 基礎結構內發生已知的技術弱點。 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 2.降低受攻擊面和弱點 | 2.2 | 確保廠商支援、採用強制軟體更新,以及套用與評估的風險對應的安全性更新,以避免操作員電腦上和本機 SWIFT 基礎結構內發生已知的技術弱點。 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 2.降低受攻擊面和弱點 | 2.2 | 確保廠商支援、採用強制軟體更新,以及套用與評估的風險對應的安全性更新,以避免操作員電腦上和本機 SWIFT 基礎結構內發生已知的技術弱點。 | 稽核正在等候重新開機的 Windows VM | 2.0.0 |
| 2.降低受攻擊面和弱點 | 2.2 | 確保廠商支援、採用強制軟體更新,以及套用與評估的風險對應的安全性更新,以避免操作員電腦上和本機 SWIFT 基礎結構內發生已知的技術弱點。 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 2.降低受攻擊面和弱點 | 2.3 | 執行系統強化以縮小 SWIFT 相關元件的網路受攻擊面。 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 2.降低受攻擊面和弱點 | 2.3 | 執行系統強化以縮小 SWIFT 相關元件的網路受攻擊面。 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 2.降低受攻擊面和弱點 | 2.3 | 執行系統強化以縮小 SWIFT 相關元件的網路受攻擊面。 | 稽核密碼檔權限未設為 0644 的 Linux 電腦 | 3.1.0 |
| 2.降低受攻擊面和弱點 | 2.3 | 執行系統強化以縮小 SWIFT 相關元件的網路受攻擊面。 | 稽核其憑證即將在指定天數內到期的 Windows 電腦 | 2.0.0 |
| 2.降低受攻擊面和弱點 | 2.3 | 執行系統強化以縮小 SWIFT 相關元件的網路受攻擊面。 | 稽核未使用可逆加密來儲存密碼的 Windows 電腦 | 2.0.0 |
| 2.降低受攻擊面和弱點 | 2.3 | 執行系統強化以縮小 SWIFT 相關元件的網路受攻擊面。 | 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 3.1.0 |
| 2.降低受攻擊面和弱點 | 2.3 | 執行系統強化以縮小 SWIFT 相關元件的網路受攻擊面。 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 2.降低受攻擊面和弱點 | 2.3 | 執行系統強化以縮小 SWIFT 相關元件的網路受攻擊面。 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 2.降低受攻擊面和弱點 | 2.4A | 後端資料流程安全性 | 對 Linux 電腦進行驗證需要 SSH 金鑰 | 3.2.0 |
| 2.降低受攻擊面和弱點 | 2.4A | 後端資料流程安全性 | Windows 機器應設定為使用安全通訊協定 | 4.1.1 |
| 2.降低受攻擊面和弱點 | 2.5A | 外部傳輸資料保護 | 稽核未設定災害復原的虛擬機器 | 1.0.0 |
| 2.降低受攻擊面和弱點 | 2.5A | 外部傳輸資料保護 | 稽核不是使用受控磁碟的 VM | 1.0.0 |
| 2.降低受攻擊面和弱點 | 2.5A | 外部傳輸資料保護 | 應該為虛擬機器啟用 Azure 備份 | 3.0.0 |
| 2.降低受攻擊面和弱點 | 2.6 | 保護連線至本機或遠端 (由服務提供者操作) SWIFT 基礎結構或服務提供者 SWIFT 相關應用程式的互動式操作員工作階段的機密性和完整性 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 2.降低受攻擊面和弱點 | 2.6 | 保護連線至本機或遠端 (由服務提供者操作) SWIFT 基礎結構或服務提供者 SWIFT 相關應用程式的互動式操作員工作階段的機密性和完整性 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 2.降低受攻擊面和弱點 | 2.6 | 保護連線至本機或遠端 (由服務提供者操作) SWIFT 基礎結構或服務提供者 SWIFT 相關應用程式的互動式操作員工作階段的機密性和完整性 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 2.降低受攻擊面和弱點 | 2.6 | 保護連線至本機或遠端 (由服務提供者操作) SWIFT 基礎結構或服務提供者 SWIFT 相關應用程式的互動式操作員工作階段的機密性和完整性 | Windows 機器應設定為使用安全通訊協定 | 4.1.1 |
| 2.降低受攻擊面和弱點 | 2.6 | 保護連線至本機或遠端 (由服務提供者操作) SWIFT 基礎結構或服務提供者 SWIFT 相關應用程式的互動式操作員工作階段的機密性和完整性 | Windows 電腦應符合「安全性選項 - 互動式登入」的需求 | 3.0.0 |
| 2.降低受攻擊面和弱點 | 2.7 | 實作一般弱點掃描程序並對結果採取行動,以識別本機 SWIFT 環境內的已知弱點。 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 2.降低受攻擊面和弱點 | 2.7 | 實作一般弱點掃描程序並對結果採取行動,以識別本機 SWIFT 環境內的已知弱點。 | 您應在機器上修復安全性組態的弱點 | 3.1.0 |
| 3.實際保護環境 | 3.1 | 防止未經授權者對敏感性設備、工作場所環境、主控網站和儲存體進行實體存取。 | 稽核不是使用受控磁碟的 VM | 1.0.0 |
| 4.防止認證遭到入侵 | 4.1 | 實作並強制執行有效的密碼原則,以確保密碼足以抵禦常見的密碼攻擊。 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 4.防止認證遭到入侵 | 4.1 | 實作並強制執行有效的密碼原則,以確保密碼足以抵禦常見的密碼攻擊。 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 4.防止認證遭到入侵 | 4.1 | 實作並強制執行有效的密碼原則,以確保密碼足以抵禦常見的密碼攻擊。 | 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 | 3.1.0 |
| 4.防止認證遭到入侵 | 4.1 | 實作並強制執行有效的密碼原則,以確保密碼足以抵禦常見的密碼攻擊。 | 稽核有不需要密碼之帳戶的 Linux 電腦 | 3.1.0 |
| 4.防止認證遭到入侵 | 4.1 | 實作並強制執行有效的密碼原則,以確保密碼足以抵禦常見的密碼攻擊。 | 稽核允許在指定的唯一密碼數目之後重複使用密碼的 Windows 機器 | 2.1.0 |
| 4.防止認證遭到入侵 | 4.1 | 實作並強制執行有效的密碼原則,以確保密碼足以抵禦常見的密碼攻擊。 | 稽核未將密碼最長有效期設定為指定天數的 Windows 機器 | 2.1.0 |
| 4.防止認證遭到入侵 | 4.1 | 實作並強制執行有效的密碼原則,以確保密碼足以抵禦常見的密碼攻擊。 | 稽核未將密碼最短有效期設定為指定天數的 Windows 機器 | 2.1.0 |
| 4.防止認證遭到入侵 | 4.1 | 實作並強制執行有效的密碼原則,以確保密碼足以抵禦常見的密碼攻擊。 | 稽核未啟用密碼複雜度設定的 Windows 電腦 | 2.0.0 |
| 4.防止認證遭到入侵 | 4.1 | 實作並強制執行有效的密碼原則,以確保密碼足以抵禦常見的密碼攻擊。 | 稽核未將密碼長度下限限制為指定字元數的 Windows 機器 | 2.1.0 |
| 4.防止認證遭到入侵 | 4.1 | 實作並強制執行有效的密碼原則,以確保密碼足以抵禦常見的密碼攻擊。 | 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 3.1.0 |
| 4.防止認證遭到入侵 | 4.1 | 實作並強制執行有效的密碼原則,以確保密碼足以抵禦常見的密碼攻擊。 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 5.管理身分識別和區隔權限 | 5.1 | 針對操作員帳戶強制執行須知存取權、最低權限和責任劃分的安全性準則。 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 5.管理身分識別和區隔權限 | 5.1 | 針對操作員帳戶強制執行須知存取權、最低權限和責任劃分的安全性準則。 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 5.管理身分識別和區隔權限 | 5.1 | 對操作員帳戶強制執行須知存取權、最低權限和責任劃分的安全性準則。 | 稽核其憑證即將在指定天數內到期的 Windows 電腦 | 2.0.0 |
| 5.管理身分識別和區隔權限 | 5.1 | 針對操作員帳戶強制執行須知存取權、最低權限和責任劃分的安全性準則。 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 5.管理身分識別和區隔權限 | 5.2 | 確實正確管理、追蹤和使用已連線和中斷連線的硬體驗證或個人權杖 (使用權杖時)。 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 5.管理身分識別和區隔權限 | 5.4 | 以實體和邏輯方式保護已記錄密碼的存放庫。 | 稽核未使用可逆加密來儲存密碼的 Windows 電腦 | 2.0.0 |
| 6.偵測系統或交易記錄的異常活動 | 6.1 | 確定本機 SWIFT 基礎結構受保護而不受惡意程式碼攻擊,並對結果採取行動。 | Azure 的 Microsoft Antimalware 應設定為自動更新保護簽章 | 1.0.0 |
| 6.偵測系統或交易記錄的異常活動 | 6.1 | 確定本機 SWIFT 基礎結構受保護而不受惡意程式碼攻擊,並對結果採取行動。 | Microsoft IaaSAntimalware 延伸模組應該部署在 Windows 伺服器上 | 1.1.0 |
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 | 2.0.1-preview |
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 4.1.0 |
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 4.1.0 |
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | 稽核未設定災害復原的虛擬機器 | 1.0.0 |
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | 應該為虛擬機器啟用 Azure 備份 | 3.0.0 |
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 1.2.0 |
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 | 2.0.1 |
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | Log Analytics 延伸模組應該安裝在虛擬機器擴展集上 | 1.0.1 |
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | 虛擬機器應已安裝 Log Analytics 延伸模組 | 1.0.1 |
| 6.偵測系統或交易記錄的異常活動 | 6.5A | 偵測並抑制本機或遠端 SWIFT 環境外來和內部的異常網路活動。 | [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
| 6.偵測系統或交易記錄的異常活動 | 6.5A | 偵測並抑制本機或遠端 SWIFT 環境外來和內部的異常網路活動。 | [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 | 1.0.2-preview |
系統和組織控制 (SOC) 2
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應至此合規性標準的方法,請參閱適用於系統和組織控制 (SOC) 2 的 Azure 原則法規合規性詳細資料。 如需此合規性標準的詳細資訊,請參閱系統和組織控制 (SOC) 2。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 可用性的其他準則 | A1.2 | 環境保護、軟體、資料備份程式及復原基礎結構 | 應該為虛擬機器啟用 Azure 備份 | 3.0.0 |
| 風險評估 | CC3.2 | COSO 準則 7 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 邏輯和實體存取控制 | CC6.1 | 邏輯存取安全性軟體、基礎結構和架構 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| 邏輯和實體存取控制 | CC6.1 | 邏輯存取安全性軟體、基礎結構和架構 | 對 Linux 電腦進行驗證需要 SSH 金鑰 | 3.2.0 |
| 邏輯和實體存取控制 | CC6.1 | 邏輯存取安全性軟體、基礎結構和架構 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 邏輯和實體存取控制 | CC6.1 | 邏輯存取安全性軟體、基礎結構和架構 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 邏輯和實體存取控制 | CC6.1 | 邏輯存取安全性軟體、基礎結構和架構 | 應關閉虛擬機器上的管理連接埠 | 3.0.0 |
| 邏輯和實體存取控制 | CC6.1 | 邏輯存取安全性軟體、基礎結構和架構 | 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 3.0.0 |
| 邏輯和實體存取控制 | CC6.1 | 邏輯存取安全性軟體、基礎結構和架構 | Windows 機器應設定為使用安全通訊協定 | 4.1.1 |
| 邏輯和實體存取控制 | CC6.6 | 針對系統界限外威脅採取的安全性措施 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| 邏輯和實體存取控制 | CC6.6 | 針對系統界限外威脅採取的安全性措施 | 對 Linux 電腦進行驗證需要 SSH 金鑰 | 3.2.0 |
| 邏輯和實體存取控制 | CC6.6 | 針對系統界限外威脅採取的安全性措施 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 邏輯和實體存取控制 | CC6.6 | 針對系統界限外威脅採取的安全性措施 | 應停用虛擬機器上的 IP 轉送 | 3.0.0 |
| 邏輯和實體存取控制 | CC6.6 | 針對系統界限外威脅採取的安全性措施 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 邏輯和實體存取控制 | CC6.6 | 針對系統界限外威脅採取的安全性措施 | 應關閉虛擬機器上的管理連接埠 | 3.0.0 |
| 邏輯和實體存取控制 | CC6.6 | 針對系統界限外威脅採取的安全性措施 | 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 3.0.0 |
| 邏輯和實體存取控制 | CC6.6 | 針對系統界限外威脅採取的安全性措施 | Windows 機器應設定為使用安全通訊協定 | 4.1.1 |
| 邏輯和實體存取控制 | CC6.7 | 限制資訊移動至授權使用者 | 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | 3.0.0 |
| 邏輯和實體存取控制 | CC6.7 | 限制資訊移動至授權使用者 | 應使用網路安全性群組保護網際網路對應的虛擬機器 | 3.0.0 |
| 邏輯和實體存取控制 | CC6.7 | 限制資訊移動至授權使用者 | 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | 3.0.0 |
| 邏輯和實體存取控制 | CC6.7 | 限制資訊移動至授權使用者 | 應關閉虛擬機器上的管理連接埠 | 3.0.0 |
| 邏輯和實體存取控制 | CC6.7 | 限制資訊移動至授權使用者 | 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 3.0.0 |
| 邏輯和實體存取控制 | CC6.7 | 將資訊的移動限制在授權使用者 | Windows 機器應設定為使用安全通訊協定 | 4.1.1 |
| 邏輯和實體存取控制 | CC6.8 | 防止或偵測未經授權或惡意軟體 | [預覽]:應在受支援的 Linux 虛擬機器上安裝來賓證明延伸模組 | 6.0.0-preview |
| 邏輯和實體存取控制 | CC6.8 | 防止或偵測未經授權或惡意軟體 | [預覽]:應在受支援的 Linux 虛擬機器擴展集上安裝來賓證明延伸模組 | 5.1.0-預覽版 |
| 邏輯和實體存取控制 | CC6.8 | 防止或偵測未經授權或惡意軟體 | [預覽]:應在受支援的 Windows 虛擬機器上安裝來賓證明延伸模組 | 4.0.0-preview |
| 邏輯和實體存取控制 | CC6.8 | 防止或偵測未經授權或惡意軟體 | [預覽]:應在受支援的 Windows 虛擬機器擴展集上安裝來賓證明延伸模組 | 3.1.0-preview |
| 邏輯和實體存取控制 | CC6.8 | 防止或偵測未經授權或惡意軟體 | [預覽]:應在受支援的 Windows 虛擬機器上啟用安全開機 | 4.0.0-preview |
| 邏輯和實體存取控制 | CC6.8 | 防止或偵測未經授權或惡意軟體 | [預覽]:應在受支援的虛擬機器上啟用 vTPM | 2.0.0-preview |
| 邏輯和實體存取控制 | CC6.8 | 防止或偵測未經授權或惡意軟體 | 稽核不是使用受控磁碟的 VM | 1.0.0 |
| 邏輯和實體存取控制 | CC6.8 | 防止或偵測未經授權或惡意軟體 | 應在您的電腦上安裝來賓設定延伸模組 | 1.0.3 |
| 邏輯和實體存取控制 | CC6.8 | 防止或偵測未經授權或惡意軟體 | Linux 機器應符合 Azure 計算安全性基準的需求 | 2.2.0 |
| 邏輯和實體存取控制 | CC6.8 | 防止或偵測未經授權或惡意軟體 | 僅應安裝已核准的 VM 擴充功能 | 1.0.0 |
| 邏輯和實體存取控制 | CC6.8 | 防止或偵測未經授權或惡意軟體 | 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 1.0.1 |
| 邏輯和實體存取控制 | CC6.8 | 防止或偵測未經授權或惡意軟體 | Windows 機器應符合 Azure 計算安全性基準的需求 | 2.0.0 |
| 系統作業 | CC7.1 | 偵測及監視新的弱點 | 虛擬機器上應啟用弱點評估解決方案 | 3.0.0 |
| 系統作業 | CC7.2 | 監視系統元件中的異常行為 | 應在您的機器上啟用 Windows Defender 惡意探索防護 | 2.0.0 |
| 變更管理 | CC8.1 | 基礎結構、資料和軟體的變更 | [預覽]:應在受支援的 Linux 虛擬機器上安裝來賓證明延伸模組 | 6.0.0-preview |
| 變更管理 | CC8.1 | 基礎結構、資料和軟體的變更 | [預覽]:應在受支援的 Linux 虛擬機器擴展集上安裝來賓證明延伸模組 | 5.1.0-預覽版 |
| 變更管理 | CC8.1 | 基礎結構、資料和軟體的變更 | [預覽]:應在受支援的 Windows 虛擬機器上安裝來賓證明延伸模組 | 4.0.0-preview |
| 變更管理 | CC8.1 | 基礎結構、資料和軟體的變更 | [預覽]:應在受支援的 Windows 虛擬機器擴展集上安裝來賓證明延伸模組 | 3.1.0-preview |
| 變更管理 | CC8.1 | 基礎結構、資料和軟體的變更 | [預覽]:應在受支援的 Windows 虛擬機器上啟用安全開機 | 4.0.0-preview |
| 變更管理 | CC8.1 | 基礎結構、資料和軟體的變更 | [預覽]:應在受支援的虛擬機器上啟用 vTPM | 2.0.0-preview |
| 變更管理 | CC8.1 | 基礎結構、資料和軟體的變更 | 稽核不是使用受控磁碟的 VM | 1.0.0 |
| 變更管理 | CC8.1 | 基礎結構、資料和軟體的變更 | 應在您的電腦上安裝來賓設定延伸模組 | 1.0.3 |
| 變更管理 | CC8.1 | 基礎結構、資料和軟體的變更 | Linux 機器應符合 Azure 計算安全性基準的需求 | 2.2.0 |
| 變更管理 | CC8.1 | 基礎結構、資料和軟體的變更 | 僅應安裝已核准的 VM 擴充功能 | 1.0.0 |
| 變更管理 | CC8.1 | 基礎結構、資料和軟體的變更 | 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 1.0.1 |
| 變更管理 | CC8.1 | 基礎結構、資料和軟體的變更 | Windows 機器應符合 Azure 計算安全性基準的需求 | 2.0.0 |
| 處理完整性的其他準則 | PI1.5 | 完全、正確且及時儲存輸入和輸出 | 應該為虛擬機器啟用 Azure 備份 | 3.0.0 |
UK OFFICIAL 與 UK NHS
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - 英國官方和英國 NHS。 如需此合規性標準的詳細資訊,請參閱英國官方。
下一步
- 深入了解 Azure 原則法規合規性。
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。