你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 应用服务的 Azure Policy 法规遵从性控制措施
Azure Policy 中的法规符合性为与不同符合性标准相关的“符合域”和“安全控件”提供 Microsoft 创建和管理的计划定义,称为“内置”。 此页列出 Azure 应用服务的“符合域”和“安全控制措施” 。 可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
重要
每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的“符合”仅指策略本身。 这并不能确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 对于这些合规性标准,控件与 Azure Policy 法规合规性定义之间的关联可能会随时间的推移而发生变化。
澳大利亚政府 ISM PROTECTED
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 澳大利亚政府 ISM PROTECTED。 有关此合规性标准的详细信息,请参阅澳大利亚政府 ISM PROTECTED。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 加密指导原则 - 传输层安全性 | 1139 | 使用传输层安全性 - 1139 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 加密指南 - 传输层安全性 | 1139 | 使用传输层安全性 - 1139 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 系统管理指导原则 - 系统管理 | 1386 | 管理流量流限制 - 1386 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 系统管理指导原则 - 系统管理 | 1386 | 管理流量流限制 - 1386 | 函数应用应禁用远程调试 | 2.0.0 |
| 软件开发指导原则 - Web 应用程序开发 | 1424 | 基于 web 浏览器的安全控制 - 1424 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 软件开发指导原则 - Web 应用程序开发 | 1552 | Web 应用程序交互 - 1552 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 软件开发指导原则 - Web 应用程序开发 | 1552 | Web 应用程序交互 - 1552 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
加拿大联邦 PBMM
若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - 加拿大联邦 PBMM。 有关此合规性标准的详细信息,请参阅加拿大联邦 PBMM。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-4 | 信息流强制 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 访问控制 | AC-17(1) | 远程访问 | 自动监视/控制 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 访问控制 | AC-17(1) | 远程访问 | 自动监视/控制 | 函数应用应禁用远程调试 | 2.0.0 |
| 系统和通信保护 | SC-8(1) | 传输保密性和完整性 | 加密或备用物理保护 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 系统和通信保护 | SC-8(1) | 传输保密性和完整性 | 加密或备用物理保护 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
CIS Microsoft Azure 基础基准检验 1.1.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - CIS Microsoft Azure 基础基准 1.1.0。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 9 AppService | 9.1 | 确保在 Azure 应用服务上设置应用服务身份验证 | 应用服务应用应已启用身份验证 | 2.0.1 |
| 9 AppService | 9.1 | 确保在 Azure 应用服务上设置应用服务身份验证 | 函数应用应启用身份验证 | 3.0.0 |
| 9 AppService | 9.10 | 确保用于运行 Web 应用的“HTTP 版本”是最新的 | 应用服务应用应使用最新“HTTP 版本” | 4.0.0 |
| 9 AppService | 9.10 | 确保用于运行 Web 应用的“HTTP 版本”是最新的 | 函数应用应使用最新“HTTP 版本” | 4.0.0 |
| 9 AppService | 9.2 | 确保 Web 应用将所有 HTTP 流量重定向到 Azure 应用服务中的 HTTPS | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 9 AppService | 9.3 | 确保 Web 应用使用最新版本的 TLS 加密 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 9 AppService | 9.3 | 确保 Web 应用使用最新版本的 TLS 加密 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 9 AppService | 9.4 | 确保 Web 应用的“客户端证书(传入客户端证书)”设置为“打开” | [已弃用]:函数应用应启用“客户端证书(传入客户端证书)” | 3.1.0-deprecated |
| 9 AppService | 9.4 | 确保 Web 应用的“客户端证书(传入客户端证书)”设置为“打开” | 应用服务应用应启用“客户端证书(传入客户端证书)” | 1.0.0 |
| 9 AppService | 9.5 | 确保在应用服务中启用“向 Azure Active Directory 注册” | 应用服务应用应使用托管标识 | 3.0.0 |
| 9 AppService | 9.5 | 确保在应用服务中启用“向 Azure Active Directory 注册” | 函数应用应使用托管标识 | 3.0.0 |
CIS Microsoft Azure 基础基准检验 1.3.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - CIS Microsoft Azure 基础基准 1.3.0。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 5 日志记录和监视 | 5.3 | 确保已为所有支持诊断日志的服务启用了诊断日志。 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 9 AppService | 9.1 | 确保在 Azure 应用服务上设置应用服务身份验证 | 应用服务应用应已启用身份验证 | 2.0.1 |
| 9 AppService | 9.1 | 确保在 Azure 应用服务上设置应用服务身份验证 | 函数应用应启用身份验证 | 3.0.0 |
| 9 AppService | 9.10 | 确保禁用 FTP 部署 | 应用服务应用应仅需要 FTPS | 3.0.0 |
| 9 AppService | 9.10 | 确保禁用 FTP 部署 | 函数应用应仅需要 FTPS | 3.0.0 |
| 9 AppService | 9.2 | 确保 Web 应用将所有 HTTP 流量重定向到 Azure 应用服务中的 HTTPS | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 9 AppService | 9.3 | 确保 Web 应用使用最新版本的 TLS 加密 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 9 AppService | 9.3 | 确保 Web 应用使用最新版本的 TLS 加密 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 9 AppService | 9.4 | 确保 Web 应用的“客户端证书(传入客户端证书)”设置为“打开” | [已弃用]:函数应用应启用“客户端证书(传入客户端证书)” | 3.1.0-deprecated |
| 9 AppService | 9.4 | 确保 Web 应用的“客户端证书(传入客户端证书)”设置为“打开” | 应用服务应用应启用“客户端证书(传入客户端证书)” | 1.0.0 |
| 9 AppService | 9.5 | 确保在应用服务中启用“向 Azure Active Directory 注册” | 应用服务应用应使用托管标识 | 3.0.0 |
| 9 AppService | 9.5 | 确保在应用服务中启用“向 Azure Active Directory 注册” | 函数应用应使用托管标识 | 3.0.0 |
| 9 AppService | 9.9 | 确保用于运行 Web 应用的“HTTP 版本”是最新的 | 应用服务应用应使用最新“HTTP 版本” | 4.0.0 |
| 9 AppService | 9.9 | 确保用于运行 Web 应用的“HTTP 版本”是最新的 | 函数应用应使用最新“HTTP 版本” | 4.0.0 |
CIS Microsoft Azure 基础基准 1.4.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 CIS v1.4.0 的 Azure Policy 合规性详细信息。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 5 日志记录和监视 | 5.3 | 确保为支持诊断日志的所有服务启用诊断日志。 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 9 AppService | 9.1 | 确保已为 Azure 应用服务中的应用设置应用服务身份验证 | 应用服务应用应已启用身份验证 | 2.0.1 |
| 9 AppService | 9.1 | 确保已为 Azure 应用服务中的应用设置应用服务身份验证 | 函数应用应启用身份验证 | 3.0.0 |
| 9 AppService | 9.10 | 确保禁用 FTP 部署 | 应用服务应用应仅需要 FTPS | 3.0.0 |
| 9 AppService | 9.10 | 确保禁用 FTP 部署 | 函数应用应仅需要 FTPS | 3.0.0 |
| 9 AppService | 9.2 | 确保 Web 应用将所有 HTTP 流量重定向到 Azure 应用服务中的 HTTPS | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 9 AppService | 9.3 | 确保 Web 应用使用最新版本的 TLS 加密 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 9 AppService | 9.3 | 确保 Web 应用使用最新版本的 TLS 加密 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 9 AppService | 9.4 | 确保 Web 应用的“客户端证书(传入客户端证书)”设置为“打开” | [已弃用]:函数应用应启用“客户端证书(传入客户端证书)” | 3.1.0-deprecated |
| 9 AppService | 9.4 | 确保 Web 应用的“客户端证书(传入客户端证书)”设置为“打开” | 应用服务应用应启用“客户端证书(传入客户端证书)” | 1.0.0 |
| 9 AppService | 9.5 | 确保在应用服务中启用“向 Azure Active Directory 注册” | 应用服务应用应使用托管标识 | 3.0.0 |
| 9 AppService | 9.5 | 确保在应用服务中启用“向 Azure Active Directory 注册” | 函数应用应使用托管标识 | 3.0.0 |
| 9 AppService | 9.9 | 确保用于运行 Web 应用的“HTTP 版本”是最新的 | 应用服务应用应使用最新“HTTP 版本” | 4.0.0 |
| 9 AppService | 9.9 | 确保用于运行 Web 应用的“HTTP 版本”是最新的 | 函数应用应使用最新“HTTP 版本” | 4.0.0 |
CIS Microsoft Azure 基础基准检验 2.0.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 CIS v2.0.0 的 Azure Policy 合规性详细信息。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 5 | 5.4 | 确保为支持 Azure Monitor 资源日志记录功能的所有服务启用该功能 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 9 | 9.1 | 确保已为 Azure 应用服务中的应用设置应用服务身份验证 | 应用服务应用应已启用身份验证 | 2.0.1 |
| 9 | 9.1 | 确保已为 Azure 应用服务中的应用设置应用服务身份验证 | 函数应用应启用身份验证 | 3.0.0 |
| 9 | 9.10 | 确保禁用 FTP 部署 | 应用服务应用应仅需要 FTPS | 3.0.0 |
| 9 | 9.10 | 确保禁用 FTP 部署 | 函数应用应仅需要 FTPS | 3.0.0 |
| 9 | 9.2 | 确保 Web 应用将所有 HTTP 流量重定向到 Azure 应用服务中的 HTTPS | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 9 | 9.3 | 确保 Web 应用使用最新版本的 TLS 加密 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 9 | 9.3 | 确保 Web 应用使用最新版本的 TLS 加密 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 9 | 9.4 | 确保 Web 应用的“客户端证书(传入客户端证书)”设置为“打开” | [已弃用]:应用服务应用应启用“客户端证书(传入客户端证书)” | 3.1.0-deprecated |
| 9 | 9.4 | 确保 Web 应用的“客户端证书(传入客户端证书)”设置为“打开” | [已弃用]:函数应用应启用“客户端证书(传入客户端证书)” | 3.1.0-deprecated |
| 9 | 9.5 | 确保在应用服务中启用“向 Azure Active Directory 注册” | 应用服务应用应使用托管标识 | 3.0.0 |
| 9 | 9.5 | 确保在应用服务中启用“向 Azure Active Directory 注册” | 函数应用应使用托管标识 | 3.0.0 |
| 9 | 9.6 | 确保用于运行 Web 应用的“PHP 版本”是最新的 | 使用 PHP 的应用服务应用槽应使用指定的 PHP 版本 | 1.0.0 |
| 9 | 9.6 | 确保用于运行 Web 应用的“PHP 版本”是最新的 | 使用 PHP 的应用服务应用应使用指定的 PHP 版本 | 3.2.0 |
| 9 | 9.7 | 确保用于运行 Web 应用的“Python 版本”是最新的稳定版本 | 使用 Python 的应用服务应用槽应使用指定的 Python 版本 | 1.0.0 |
| 9 | 9.7 | 确保用于运行 Web 应用的“Python 版本”是最新的稳定版本 | 使用 Python 的应用服务应用应使用指定的 Python 版本 | 4.1.0 |
| 9 | 9.8 | 确保用于运行 Web 应用的“Java 版本”是最新的 | 使用 Java 的函数应用槽应使用指定的 Java 版本 | 1.0.0 |
| 9 | 9.8 | 确保用于运行 Web 应用的“Java 版本”是最新的 | 使用 Java 的函数应用应使用指定的 Java 版本 | 3.1.0 |
| 9 | 9.9 | 确保用于运行 Web 应用的“HTTP 版本”是最新的 | 应用服务应用应使用最新“HTTP 版本” | 4.0.0 |
| 9 | 9.9 | 确保用于运行 Web 应用的“HTTP 版本”是最新的 | 函数应用应使用最新“HTTP 版本” | 4.0.0 |
CMMC 级别 3
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - CMMC 级别 3。 有关此合规性标准的详细信息,请参阅网络安全成熟度模型认证 (CMMC)。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 函数应用应禁用远程调试 | 2.0.0 |
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 函数应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | 函数应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 访问控制 | AC.2.013 | 监视和控制远程访问会话。 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 访问控制 | AC.2.013 | 监视和控制远程访问会话。 | 函数应用应禁用远程调试 | 2.0.0 |
| 访问控制 | AC.2.016 | 根据批准的授权控制 CUI 流。 | 函数应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 审核和责任 | AU.3.048 | 将审核信息(例如日志)集中收集到一个或多个存储库中。 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 函数应用应禁用远程调试 | 2.0.0 |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 函数应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 识别和身份验证 | IA.3.084 | 针对到特权帐户和非特权帐户的网络访问采用防重播身份验证机制。 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 识别和身份验证 | IA.3.084 | 针对到特权帐户和非特权帐户的网络访问采用防重播身份验证机制。 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 识别和身份验证 | IA.3.084 | 针对到特权帐户和非特权帐户的网络访问采用防重播身份验证机制。 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 识别和身份验证 | IA.3.084 | 针对到特权帐户和非特权帐户的网络访问采用防重播身份验证机制。 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 函数应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 系统和通信保护 | SC.3.185 | 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 系统和通信保护 | SC.3.185 | 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC.3.185 | 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 系统和通信保护 | SC.3.185 | 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC.3.190 | 保护通信会话的真实性。 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 系统和通信保护 | SC.3.190 | 保护通信会话的真实性。 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC.3.190 | 保护通信会话的真实性。 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 系统和通信保护 | SC.3.190 | 保护通信会话的真实性。 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 系统和信息完整性 | SI.1.210 | 及时识别、报告和更正信息及信息系统缺陷。 | 应用服务应用应使用最新“HTTP 版本” | 4.0.0 |
| 系统和信息完整性 | SI.1.210 | 及时识别、报告和更正信息及信息系统缺陷。 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 系统和信息完整性 | SI.1.210 | 及时识别、报告和更正信息及信息系统缺陷。 | 函数应用应使用最新“HTTP 版本” | 4.0.0 |
| 系统和信息完整性 | SI.1.210 | 及时识别、报告和更正信息及信息系统缺陷。 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
FedRAMP 高
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP High。 有关此合规性标准的详细信息,请参阅 FedRAMP High。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-2 | 帐户管理 | 应用服务应用应使用托管标识 | 3.0.0 |
| 访问控制 | AC-2 | 帐户管理 | 函数应用应使用托管标识 | 3.0.0 |
| 访问控制 | AC-3 | 执法机构 | 应用服务应用应使用托管标识 | 3.0.0 |
| 访问控制 | AC-3 | 执法机构 | 函数应用应使用托管标识 | 3.0.0 |
| 访问控制 | AC-4 | 信息流强制 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 访问控制 | AC-17 | 远程访问 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 访问控制 | AC-17 | 远程访问 | 函数应用应禁用远程调试 | 2.0.0 |
| 访问控制 | AC-17 (1) | 自动监视/控制 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 访问控制 | AC-17 (1) | 自动监视/控制 | 函数应用应禁用远程调试 | 2.0.0 |
| 审核和责任 | AU-6 (4) | 集中评审和分析 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 审核和责任 | AU-6 (5) | 集成/扫描和监视功能 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 审核和责任 | AU-12 | 审核生成 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 审核和责任 | AU-12 (1) | 系统范围/时间相关的审核线索 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 配置管理 | CM-6 | 配置设置 | 应用服务应用应启用“客户端证书(传入客户端证书)” | 1.0.0 |
| 配置管理 | CM-6 | 配置设置 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 配置管理 | CM-6 | 配置设置 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 配置管理 | CM-6 | 配置设置 | 确保函数应用已启用“客户端证书(传入客户端证书)” | 1.0.0 |
| 配置管理 | CM-6 | 配置设置 | 函数应用应禁用远程调试 | 2.0.0 |
| 配置管理 | CM-6 | 配置设置 | 函数应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 识别和身份验证 | IA-2 | 标识和身份验证(组织用户) | 应用服务应用应使用托管标识 | 3.0.0 |
| 识别和身份验证 | IA-2 | 标识和身份验证(组织用户) | 函数应用应使用托管标识 | 3.0.0 |
| 识别和身份验证 | IA-4 | 标识符管理 | 应用服务应用应使用托管标识 | 3.0.0 |
| 识别和身份验证 | IA-4 | 标识符管理 | 函数应用应使用托管标识 | 3.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 应用服务应用应仅需要 FTPS | 3.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 函数应用应仅需要 FTPS | 3.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC-8 (1) | 加密或备用物理保护 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 系统和通信保护 | SC-8 (1) | 加密或备用物理保护 | 应用服务应用应仅需要 FTPS | 3.0.0 |
| 系统和通信保护 | SC-8 (1) | 加密或备用物理保护 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC-8 (1) | 加密或备用物理保护 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 系统和通信保护 | SC-8 (1) | 加密或备用物理保护 | 函数应用应仅需要 FTPS | 3.0.0 |
| 系统和通信保护 | SC-8 (1) | 加密或备用物理保护 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC-28 | 静态信息的保护 | 应用服务环境应启用内部加密 | 1.0.1 |
| 系统和通信保护 | SC-28 (1) | 加密保护 | 应用服务环境应启用内部加密 | 1.0.1 |
| 系统和信息完整性 | SI-2 | 缺陷修正 | 应用服务应用应使用最新“HTTP 版本” | 4.0.0 |
| 系统和信息完整性 | SI-2 | 缺陷修正 | 函数应用应使用最新“HTTP 版本” | 4.0.0 |
FedRAMP 中等
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP Moderate。 有关此合规性标准的详细信息,请参阅 FedRAMP Moderate。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-2 | 帐户管理 | 应用服务应用应使用托管标识 | 3.0.0 |
| 访问控制 | AC-2 | 帐户管理 | 函数应用应使用托管标识 | 3.0.0 |
| 访问控制 | AC-3 | 执法机构 | 应用服务应用应使用托管标识 | 3.0.0 |
| 访问控制 | AC-3 | 执法机构 | 函数应用应使用托管标识 | 3.0.0 |
| 访问控制 | AC-4 | 信息流强制 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 访问控制 | AC-17 | 远程访问 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 访问控制 | AC-17 | 远程访问 | 函数应用应禁用远程调试 | 2.0.0 |
| 访问控制 | AC-17 (1) | 自动监视/控制 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 访问控制 | AC-17 (1) | 自动监视/控制 | 函数应用应禁用远程调试 | 2.0.0 |
| 审核和责任 | AU-12 | 审核生成 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 配置管理 | CM-6 | 配置设置 | [已弃用]:函数应用应启用“客户端证书(传入客户端证书)” | 3.1.0-deprecated |
| 配置管理 | CM-6 | 配置设置 | 应用服务应用应启用“客户端证书(传入客户端证书)” | 1.0.0 |
| 配置管理 | CM-6 | 配置设置 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 配置管理 | CM-6 | 配置设置 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 配置管理 | CM-6 | 配置设置 | 函数应用应禁用远程调试 | 2.0.0 |
| 配置管理 | CM-6 | 配置设置 | 函数应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 识别和身份验证 | IA-2 | 标识和身份验证(组织用户) | 应用服务应用应使用托管标识 | 3.0.0 |
| 识别和身份验证 | IA-2 | 标识和身份验证(组织用户) | 函数应用应使用托管标识 | 3.0.0 |
| 识别和身份验证 | IA-4 | 标识符管理 | 应用服务应用应使用托管标识 | 3.0.0 |
| 识别和身份验证 | IA-4 | 标识符管理 | 函数应用应使用托管标识 | 3.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 应用服务应用应仅需要 FTPS | 3.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 函数应用应仅需要 FTPS | 3.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC-8 (1) | 加密或备用物理保护 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 系统和通信保护 | SC-8 (1) | 加密或备用物理保护 | 应用服务应用应仅需要 FTPS | 3.0.0 |
| 系统和通信保护 | SC-8 (1) | 加密或备用物理保护 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC-8 (1) | 加密或备用物理保护 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 系统和通信保护 | SC-8 (1) | 加密或备用物理保护 | 函数应用应仅需要 FTPS | 3.0.0 |
| 系统和通信保护 | SC-8 (1) | 加密或备用物理保护 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC-28 | 静态信息的保护 | 应用服务环境应启用内部加密 | 1.0.1 |
| 系统和通信保护 | SC-28 (1) | 加密保护 | 应用服务环境应启用内部加密 | 1.0.1 |
| 系统和信息完整性 | SI-2 | 缺陷修正 | 应用服务应用应使用最新“HTTP 版本” | 4.0.0 |
| 系统和信息完整性 | SI-2 | 缺陷修正 | 函数应用应使用最新“HTTP 版本” | 4.0.0 |
HIPAA HITRUST 9.2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - HIPAA HITRUST 9.2。 有关此合规性标准的详细信息,请参阅 HIPAA HITRUST 9.2。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 识别与外部各方相关的风险 | 1402.05i1Organizational.45 - 05.i | 对组织与外部各方之间的远程访问连接进行加密。 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 识别与外部各方相关的风险 | 1403.05i1Organizational.67 - 05.i | 授予外部各方的访问权限仅限于所需的最低权限,并且仅在所需的持续时间内有效。 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 06 配置管理 | 0662.09sCSPOrganizational.2 - 09.s | 0662.09sCSPOrganizational.2-09.s 09.08 信息交换 | 应用服务应用应启用“客户端证书(传入客户端证书)” | 1.0.0 |
| 08 网络保护 | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 网络访问控制 | 应用服务应用应使用虚拟网络服务终结点 | 2.0.1 |
| 08 网络保护 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 网络访问控制 | 应用服务应用应使用虚拟网络服务终结点 | 2.0.1 |
| 08 网络保护 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 网络访问控制 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 08 网络保护 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 网络访问控制 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 08 网络保护 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 网络访问控制 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 08 网络保护 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 网络访问控制 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 08 网络保护 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 网络访问控制 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 08 网络保护 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 网络访问控制 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 08 网络保护 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 网络访问控制 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 08 网络保护 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 网络访问控制 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 08 网络保护 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 网络访问控制 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 08 网络保护 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 网络访问控制 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 08 网络保护 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 网络访问控制 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 08 网络保护 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 网络访问控制 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 08 网络保护 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 网络访问控制 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 08 网络保护 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 网络访问控制 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 08 网络保护 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 网络访问控制 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 08 网络保护 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 网络访问控制 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 08 网络保护 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 网络访问控制 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 08 网络保护 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 网络访问控制 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 08 网络保护 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 网络访问控制 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 08 网络保护 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 网络访问控制 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 08 网络保护 | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 网络安全管理 | 应用服务应用应使用虚拟网络服务终结点 | 2.0.1 |
| 08 网络保护 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 网络访问控制 | 应用服务应用应使用虚拟网络服务终结点 | 2.0.1 |
| 09 传输保护 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 信息交换 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 09 传输保护 | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 信息交换 | 函数应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 09 传输保护 | 0912.09s1Organizational.4-09.s | 0912.09s1Organizational.4-09.s 09.08 信息交换 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 09 传输保护 | 0913.09s1Organizational.5-09.s | 0913.09s1Organizational.5-09.s 09.08 信息交换 | 函数应用应禁用远程调试 | 2.0.0 |
| 09 传输保护 | 0915.09s2Organizational.2-09.s | 0915.09s2Organizational.2-09.s 09.08 信息交换 | 应用服务应用应启用“客户端证书(传入客户端证书)” | 1.0.0 |
| 09 传输保护 | 0916.09s2Organizational.4-09.s | 0916.09s2Organizational.4-09.s 09.08 信息交换 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 09 传输保护 | 0949.09y2Organizational.5-09.y | 0949.09y2Organizational.5-09.y 09.09 电子商务服务 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 09 传输保护 | 0949.09y2Organizational.5-09.y | 0949.09y2Organizational.5-09.y 09.09 电子商务服务 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 09 传输保护 | 0949.09y2Organizational.5-09.y | 0949.09y2Organizational.5-09.y 09.09 电子商务服务 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 09 传输保护 | 0949.09y2Organizational.5-09.y | 0949.09y2Organizational.5-09.y 09.09 电子商务服务 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 09 传输保护 | 0960.09sCSPOrganizational.1-09.s | 0960.09sCSPOrganizational.1-09.s 09.08 信息交换 | 函数应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 11 访问控制 | 1194.01l2Organizational.2-01.l | 1194.01l2Organizational.2-01.l 01.04 网络访问控制 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 11 访问控制 | 1195.01l3Organizational.1-01.l | 1195.01l3Organizational.1-01.l 01.04 网络访问控制 | 函数应用应禁用远程调试 | 2.0.0 |
| 12 审核日志记录和监视 | 1209.09aa3System.2-09.aa | 1209.09aa3System.2-09.aa 09.10 监视 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 13 教育、训练和意识 | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 信息交换 | 函数应用应禁用远程调试 | 2.0.0 |
IRS 1075 2016 年 9 月
若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - IRS 1075 2016 年 9 月版。 有关此合规性标准的详细信息,请参阅 IRS 1075 2016 年 9 月版。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | 9.3.1.12 | 远程访问 (AC-17) | 应用服务应用应禁用远程调试 | 2.0.0 |
| 访问控制 | 9.3.1.12 | 远程访问 (AC-17) | 函数应用应禁用远程调试 | 2.0.0 |
| 访问控制 | 9.3.1.4 | 信息流强制 (AC-4) | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 系统和通信保护 | 9.3.16.6 | 传输保密性和完整性 (SC-8) | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 系统和通信保护 | 9.3.16.6 | 传输保密性和完整性 (SC-8) | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
ISO 27001:2013
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - ISO 27001:2013。 有关此合规性标准的详细信息,请参阅 ISO 27001:2013。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 加密 | 10.1.1 | 有关使用加密控制措施的策略 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 密码 | 10.1.1 | 有关使用加密控制措施的策略 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
Microsoft 云安全基准
Microsoft Cloud 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Microsoft Cloud 安全基准,请参阅 Azure 安全基准映射文件。
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - Microsoft Cloud 安全基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 网络安全 | NS-8 | 检测并禁用不安全的服务和协议 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 网络安全 | NS-8 | 检测并禁用不安全的服务和协议 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 标识管理 | IM-3 | 以安全方式自动管理应用程序标识 | 应用服务应用应使用托管标识 | 3.0.0 |
| 标识管理 | IM-3 | 以安全方式自动管理应用程序标识 | 函数应用应使用托管标识 | 3.0.0 |
| 数据保护 | DP-3 | 加密传输中的敏感数据 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 数据保护 | DP-3 | 加密传输中的敏感数据 | 应用服务应用应仅需要 FTPS | 3.0.0 |
| 数据保护 | DP-3 | 加密传输中的敏感数据 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 数据保护 | DP-3 | 加密传输中的敏感数据 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 数据保护 | DP-3 | 加密传输中的敏感数据 | 函数应用应仅需要 FTPS | 3.0.0 |
| 数据保护 | DP-3 | 加密传输中的敏感数据 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 日志记录和威胁检测 | LT-3 | 启用日志记录以进行安全调查 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 安全状况和漏洞管理 | PV-2 | 审核并强制执行安全配置 | [已弃用]:函数应用应启用“客户端证书(传入客户端证书)” | 3.1.0-deprecated |
| 安全状况和漏洞管理 | PV-2 | 审核并强制执行安全配置 | 应用服务应用应启用“客户端证书(传入客户端证书)” | 1.0.0 |
| 安全状况和漏洞管理 | PV-2 | 审核并强制执行安全配置 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 安全状况和漏洞管理 | PV-2 | 审核并强制执行安全配置 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 安全状况和漏洞管理 | PV-2 | 审核并强制执行安全配置 | 函数应用应禁用远程调试 | 2.0.0 |
| 安全状况和漏洞管理 | PV-2 | 审核并强制执行安全配置 | 函数应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
NIST SP 800-171 R2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-171 R2。 有关此符合性标准的详细信息,请参阅 NIST SP 800-171 R2。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 应用服务应用应使用托管标识 | 3.0.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 函数应用应禁用远程调试 | 2.0.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 函数应用应使用托管标识 | 3.0.0 |
| 访问控制 | 3.1.12 | 监视和控制远程访问会话。 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 访问控制 | 3.1.12 | 监视和控制远程访问会话。 | 函数应用应禁用远程调试 | 2.0.0 |
| 访问控制 | 3.1.2 | 仅限授权用户有权执行的事务和函数类型进行系统访问。 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 访问控制 | 3.1.2 | 仅限授权用户有权执行的事务和函数类型进行系统访问。 | 应用服务应用应使用托管标识 | 3.0.0 |
| 访问控制 | 3.1.2 | 仅限授权用户有权执行的事务和函数类型进行系统访问。 | 函数应用应禁用远程调试 | 2.0.0 |
| 访问控制 | 3.1.2 | 仅限授权用户有权执行的事务和函数类型进行系统访问。 | 函数应用应使用托管标识 | 3.0.0 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 系统和通信保护 | 3.13.16 | 保护静态 CUI 的机密性。 | 应用服务环境应启用内部加密 | 1.0.1 |
| 系统和通信保护 | 3.13.8 | 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 系统和通信保护 | 3.13.8 | 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 | 应用服务应用应仅需要 FTPS | 3.0.0 |
| 系统和通信保护 | 3.13.8 | 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 系统和通信保护 | 3.13.8 | 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 系统和通信保护 | 3.13.8 | 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 | 函数应用应仅需要 FTPS | 3.0.0 |
| 系统和通信保护 | 3.13.8 | 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 应用服务应用应使用最新“HTTP 版本” | 4.0.0 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 函数应用应使用最新“HTTP 版本” | 4.0.0 |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 配置管理 | 3.4.1 | 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 | [已弃用]:函数应用应启用“客户端证书(传入客户端证书)” | 3.1.0-deprecated |
| 配置管理 | 3.4.1 | 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 | 应用服务应用应启用“客户端证书(传入客户端证书)” | 1.0.0 |
| 配置管理 | 3.4.1 | 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 配置管理 | 3.4.1 | 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 配置管理 | 3.4.1 | 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 | 函数应用应禁用远程调试 | 2.0.0 |
| 配置管理 | 3.4.1 | 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 | 函数应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 配置管理 | 3.4.2 | 为组织系统中使用的信息技术产品建立和实施安全配置设置。 | [已弃用]:函数应用应启用“客户端证书(传入客户端证书)” | 3.1.0-deprecated |
| 配置管理 | 3.4.2 | 为组织系统中使用的信息技术产品建立和实施安全配置设置。 | 应用服务应用应启用“客户端证书(传入客户端证书)” | 1.0.0 |
| 配置管理 | 3.4.2 | 为组织系统中使用的信息技术产品建立和实施安全配置设置。 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 配置管理 | 3.4.2 | 为组织系统中使用的信息技术产品建立和实施安全配置设置。 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 配置管理 | 3.4.2 | 为组织系统中使用的信息技术产品建立和实施安全配置设置。 | 函数应用应禁用远程调试 | 2.0.0 |
| 配置管理 | 3.4.2 | 为组织系统中使用的信息技术产品建立和实施安全配置设置。 | 函数应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 识别和身份验证 | 3.5.1 | 识别系统用户、代表用户执行的进程以及设备。 | 应用服务应用应使用托管标识 | 3.0.0 |
| 识别和身份验证 | 3.5.1 | 识别系统用户、代表用户执行的进程以及设备。 | 函数应用应使用托管标识 | 3.0.0 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 应用服务应用应使用托管标识 | 3.0.0 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 函数应用应使用托管标识 | 3.0.0 |
| 识别和身份验证 | 3.5.5 | 防止在定义时间段内重复使用标识符。 | 应用服务应用应使用托管标识 | 3.0.0 |
| 识别和身份验证 | 3.5.5 | 防止在定义时间段内重复使用标识符。 | 函数应用应使用托管标识 | 3.0.0 |
| 识别和身份验证 | 3.5.6 | 在处于不活动状态的时间超过定义的时间段后禁用标识符。 | 应用服务应用应使用托管标识 | 3.0.0 |
| 识别和身份验证 | 3.5.6 | 在处于不活动状态的时间超过定义的时间段后禁用标识符。 | 函数应用应使用托管标识 | 3.0.0 |
NIST SP 800-53 修订版 4
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - NIST SP 800-53 修订版 4。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 4。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-2 | 帐户管理 | 应用服务应用应使用托管标识 | 3.0.0 |
| 访问控制 | AC-2 | 帐户管理 | 函数应用应使用托管标识 | 3.0.0 |
| 访问控制 | AC-3 | 执法机构 | 应用服务应用应使用托管标识 | 3.0.0 |
| 访问控制 | AC-3 | 执法机构 | 函数应用应使用托管标识 | 3.0.0 |
| 访问控制 | AC-4 | 信息流强制 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 访问控制 | AC-17 | 远程访问 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 访问控制 | AC-17 | 远程访问 | 函数应用应禁用远程调试 | 2.0.0 |
| 访问控制 | AC-17 (1) | 自动监视/控制 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 访问控制 | AC-17 (1) | 自动监视/控制 | 函数应用应禁用远程调试 | 2.0.0 |
| 审核和责任 | AU-6 (4) | 集中评审和分析 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 审核和责任 | AU-6 (5) | 集成/扫描和监视功能 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 审核和责任 | AU-12 | 审核生成 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 审核和责任 | AU-12 (1) | 系统范围/时间相关的审核线索 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 配置管理 | CM-6 | 配置设置 | [已弃用]:函数应用应启用“客户端证书(传入客户端证书)” | 3.1.0-deprecated |
| 配置管理 | CM-6 | 配置设置 | 应用服务应用应启用“客户端证书(传入客户端证书)” | 1.0.0 |
| 配置管理 | CM-6 | 配置设置 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 配置管理 | CM-6 | 配置设置 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 配置管理 | CM-6 | 配置设置 | 函数应用应禁用远程调试 | 2.0.0 |
| 配置管理 | CM-6 | 配置设置 | 函数应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 识别和身份验证 | IA-2 | 标识和身份验证(组织用户) | 应用服务应用应使用托管标识 | 3.0.0 |
| 识别和身份验证 | IA-2 | 标识和身份验证(组织用户) | 函数应用应使用托管标识 | 3.0.0 |
| 识别和身份验证 | IA-4 | 标识符管理 | 应用服务应用应使用托管标识 | 3.0.0 |
| 识别和身份验证 | IA-4 | 标识符管理 | 函数应用应使用托管标识 | 3.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 应用服务应用应仅需要 FTPS | 3.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 函数应用应仅需要 FTPS | 3.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC-8 (1) | 加密或备用物理保护 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 系统和通信保护 | SC-8 (1) | 加密或备用物理保护 | 应用服务应用应仅需要 FTPS | 3.0.0 |
| 系统和通信保护 | SC-8 (1) | 加密或备用物理保护 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC-8 (1) | 加密或备用物理保护 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 系统和通信保护 | SC-8 (1) | 加密或备用物理保护 | 函数应用应仅需要 FTPS | 3.0.0 |
| 系统和通信保护 | SC-8 (1) | 加密或备用物理保护 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC-28 | 静态信息的保护 | 应用服务环境应启用内部加密 | 1.0.1 |
| 系统和通信保护 | SC-28 (1) | 加密保护 | 应用服务环境应启用内部加密 | 1.0.1 |
| 系统和信息完整性 | SI-2 | 缺陷修正 | 应用服务应用应使用最新“HTTP 版本” | 4.0.0 |
| 系统和信息完整性 | SI-2 | 缺陷修正 | 函数应用应使用最新“HTTP 版本” | 4.0.0 |
| 系统和信息完整性 | SI-2 (6) | 删除以前版本的软件/固件 | 应用服务应用应使用最新“HTTP 版本” | 4.0.0 |
| 系统和信息完整性 | SI-2 (6) | 删除以前版本的软件/固件 | 函数应用应使用最新“HTTP 版本” | 4.0.0 |
NIST SP 800-53 Rev. 5
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-53 Rev. 5。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 5。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-2 | 帐户管理 | 应用服务应用应使用托管标识 | 3.0.0 |
| 访问控制 | AC-2 | 帐户管理 | 函数应用应使用托管标识 | 3.0.0 |
| 访问控制 | AC-3 | 执法机构 | 应用服务应用应使用托管标识 | 3.0.0 |
| 访问控制 | AC-3 | 执法机构 | 函数应用应使用托管标识 | 3.0.0 |
| 访问控制 | AC-4 | 信息流强制 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 访问控制 | AC-17 | 远程访问 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 访问控制 | AC-17 | 远程访问 | 函数应用应禁用远程调试 | 2.0.0 |
| 访问控制 | AC-17 (1) | 监视和控制 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 访问控制 | AC-17 (1) | 监视和控制 | 函数应用应禁用远程调试 | 2.0.0 |
| 审核和责任 | AU-6 (4) | 集中评审和分析 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 审核和责任 | AU-6 (5) | 审核记录的集成分析 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 审核和责任 | AU-12 | 审核记录生成 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 审核和责任 | AU-12 (1) | 系统范围和时间相关的审核跟踪 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 配置管理 | CM-6 | 配置设置 | [已弃用]:函数应用应启用“客户端证书(传入客户端证书)” | 3.1.0-deprecated |
| 配置管理 | CM-6 | 配置设置 | 应用服务应用应启用“客户端证书(传入客户端证书)” | 1.0.0 |
| 配置管理 | CM-6 | 配置设置 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 配置管理 | CM-6 | 配置设置 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 配置管理 | CM-6 | 配置设置 | 函数应用应禁用远程调试 | 2.0.0 |
| 配置管理 | CM-6 | 配置设置 | 函数应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 识别和身份验证 | IA-2 | 标识和身份验证(组织用户) | 应用服务应用应使用托管标识 | 3.0.0 |
| 识别和身份验证 | IA-2 | 标识和身份验证(组织用户) | 函数应用应使用托管标识 | 3.0.0 |
| 识别和身份验证 | IA-4 | 标识符管理 | 应用服务应用应使用托管标识 | 3.0.0 |
| 识别和身份验证 | IA-4 | 标识符管理 | 函数应用应使用托管标识 | 3.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 应用服务应用应仅需要 FTPS | 3.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 函数应用应仅需要 FTPS | 3.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC-8 (1) | 加密保护 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 系统和通信保护 | SC-8 (1) | 加密保护 | 应用服务应用应仅需要 FTPS | 3.0.0 |
| 系统和通信保护 | SC-8 (1) | 加密保护 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC-8 (1) | 加密保护 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 系统和通信保护 | SC-8 (1) | 加密保护 | 函数应用应仅需要 FTPS | 3.0.0 |
| 系统和通信保护 | SC-8 (1) | 加密保护 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 系统和通信保护 | SC-28 | 保护静态信息 | 应用服务环境应启用内部加密 | 1.0.1 |
| 系统和通信保护 | SC-28 (1) | 加密保护 | 应用服务环境应启用内部加密 | 1.0.1 |
| 系统和信息完整性 | SI-2 | 缺陷修正 | 应用服务应用应使用最新“HTTP 版本” | 4.0.0 |
| 系统和信息完整性 | SI-2 | 缺陷修正 | 函数应用应使用最新“HTTP 版本” | 4.0.0 |
| 系统和信息完整性 | SI-2 (6) | 删除以前版本的软件和固件 | 应用服务应用应使用最新“HTTP 版本” | 4.0.0 |
| 系统和信息完整性 | SI-2 (6) | 删除以前版本的软件和固件 | 函数应用应使用最新“HTTP 版本” | 4.0.0 |
NL BIO 云主题
若要查看所有 Azure 服务内置的可用 Azure Policy 如何映射到此合规性标准,请参阅 NL BIO 云主题的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅基线信息安全政府网络安全 - 数字政府 (digitaleoverheid.nl)。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| C.04.3 技术漏洞管理 - 时间线 | C.04.3 | 如果滥用和预期损坏的可能性都很高,则修补程序安装时间不晚于一周内。 | 应用服务应用应使用最新“HTTP 版本” | 4.0.0 |
| C.04.3 技术漏洞管理 - 时间线 | C.04.3 | 如果滥用和预期损坏的可能性都很高,则修补程序安装时间不晚于一周内。 | 使用 Java 的应用服务应用应使用指定的 Java 版本 | 3.1.0 |
| C.04.3 技术漏洞管理 - 时间线 | C.04.3 | 如果滥用和预期损坏的可能性都很高,则修补程序安装时间不晚于一周内。 | 使用 PHP 的应用服务应用应使用指定的 PHP 版本 | 3.2.0 |
| C.04.3 技术漏洞管理 - 时间线 | C.04.3 | 如果滥用和预期损坏的可能性都很高,则修补程序安装时间不晚于一周内。 | 使用 Python 的应用服务应用应使用指定的 Python 版本 | 4.1.0 |
| C.04.3 技术漏洞管理 - 时间线 | C.04.3 | 如果滥用和预期损坏的可能性都很高,则修补程序安装时间不晚于一周内。 | 函数应用应使用最新“HTTP 版本” | 4.0.0 |
| C.04.3 技术漏洞管理 - 时间线 | C.04.3 | 如果滥用和预期损坏的可能性都很高,则修补程序安装时间不晚于一周内。 | 使用 Java 的函数应用应使用指定的 Java 版本 | 3.1.0 |
| C.04.3 技术漏洞管理 - 时间线 | C.04.3 | 如果滥用和预期损坏的可能性都很高,则修补程序安装时间不晚于一周内。 | 使用 Python 的函数应用应使用指定的 Python 版本 | 4.1.0 |
| C.04.6 技术漏洞管理 - 时间线 | C.04.6 | 可以通过及时执行修补程序管理来补救技术弱点。 | 应用服务应用应使用最新“HTTP 版本” | 4.0.0 |
| C.04.6 技术漏洞管理 - 时间线 | C.04.6 | 可以通过及时执行修补程序管理来补救技术弱点。 | 使用 Java 的应用服务应用应使用指定的 Java 版本 | 3.1.0 |
| C.04.6 技术漏洞管理 - 时间线 | C.04.6 | 可以通过及时执行修补程序管理来补救技术弱点。 | 使用 PHP 的应用服务应用应使用指定的 PHP 版本 | 3.2.0 |
| C.04.6 技术漏洞管理 - 时间线 | C.04.6 | 可以通过及时执行修补程序管理来补救技术弱点。 | 使用 Python 的应用服务应用应使用指定的 Python 版本 | 4.1.0 |
| C.04.6 技术漏洞管理 - 时间线 | C.04.6 | 可以通过及时执行修补程序管理来补救技术弱点。 | 函数应用应使用最新“HTTP 版本” | 4.0.0 |
| C.04.6 技术漏洞管理 - 时间线 | C.04.6 | 可以通过及时执行修补程序管理来补救技术弱点。 | 使用 Java 的函数应用应使用指定的 Java 版本 | 3.1.0 |
| C.04.6 技术漏洞管理 - 时间线 | C.04.6 | 可以通过及时执行修补程序管理来补救技术弱点。 | 使用 Python 的函数应用应使用指定的 Python 版本 | 4.1.0 |
| C.04.7 技术漏洞管理 - 评估 | C.04.7 | 记录并报告技术漏洞评估。 | 应用服务应用应禁用远程调试 | 2.0.0 |
| C.04.7 技术漏洞管理 - 评估 | C.04.7 | 记录并报告技术漏洞评估。 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| C.04.7 技术漏洞管理 - 评估 | C.04.7 | 记录并报告技术漏洞评估。 | 应用服务应用应使用最新“HTTP 版本” | 4.0.0 |
| C.04.7 技术漏洞管理 - 评估 | C.04.7 | 记录并报告技术漏洞评估。 | 使用 Java 的应用服务应用应使用指定的 Java 版本 | 3.1.0 |
| C.04.7 技术漏洞管理 - 评估 | C.04.7 | 记录并报告技术漏洞评估。 | 使用 PHP 的应用服务应用应使用指定的 PHP 版本 | 3.2.0 |
| C.04.7 技术漏洞管理 - 评估 | C.04.7 | 记录并报告技术漏洞评估。 | 使用 Python 的应用服务应用应使用指定的 Python 版本 | 4.1.0 |
| C.04.7 技术漏洞管理 - 评估 | C.04.7 | 记录并报告技术漏洞评估。 | 函数应用应禁用远程调试 | 2.0.0 |
| C.04.7 技术漏洞管理 - 评估 | C.04.7 | 记录并报告技术漏洞评估。 | 函数应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| C.04.7 技术漏洞管理 - 评估 | C.04.7 | 记录并报告技术漏洞评估。 | 函数应用应使用最新“HTTP 版本” | 4.0.0 |
| C.04.7 技术漏洞管理 - 评估 | C.04.7 | 记录并报告技术漏洞评估。 | 使用 Java 的函数应用应使用指定的 Java 版本 | 3.1.0 |
| C.04.7 技术漏洞管理 - 评估 | C.04.7 | 记录并报告技术漏洞评估。 | 使用 Python 的函数应用应使用指定的 Python 版本 | 4.1.0 |
| U.05.1 数据保护 - 加密措施 | U.05.1 | 数据传输使用加密技术进行保护,其中密钥管理由 CSC 自行执行(如果可能)。 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| U.05.1 数据保护 - 加密措施 | U.05.1 | 数据传输使用加密技术进行保护,其中密钥管理由 CSC 自行执行(如果可能)。 | 应用服务应用应仅需要 FTPS | 3.0.0 |
| U.05.1 数据保护 - 加密措施 | U.05.1 | 数据传输使用加密技术进行保护,其中密钥管理由 CSC 自行执行(如果可能)。 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| U.05.1 数据保护 - 加密措施 | U.05.1 | 数据传输使用加密技术进行保护,其中密钥管理由 CSC 自行执行(如果可能)。 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| U.05.1 数据保护 - 加密措施 | U.05.1 | 数据传输使用加密技术进行保护,其中密钥管理由 CSC 自行执行(如果可能)。 | 函数应用应仅需要 FTPS | 3.0.0 |
| U.05.1 数据保护 - 加密措施 | U.05.1 | 数据传输使用加密技术进行保护,其中密钥管理由 CSC 自行执行(如果可能)。 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| U.07.3 数据分离 - 管理功能 | U.07.3 | U.07.3 - 以受控方式授予查看或修改 CSC 数据和/或加密密钥的权限,并记录使用。 | 应用服务应用应使用托管标识 | 3.0.0 |
| U.07.3 数据分离 - 管理功能 | U.07.3 | U.07.3 - 以受控方式授予查看或修改 CSC 数据和/或加密密钥的权限,并记录使用。 | 应用服务环境应启用内部加密 | 1.0.1 |
| U.07.3 数据分离 - 管理功能 | U.07.3 | U.07.3 - 以受控方式授予查看或修改 CSC 数据和/或加密密钥的权限,并记录使用。 | 函数应用应使用托管标识 | 3.0.0 |
| U.09.3 恶意软件防护 - 检测、预防和恢复 | U.09.3 | 恶意软件防护在不同的环境中运行。 | 函数应用应使用最新“HTTP 版本” | 4.0.0 |
| U.10.2 访问 IT 服务和数据 - 用户 | U.10.2 | 根据 CSP 的责任,向管理员授予访问权限。 | 应用服务应用应使用托管标识 | 3.0.0 |
| U.10.2 访问 IT 服务和数据 - 用户 | U.10.2 | 根据 CSP 的责任,向管理员授予访问权限。 | 函数应用应使用托管标识 | 3.0.0 |
| U.10.3 访问 IT 服务和数据 - 用户 | U.10.3 | 只有拥有已进行身份验证的设备的用户才能访问 IT 服务和数据。 | 应用服务应用应启用“客户端证书(传入客户端证书)” | 1.0.0 |
| U.10.3 访问 IT 服务和数据 - 用户 | U.10.3 | 只有拥有已进行身份验证的设备的用户才能访问 IT 服务和数据。 | 应用服务应用应使用托管标识 | 3.0.0 |
| U.10.3 访问 IT 服务和数据 - 用户 | U.10.3 | 只有拥有已进行身份验证的设备的用户才能访问 IT 服务和数据。 | 函数应用应使用托管标识 | 3.0.0 |
| U.10.5 访问 IT 服务和数据 - 胜任 | U.10.5 | 对 IT 服务和数据的访问受技术措施的限制,并已实施。 | 应用服务应用应使用托管标识 | 3.0.0 |
| U.10.5 访问 IT 服务和数据 - 胜任 | U.10.5 | 对 IT 服务和数据的访问受技术措施的限制,并已实施。 | 函数应用应使用托管标识 | 3.0.0 |
| U.11.1 加密服务 - 策略 | U.11.1 | 在加密策略中,至少已对符合 BIO 的主题进行了详细说明。 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| U.11.1 加密服务 - 策略 | U.11.1 | 在加密策略中,至少已对符合 BIO 的主题进行了详细说明。 | 应用服务应用应仅需要 FTPS | 3.0.0 |
| U.11.1 加密服务 - 策略 | U.11.1 | 在加密策略中,至少已对符合 BIO 的主题进行了详细说明。 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| U.11.1 加密服务 - 策略 | U.11.1 | 在加密策略中,至少已对符合 BIO 的主题进行了详细说明。 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| U.11.1 加密服务 - 策略 | U.11.1 | 在加密策略中,至少已对符合 BIO 的主题进行了详细说明。 | 函数应用应仅需要 FTPS | 3.0.0 |
| U.11.1 加密服务 - 策略 | U.11.1 | 在加密策略中,至少已对符合 BIO 的主题进行了详细说明。 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| U.11.2 加密服务 - 加密度量值 | U.11.2 | 对于 PKIoverheid 证书,请使用 PKIoverheid 要求进行密钥管理。 在其他情况下,请使用 ISO11770。 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| U.11.2 加密服务 - 加密度量值 | U.11.2 | 对于 PKIoverheid 证书,请使用 PKIoverheid 要求进行密钥管理。 在其他情况下,请使用 ISO11770。 | 应用服务应用应仅需要 FTPS | 3.0.0 |
| U.11.2 加密服务 - 加密度量值 | U.11.2 | 对于 PKIoverheid 证书,请使用 PKIoverheid 要求进行密钥管理。 在其他情况下,请使用 ISO11770。 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| U.11.2 加密服务 - 加密度量值 | U.11.2 | 对于 PKIoverheid 证书,请使用 PKIoverheid 要求进行密钥管理。 在其他情况下,请使用 ISO11770。 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| U.11.2 加密服务 - 加密度量值 | U.11.2 | 对于 PKIoverheid 证书,请使用 PKIoverheid 要求进行密钥管理。 在其他情况下,请使用 ISO11770。 | 函数应用应仅需要 FTPS | 3.0.0 |
| U.11.2 加密服务 - 加密度量值 | U.11.2 | 对于 PKIoverheid 证书,请使用 PKIoverheid 要求进行密钥管理。 在其他情况下,请使用 ISO11770。 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| U.15.1 日志记录和监视 - 记录的事件 | U.15.1 | CSP 和 CSC 记录违反策略规则。 | 应用服务应用应已启用资源日志 | 2.0.1 |
PCI DSS 3.2.1
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 PCI DSS 3.2.1。 有关此合规性标准的详细信息,请参阅 PCI DSS 3.2.1。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 要求 3 | 3.4 | PCI DSS 要求 3.4 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 要求 3 | 3.4 | PCI DSS 要求 3.4 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 要求 4 | 4.1 | PCI DSS 要求 4.1 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 要求 4 | 4.1 | PCI DSS 要求 4.1 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 要求 6 | 6.5.3 | PCI DSS 要求 6.5.3 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 要求 6 | 6.5.3 | PCI DSS 要求 6.5.3 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
PCI DSS v4.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 PCI DSS v4.0 的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅 PCI DSS v4.0。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 要求 03:保护存储的帐户数据 | 3.5.1 | 无论主帐号 (PAN) 存储在何处,都对其进行保护 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 要求 03:保护存储的帐户数据 | 3.5.1 | 无论主帐号 (PAN) 存储在何处,都对其进行保护 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 要求 06:开发和维护安全系统及软件 | 6.2.4 | 以安全方式开发 Bespoke 和自定义软件 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 要求 06:开发和维护安全系统及软件 | 6.2.4 | 以安全方式开发 Bespoke 和自定义软件 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
印度储备银行 - 面向 NBFC 的 IT 框架
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 印度储备银行 - 面向 NBFC 的 IT 框架。 有关此合规性标准的详细信息,请参阅印度储备银行 - 面向 NBFC 的 IT 框架。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 信息和网络安全 | 3.1.b | 功能分离-3.1 | [已弃用]:函数应用应启用“客户端证书(传入客户端证书)” | 3.1.0-deprecated |
| 信息和网络安全 | 3.1.b | 功能分离-3.1 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 信息和网络安全 | 3.1.b | 功能分离-3.1 | 函数应用应禁用远程调试 | 2.0.0 |
| 信息和网络安全 | 3.1.h | 公钥基础结构 (PKI)-3.1 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 信息和网络安全 | 3.1.h | 公钥基础结构 (PKI)-3.1 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 信息和网络安全 | 3.1.h | 公钥基础结构 (PKI)-3.1 | 应用服务环境应启用内部加密 | 1.0.1 |
| 信息和网络安全 | 3.1.h | 公钥基础结构 (PKI)-3.1 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 信息和网络安全 | 3.1.h | 公钥基础结构 (PKI)-3.1 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 信息和网络安全 | 3.8 | 数字签名-3.8 | [已弃用]:函数应用应启用“客户端证书(传入客户端证书)” | 3.1.0-deprecated |
| 信息和网络安全 | 3.8 | 数字签名-3.8 | 应用服务应用应启用“客户端证书(传入客户端证书)” | 1.0.0 |
印度储备银行面向银行的 IT 框架 v2016
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - RBI ITF Banks v2016。 有关此合规性标准的详细信息,请参阅 RBI ITF Banks v2016 (PDF)。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 高级实时威胁防御和管理 | 高级实时威胁防御和管理-13.1 | [已弃用]:函数应用应启用“客户端证书(传入客户端证书)” | 3.1.0-deprecated | |
| 网络管理和安全性 | 网络设备配置管理-4.3 | 应用服务应用应启用“客户端证书(传入客户端证书)” | 1.0.0 | |
| 网络管理和安全性 | 网络设备配置管理-4.3 | 应用服务应用应禁用远程调试 | 2.0.0 | |
| 审核日志设置 | 审核日志设置-17.1 | 应用服务应用应已启用资源日志 | 2.0.1 | |
| 高级 Real-Timethreat Defenceand 管理 | 高级 Real-Timethreat Defenceand 管理-13.1 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 | |
| 保护邮件和邮件系统 | 保护邮件和消息传递系统-10.1 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 | |
| 保护邮件和邮件系统 | 保护邮件和消息传递系统-10.1 | 应用服务应用应仅需要 FTPS | 3.0.0 | |
| 用户访问控制/管理 | 用户访问控制/管理-8.4 | 应用服务应用应使用托管标识 | 3.0.0 | |
| 保护邮件和邮件系统 | 保护邮件和消息传递系统-10.1 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 | |
| 网络管理和安全性 | 网络设备配置管理-4.3 | 函数应用应禁用远程调试 | 2.0.0 | |
| 高级实时威胁防御和管理 | 高级 Real-Timethreat Defenceand 管理-13.1 | 函数应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 | |
| 保护邮件和邮件系统 | 保护邮件和消息传递系统-10.1 | 只应通过 HTTPS 访问函数应用 | 5.0.0 | |
| 保护邮件和邮件系统 | 保护邮件和消息传递系统-10.1 | 函数应用应仅需要 FTPS | 3.0.0 | |
| 用户访问控制/管理 | 用户访问控制/管理-8.4 | 函数应用应使用托管标识 | 3.0.0 | |
| 保护邮件和邮件系统 | 保护邮件和消息传递系统-10.1 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
马来西亚 RMIT
若要查看可供所有 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - 马来西亚 RMIT。 有关此合规性标准的详细信息,请参阅马来西亚 RMIT。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 加密 | 10.20 | 加密 - 10.20 | [已弃用]:函数应用应启用“客户端证书(传入客户端证书)” | 3.1.0-deprecated |
| 加密 | 10.20 | 加密 - 10.20 | 应用服务应用应启用“客户端证书(传入客户端证书)” | 1.0.0 |
| 访问控制 | 10.54 | 访问控制 - 10.54 | 应用服务应用应已启用身份验证 | 2.0.1 |
| 访问控制 | 10.54 | 访问控制 - 10.54 | 函数应用应启用身份验证 | 3.0.0 |
| 访问控制 | 10.54 | 访问控制 - 10.54 | 函数应用应使用托管标识 | 3.0.0 |
| 数字服务的安全性 | 10.66 | 数字服务的安全性 - 10.66 | 应用服务应用应已启用资源日志 | 2.0.1 |
| 数字服务的安全性 | 10.68 | 数字服务的安全性 - 10.68 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 数字服务的安全性 | 10.68 | 数字服务的安全性 - 10.68 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 网络安全控制措施 | 附录 5.3 | 网络安全控制措施 - 附录 5.3 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 网络安全控制措施 | 附录 5.3 | 网络安全控制措施 - 附录 5.3 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 网络安全控制措施 | 附录 5.3 | 网络安全控制措施 - 附录 5.3 | 应用服务应用应仅需要 FTPS | 3.0.0 |
| 网络安全控制措施 | 附录 5.3 | 网络安全控制措施 - 附录 5.3 | 应用服务应用应使用最新“HTTP 版本” | 4.0.0 |
| 网络安全控制措施 | 附录 5.3 | 网络安全控制措施 - 附录 5.3 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 网络安全控制措施 | 附录 5.3 | 网络安全控制措施 - 附录 5.3 | 函数应用应仅需要 FTPS | 3.0.0 |
| 网络安全控制措施 | 附录 5.3 | 网络安全控制措施 - 附录 5.3 | 函数应用应使用最新“HTTP 版本” | 4.0.0 |
| 网络安全控制措施 | 附录 5.7 | 网络安全控制措施 - 附录 5.7 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 网络安全控制措施 | 附录 5.7 | 网络安全控制措施 - 附录 5.7 | 函数应用应禁用远程调试 | 2.0.0 |
| 网络安全控制措施 | 附录 5.7 | 网络安全控制措施 - 附录 5.7 | 函数应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
SWIFT CSP-CSCF v2021
要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅针对 SWIFT CSP-CSCF v2021 的 Azure Policy 法规合规性详细信息。 有关此合规性标准的详细信息,请参阅 SWIFT CSP CSCF v2021。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| SWIFT 环境保护 | 1.1 | SWIFT 环境保护 | 应用服务应用应禁用远程调试 | 2.0.0 |
| SWIFT 环境保护 | 1.1 | SWIFT 环境保护 | 应用服务应用应使用虚拟网络服务终结点 | 2.0.1 |
| SWIFT 环境保护 | 1.1 | SWIFT 环境保护 | 函数应用应禁用远程调试 | 2.0.0 |
| SWIFT 环境保护 | 1.2 | 操作系统特权帐户控制 | 应用服务应用应禁用远程调试 | 2.0.0 |
| SWIFT 环境保护 | 1.2 | 操作系统特权帐户控制 | 函数应用应禁用远程调试 | 2.0.0 |
| 减少攻击面和漏洞 | 2.1 | 内部数据流安全性 | 应用服务应用应启用“客户端证书(传入客户端证书)” | 1.0.0 |
| 减少攻击面和漏洞 | 2.1 | 内部数据流安全性 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 减少攻击面和漏洞 | 2.1 | 内部数据流安全性 | 应用服务应用应使用托管标识 | 3.0.0 |
| 减少攻击面和漏洞 | 2.1 | 内部数据流安全性 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 减少攻击面和漏洞 | 2.1 | 内部数据流安全性 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 减少攻击面和漏洞 | 2.1 | 内部数据流安全性 | 函数应用应使用托管标识 | 3.0.0 |
| 减少攻击面和漏洞 | 2.1 | 内部数据流安全性 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 减少攻击面和漏洞 | 2.4A | 后台数据流安全性 | 应用服务应用应启用“客户端证书(传入客户端证书)” | 1.0.0 |
| 减少攻击面和漏洞 | 2.4A | 后台数据流安全性 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 减少攻击面和漏洞 | 2.4A | 后台数据流安全性 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 减少攻击面和漏洞 | 2.5A | 外部传输数据保护 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 减少攻击面和漏洞 | 2.5A | 外部传输数据保护 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 减少攻击面和漏洞 | 2.6 | 操作员会话的保密性和完整性 | 应用服务应用应使用最新的 TLS 版本 | 2.0.1 |
| 减少攻击面和漏洞 | 2.6 | 操作员会话的保密性和完整性 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 管理标识和分离权限 | 5.2 | 令牌管理 | 应用服务应用应使用托管标识 | 3.0.0 |
| 管理标识和分离权限 | 5.2 | 令牌管理 | 函数应用应使用托管标识 | 3.0.0 |
| 管理标识和分离权限 | 5.4 | 物理和逻辑密码存储 | 应用服务应用应使用托管标识 | 3.0.0 |
| 管理标识和分离权限 | 5.4 | 物理和逻辑密码存储 | 函数应用应使用托管标识 | 3.0.0 |
| 检测系统或事务记录的异常活动 | 6.2 | 软件完整性 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 检测系统或事务记录的异常活动 | 6.2 | 软件完整性 | 函数应用应禁用远程调试 | 2.0.0 |
| 检测系统或事务记录的异常活动 | 6.5A | 入侵检测 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 检测系统或事务记录的异常活动 | 6.5A | 入侵检测 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 检测系统或事务记录的异常活动 | 6.5A | 入侵检测 | 函数应用应禁用远程调试 | 2.0.0 |
| 检测系统或事务记录的异常活动 | 6.5A | 入侵检测 | 函数应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
SWIFT CSP-CSCF v2022
要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅《适用于 SWIFT CSP-CSCF v2022 的 Azure Policy 法规合规性详细信息》。 有关此合规性标准的详细信息,请参阅 SWIFT CSP-CSCF v2022。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.1 | 确保对用户本地 SWIFT 基础结构的保护免受常规 IT 环境的潜在受攻击元素和外部环境的影响。 | 应用服务应用应使用虚拟网络服务终结点 | 2.0.1 |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.5A | 确保对客户的连接基础结构进行保护,以免受外部环境和常规 IT 环境的潜在被盗用元素的侵害。 | 应用服务应用应使用虚拟网络服务终结点 | 2.0.1 |
| 6.检测系统或事务记录的异常活动 | 6.4 | 记录安全事件并检测本地 SWIFT 环境中的异常操作和运营。 | 应用服务应用应已启用资源日志 | 2.0.1 |
系统和组织控制 (SOC) 2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅适用于系统和组织控制 (SOC) 2 的 Azure Policy 法规合规性详细信息。 有关此合规性标准的详细信息,请参阅系统和组织控制 (SOC) 2。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 应用服务应用应仅需要 FTPS | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 函数应用应仅需要 FTPS | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 逻辑访问控制和物理访问控制 | CC6.6 | 针对系统边界之外的威胁的安全措施 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.6 | 针对系统边界之外的威胁的安全措施 | 应用服务应用应仅需要 FTPS | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.6 | 针对系统边界之外的威胁的安全措施 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.6 | 针对系统边界之外的威胁的安全措施 | 函数应用应仅需要 FTPS | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.6 | 针对系统边界之外的威胁的安全措施 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 逻辑访问控制和物理访问控制 | CC6.7 | 限制信息向授权用户移动 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.7 | 限制信息向授权用户移动 | 应用服务应用应仅需要 FTPS | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.7 | 限制信息向授权用户移动 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.7 | 限制信息向授权用户移动 | 函数应用应仅需要 FTPS | 3.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.7 | 限制信息向授权用户移动 | 函数应用应使用最新 TLS 版本 | 2.0.1 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | [已弃用]:函数应用应启用“客户端证书(传入客户端证书)” | 3.1.0-deprecated |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | 应用服务应用应启用“客户端证书(传入客户端证书)” | 1.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | 应用服务应用应使用最新“HTTP 版本” | 4.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | 函数应用应禁用远程调试 | 2.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | 函数应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | 函数应用应使用最新“HTTP 版本” | 4.0.0 |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | [已弃用]:函数应用应启用“客户端证书(传入客户端证书)” | 3.1.0-deprecated |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | 应用服务应用应启用“客户端证书(传入客户端证书)” | 1.0.0 |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | 应用服务应用应使用最新“HTTP 版本” | 4.0.0 |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | 函数应用应禁用远程调试 | 2.0.0 |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | 函数应用不应将 CORS 配置为允许每个资源访问应用 | 2.0.0 |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | 函数应用应使用最新“HTTP 版本” | 4.0.0 |
英国官方和英国 NHS
若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - UK OFFICIAL 和 UK NHS。 有关此合规性标准的详细信息,请参阅 UK OFFICIAL。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 传输中数据保护 | 1 | 传输中数据保护 | 只应通过 HTTPS 访问应用服务应用 | 4.0.0 |
| 传输中数据保护 | 1 | 传输中数据保护 | 只应通过 HTTPS 访问函数应用 | 5.0.0 |
| 外部接口保护 | 11 | 外部接口保护 | 应用服务应用应禁用远程调试 | 2.0.0 |
| 外部接口保护 | 11 | 外部接口保护 | 函数应用应禁用远程调试 | 2.0.0 |
发行说明
2023 年 4 月
- 使用 Java 的应用服务应用应使用最新“Java 版本”
- 将策略重命名为“使用 Java 的应用服务应用应使用指定的 Java 版本”
- 更新策略,以便其在分配之前要求具有版本规范
- 使用 Python 的应用服务应用应使用最新“Python 版本”
- 将策略重命名为“使用 Python 的应用服务应用应使用指定的 Python 版本”
- 更新策略,以便其在分配之前要求具有版本规范
- 使用 Java 的函数应用应使用最新“Java 版本”
- 将策略重命名为“使用 Java 的函数应用应使用指定的 Java 版本”
- 更新策略,以便其在分配之前要求具有版本规范
- 使用 Python 的函数应用应使用最新“Python 版本”
- 将策略重命名为“使用 Python 的函数应用应使用指定的 Python 版本”
- 更新策略,以便其在分配之前要求具有版本规范
- 使用 PHP 的应用服务应用应使用最新“PHP 版本”
- 将策略重命名为“使用 PHP 的应用服务应用应使用指定的 PHP 版本”
- 更新策略,以便其在分配之前要求具有版本规范
- 使用 Python 的应用服务应用槽应使用指定的 Python 版本
- 新策略已创建
- 使用 Python 的函数应用槽应使用指定的 Python 版本
- 新策略已创建
- 使用 PHP 的应用服务应用槽应使用指定的 PHP 版本
- 新策略已创建
- 使用 Java 的应用服务应用槽应使用指定的 Java 版本
- 新策略已创建
- 使用 Java 的函数应用槽应使用指定的 Java 版本
- 新策略已创建
2022 年 11 月
- “应用服务应用应启用到 Azure 虚拟网络的出站非 RFC 1918 流量”策略的弃用
- 根据站点属性被替换为具有相同显示名称的一个策略,以支持拒绝效果
- “应用服务应用槽应启用到 Azure 虚拟网络的出站非 RFC 1918 流量”策略的弃用
- 根据站点属性被替换为具有相同显示名称的一个策略,以支持拒绝效果
- 应用服务应用应启用到 Azure 虚拟网络的出站非 RFC 1918 流量
- 新策略已创建
- 应用服务应用槽应启用到 Azure 虚拟网络的出站非 RFC 1918 流量
- 新策略已创建
- 应用服务应用应启用到 Azure 虚拟网络的配置路由
- 新策略已创建
- 应用服务应用槽应启用到 Azure 虚拟网络的配置路由
- 新策略已创建
2022 年 10 月
- 函数应用槽应已关闭远程调试
- 新策略已创建
- 应用服务应用槽应已关闭远程调试
- 新策略已创建
- 函数应用槽应使用最新的“HTTP 版本”
- 新策略已创建
- 函数应用槽应使用最新的 TLS 版本
- 新策略已创建
- 应用服务应用槽应使用最新的 TLS 版本
- 新策略已创建
- 应用服务应用槽应启用资源日志
- 新策略已创建
- 应用服务应用槽应启用到 Azure 虚拟网络的出站非 RFC 1918 流量
- 新策略已创建
- 应用服务应用槽应使用托管标识
- 新策略已创建
- 应用服务应用槽应使用最新的“HTTP 版本”
- 新策略已创建
- “配置应用服务以禁用公用网络访问”策略已弃用
- 替换为“配置应用服务应用以禁用公共网络访问”
- “应用服务应禁用公共网络访问”策略已弃用
- 替换为“应用服务应用应禁用公共网络访问”以支持拒绝效果
- 应用服务应用应禁用公用网络访问
- 新策略已创建
- 应用服务应用槽应禁用公用网络访问
- 新策略已创建
- 配置应用服务应用以禁用公用网络访问
- 新策略已创建
- 配置应用服务应用槽以禁用公用网络访问
- 新策略已创建
- 函数应用应禁用公用网络访问
- 新策略已创建
- 函数应用槽应禁用公用网络访问
- 新策略已创建
- 配置函数应用以禁用公用网络访问
- 新策略已创建
- 配置函数应用槽以禁用公用网络访问
- 新策略已创建
- 配置应用服务应用槽以关闭远程调试
- 新策略已创建
- 配置函数应用槽以关闭远程调试
- 新策略已创建
- 配置应用服务应用槽以使用最新的 TLS 版本
- 新策略已创建
- 配置函数应用槽以使用最新的 TLS 版本
- 新策略已创建
- 应用服务应用应使用最新“HTTP 版本”
- 更新范围以包括 Windows 应用
- 函数应用应使用最新“HTTP 版本”
- 更新范围以包括 Windows 应用
- 不应通过公共 Internet 访问应用服务环境应用
- 修改策略定义以移除对 API 版本的检查
2022 年 9 月
- 应用服务应用应注入到虚拟网络中
- 更新策略范围来移除槽
- 创建“应将应用服务应用槽注入到虚拟网络中”来监视槽
- 更新策略范围来移除槽
- 应将应用服务应用槽注入到虚拟网络中
- 新策略已创建
- 确保函数应用已启用“客户端证书(传入客户端证书)”
- 更新策略范围来移除槽
- 创建“函数应用槽应已启用‘客户端证书(传入的客户端证书)’”来监视槽
- 更新策略范围来移除槽
- 函数应用槽应已启用“客户端证书(传入的客户端证书)”
- 新策略已创建
- 函数应用应使用 Azure 文件共享作为其内容目录
- 更新策略范围来移除槽
- 创建“函数应用槽应将 Azure 文件共享用于其内容目录”来监视槽
- 更新策略范围来移除槽
- 函数应用槽应将 Azure 文件共享用于其内容目录
- 新策略已创建
- 应用服务应用应启用“客户端证书(传入客户端证书)”
- 更新策略范围来移除槽
- 创建“应用服务应用槽应已启用‘客户端证书(传入的客户端证书)’”来监视槽
- 更新策略范围来移除槽
- 应用服务应用槽应启用“客户端证书(传入客户端证书)”
- 新策略已创建
- 应用服务应用应将 Azure 文件共享用于其内容目录
- 更新策略范围来移除槽
- 创建“应用服务应用槽应将 Azure 文件共享用于其内容目录”来监视槽
- 更新策略范围来移除槽
- 应用服务应用槽应将 Azure 文件共享用于其内容目录
- 新策略已创建
- 函数应用槽应仅需要 FTPS
- 新策略已创建
- 应用服务应用槽应仅需要 FTPS
- 新策略已创建
- 函数应用槽不应将 CORS 配置为允许每个资源访问你的应用
- 新策略已创建
- 应用服务应用槽不应将 CORS 配置为允许每个资源访问应用
- 新策略已创建
- 只应通过 HTTPS 访问函数应用
- 更新策略范围来移除槽
- 创建“只应通过 HTTPS 访问函数应用槽”来监视槽
- 添加“拒绝”效果
- 创建“将函数应用配置为只能通过 HTTPS 访问”,以强制实施策略
- 更新策略范围来移除槽
- 只应通过 HTTPS 访问函数应用槽
- 新策略已创建
- 将函数应用配置为仅可通过 HTTPS 访问
- 新策略已创建
- 将函数应用槽配置为只能通过 HTTPS 访问
- 新策略已创建
- 应用服务应用应使用支持专用链接的 SKU
- 更新受支持策略 SKU 的列表以包括逻辑应用的工作流标准层
- 将应用服务应用配置为使用最新的 TLS 版本
- 新策略已创建
- 将函数应用配置为使用最新的 TLS 版本
- 新策略已创建
- 配置应用服务应用以关闭远程调试
- 新策略已创建
- 配置函数应用以关闭远程调试
- 新策略已创建
2022 年 8 月
- 只应通过 HTTPS 访问应用服务应用
- 更新策略范围来移除槽
- 创建“只应通过 HTTPS 访问应用服务应用槽”来监视槽
- 添加“拒绝”效果
- 创建“将应用服务应用配置为只能通过 HTTPS 访问”,以强制实施策略
- 更新策略范围来移除槽
- 只应通过 HTTPS 访问应用服务应用槽
- 新策略已创建
- 将应用服务应用配置为只能通过 HTTPS 访问
- 新策略已创建
- 将应用服务应用槽配置为只能通过 HTTPS 访问
- 新策略已创建
2022 年 7 月
- 弃用以下策略:
- 确保 API 应用的“客户端证书(传入客户端证书)”设置为“打开”
- 确保用作 API 应用一部分的“Python 版本”是最新的
- CORS 不应允许所有资源都能访问 API 应用
- 应在 API 应用中使用的托管标识
- 应为 API 应用禁用远程调试
- 确保用作 API 应用一部分的“PHP 版本”是最新的
- API 应用应使用 Azure 文件共享作为其内容目录
- 应仅在 API 应用中需要 FTPS
- 确保用作 API 应用一部分的“Java 版本”是最新的
- 确保用于运行 API 应用的“HTTP 版本”是最新的
- 应在 API 应用中使用最新的 TLS 版本
- 应在 API 应用上启用身份验证
- 确保函数应用已启用“客户端证书(传入客户端证书)”
- 更新策略范围以包括槽
- 更新策略范围以排除逻辑应用
- 确保 WEB 应用的“客户端证书(传入客户端证书)”设置为“打开”
- 将策略重命名为“应用服务应用应已启用‘客户端证书(传入的客户端证书)’”
- 更新策略范围以包括槽
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 确保用作 Web 应用一部分的“Python 版本”是最新的
- 将策略重命名为“使用 Python 的应用服务应用应使用最新的‘Python 版本’”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 确保用作函数应用一部分的“Python 版本”是最新的
- 将策略重命名为“使用 Python 的函数应用应使用最新的‘Python 版本’”
- 更新策略范围以排除逻辑应用
- CORS 不应允许所有资源都能访问你的 Web 应用程序
- 将策略重命名为“应用服务应用不应将 CORS 配置为允许每个资源访问应用”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- CORS 不应允许所有资源都能访问函数应用
- 将策略重命名为“函数应用不应将 CORS 配置为允许每个资源访问应用”
- 更新策略范围以排除逻辑应用
- 应在函数应用中使用的托管标识
- 将策略重命名为“函数应用应使用托管标识”
- 更新策略范围以排除逻辑应用
- 应在 Web 应用中使用的托管标识
- 将策略重命名为“应用服务应用应使用托管标识”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 应对函数应用禁用远程调试
- 将策略重命名为“函数应用应关闭远程调试”
- 更新策略范围以排除逻辑应用
- 应禁用 Web 应用程序的远程调试
- 将策略重命名为“应用服务应用应关闭远程调试”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 确保用作 WEB 应用一部分的“PHP 版本”是最新的
- 将策略重命名为“使用 PHP 的应用服务应用应使用最新的‘PHP 版本’”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 应用服务槽应为 SCM 站点部署禁用本地身份验证方法
- 将策略重命名为“应用服务应用槽应为 SCM 站点部署禁用本地身份验证方法”
- 应用服务应为 SCM 站点部署禁用本地身份验证方法
- 将策略重命名为“应用服务应用应为 SCM 站点部署禁用本地身份验证方法”
- 应用服务槽应为 FTP 部署禁用本地身份验证方法
- 将策略重命名为“应用服务应用槽应为 FTP 部署禁用本地身份验证方法”
- 应用服务应为 FTP 部署禁用本地身份验证方法
- 将策略重命名为“应用服务应用应为 FTP 部署禁用本地身份验证方法”
- 函数应用应使用 Azure 文件共享作为其内容目录
- 更新策略范围以包括槽
- 更新策略范围以排除逻辑应用
- Web 应用应使用 Azure 文件共享作为其内容目录
- 将策略重命名为“应用服务应用应将 Azure 文件共享用于其内容目录”
- 更新策略范围以包括槽
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 应仅在函数应用中要求使用 FTPS
- 将策略重命名为“函数应用应只需要 FTPS”
- 更新策略范围以排除逻辑应用
- 应仅在 Web 应用中要求使用 FTPS
- 将策略重命名为“应用服务应用应只需要 FTPS”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 确保用作函数应用一部分的“Java 版本”是最新的
- 将策略重命名为“使用 Java 的函数应用应使用最新的‘Java 版本’”
- 更新策略范围以排除逻辑应用
- 确保用作 Web 应用一部分的“Java 版本”是最新的
- 将策略重命名为“使用 Java 的应用服务应用应使用最新的‘Java 版本’”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 应用服务应使用专用链接
- 将策略重命名为“应用服务应用应使用专用链接”
- 配置应用程序服务以使用专用 DNS 区域
- 将策略重命名为“将应用服务应用配置为使用专用 DNS 区域”
- 应将应用服务应用注入虚拟网络
- 将策略重命名为“应用服务应用应注入虚拟网络”
- 更新策略范围以包括槽
- 确保用于运行 Web 应用的“HTTP 版本”是最新的
- 将策略重命名为“应用服务应用应使用最新的‘HTTP 版本’”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 确保用于运行函数应用的“HTTP 版本”是最新的
- 将策略重命名为“函数应用应使用最新的‘HTTP 版本’”
- 更新策略范围以排除逻辑应用
- 应在 Web 应用中使用最新的 TLS 版本
- 将策略重命名为“应用服务应用应使用最新的 TLS 版本”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 应在函数应用中使用最新的 TLS 版本
- 将策略重命名为“函数应用应使用最新的 TLS 版本”
- 更新策略范围以排除逻辑应用
- 应用服务环境应禁用 TLS 1.0 和1.1
- 将策略重命名为“应用服务环境应禁用 TLS 1.0 和 1.1”
- 应启用应用服务中的资源日志
- 将策略重命名为“应用服务应用应启用资源日志”
- 应在 Web 应用上启用身份验证
- 将策略重命名为“应用服务应用应启用身份验证”
- 应在函数应用上启用身份验证
- 将策略重命名为“函数应用应启用身份验证”
- 更新策略范围以排除逻辑应用
- 应用服务环境应启用内部加密
- 将策略重命名为“应用服务环境应启用内部加密”
- 只应通过 HTTPS 访问函数应用
- 更新策略范围以排除逻辑应用
- 应用服务应使用虚拟网络服务终结点
- 将策略重命名为“应用服务应用应使用虚拟网络服务终结点”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
2022 年 6 月
- 弃用策略“只应通过 HTTPS 访问 API 应用”
- 只能通过 HTTPS 访问 Web 应用程序
- 将策略重命名为“只应通过 HTTPS 访问应用服务应用”
- 更新策略范围以包括除函数应用以外的其他所有应用类型
- 更新策略范围以包括槽
- 只应通过 HTTPS 访问函数应用
- 更新策略范围以包括槽
- 应用服务应用应使用支持专用链接的 SKU
- 更新策略逻辑以包括对应用服务计划层或名称的检查,使该策略支持 Terraform 部署
- 更新受支持策略 SKU 的列表以包括基本和标准层
后续步骤
- 详细了解 Azure Policy 法规符合性。
- 在 Azure Policy GitHub 存储库中查看这些内置项。