Microsoft 365 認證提交指南
本文內容:
- 簡介
- 必要條件
- Microsoft 365 認證規格更新
- 認證範圍
- 認證程式
- 初始檔提交
- 辨識項收集和評量活動
- 認證準則
- Application Security
- 作業安全性
- 數據處理安全性和隱私權
- 選擇性的外部合規性架構檢閱
- 附錄 A
- 附錄 B
- 附錄 C
- 附錄 D
- 附錄 E
- 附錄 F
- 附錄 G
- 深入了解
- 詞彙
簡介
在 Microsoft 365 應用程式合規性計劃中,Microsoft 365 認證可為企業組織提供保證和信賴,讓企業組織在將第三方開發人員應用程式/載入宏整合到 Microsoft 365 平臺時,能夠充分保護數據和隱私權。 通過驗證的應用程式和載入宏將會 指定Microsoft 365 認證 整個Microsoft 365 生態系統。
藉由參與 Microsoft 365 認證計畫,您同意這些補充條款,並遵守適用於您參與 Microsoft 365 認證計畫的任何隨附檔,Microsoft Corporation (“Microsoft”、“we”、“us” 或 “our”) 。 您代表並保證您有權接受這些Microsoft 365 憑證補充條款,代表您自己、公司及/或其他實體,視情況適用。 我們隨時可能會變更、修改或終止這些補充條款。 在任何變更或增修之後,您繼續參與 Microsoft 365 認證計劃,表示您同意新的補充條款。 如果您不同意新的補充條款,或我們終止這些補充條款,您必須停止參與Microsoft 365 認證計劃。
本文件的目標是ISV (獨立軟體供應商) 提供有關Microsoft 365 認證程式的信息、啟動程式的必要條件,以及ISV必須具備的特定安全性控制詳細數據。您可以在 [Microsoft 365 應用程式合規性計劃] 頁面下找到 Microsoft 365 應用程式合規性計劃的一般資訊。
重要事項
目前,Microsoft 365 認證適用於所有專案:
- Microsoft索引標籤、Bot 等 (Teams 應用程式 ) 。
- Sharepoint Apps/載入宏
- Office 載入宏 (Word、Excel、PowerPoint、Outlook、Project、OneNote)
- WebApps
先決條件
發行者證明
在獲得Microsoft 365 認證程式之前,您必須已完成發行者證明。 不過,您可以在完成發行者證明之前,先啟動 Microsoft 365 認證程式。
閱讀 Microsoft 365 認證規格
Microsoft建議所有 ISV (獨立軟體廠商) 完整閱讀此Microsoft 365 認證規格,以確保範圍內的環境和應用程式/載入宏符合所有適用的控件。 這有助於確保評定程序順暢。
Microsoft 365 認證規格更新
Microsoft 365 認證規格的更新預計大約每 6 到 12 個月更新一次。 這些更新可能會引進新的目標安全性網域和/ 或安全性控制。 更新將以開發人員的意見反應、威脅環境的變更為基礎,並在程式成熟時增加其安全性基準。
已啟動 Microsoft 365 認證評量的 ISV 可以使用評估啟動時有效的 Microsoft 365 認證規格版本繼續進行評量。 所有新的提交,包括年度重新認證,都必須根據發佈的版本進行評估。
注意事項
您不需要遵守此Microsoft 365 認證規格內的所有控件,即可獲得認證。 不過,針對本Microsoft 365 認證規格中討論的每個安全性網域,已 () 不會公開的臨界值。 某些控制項會分類為「硬性失敗」,這表示缺少這些安全性控件會導致評定失敗。
認證範圍
範圍內 環境 是支援傳遞應用程式/載入宏程式代碼的環境,並支援應用程式/載入宏可能與之通訊的任何後端系統。 除非已備妥適當的分割,否則任何額外的已連線環境也會包含在範圍內,而且連線到的環境不會影響範圍內環境的安全性。 任何災害復原環境也都必須包含在評量範圍內,因為如果主要環境發生任何情況,這些環境就必須滿足服務。範圍 內系統元件 一詞會參考範圍內環境中使用 的所有 裝置和系統。 範圍內的元件包括但不限於:
- Web 應用程式 () 。
- 伺服器。
- 防火牆 (或對等) 。
- 開關。
- 負載平衡器。
- 虛擬基礎結構。
- 雲端提供者 Web 管理入口網站
重要事項
範圍內的環境必須有 DMZ,而且應用程式/載入宏的支持環境必須與內部商務系統和公司環境區隔,因此只會將評定活動的範圍限制在範圍內的系統。 認證分析師會在評定期間驗證分割技術,以及檢閱滲透測試報告,其中應該包含測試,以驗證使用中任何分割技術的有效性。
基礎結構即服務 (IaaS) 、平臺即服務 (PaaS) 和軟體即服務 (SaaS)
在IaaS和/或 PaaS 用來支援受檢閱之應用程式或載入宏程式代碼傳遞的基礎結構時,雲端平臺提供者將負責在整個認證程式中評估的一些安全性控制措施。 因此,雲端平臺提供者必須透過外部合規性報告,例如 [PCI DSS] 證明合規性 (AOC) 、ISO27001 或 [SOC 2] Type II 報告,為認證分析師提供安全性最佳做法的獨立外部驗證。
附錄 F 根據下列部署類型,以及應用程式/載入宏是否Microsoft 365 資料外流,提供哪些安全性控制項可能適用的詳細數據:
- ISV 裝載
- 裝載的 IaaS
- 裝載的 PaaS/無伺服器
- 混合式託管
- 共用託管
部署 IaaS 或 PaaS 時,您必須提供裝載在這些部署類型內之環境的辨識項。
採樣
支持認證評量的辨識項要求,應以考慮不同操作系統、裝置的主要功能和不同裝置類型的範圍內系統元件範例為基礎。 在認證程序開始時,將會選取適當的範例。 下表應作為範例大小可能的指南:
| 母體大小 | 範例 |
|---|---|
| <5 | 1 |
| >5 & <10 | 2 |
| >9 & <25 | 3 |
| >24 | 4 |
注意事項
如果在初始範例中包含的裝置之間發現不一致,則在評估期間可能會增加樣本大小。
認證程式
開始認證程式之前,您必須已成功完成發行者證明。 完成之後,您的Microsoft 365 認證程式會繼續進行,如下所示:
準備
- 瀏覽至合作夥伴中心,並檢閱您已完成 的發行者證明 檔。 如有必要,您可以編輯和更新回應;不過,如果您這樣做,您必須重新提交證明檔以供核准。 如果您的提交時間超過三個月,我們會要求您重新提交發行者證明以進行檢閱和驗證。
- 請仔細閱讀 Microsoft 365 認證提交指南 ,以瞭解您需要哪些專案。 請確定您能夠滿足Microsoft 365 認證提交指南中所指定的 控制 需求。
- 在合作夥伴中心內,選取 [開始認證]。 這會帶您前往初始檔提交入口網站。 提交 您的初始檔提交。 這可協助我們根據您的應用程式架構和處理客戶數據的方式,判斷評量的範圍為何。 請經常檢查此頁面,以查看您的提交是否已接受。
注意事項
對於所有 Office 應用程式,您可以參考我們的 Office Apps 使用者指南。 對於所有 WebApp,您可以參考我們的 SaaS 應用程式使用者指南。
評定
- 一旦接受您的初始檔提交,您應用程式所需的一組安全性控件將會自動顯示在入口網站中。 接著,您必須為示範控件已就緒的每個控件提交辨識項。 請記住,您將獲得 60 天 的時間來提交所有辨識項。 分析師會檢閱您的辨識項,並核准控件或要求新的或額外的辨識項。 請經常檢查此頁面,以查看是否已接受您的辨識項。
認證
- 一旦分析師驗證您的提交,您將會收到認證決策的通知。 獲得認證的應用程式會在其 AppSource 內的應用程式上收到徽章,並 Microsoft檔 頁面。 您可以 在這裡閱讀認證的完整優點。
檢閱和重新認證
如果您的應用程式在任何時間點都進行 重大變更 ,您必須通知我們。
您也必須每年進行重新認證。 這需要針對您目前的環境重新驗證範圍內的控件。 此程式最多可在認證到期前 90 天開始。 您現有的認證不會在重新認證期間過期。 所有計劃的重新認證會在您Microsoft 365 認證的一周年日到期。
如果您的認證未在到期日之前更新,您的應用程式認證狀態將會被撤銷。 所有徽章、圖示和相關聯的認證商標都會從您的應用程式中移除,而且您將禁止將您的應用程式公告為 Microsoft 365 認證]。
重要事項
提交時間範圍: 您預期評定程式平均應該需要 30 天的時間,前提是您能夠經常檢查提交狀態,並及時回應批註和補充辨識項要求。 開始認證程式時,最多允許 60 天完成評定。 如果所有提交尚未在 60 天的期間內完成,提交將會發出失敗,而且程式必須重新開始。 這些結果不會公開。
初始檔提交
初始檔提交將協助認證分析師執行範圍設定,並判斷您的評量範圍中將包含哪些專案。 在此之後,您必須提交用來執行評量的支援檔和辨識項。 您的初始提交必須包含下列指定的資訊。 如需其他指引,請參閱 初始檔提交指南。
| 檔概觀 | 檔詳細數據 |
|---|---|
| 應用程式/載入宏描述 | 應用程式/載入宏用途和功能的描述。 這應該可讓認證分析師充分瞭解應用程式/載入宏的功能及其用途 |
| 滲透測試報告 | 滲透測試報告已在過去 12 個月內完成。 此報告必須包含支援部署應用程式/新增的環境,以及支援應用程式/載入宏作業的任何其他環境。 注意: 如果您沒有執行年度滲透測試,您可以選擇透過認證程式來完成這些測試。 |
| 架構圖表 | 邏輯架構圖,代表應用程式/載入宏支援基礎結構的高階概觀。 這必須包含 所有 裝載環境和支援支援應用程式/載入宏的基礎結構。 此圖表必須描述環境中所有不同的支持系統元件,以協助認證分析師瞭解範圍內的系統,並協助判斷取樣。 也請指出使用何種裝載環境類型;ISV Hosted、IaaS、PaaS 或混合式。 注意: 使用 SaaS 的位置,請指出用來在環境中提供支援服務的各種 SaaS 服務。 |
| 公用使用量 | 詳細說明支援基礎結構使用 的所有 公用IP位址和URL。 這必須包含配置給環境的完整可路由IP範圍,除非已實作適當的分割來分割使用中的範圍 (需要適當的分割辨識項) |
| 資料流程圖 | 詳細說明下列各項的流程圖: |
| ✓ Microsoft 365 數據流經應用程式/載入宏 (,包括 EUII 和 OII ) 。 | |
| ✓ Microsoft 365 支援基礎結構內的數據流 (適用) | |
| ✓ 圖表醒目提示儲存數據的位置和內容、如何將數據傳遞給外部第三方 (包括第三方) 的詳細數據,以及如何透過開放/公用網路和待用網路保護傳輸中的數據。 | |
| API 端點詳細數據 | 應用程式所使用之所有 API 端點的完整清單。 若要協助了解環境範圍,請在您的環境中提供 API 端點位置。 |
| Microsoft API 許可權 | 提供文件,詳細說明 所有 所使用的Microsoft API,以及應用程式/載入宏要運作的要求許可權,以及所要求許可權的理由 |
| 數據記憶體類型 | 描述下列項目的資料儲存和處理檔: |
| ✓ 您的客戶Microsoft接收和儲存 365 數據 EUII 和 OII 的程度 | |
| ✓ 數據保留期間。 | |
| ✓ 擷取客戶Microsoft 365 數據的原因。 | |
| ✓ 客戶Microsoft 365 數據的儲存位置 (應包含在上述) 提供的數據流圖中。 | |
| 合規性確認 | 支持發行者證明提交中包含的外部安全性架構檔,或檢閱Microsoft 365 認證控件時考慮的檔。 目前支援下列三項: |
| ✓ PCI DSS 合規性證明 (AOC) 。 | |
| ✓ SOC 2 類型 I/類型 II 報告。 | |
| ✓ ISMS / IEC - 1S0/IEC 27001 適用性聲明 (SoA) 和認證。 | |
| Web 相依性 | 列出應用程式/載入宏與目前執行中版本使用之所有相依性的檔。 |
| 軟體清查 | 最新的軟體清查,其中包含範圍內環境中使用的所有軟體以及版本。 |
| 硬體清查 | 支援基礎結構所使用的最新硬體清查。 這會用來協助您在執行評定階段時進行取樣。 如果您的環境包含 PaaS,請提供所取用服務的詳細數據。 |
辨識項收集和評量活動
認證分析師必須在定義的範例集內檢閱所有系統元件的辨識項。 支援評估程式所需的辨識項類型包括下列任何或所有專案:
Evidence 集合
- 在上方的初始檔提交一節中反白顯示的初始檔
- 原則檔
- 處理檔
- 系統組態設定
- 變更票證
- 變更控制項記錄
- 系統報告
將使用各種方法來收集完成評定程式所需的辨識項。 此辨識項集合的格式可能如下:
- 文件
- 螢幕擷取畫面
- 採訪
- 屏幕共用
在評估程序期間,將會決定所使用的辨識項集合技術。 如需提交中所需辨識項類型的具體範例,請參閱範 例辨識項指南。
評定活動
認證分析師會檢閱您提供的辨識項,以判斷您是否已充分符合此Microsoft 365 認證規格內的控件。
可能的話,為了減少完成評定所需的時間,應該事先提供 初始檔提交 中詳述的任何或所有檔。
認證分析師會先檢閱初始檔提交所提供的辨識項和發行者證明資訊,以識別適當的查詢行、取樣大小,以及如上所述取得進一步辨識項的需求。 認證分析師會分析收集到的所有資訊,以得出如何符合此Microsoft 365 認證規格內的控件的結論。
應用程式認證準則
您的應用程式、支援基礎結構和支援的檔案將跨下列安全性網域進行評估:
這些安全性網域都包含特定的密鑰控件,其中包含一或多個將在評定程式中評估的特定需求。 為了確保Microsoft 365 認證包含所有大小的開發人員,系統會使用評分系統來評估每個安全性網域,以判斷每個網域的整體分數。 每個Microsoft 365 認證控件的分數會根據該控件未符合的認知風險,在 1 (低) 和 3 (高) 之間配置。 每個安全性網域都有要視為通過的最小百分比標記。 此規格的某些元素包括一些自動失敗準則:
- API 許可權未遵循最低許可權原則 (PoLP) 。
- 不需要滲透測試報告。
- 沒有反惡意代碼防禦
- Multi-Factor Authentication 不會用來保護系統管理存取權。
- 沒有修補程式。
- 沒有適當的 GDPR 隱私權注意事項。
Application Security
應用程式安全性網域著重於下列三個領域:
- GraphAPI 許可權驗證
- 外部連線檢查
- 應用程式安全性測試
GraphAPI 許可權驗證
執行 GraphAPI 許可權驗證,以驗證應用程式/載入宏不會要求過度寬鬆許可權。 這是透過手動檢查要求的許可權來執行。 認證分析師會針對發行者證明提交交叉參考這些檢查,並評估所要求的存取層級,以確保符合「最低許可權」做法。 在認證分析師認為不符合這些「最低許可權」做法的情況下,認證分析師會與您公開討論,以驗證所要求許可權的業務理由。 在此檢閱期間找到的任何發行者證明提交不一致,也會取得意見反應,以便更新您的發行者證明。
外部連線檢查
在評估過程中,分析師會執行應用程式功能的簡要逐步解說,以識別Microsoft 365 以外的連線。 任何未識別為Microsoft連線或直接連線至您服務的連線,都會在評量期間標示並討論。
應用程式安全性測試
適當地檢閱與您的應用程式/載入宏和支援環境相關聯的風險,對於為客戶提供應用程式/載入宏安全性的保證至關重要。 如果您的應用程式與Microsoft未發佈的任何服務有任何連線,則必須執行滲透測試形式的應用程式安全性測試。 如果您的應用程式在沒有連線到任何非Microsoft服務或後端的情況下獨立運作,則不需要滲透測試。
滲透測試範圍
例如,滲透測試活動 必須在 支援部署應用程式/載入宏 (的實時生產環境中進行;其中裝載應用程式/載入宏程序代碼,通常會是指令清單檔案內的資源) 以及支援應用程式/載入宏 (作業的任何其他環境;例如;如果應用程式/載入宏與 Microsoft 365) 以外的其他 Web 應用程式交談,則為 。 定義範圍時,必須小心確保所有滲透測試活動中也包含任何可能影響範圍內環境安全性的「連線到」系統或環境。
在使用技術來區隔範圍內環境與其他環境時,滲透測試活動必須驗證上述分割技術的有效性。 這必須在滲透測試報告中詳細說明。
系統會檢閱滲透測試報告,以確保沒有任何弱點符合下列控件中所述的 自動失敗準則 。
滲透測試需求
| 準則類型 | 滲透測試控制件 |
|---|---|
| 一般準則 | Controls |
| 應用程式和基礎結構滲透測試 必須 每隔 12) 個月 (一次,並由信譽良好的獨立公司進行。 | |
| 必須根據記載的修補程式,在滲透測試結束后的一個月內完成已識別嚴重和高風險弱點的補救,或更快完成。 | |
| 完整的外部使用量 (IP位址、URL、API端點等。) 必須包含在滲透測試範圍內,而且必須在滲透測試報告中記錄。 | |
| Web 應用程式滲透測試必須包含所有弱點類別;例如,最新的 OWASP 前 10 名或 SANS 前 25 名 CWE。 | |
| 不需要由滲透測試公司重新測試已識別的弱點—補救和自我檢閱已足夠,不過,在評估期間 必須 提供足夠的證據來證明必須提供足夠的補救措施。 | |
| 自動失敗準則: | Controls |
| 不支援的作業系統存在。 | |
| 預設、可列舉或可猜測的系統管理帳戶存在。 | |
| 存在 SQL 插入式風險。 | |
| 存在跨網站腳本。 | |
| 存在目錄周遊 (檔案路徑) 弱點。 | |
| HTTP 弱點的存在,例如標頭回應分割、要求破壞和還原同步攻擊。 | |
| 原始程式碼洩漏 (包括 LFI) 。 | |
| CVSS 修補程式管理指導方針所定義的任何重要或高分。 | |
| 任何可輕易利用來危害大量 EUII 或 OUI 的重大技術弱點。 |
重要事項
報告必須能夠提供足夠的保證,才能示範應用程式安全性測試規格一節中詳述的所有專案。
補充滲透測試需求和規則
- 針對目前不參與滲透測試的ISV,您可以免費進行Microsoft 365 認證的滲透測試。 Microsoft會安排並涵蓋最多 12 天手動測試的滲透測試成本。 滲透測試成本是根據測試環境所需的天數來計算。 任何超過 12 天的測試費用都會由 ISV 負責。
- 在進行滲透測試之前,ISV 必須提交辨識項,並取得範圍內 50% 控件的核准。 若要開始使用,請填寫您的初始檔提交,並選擇在評量中包含滲透測試。 當您完成 50% 的控制件時,將會連絡您以設定滲透測試的範圍和排程。
- 在 pentest 完成後發出的報表,會在完成認證後提供給 ISV。 此報告與您的 Microsoft 365 認證可用來向潛在客戶顯示您的環境是安全的。
- ISV 也會負責示範滲透測試中識別的弱點已在獲得認證之前進行補救,但不需要產生全新的報告。
一旦排列滲透測試之後,ISV 會負責與重新排程和取消相關聯的費用,如下所示:
| 重新排程費用時幅 | 可支付的比例 |
|---|---|
| 重新排程要求在排定的開始日期之前收到超過 30 天。 | 0% 可支付 |
| 在排定的開始日期前 8 到 30 天收到重新排程要求。 | 25% 可付款 |
| 在排程開始日期之前的 2 到 7 天內收到重新排程要求,並提供公司重新預訂日期。 | 50% 可付款 |
| 重新排程要求在開始日期之前不到 2 天收到。 | 100% 可付款 |
| 取消費用時幅 | 可支付的比例 |
|---|---|
| 取消要求在排定的開始日期之前收到超過 30 天。 | 25% 可付款 |
| 在排定的開始日期前 8 到 30 天收到取消要求。 | 50% 可付款 |
| 在排定的開始日期之前的 7 天內收到取消要求。 | 90% 可支付 |
作業安全性
此網域會使用安全性最佳做法來測量應用程式支援基礎結構和部署程式的一致性。
控制項
| 控件系列 | Controls |
|---|---|
| 惡意代碼保護 - 防病毒軟體 | 提供控管防病毒軟體做法和程序的原則檔。 |
| 提供可證明防病毒軟體正在所有取樣系統元件上執行的明顯證據。 | |
| 提供可辨識的辨識項,證明所有環境中的防病毒軟體簽章在) 1 天內 (為最新狀態。 | |
| 提供可辨識的辨識項,證明防病毒軟體已設定為在所有取樣的系統元件上執行存取掃描或定期掃描。 注意:如果未啟用存取掃描,則必須啟用每日掃描和警示的最小值。 | |
| 提供可辨識的辨識項,證明防病毒軟體已設定為自動封鎖所有取樣系統元件的惡意代碼或隔離和警示。 | |
| 應用程控:只有在未使用傳統反惡意代碼時才需要 | 提供可辨識的辨識項,證明應用程式在部署之前已核准。 |
| 提供可辨識的辨識項,證明具有商業理由的已核准應用程式完整清單存在並受到維護。 | |
| 提供支援檔,詳細說明應用程控軟體已設定為符合特定應用程控機制。 (範例:允許的清單:sample1、sample3、程式代碼簽署) | |
| 提供可辨識的辨識項,證明應用程控已設定為所有取樣系統元件所記載。 | |
| 修補程式管理 - 風險排名 | 提供原則檔,控管如何識別新的安全性弱點並指派風險分數。 |
| 提供如何識別新安全性弱點的辨識項。 | |
| 提供辨識項,證明一旦識別出所有弱點,都會獲指派風險排名。 | |
| 修補程式管理 - 修補 | 提供修補範圍內系統元件的原則檔,其中包含適用於重大、高和中風險弱點的最小修補時間範圍;以及解除委任任何不支援的操作系統和軟體。 |
| 提供可辨識的辨識項,證明正在修補所有取樣的系統元件。 | |
| 提供可辨識的辨識項,證明環境中不會使用任何不支援的操作系統和軟體元件。 | |
| 弱點掃描 | 提供每季的基礎結構和 Web 應用程式弱點掃描報告。 必須針對整個公用使用量進行掃描, (IP位址和URL) 和內部IP範圍。 |
| 提供可辨識的辨識項,證明弱點掃描期間所識別弱點的補救會與您記載的修補時間範圍一起修補。 | |
| 防火牆 | 提供管理防火牆管理做法和程序的原則檔。 |
| 提供可辨識的辨識項,證明在安裝到生產環境之前,任何預設的系統管理認證都會變更。 | |
| 提供防火牆安裝在範圍內環境界限的明顯證據,並安裝在周邊網路 (也稱為 DMZ、非機構化區域,以及已篩選的子網) 和內部信任網路之間。 | |
| 提供可辨識的辨識項,證明所有公用存取都會在 DMZ) (非目標區域中終止。 | |
| 提供可辨識的辨識項,證明所有允許通過防火牆的流量都會通過核准程式。 | |
| 提供防火牆規則基底已設定為卸除未明確定義流量的明顯辨識項。 | |
| 提供防火牆只支援所有非控制台系統管理介面上強式密碼編譯的明顯證據。 | |
| 提供您至少每 6 個月執行一次防火牆規則檢閱的可辨識證據。 | |
| Web 應用程式防火牆 (WAF) (選擇性) :將獎勵滿足下列控件的額外信用額度。 | 提供 Web 應用程式防火牆 (WAF) 已設定為主動監視、警示及封鎖惡意流量的可辨識證據。 |
| 提供可證明 WAF 支援 SSL 卸除的辨識項。 | |
| 根據 OWASP 核心規則集 3.0 或 3.1 (3.0 或 3.1) ,提供可證明 WAF 可防範某些或下列所有弱點類別的可辨識項 | |
| 變更控制件 | 提供控管變更控制程序的原則檔。 |
| 提供可辨識的辨識項,證明開發和測試環境會強制區分職責與生產環境。 | |
| 提供可辨識的辨識項,證明敏感性生產數據不會在開發或測試環境中使用。 | |
| 提供可辨識的辨識項,其中記載的變更要求包含變更的影響、備份程式的詳細數據,以及要執行的測試。 | |
| 提供可辨識的辨識項,讓變更要求經過授權和註銷程式。 | |
| 安全軟體開發/部署 | 提供支援安全軟體開發和部署的原則和程式,包括針對常見弱點類別的安全編碼最佳做法指引,例如 OWASP 前 10 名或 SANS 前 25 名 CWE。 |
| 提供可辨識的辨識項,證明程式代碼變更會由第二位檢閱者進行檢閱和授權程式。 | |
| 提供可辨識的辨識項,讓開發人員每年進行安全的軟體開發訓練。 | |
| 提供可辨識的辨識項,證明程式代碼存放庫是使用多重要素驗證 (MFA) 來保護。 | |
| 提供可辨識的辨識項,證明訪問控制已就緒,可保護程式代碼存放庫。 | |
| 帳戶管理 | 提供管理帳戶管理做法和程序的原則檔。 |
| 提供可辨識的辨識項,證明預設認證會在取樣的系統元件中停用、移除或變更。 | |
| 提供可辨識的辨識項,證明帳戶的建立、修改和刪除會經過已建立的核准程式。 | |
| 提供可辨識的辨識項,證明已備妥在 3 個月內停用或刪除未使用的帳戶。 | |
| 提供強密碼原則或其他適當的防護措施,以保護使用者認證的可辨識證據。 下列專案應作為最小指導方針:密碼長度下限為8個字元、帳戶鎖定閾值不超過10次、密碼歷程記錄至少5個密碼、強制使用強密碼 | |
| 提供可辨識的辨識項,證明唯一的使用者帳戶會簽發給所有使用者。 | |
| 提供可辨識的辨識項,證明環境中遵循最低許可權原則。 | |
| 提供可辨識的辨識項,證明程式已就緒,可保護或強化服務帳戶,並遵循此程式。 | |
| 提供 MFA 已針對所有遠端訪問連線和所有非控制台系統管理介面設定的可辨識辨識項。 | |
| 提供可辨識的辨識項,證明已針對所有遠端訪問連線和所有非控制台系統管理介面設定強式加密,包括存取任何程式代碼存放庫和雲端管理介面。 | |
| 提供可辨識的辨識項,證明 MFA 是用來保護您用來管理和維護所有公用域名服務的管理入口網站, (DNS) 記錄。 | |
| 入侵偵測和預防 (選擇性) : 滿足下列控件會獲得額外的信用額度 | 提供入侵偵測和預防系統 (IDPS) 部署在範圍內環境周邊的可辨識辨識項。 |
| 提供可辨識的辨識項,證明IDPS簽章會在) 的24小時內保留目前的 (。 | |
| 提供IDPS設定為支援所有傳入Web流量的TLS檢查的可辨識辨識項。 | |
| 提供IDPS設定為監視所有輸入流量的可辨識辨識辨識項。 | |
| 提供可辨識的辨識項,證明IDPS已設定為監視所有輸出流量。 | |
| 安全性事件記錄 | 提供控管安全性事件記錄之最佳做法和程序的原則檔。 |
| 提供可辨識的辨識項,顯示安全性事件記錄已設定在所有取樣的系統元件上,以記錄下列事件:使用者存取系統元件和應用程式、高許可權使用者所採取的所有動作、無效的邏輯存取嘗試、特殊許可權帳戶建立或修改、事件記錄檔竄改、停用安全性工具 (例如反惡意代碼或事件記錄) 、 反惡意代碼記錄 (,例如更新、惡意代碼偵測,以及) 掃描失敗。如果已設定,則為IDPS和WAF事件 | |
| 提供可辨識的辨識項,指出記錄的安全性事件包含下列最小資訊:使用者、事件類型、日期和時間、成功或失敗指標、識別受影響系統的標籤 | |
| 提供可辨識的辨識項,證明所有取樣的系統元件都會時間同步處理到相同的主要和輔助伺服器。 | |
| 當公用面向系統正在使用時,提供可辨識的辨識項,安全性事件記錄檔會傳送至不在周邊網路內的集中式記錄解決方案。 | |
| 提供可證明的辨識項,以顯示集中式記錄解決方案受到保護,以防止未經授權的記錄數據遭到竄改。 | |
| 提供至少 30 天安全性事件記錄數據立即可用的明顯證據,並保留 90 天的安全性事件記錄檔。 | |
| 安全性事件記錄檔檢閱 | 提供管理記錄檢閱做法和程序的原則檔。 |
| 提供可辨識的辨識項,證明人類或自動化工具會每天檢閱記錄,以識別潛在的安全性事件。 | |
| 提供可辨識的辨識項,證明可能會調查並補救潛在的安全性事件和異常。 | |
| 提醒 | 提供管理安全性事件警示做法和程序的原則檔。 |
| 針對下列安全性事件類型,提供觸發警示以立即分級的明顯證據:特殊許可權帳戶建立或修改、病毒或惡意代碼事件、事件記錄檔竄改、IDPS 或 WAF 事件 | |
| 提供可辨識的辨識項,顯示員工一律可隨時、每天地回應安全性警示。 | |
| 風險管理 | 提供正式資訊安全性風險管理程式已建立的可辨識證據。 |
| 提供正式風險評估至少每年發生一次的可辨識證據。 | |
| 提供資訊安全性風險評估包含威脅、弱點或對等項目的明顯證據。 | |
| 提供資訊安全性風險評估包含影響、可能性風險矩陣或對等專案的明顯辨識項。 | |
| 提供資訊安全性風險評估包含風險緩存器和處理計劃的明顯證據。 | |
| 事件回應 | 提供安全性事件回應計劃 (IRP) 。 |
| 提供可證明的安全性 IRP 包含記載的通訊程式,以確保及時通知重要項目關係人,例如付款品牌和取得者、監管機構、監管機關、主管和客戶。 | |
| 提供可辨識的辨識項,證明事件回應小組的所有成員都已完成年度訓練或表格熱門練習。 | |
| 提供可辨識的辨識項,以根據所學到的經驗或組織變更來顯示安全性 IRP 已更新。 |
數據處理安全性和隱私權
應用程式使用者、中繼服務和ISV系統之間的傳輸中資料,必須透過支援最少TLS v1.1的TLS連線進行加密保護。請參閱附錄 A。
當您的應用程式擷取並儲存Microsoft 365 數據時,您必須實作遵循 附錄 B 中所定義之規格的數據記憶體加密配置。
控制項
| 控件系列 | Controls |
|---|---|
| 傳輸中的數據 | 提供 TLS 組態符合或超過 TLS 設定檔設定需求內加密需求的可辨識辨識項 |
| 提供可辨識的辨識項,證明所有處理 Web 要求的公開服務都會停用 TLS 壓縮。 | |
| 提供 TLS HTTP 嚴格傳輸安全性已啟用並 >設定為跨所有網站 = 15552000 的可辨識辨識項。 | |
| 待用數據 | 提供可辨識的辨識項,證明待用數據會以加密配置檔需求內嵌方式加密,使用 AES、大滑鼠、TDES 等加密演算法,以及 128 位和 256 位的加密密鑰大小。 |
| 提供哈希函式或訊息驗證 (HMAC-SHA1) 僅用來保護具有加密配置檔需求的待用數據。 | |
| 提供顯示所有已儲存數據的清查,包括用來保護資料的儲存位置和加密。 | |
| 數據保留和處置 | 提供可辨識的辨識項,證明已正式建立已核准和記載的數據保留期間。 |
| 提供可辨識的辨識項,讓保留的數據符合定義的保留期間。 | |
| 提供可辨識的辨識項,讓進程在保留期間之後安全地刪除數據。 | |
| 數據存取管理 | 提供可存取資料或加密金鑰的所有人員清單,包括業務理由。 |
| 提供可辨識的辨識項,證明可存取數據或加密密鑰的取樣人員已正式核准,詳述其作業功能所需的許可權。 | |
| 提供可辨識的辨識項,證明可存取數據或加密密鑰的取樣人員只有核准中包含的許可權。 | |
| 提供客戶數據共用的所有第三方清單。 | |
| 提供可辨識的辨識項,證明所有取用客戶數據的第三方都有共享協定。 | |
| GDPR (如果適用) | (SAR) 程式提供記載的主體存取要求,並提供證明證明數據主體能夠引發 SAR。 |
| 提供可辨識的辨識項,讓您能夠在回應 SAR 時識別數據主體數據的所有位置。 | |
| 您會維護隱私權注意事項,其中應包含公司詳細數據 (名稱、位址等。) 。 | |
| 您會維護隱私權注意事項,其中應說明正在處理的個人資料類型。 | |
| 您會維護隱私權注意事項,以說明處理個人資料的合法性 | |
| 您會維護詳細說明數據主體許可權的隱私權注意事項:通知許可權、數據主體的存取權、清除許可權、處理許可權、數據可移植性許可權、物件許可權、與自動化決策相關的許可權,包括程式代碼剖析。 | |
| 您會維護隱私權注意事項,說明個人資料的保留時間長度。 |
選擇性的外部合規性架構檢閱
雖然並非必要,但如果您目前符合 ISO 27001、PCI DSS 或 SOC2 的規範,您可以選擇使用這些認證來滿足某些Microsoft 365 認證控件。 認證分析師會嘗試將現有的外部安全性架構與Microsoft 365 認證規格對齊。 不過,如果支援檔無法保證Microsoft 365 認證控件已評估為外部安全性架構稽核/評估的一部分,您就必須提供上述控件的其他辨識項。
文件必須充分證明Microsoft 365 認證的範圍內環境已包含在這些外部安全性架構的範圍內。 接受由信譽良好的外部第三方公司所進行之有效認證的辨識項,即可完成這些安全性架構的驗證。 這些信譽良好的公司必須是相關合規性計劃之國際認證機構的成員。 請參閱 ISO 27001 的 ISO 認證和一致性標準,以及 PCI DSS 的 QSA) (合格的安全性評估人員。
下表強調認證分析師在此驗證程式中所需的外部架構和檔:
| Standard | 需求 |
|---|---|
| ISO 27001 | 需要公開版本 的適用性 聲明 (SOA) ,以及發行的 ISO 27001 憑證複本。SOA 會摘要說明您在114個資訊安全性控件中的位置,並用來識別是否排除ISO 27001 憑證中未令人滿意的控件。 如果無法藉由檢閱 SOA 的公開版本來判斷這點,如果 ISO 27001 將用來驗證某些Microsoft 365 認證規格控件,則分析師可能需要存取完整的 SOA。 除了驗證 ISO 27001 評定活動的範圍之外,分析師也會確認稽核公司的有效性,如上所述。 |
| PCI DSS | 必須提供有效的 合規性層級 1 證明 (AOC) 檔,以清楚識別範圍內的應用程式和系統元件。自我評定 AOC 將不會 被接受為會議安全性最佳做法的辨識項。 AOC 將用來判斷哪些Microsoft 365 認證規格控件已評估並確認為PCI DSS評量的一部分。 |
| SOC 2 | SOC 2 (類型 I 或類型 II) 報告必須是過去 15 個月內發出的目前 (,且宣告的時間週期是在過去 27 個月內開始,) 用來做為符合此Microsoft 365 認證規格內任何評定控件的辨識項。 |
如果外部安全性架構已包含在發行者證明中,認證分析師必須檢查這些安全性合規性架構的有效性,作為Microsoft 365 認證評量的一部分。
| 框架 | 其他考量 |
|---|---|
| ISO 27001 | 附錄 C:辨識項集合 – ISO 27001 的差異。 |
| PCI DSS | 附錄 D:辨識項集合 – PCI DSS 的差異。 |
| SOC 2 | 附錄 E:辨識項集合 – SOC 2 的差異。 |
注意事項
雖然上述外部安全性標準/架構可以提交為辨識項,以符合某些Microsoft 365 認證控件,但通過Microsoft 365 認證並不表示您將成功通過這些標準/架構的稽核。 Microsoft 365 認證規格只是這些安全性標準/架構的一小部分,可讓Microsoft在參考安全性狀態時獲得保證層級。
使用外部合規性架構的需求
✓ 應用程式/載入宏支持環境 和 任何支援的商務程式 都必須 包含在任何支援的外部安全性合規性架構範圍內,而且必須在提供的檔中清楚指出。
✓ 支援的外部安全性合規性架構 必須 是最新的,也就是說,在過去 12 個月內 (或在 15 個月內,如果目前正在執行重新評估,且可以提供辨識項) 。
✓ 支援的外部安全性合規性架構 必須 由獨立認證的公司執行。
附錄 A
TLS 設定檔設定需求
所有網路流量,不論是在虛擬網路、雲端服務或數據中心內,都必須使用最低 TLS v1.1 來保護, (建議) 或其他適用的通訊協定使用 TLS v1.2+。 此需求的例外狀況如下:
- HTTP 對 HTTPS 重新導向。 您的應用程式可以透過 HTTP 回應,將用戶端重新導向至 HTTPS,但回應不得包含任何敏感數據, (Cookie、標頭、內容) 。 不允許重新導向至 HTTPS 和回應健康情況探查以外的其他 HTTP 回應。 請參閱下方。
- 健康情況探查。 只有在檢查方不支援 HTTPS 健康情況探查 時 ,您的應用程式才能透過 HTTP 回應健康情況探查。
- 憑證存取。 基於憑證驗證和撤銷檢查的目的,允許透過 HTTP 存取 CRL、OCSP 和 AIA 端點。
- 本機通訊。 您的應用程式可以使用 HTTP (或其他未受保護的通訊協定) 來進行未離開作業系統的通訊,例如連線到在 localhost 上公開的 Web 伺服器端點。
必須停用 TLS 壓縮。
附錄 B
加密設定檔設定需求
只允許密碼編譯基本類型和參數,如下所示:
對稱式密碼編譯
加密
✓ 只允許 AES、BitLocker、Fishfish 或 TDES。 任何支援的金鑰長度 >=128 都允許 (128 位、192 位和 256 位) ,而且 (建議) 使用 256 位密鑰。
✓ 只允許 CBC 模式。 每個加密作業都必須使用全新隨機產生的初始化向量 (IV) 。
✓ 不允許使用串流加密,例如 RC4、 IS NOT 。
哈希函式
✓ 所有新程式代碼都必須使用 SHA-256、SHA-384 或 SHA-512 (統稱為 SHA-2) 。 輸出可能會截斷為不小於128位
✓ SHA-1 只能用於相容性原因。
✓ 不允許使用 MD5、MD4、MD2 和其他哈希函式,即使是非密碼編譯應用程式也一樣。
訊息驗證
✓ 所有新程式代碼都必須搭配其中一個核准的哈希函式使用 HMAC。 HMAC 的輸出可能會截斷為不小於 128 位。
✓ HMAC-SHA1 只能用於相容性原因。
✓ HMAC 金鑰必須至少為 128 位。 建議使用256位金鑰。
非對稱演算法
加密
✓ 允許 RSA。 密鑰 必須 至少為 2048 位,且必須使用 OAEP 填補。 基於相容性理由,只允許使用 PKCS 填補。
簽章
✓ 允許 RSA。 密鑰 必須 至少為 2048 位,且必須使用 PSS 填補。 基於相容性理由,只允許使用 PKCS 填補。
允許 ✓ECDSA。 索 引鍵必須 至少為256位。 必須使用 NIST P-256、P-384 或 P-521 曲線。
金鑰交換
✓ 允許 ECDH。 索 引鍵必須 至少為256位。 必須使用 NIST P-256、P-384 或 P-521 曲線。
✓ 允許 ECDH。 索 引鍵必須 至少為256位。 必須使用 NIST P-256、P-384 或 P-521 曲線。
附錄 C
辨識項集合 – ISO 27001 的差異
在您已達到ISO27001合規性的情況下,下列差異的 (差距) 未完全由 ISO 27001 涵蓋,至少需要在此Microsoft 365 認證中檢閱。
注意事項
在您的 Microsoft 365 認證評量中,認證分析師會判斷是否有任何對應的 ISO 27001 控制件未包含在 ISO 27001 評量中,也可以決定要包含的範例控件,以提供進一步的保證。 ISO 27001 中缺少的任何需求都必須包含在您的Microsoft 365 認證評定活動中。
惡意代碼防護 – 防病毒軟體
如果惡意代碼保護已使用應用程控就緒,且在 ISO 27001 內證明為 ,則報告不需要進一步調查。 如果沒有應用程控,認證分析師將需要識別和評估應用程控機制的辨識項,以避免在環境中惡意代碼被入侵。 這會要求您:
示範防病毒軟體正在所有取樣的系統元件上執行。
示範如何跨所有取樣的系統元件設定防病毒軟體,以自動封鎖惡意代碼、隔離 & 警示或警示。
防病毒軟體 必須 設定為記錄所有活動。
修補程式管理 – 修補
由於 ISO 27001 稽核不會特別評估此類別,因此您必須:
- 廠商不再支援的軟體元件和操作系統 不得 在環境中使用。 必須備妥支持原則,以確保不支援的軟體元件/操作系統會從環境中移除,以及識別何時必須備妥軟體元件的程式
弱點掃描
由於 ISO 27001 稽核不會特別評估此類別,因此您必須:
示範每季進行內部和外部弱點掃描。
確認支援檔已備妥,可根據風險排名和規格進行弱點補救,如下所示:
✓ 修正與內部掃描風險排名一致的所有重大和高風險問題。
✓ 修正與外部掃描風險排名一致的所有嚴重、高和中風險問題。
✓ 示範補救是依照記載的弱點補救原則進行。
防火牆 – 防火牆 (或對等技術)
由於 ISO 27001 稽核不會特別評估此類別,因此您必須:
示範防火牆已安裝在範圍內環境的界限上。
示範防火牆安裝在 DMZ 和信任的網路之間。
示範 DMZ 中的所有公用存取都會終止。
示範在安裝到實時環境之前,預設的系統管理認證已變更。
示範所有允許通過防火牆 () 的流量都會經過授權程式,這會產生具有業務理由的所有流量檔。
示範所有防火牆都設定為卸除未明確定義的流量。
示範防火牆只支援所有非控制台系統管理介面上的強式密碼編譯。
示範向因特網公開的防火牆非控制台系統管理介面支援 MFA。
示範防火牆規則檢閱至少每 6 個月執行一次
防火牆 – Web 應用程式防火牆 (WAF)
如果部署 WAF 來協助防範應用程式可公開的眾多 Web 應用程式威脅和弱點,則會提供額外的信用額度。 當 WAF 或類似專案存在時,您必須:
示範 WAF 是在主動式防禦模式中設定,或使用警示進行更多監視。
示範 WAF 已設定為支援 SSL 卸除。
根據 OWASP 核心規則集 (3.0 或 3.1) 設定,可防範下列大部分的攻擊類型:
✓ 通訊協議和編碼問題。
✓ 標頭插入、要求外送和回應分割。
✓ 檔案和路徑周遊攻擊。
✓ 遠端檔案包含 (RFI) 攻擊。
✓ 遠端程式代碼執行攻擊。
✓ PHP 插入式攻擊。
✓ 跨網站腳本攻擊。
✓ SQL 插入式攻擊。
✓ 會話修正攻擊。
變更控制件
由於 ISO 27001 稽核不會特別評估變更要求程式的某些元素,因此您必須:
- 示範變更要求具有下列詳細資料:
✓ 記載的影響。
✓ 要進行哪些功能測試的詳細數據。
✓ 任何退回程序的詳細數據。
示範功能測試是在變更完成之後進行。
示範在進行功能測試之後,變更要求已核准。
帳戶管理
由於 ISO 27001 稽核不會特別評估帳戶管理程式的某些元素,因此您必須:
- 示範如何實作 ✓,以減輕重新執行攻擊 (例如 MFA、Kerberos) 。
- 示範如何停用或刪除 3 個月內未使用的帳戶。
- 您必須設定 ✓或其他適當的防護功能來保護用戶認證。 下列最低密碼原則應作為指導方針:
✓ 密碼長度下限為 8 個字元。
✓ 帳戶鎖定閾值不超過 10 次嘗試。
✓ 密碼歷程記錄至少五個密碼。
✓ 強制使用強密碼。
示範 MFA 已針對所有遠端存取解決方案進行設定。
示範已在所有遠端訪問解決方案上設定強式加密。
如果公用 DNS 的管理不在範圍內的環境中,所有能夠進行 DNS 修改的使用者帳戶都必須設定為使用 MFA。
入侵偵測和預防 (選擇性)
由於 ISO 27001 稽核不會特別評估入侵偵測和預防服務 (IDPS) 程式的某些元素,因此您必須:
IDPS 應該 部署在支援環境的周邊。
IDPS 簽章 應該 在過去一天內保持在最新狀態。
IDPS 應該設定為TLS檢查。
應為所有輸入和輸出流量設定IDPS。
應設定IDPS以進行警示。
事件記錄
由於 ISO 27001 稽核不會特別評估安全性事件記錄程式的某些元素,因此您必須:
示範公用面向系統正在記錄至不在 DMZ 內的集中式記錄解決方案。
示範如何立即使用至少 30 天的記錄數據,並保留 90 天。
檢閱 (記錄數據)
由於 ISO 27001 稽核不會特別評估此類別的某些元素,因此您必須:
- 示範每日記錄檢閱的執行方式,以及如何識別例外狀況和異常,以顯示如何處理這些狀況。
提醒
由於 ISO 27001 稽核不會特別評估此類別的某些元素,因此您必須:
示範如何將安全性事件設定為觸發立即分級的警示。
示範員工如何全天候可用來回應安全性警示。
風險管理
由於 ISO 27001 稽核不會特別評估風險評估程式的某些元素,因此您必須:
- 示範已建立正式的風險管理程式。
事件回應
由於 ISO 27001 稽核不會特別評估事件回應原則和程式的某些元素,因此您必須:
- 示範事件回應計畫/程式包括:
✓ 預期威脅模型的特定響應程式。
✓ 事件處理功能符合 NIST 網路安全性架構 (識別、保護、偵測、回應、復原) 。
✓ IRP 涵蓋範圍內的系統。
✓ 事件回應小組的年度訓練。
附錄 D
辨識項集合 – PCI DSS 的差異
在您已達到PCI DSS合規性的情況下,下列差異的 (差距) 未完全由PCI DSS涵蓋,至少需要在此Microsoft 365認證中檢閱。
注意事項
在Microsoft 365 認證評定中,認證分析師會判斷是否有任何對應的PCI DSS控件未包含在PCI DSS評定中,也可以決定要包含的範例控件,以提供進一步的保證。 PCI DSS 中缺少的任何需求都必須包含在Microsoft 365 認證評定活動中。
惡意代碼保護 - 應用程控
如果惡意代碼保護是透過使用防病毒軟體而備妥,且在PCI DSS中證明為,則不需要進一步調查。 如果沒有防病毒軟體,認證分析師將需要識別和評估應用程控機制的辨識項,以防止在環境中惡意代碼被入侵。 這會要求您:
示範應用程式核准的執行方式,並確認已完成。
示範具有業務理由的已核准應用程式完整清單存在。
提供或示範支援檔,詳細說明如何設定應用程控軟體,以符合特定應用程控機制 (,也就是允許清單、程式代碼簽署等 ) 。
示範在所有取樣的系統元件中,應用程控已設定為已記載。
修補程式管理 – 風險排名
由於PCI DSS稽核不會特別評估此類別,因此您必須:
- 示範如何執行弱點的風險排名。
弱點掃描
由於PCI DSS稽核不會特別評估此類別,因此您必須:
- 示範補救是依照記載的弱點補救原則進行。
防火牆 – 防火牆 (或對等技術)
由於PCI DSS稽核不會特別評估此類別,因此您必須:
示範防火牆只支援所有非控制台系統管理介面上的強式密碼編譯。
示範向因特網公開的防火牆非控制台系統管理介面支援 MFA。
如果已部署 Web 應用程式防火牆 (WAF) ,以協助防範應用程式可能暴露的眾多 Web 應用程式威脅和弱點,則會提供額外的信用額度。 當 WAF 或類似專案存在時,您必須:
示範 WAF 是在主動式防禦模式中設定,或使用警示進行更多監視。
示範 WAF 已設定為支援 SSL 卸除。
根據 OWASP 核心規則集 (3.0 或 3.1) 設定,可防範下列大部分的攻擊類型:
✓ 通訊協議和編碼問題。
✓ 標頭插入、要求外送和回應分割。
✓ 檔案和路徑周遊攻擊。
✓ 遠端檔案包含 (RFI) 攻擊。
✓ 遠端程式代碼執行攻擊。
✓ PHP 插入式攻擊。
✓ 跨網站腳本攻擊。
✓ SQL 插入式攻擊。
✓ 會話修正攻擊。
變更控制件
由於PCI DSS稽核不會特別評估變更要求程式的某些元素,因此您必須:
示範在生產環境中提出變更要求之前,會先提出變更要求。
示範變更在進入生產環境之前已獲得授權。
示範功能測試是在變更完成之後進行。
示範在進行功能測試之後,變更要求已核准。
安全軟體開發/部署
由於 PCI DSS 稽核不會特別存取安全軟體開發和部署程式的某些元素;這會要求您:
程式代碼存放庫必須受到 MFA 保護。
必須備妥適當的訪問控制,以保護程式代碼存放庫免於遭受惡意代碼修改。
帳戶管理
由於PCI DSS稽核不會特別評估帳戶管理程式的某些元素,因此您必須:
示範如何實作授權機制,以減輕重新執行攻擊 (例如 MFA、Kerberos) 。
強密碼原則或其他適當的防護功能必須設定為保護用戶認證。 下列最低密碼原則應作為指導方針:
✓ 密碼長度下限為 8 個字元。
✓ 帳戶鎖定閾值不超過 10 次嘗試。
✓ 密碼歷程記錄至少五個密碼。
✓ 強制使用強密碼。
示範已在所有遠端訪問解決方案上設定強式加密。
如果公用 DNS 的管理不在範圍內的環境中,所有能夠進行 DNS 修改的使用者帳戶都必須設定為使用 MFA。
入侵偵測和預防 (選擇性)
由於PCI DSS稽核不會特別評估入侵偵測和預防服務 (IDPS) 程式的某些元素,因此您必須:
IDPS 應該設定為TLS檢查。
應為所有輸入和輸出流量設定IDPS。
風險管理
由於PCI DSS稽核不會特別評估風險評估程式的某些元素,因此您必須:
- 示範風險評估包含影響和可能性矩陣。
事件回應
由於PCI DSS稽核不會特別評估事件回應原則和程式的某些元素,因此開發人員必須:
- 示範事件處理功能符合 NIST 網路安全性架構 (識別、保護、偵測、回應、復原) 。
附錄 E
辨識項集合 - SOC 2 的差異
在您已達到 SOC 2 合規性的情況下,下列差異) 未完全由 SOC 2 涵蓋的 (差距,將需要在此Microsoft 365 認證中進行檢閱。
注意事項
在Microsoft 365 認證評定中,認證分析師會判斷是否有任何對應的SOC 2控件未包含在您的SOC 2評量中,也可以決定要包含的控件範例,以提供進一步的保證。 SOC 2 評定中缺少的任何需求,都必須包含在Microsoft 365 認證評定活動中。
惡意代碼保護 - 應用程控
如果惡意代碼保護是透過使用防病毒軟體來準備就緒,並且在SOC 2中證明為,則不需要進一步調查。 如果沒有防病毒軟體,認證分析師將需要識別和評估應用程控機制的辨識項,以防止在環境中惡意代碼被入侵。 這會要求您:
提供或示範支援檔,詳細說明如何設定應用程控軟體,以符合特定應用程控機制 (,也就是允許清單、程式代碼簽署等 ) 。
示範應用程式核准的執行方式,並確認已完成。
示範具有業務理由的已核准應用程式完整清單存在。
示範在所有取樣的系統元件中,應用程控已設定為已記載。
修補程式管理 – 修補
由於 SOC 2 稽核不會特別評估此類別,因此您必須:
任何低、中、高或嚴重問題都必須在一般修補活動時段內修補。
廠商不再支援的軟體元件和操作系統不得在環境中使用。 必須備妥支持原則,以確保不支援的軟體元件/操作系統會從環境中移除,以及識別軟體元件何時必須就緒的程式。
防火牆 – 防火牆
由於 SOC 2 稽核不會特別評估防火牆訪問控制清單的變更控件,因此您必須:
示範所有允許的流量通過防火牆 (的) 會經過授權程式,以產生具有商業理由的所有流量檔。
示範防火牆規則檢閱至少每六個月執行一次。
如果已部署 Web 應用程式防火牆 (WAF) 或類似專案,以協助防範應用程式可能暴露的眾多 Web 應用程式威脅和弱點,則會提供額外的信用額度。 當 WAF 或類似專案存在時,您必須:
示範 WAF 是在主動式防禦模式中設定,或使用警示進行更多監視。
示範 WAF 已設定為支援 SSL 卸除。
根據 OWASP 核心規則集 ( (3.0 或 3.1) 設定,可防範下列大部分的攻擊類型:
✓ 通訊協議和編碼問題。
✓ 標頭插入、要求外送和回應分割。
✓ 檔案和路徑周遊攻擊。
✓ 遠端檔案包含 (RFI) 攻擊。
✓ 遠端程式代碼執行攻擊。
✓ PHP 插入式攻擊。
✓ 跨網站腳本攻擊。
✓ SQL 插入式攻擊。
✓ 會話修正攻擊。
變更控制件
由於 SOC 2 稽核不會特別評估變更要求程式的某些元素,因此開發人員必須:
示範開發/測試環境如何與強制執行職責區分的生產環境分開。
示範如何在開發/測試環境中不使用實時數據。
示範功能測試是在變更完成之後進行。
示範在進行功能測試之後,變更要求已核准。
安全軟體開發/部署
由於 SOC 2 稽核不會特別存取安全軟體開發和部署程式的某些元素;這會要求您:
您必須已建立並記載涵蓋整個軟體開發生命週期的軟體開發程式。
開發人員必須至少每年進行安全的軟體程式代碼定型。
程式代碼存放庫必須受到 MFA 保護。
必須備妥適當的訪問控制,以保護程式代碼存放庫免於遭受惡意代碼修改。
帳戶管理
由於 SOC2 稽核不會特別評估帳戶管理程式的某些元素,因此您必須:
示範如何實作授權機制,以減輕重新執行攻擊 (例如 MFA、Kerberos) 。
示範如何停用或刪除 3 個月內未使用的帳戶。
強密碼原則或其他適當的防護功能必須設定為保護用戶認證。 下列最低密碼原則應作為指導方針:
✓ 密碼長度下限為 8 個字元。
✓ 帳戶鎖定閾值不超過 10 次嘗試。
✓ 密碼歷程記錄至少 5 個密碼。
✓ 強制使用強密碼
示範唯一的用戶帳戶會發行給所有使用者。
如果公用 DNS 的管理不在範圍內的環境中,所有能夠進行 DNS 修改的使用者帳戶都必須設定為使用 MFA。
入侵偵測和預防 (選擇性) 。
由於 SOC 2 稽核不會特別評估 IDPS) 程式 (入侵偵測和預防服務的某些元素,因此您必須:
在過去一天內,IDPS 簽章應該保持在最新狀態
應設定IDPS以進行TLS檢查
應為所有輸入和輸出流量設定IDPS
事件記錄
由於 SOC 2 稽核不會特別評估安全性事件記錄程式的某些元素,因此您必須:
- 示範如何在範例集內的所有系統元件上,設定下列系統來記錄下列事件
✓ 使用者存取系統元件和應用程式 (的) 。
✓ 高許可權用戶所採取的所有動作。
✓ 無效的邏輯存取嘗試。
示範記錄的事件包含;至少是下列資訊:
✓ 使用者。
✓ 事件類型。
✓ 日期和時間。
✓ 成功/失敗指標。
✓ 用來識別受影響系統的標籤。
示範範例集中的所有系統元件都設定為使用時間同步處理,而且這些元件與主要/次要時間伺服器相同。
示範公用面向系統正在記錄至不在 DMZ 內的集中式記錄解決方案。
示範公用面向系統正在記錄至不在 DMZ 內的集中式記錄解決方案。
示範集中式記錄解決方案如何受到保護,以防止未經授權的記錄數據遭到竄改。
示範如何立即使用至少 30 天的記錄數據,並保留 90 天以上。
風險管理
由於 SOC2 稽核不會特別評估風險評估程式的某些元素,因此您必須:
- 示範至少每年執行一次正式的風險評估。
事件回應。
由於 SOC2 稽核不會特別評估事件回應原則和程式的某些元素,因此您必須:
- 示範事件回應計畫/程式包括:
✓ 預期威脅模型的特定響應程式。
✓ 記錄通訊程式,以確保及時通知重要專案關係人 (付款品牌/取得者、監管機構、監管機關、主管、客戶等。
附錄 F
裝載部署類型
Microsoft確認您將部署應用程式,並將應用程式/載入宏程式代碼儲存在不同的裝載環境中。 Microsoft 365 認證中某些安全性控件的整體責任將取決於所使用的裝載環境。 附錄 F 會查看常見的部署類型,並將這些類型對應至評估程式中評估的安全性控制件。 已識別下列裝載部署類型:
| 裝載類型 | 描述 |
|---|---|
| ISV 裝載 | ISV 裝載類型可以定義為您負責支援應用程式/載入宏環境的基礎結構。 這可以實際位於您自己的數據中心或具有共置服務的第三方數據中心內。 最後,您擁有支援基礎結構和作業環境的完整擁有權和管理控制權。 |
| 基礎結構即服務 (IaaS) (https://azure.microsoft.com/overview/what-is-iaas/) | 基礎結構即服務是一項服務,由雲端服務提供者 (CSP) 代表實體支援基礎結構進行管理和維護。 一般而言,網路、記憶體、實體伺服器和虛擬化基礎結構都是雲端解決方案提供者的責任。 操作系統、中間件、運行時間、資料和應用程式是您的責任。 防火牆功能也會由第三方管理和維護,不過,維護防火牆規則基底通常仍是取用者的責任。 |
| 平臺即服務/無伺服器 (PaaS) (https://azure.microsoft.com/overview/what-is-paas/) | 使用平臺即服務,您可以使用受控平臺布建,以呈現可取用的服務。 您不需要執行系統管理員功能,因為操作系統和支援的基礎結構是由 CSP 管理。 通常,當組織不想考慮呈現 Web 服務,而是可以專注於建立 Web 應用程式原始程式碼,並在雲端受控 Web 服務上發布 Web 應用程式時,通常會使用此方法。另一個範例可能是提供資料庫連線到資料庫的資料庫服務,但支援的基礎結構和資料庫應用程式是從取用者中抽象化。注意:無伺服器和 PaaS 很類似,因此基於Microsoft 365 認證裝載部署類型的無伺服器和 PasS 的用途,會被視為相同 |
| 混合式託管 | 使用混合式託管類型時,您可以利用多個託管類型來支援支援環境的各個部分。 這可能是跨多個Microsoft 365 堆棧使用應用程式/載入宏的情況。 雖然Microsoft 365 認證將支援跨多個Microsoft 365 服務開發應用程式/附加元件的位置,但必須根據每個適用的「託管類型對應」來評估跨應用程式/載入宏) 支持環境的整個 (。 有時候,您可能會針對執行此作業的單一載入宏使用不同的裝載類型,準則的適用性仍然需要遵循各種裝載類型的「裝載類型對應」準則。 |
| 共用裝載 | 共用裝載是您在由多個個別取用者共用的平臺內裝載環境的位置。 Microsoft 365 認證規格並未寫入,因為採用雲端,共用裝載並不常見。 如果您認為正在使用此專案,請連絡 Microsoft,因為需要建立其他需求,以考慮這種裝載類型下的其他風險。 |
附錄 G
深入了解
Microsoft 365 應用程式合規性計劃概觀什麼是Microsoft 365 應用程式發行者證明?什麼是 Microsoft 365 認證?
詞彙
友邦 保險
*授權單位資訊存取是用來尋找頒發證書頒發機構單位憑證的服務位置描述元。
CRL
*證書吊銷清單可讓安全套接字層 (SSL) 端點驗證從遠端主機接收的憑證有效且值得信任。
CVSS 分數
*常見的弱點評分系統是一種已發佈的標準,可測量弱點,並根據其嚴重性計算數值分數。
CVSS 修補程式管理指導方針
- 重要 (9.0 - 10.0)
- 高 (7.0 - 8.9)
- 中 (4.0 - 6.9)
- 低 (0.0 - 3.9)
DMZ
*非單位化區域是實體或邏輯中繼網路,可直接與外部或非專屬網路互動,同時讓主機的內部專用網保持獨立且隔離。
EUII
用戶可識別資訊。
GDPR
*一般數據保護規定是歐盟 (歐盟) 所有歐盟公民數據的隱私權和數據保護規定,無論您的應用程式網站位於何處。
HSTS
*HTTP Strict Transport Security 會利用 HTTP 回應標頭指示網頁瀏覽器只透過 HTTPS 存取內容。這是設計來防範降級攻擊和 Cookie 劫持。
IEC
*國際電工委員會。
主義
*資訊安全性管理系統。
ISV
獨立安全性廠商是開發、行銷及銷售在第三方軟體和硬體平臺上執行之軟體的個人和組織。
ISO 27001
組織中所有技術控制的資訊安全性管理系統規格架構,會風險管理原則和程式程式。
LFI
包含本機檔案 可讓攻擊者透過網頁瀏覽器在伺服器上包含檔案。
NIST
美國國家標準局 (NIST) ,這是美國商務部的非法規機構,提供適用於美國私人部門組織的指引,以評估和核准其預防、偵測及回應網路攻擊的能力。
非重大變更
- 次要錯誤修正。
- 稍微改善效能。
- 操作系統/連結庫/用戶端和伺服器應用程式修補程式。
OCSP
在線憑證狀態通訊協定 可用來檢查 X.509 數位證書的撤銷狀態。
OII
組織可識別的資訊。
OWASP
開啟 Web 應用程式安全性專案。
PCI DSS
支付卡產業數據安全標準,這是維護全球持卡人數據安全標準的組織。
手寫筆測試
滲透測試 是一種測試 Web 應用程式的方法,方法是模擬惡意攻擊來尋找攻擊者可能利用的安全性弱點。
SAML
安全性判斷提示標記語言 是開放式標準,可在使用者、識別提供者和服務提供者之間交換驗證和授權數據。
敏感性資料
- 訪問控制數據。
- 客戶內容。
- 使用者身分識別資訊。
- 支持數據。
- 公用個人資料。
- 使用者假名資訊。
重大變更
- 主控環境的重新配置。
- 主要升級至支持的基礎結構;例如,實作新的防火牆、主要升級至前端服務等。
- 將功能和 /或擴充功能新增至您的應用程式。
- 擷取其他敏感數據的應用程式更新。
- 應用程式數據流或授權模型的變更
- 新增 API 端點或 API 端點函式。
SOC 2
服務組織控制 2 是由五個信任服務原則所組成的技術稽核程式,可確保服務提供者安全地管理組織用戶端的數據和隱私權。
SSL
安全套接字層。
TLS
傳輸層安全性。