你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure API 管理的 Azure Policy 法规合规性控制措施
适用于:所有 API 管理层级
Azure Policy 中的法规遵从性为与不同合规性标准相关的“合规性域”和“安全控制”提供由 Microsoft 创建和管理的计划定义,称为“内置项” 。 此页列出 Azure API 管理的合规性域和安全控制措施 。 可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
重要
每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的“符合”仅指策略本身。 这并不能确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 对于这些合规性标准,控件与 Azure Policy 法规合规性定义之间的关联可能会随时间的推移而发生变化。
FedRAMP 高
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP High。 有关此合规性标准的详细信息,请参阅 FedRAMP High。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-4 | 信息流强制 | API 管理服务应使用虚拟网络 | 1.0.2 |
| 系统和通信保护 | SC-7 | 边界保护 | API 管理服务应使用虚拟网络 | 1.0.2 |
| 系统和通信保护 | SC-7 (3) | 接入点 | API 管理服务应使用虚拟网络 | 1.0.2 |
FedRAMP 中等
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP Moderate。 有关此合规性标准的详细信息,请参阅 FedRAMP Moderate。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-4 | 信息流强制 | API 管理服务应使用虚拟网络 | 1.0.2 |
| 系统和通信保护 | SC-7 | 边界保护 | API 管理服务应使用虚拟网络 | 1.0.2 |
| 系统和通信保护 | SC-7 (3) | 接入点 | API 管理服务应使用虚拟网络 | 1.0.2 |
Microsoft 云安全基准
Microsoft Cloud 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Microsoft Cloud 安全基准,请参阅 Azure 安全基准映射文件。
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - Microsoft Cloud 安全基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 网络安全 | NS-2 | 使用网络控制保护云服务 | API 管理服务应使用虚拟网络 | 1.0.2 |
| 网络安全 | NS-2 | 使用网络控制保护云服务 | API 管理应禁用对服务配置终结点的公用网络访问 | 1.0.1 |
| 标识管理 | IM-4 | 对服务器和服务进行身份验证 | 应对 Azure API 管理中的 API 终结点进行身份验证 | 1.0.1 |
| 标识管理 | IM-4 | 对服务器和服务进行身份验证 | API 管理对 API 后端的调用应进行身份验证 | 1.0.1 |
| 标识管理 | IM-4 | 对服务器和服务进行身份验证 | API 管理对 API 后端的调用不应绕过证书指纹或名称验证 | 1.0.2 |
| 标识管理 | IM-8 | 限制凭据和机密的泄露 | API 管理最低 API 版本应设置为 2019-12-01 或更高版本 | 1.0.1 |
| 标识管理 | IM-8 | 限制凭据和机密的泄露 | API 管理机密命名值应存储在 Azure Key Vault 中 | 1.0.2 |
| 特权访问 | PA-7 | 遵循 Just Enough Administration(最小特权)原则 | API 管理订阅的范围不应为所有 API | 1.1.0 |
| 数据保护 | DP-3 | 加密传输中的敏感数据 | API 管理 API 应仅使用加密协议 | 2.0.2 |
| 数据保护 | DP-6 | 使用安全密钥管理流程 | API 管理机密命名值应存储在 Azure Key Vault 中 | 1.0.2 |
| 资产管理 | AM-2 | 仅使用已批准的服务 | Azure API 管理平台版本应为 stv2 | 1.0.0 |
| 资产管理 | AM-3 | 确保资产生命周期管理的安全 | 应禁用未使用的 API 终结点并将其从 Azure API 管理服务中移除 | 1.0.1 |
| 安全状况和漏洞管理 | PV-2 | 审核并强制执行安全配置 | 不应启用 API 管理直接管理终结点 | 1.0.2 |
| 安全状况和漏洞管理 | PV-2 | 审核并强制执行安全配置 | API 管理最低 API 版本应设置为 2019-12-01 或更高版本 | 1.0.1 |
| 安全状况和漏洞管理 | PV-2 | 审核并强制执行安全配置 | Azure API 管理平台版本应为 stv2 | 1.0.0 |
NIST SP 800-171 R2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-171 R2。 有关此符合性标准的详细信息,请参阅 NIST SP 800-171 R2。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | API 管理服务应使用虚拟网络 | 1.0.2 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | API 管理服务应使用虚拟网络 | 1.0.2 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | API 管理服务应使用虚拟网络 | 1.0.2 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | API 管理服务应使用虚拟网络 | 1.0.2 |
NIST SP 800-53 修订版 4
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - NIST SP 800-53 修订版 4。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 4。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-4 | 信息流强制 | API 管理服务应使用虚拟网络 | 1.0.2 |
| 系统和通信保护 | SC-7 | 边界保护 | API 管理服务应使用虚拟网络 | 1.0.2 |
| 系统和通信保护 | SC-7 (3) | 接入点 | API 管理服务应使用虚拟网络 | 1.0.2 |
NIST SP 800-53 Rev. 5
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-53 Rev. 5。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 5。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-4 | 信息流强制 | API 管理服务应使用虚拟网络 | 1.0.2 |
| 系统和通信保护 | SC-7 | 边界保护 | API 管理服务应使用虚拟网络 | 1.0.2 |
| 系统和通信保护 | SC-7 (3) | 接入点 | API 管理服务应使用虚拟网络 | 1.0.2 |
NL BIO 云主题
若要查看所有 Azure 服务内置的可用 Azure Policy 如何映射到此合规性标准,请参阅 NL BIO 云主题的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅基线信息安全政府网络安全 - 数字政府 (digitaleoverheid.nl)。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 | API 管理服务应使用虚拟网络 | 1.0.2 |
印度储备银行面向银行的 IT 框架 v2016
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - RBI ITF Banks v2016。 有关此合规性标准的详细信息,请参阅 RBI ITF Banks v2016 (PDF)。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 补丁/漏洞和变更管理 | 补丁/漏洞和更改管理-7.7 | API 管理服务应使用虚拟网络 | 1.0.2 |
RMIT 马来西亚
若要查看可供所有 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - 马来西亚 RMIT。 有关此合规性标准的详细信息,请参阅马来西亚 RMIT。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 网络复原能力 | 10.33 | 网络复原能力 - 10.33 | API 管理服务应使用虚拟网络 | 1.0.2 |
后续步骤
- 详细了解 Azure Policy 法规符合性。
- 在 Azure Policy GitHub 存储库中查看这些内置项。