你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

澳大利亚政府 ISM PROTECTED 蓝图示例的控制映射

  • 项目

重要

2026 年 7 月 11 日,蓝图(预览版)将弃用。 将现有蓝图定义和分配迁移到模板规格部署堆栈。 蓝图项目将转换为 ARM JSON 模板或用于定义部署堆栈的 Bicep 文件。 若要了解如何将项目创作为 ARM 资源,请参阅:

以下文章详细说明了 Azure 蓝图澳大利亚政府 ISM PROTECTED 蓝图示例如何映射到 ISM PROTECTED 控制措施。 有关控制措施的详细信息,请参阅 ISM PROTECTED

下面是到 ISM PROTECTED 控制措施的映射。 使用右侧的导航栏可直接跳转到特定的控制映射。 许多的映射控制措施都是使用 Azure Policy 计划实施的。 若要查看完整计划,请在 Azure 门户中打开“策略”,并选择“定义”页。 然后,找到并选择“[预览]: 审核澳大利亚政府 ISM PROTECTED 控制措施,并部署特定 VM 扩展来支持审核要求”内置策略计划。

重要

下面的每个控件都与一个或多个 Azure Policy 定义关联。 这些策略有助于评估控制的合规性;但是,控制与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的符合性仅引用策略本身;这不确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 此符合性蓝图示例的控件和 Azure Policy 定义之间的关联可能会随着时间的推移而发生变化。 若要查看更改历史记录,请参阅 GitHub 提交历史记录

位置约束

此蓝图通过分配以下 Azure Policy 定义,帮助你将所有资源和资源组的部署位置限制为“澳大利亚中部”、“澳大利亚中部 2”、“澳大利亚东部”和“澳大利亚东南部”:

  • 允许的位置(已硬编码为“澳大利亚中部”、“澳大利亚中部 2”、“澳大利亚东部”和“澳大利亚东南部”)
  • 资源组允许的位置(已硬编码为“澳大利亚中部”、“澳大利亚中部 2”、“澳大利亚东部”和“澳大利亚东南部”)

人员安全性指导原则 - 对系统及其资源的访问

0414 可以唯一标识有权访问系统及其资源的人员

  • 应在对订阅拥有所有者权限的帐户上启用 MFA
  • 应对订阅中拥有写入权限的帐户启用 MFA
  • 应在对订阅拥有读取权限的帐户上启用 MFA

1503 仅限在履行其职责时需要访问系统、应用程序和数据存储库的人员进行标准访问

  • 只多只为订阅指定 3 个所有者
  • 应该为你的订阅分配了多个所有者
  • 显示其中的“管理员”组包含任意指定成员的 Windows VM 的审核结果
  • 部署先决条件来审核管理员组包含任意指定成员的 Windows VM

1507 首次请求时验证对系统、应用程序和数据存储库的特权访问,并且每年一次或以更高的频率重新验证

  • 显示其中的“管理员”组包含任意指定成员的 Windows VM 的审核结果
  • 部署先决条件来审核管理员组包含任意指定成员的 Windows VM

1508 仅限在履行其职责时需要访问系统、应用程序和数据存储库的人员进行特权访问

  • 只多只为订阅指定 3 个所有者
  • 应该为你的订阅分配了多个所有者
  • 显示其中的“管理员”组包含任意指定成员的 Windows VM 的审核结果
  • 部署先决条件来审核管理员组包含任意指定成员的 Windows VM
  • 应在虚拟机上应用实时网络访问控制

0415 严格控制共享用户帐户的使用,并且可以唯一标识使用此类帐户的人员

  • 显示其中的“管理员”组包含任意指定成员的 Windows VM 的审核结果
  • 部署先决条件来审核管理员组包含任意指定成员的 Windows VM

0445 为特权用户分配一个专用特权帐户,专门用于执行需要特权访问权限的任务

  • 显示其中的“管理员”组包含任意指定成员的 Windows VM 的审核结果
  • 部署先决条件来审核管理员组包含任意指定成员的 Windows VM

0430 在人员不再具有合法访问要求的当日删除或暂停对系统、应用程序和数据存储库的访问权限

  • 应从订阅中删除弃用的帐户
  • 应从订阅中删除拥有所有者权限的已弃用帐户

0441 向人员授予对系统的临时访问权限时,实施有效的安全控制措施将其限制为只能访问履行其职责所需的信息

  • 应从订阅中删除拥有所有者权限的外部帐户
  • 应从订阅中删除具有写入权限的外部帐户
  • 应从订阅中删除弃用的帐户
  • 应从订阅中删除拥有所有者权限的已弃用帐户

系统强化指导原则 - 操作系统强化

1407 将最新版本 (N) 或 N-1 版本的操作系统用于标准操作环境 (SOE)

  • 应在计算机上安装系统更新
  • 应在虚拟机规模集上安装系统更新

0380 删除或禁用不需要的操作系统帐户、软件、组件、服务和功能

  • 应从订阅中删除弃用的帐户
  • 应从订阅中删除拥有所有者权限的已弃用帐户

1490 在所有服务器上实施应用程序允许列表解决方案,以将可执行文件、软件库、脚本和安装程序的执行限定于已批准的集

  • 应在虚拟机上启用自适应应用程序控制

1417 在工作站和服务器上实施防病毒软件,并在其中进行以下配置:启用基于签名的检测并将其设置为较高级别、启用基于试探法的检测并将其设置为较高级别、至少每日检查检测签名是否为最新并对其进行更新、为所有固定磁盘和可移动媒体配置自动和常规扫描

  • 应在 Windows 服务器上部署 Microsoft IaaSAntimalware 扩展
  • 应在虚拟机规模集上安装 Endpoint Protection 解决方案
  • 监视 Azure 安全中心 Endpoint Protection 的缺失情况

系统强化指导原则 - 身份验证强化

1546 先对用户进行身份验证,然后再向其授予对系统及其资源的访问权限

  • 审核对存储帐户的不受限的网络访问
  • Service Fabric 群集只应使用 Azure Active Directory 进行客户端身份验证
  • 显示允许通过没有密码的帐户进行远程连接的 Linux VM 中的审核结果
  • 部署先决条件,以审核允许通过没有密码的帐户进行远程连接的 Linux VM
  • 显示具有不使用密码的帐户的 Linux VM 中的审核结果
  • 部署必备组件以审核其中的帐户没有密码的 Linux VM

0974 使用多重身份验证对标准用户进行身份验证

  • 应在对订阅拥有读取权限的帐户上启用 MFA

1173 使用多重身份验证对所有特权用户和任何其他信任位置进行身份验证

  • 应在对订阅拥有所有者权限的帐户上启用 MFA
  • 应对订阅中拥有写入权限的帐户启用 MFA

0421 用于单重身份验证的通行短语至少包含 14 个字符以满足复杂性要求,且最好包含 4 个随机字

  • 显示“安全设置 - 帐户策略”中 Windows VM 配置的审核结果
  • 部署必备组件以审核“安全设置 - 帐户策略”中的 Windows VM 配置

系统管理指导原则 - 系统管理

1384 每当用户执行特权操作时,都使用多重身份验证对其进行身份验证

  • 应在对订阅拥有所有者权限的帐户上启用 MFA
  • 应对订阅中拥有写入权限的帐户启用 MFA
  • 应在对订阅拥有读取权限的帐户上启用 MFA

1386 仅允许来自用来管理系统和应用程序的网络区域的管理流量

  • 应在虚拟机上应用实时网络访问控制
  • 应当为 API 应用禁用远程调试
  • 应当为函数应用禁用远程调试
  • 应当为 Web 应用程序禁用远程调试

系统管理指导原则 - 系统修补

1144 在供应商、独立的第三方、系统管理员或用户识别出应用程序和驱动程序中评估为极端风险的安全漏洞后,在 48 小时内修补、更新或缓解这些安全漏洞

  • 应该修复 SQL 数据库中的漏洞
  • 应对 SQL Server 启用漏洞评估
  • 应对 SQL 托管实例启用漏洞评估
  • 应对计算机启用漏洞评估
  • 应该修复虚拟机规模集上安全配置中的漏洞
  • 应该通过漏洞评估解决方案修复漏洞
  • 应该修复计算机上安全配置中的漏洞
  • 应该修复容器安全配置中的漏洞
  • SQL Server 的漏洞评估设置应包含用来接收扫描报告的电子邮件地址

0940 在供应商、独立的第三方、系统管理员或用户识别出应用程序和驱动程序中评估为高风险的安全漏洞后,在两周内修补、更新或缓解这些安全漏洞

  • 应该修复 SQL 数据库中的漏洞
  • 应对 SQL Server 启用漏洞评估
  • 应对 SQL 托管实例启用漏洞评估
  • 应在虚拟机上启用漏洞评估
  • 应该修复虚拟机规模集上安全配置中的漏洞
  • 应该通过漏洞评估解决方案修复漏洞
  • 应该修复计算机上安全配置中的漏洞
  • 应该修复容器安全配置中的漏洞
  • SQL Server 的漏洞评估设置应包含用来接收扫描报告的电子邮件地址

1472 在供应商、独立的第三方、系统管理员或用户识别出应用程序和驱动程序中评估为中低风险的安全漏洞后,在一个月内修补、更新或缓解安全漏洞

  • 应该修复 SQL 数据库中的漏洞
  • 应对 SQL Server 启用漏洞评估
  • 应对 SQL 托管实例启用漏洞评估
  • 应在虚拟机上启用漏洞评估
  • 应该修复虚拟机规模集上安全配置中的漏洞
  • 应该通过漏洞评估解决方案修复漏洞
  • 应该修复计算机上安全配置中的漏洞
  • 应该修复容器安全配置中的漏洞
  • SQL Server 的漏洞评估设置应包含用来接收扫描报告的电子邮件地址

1494 在供应商、独立的第三方、系统管理员或用户识别出操作系统和固件中评估为极端风险的安全漏洞后,在 48 小时内修补、更新或缓解这些安全漏洞

  • 应该修复 SQL 数据库中的漏洞
  • 应对 SQL Server 启用漏洞评估
  • 应对 SQL 托管实例启用漏洞评估
  • 应在虚拟机上启用漏洞评估
  • 应该修复虚拟机规模集上安全配置中的漏洞
  • 应该通过漏洞评估解决方案修复漏洞
  • 应该修复计算机上安全配置中的漏洞
  • 应该修复容器安全配置中的漏洞
  • SQL Server 的漏洞评估设置应包含用来接收扫描报告的电子邮件地址

1495 在供应商、独立的第三方、系统管理员或用户识别出操作系统和固件中评估为高风险的安全漏洞后,在两周内修补、更新或缓解这些安全漏洞

  • 应该修复 SQL 数据库中的漏洞
  • 应对 SQL Server 启用漏洞评估
  • 应对 SQL 托管实例启用漏洞评估
  • 应在虚拟机上启用漏洞评估
  • 应该修复虚拟机规模集上安全配置中的漏洞
  • 应该通过漏洞评估解决方案修复漏洞
  • 应该修复计算机上安全配置中的漏洞
  • 应该修复容器安全配置中的漏洞
  • SQL Server 的漏洞评估设置应包含用来接收扫描报告的电子邮件地址

1496 在供应商、独立的第三方、系统管理员或用户识别出操作系统和固件中评估为中低风险的安全漏洞后,在一个月内修补、更新或缓解这些安全漏洞

  • 应该修复 SQL 数据库中的漏洞
  • 应对 SQL Server 启用漏洞评估
  • 应对 SQL 托管实例启用漏洞评估
  • 应在虚拟机上启用漏洞评估
  • 应该修复虚拟机规模集上安全配置中的漏洞
  • 应该通过漏洞评估解决方案修复漏洞
  • 应该修复计算机上安全配置中的漏洞
  • 应该修复容器安全配置中的漏洞
  • SQL Server 的漏洞评估设置应包含用来接收扫描报告的电子邮件地址

系统管理指导原则 - 数据备份和还原

1511 至少每日一次备份重要信息、软件和配置设置

  • 审核没有配置灾难恢复的虚拟机

系统监视指导原则 - 事件日志记录和审核

1405 实施集中式日志记录工具,并将系统配置为在每个事件发生后,尽快将事件日志保存到集中式日志记录工具中

  • Azure 订阅应有用于活动日志的日志配置文件

0582 为操作系统记录以下事件:访问重要数据和进程、应用程序崩溃和任何错误消息、尝试使用特权、更改帐户、更改安全策略、更改系统配置、域名系统 (DNS) 和超文本传输协议 (HTTP) 请求、尝试访问数据和系统资源失败、服务失败和重启、系统启动和关闭、将数据传输到外部媒体、用户或组管理、使用特权

  • [预览]:审核 Log Analytics 代理部署 - VM 映像 (OS) 未列出
  • 审核 VMSS 中的 Log Analytics 代理部署 - VM 映像 (OS) 未列出
  • 审核 VM 的 Log Analytics 工作区 — 报告不匹配
  • 审核诊断设置

1537 为数据库记录以下事件:访问特别重要的信息、添加新用户(尤其是特权用户)、包含注释的任何查询、包含多个嵌入查询的任何查询、任何查询或数据库警报或失败、尝试提升特权、成功或不成功的访问尝试、更改数据库结构、更改用户角色或数据库权限、数据库管理员操作、数据库登录和注销、修改数据、使用可执行命令

  • 应在 SQL 服务器上启用高级数据安全性
  • 审核诊断设置
  • 应在 SQL 托管实例上启用高级数据安全性

系统监视指导原则 - 漏洞管理

0911 在部署系统之前或者对系统进行重大更改之后,由具有相关技能的适当人员执行漏洞评估和渗透测试,并且此类测试必须至少每年进行一次,或者按系统所有者指定的频率进行

  • 应该修复 SQL 数据库中的漏洞
  • 应对 SQL Server 启用漏洞评估
  • 应对 SQL 托管实例启用漏洞评估
  • 应在虚拟机上启用漏洞评估
  • 应该修复虚拟机规模集上安全配置中的漏洞
  • 应该通过漏洞评估解决方案修复漏洞
  • 应该修复计算机上安全配置中的漏洞
  • 应该修复容器安全配置中的漏洞

数据库系统管理指导原则 - 数据库服务器

1425 使用全磁盘加密对数据库服务器的硬盘进行加密

  • 应在虚拟机上启用磁盘加密
  • 应在 SQL 数据库上启用透明数据加密

1277 对在数据库服务器与 Web 应用程序之间传送的信息进行加密

  • 应该启用只能通过安全方式连接到 Redis 缓存
  • 应该启用安全传输到存储帐户
  • 显示未使用安全通信协议的 Windows Web 服务器中的审核结果
  • 部署先决条件,以便审核未使用安全通信协议的 Windows Web 服务器

数据库系统管理指导原则 - 数据库管理系统软件

1260 禁用、重命名默认数据库管理员帐户或更改其通行短语

  • 应该为 SQL 服务器预配 Azure Active Directory 管理员

1262 数据库管理员具有唯一且可标识的帐户

  • 应该为 SQL 服务器预配 Azure Active Directory 管理员

1261 不在不同的数据库之间共享数据库管理员帐户

  • 应该为 SQL 服务器预配 Azure Active Directory 管理员

1263 数据库管理员帐户专用于执行管理任务,标准数据库帐户用于与数据库进行常规用途的交互

  • 应该为 SQL 服务器预配 Azure Active Directory 管理员

1264 数据库管理员访问权限限定于所定义的角色,而不是具有默认管理权限或所有权限的帐户

  • 应该为 SQL 服务器预配 Azure Active Directory 管理员

有关使用加密的指导原则 - 加密基本要求

0459 用于静态数据的加密软件实施全磁盘加密或部分加密,在部分加密的情况下,访问控制只允许写入到已加密的分区

  • 应在虚拟机上启用磁盘加密

有关使用加密的指导原则 - 传输层安全性

1139 仅使用最新版本的 TLS

  • 应在 API 应用中使用最新的 TLS 版本
  • 应在 Web 应用中使用最新的 TLS 版本
  • 应在函数应用中使用最新的 TLS 版本
  • 部署先决条件,以便审核未使用安全通信协议的 Windows Web 服务器
  • 显示未使用安全通信协议的 Windows Web 服务器中的审核结果

数据传输和内容筛选指导原则 - 内容筛选

1288 使用多个不同的扫描引擎对所有内容执行防病毒扫描

  • 应在 Windows 服务器上部署 Microsoft IaaSAntimalware 扩展
  • 应在虚拟机规模集上安装 Endpoint Protection 解决方案
  • 监视 Azure 安全中心 Endpoint Protection 的缺失情况

数据传输和内容筛选指导原则 - Web 应用程序开发

1552 专门使用 HTTPS 提供所有 Web 应用程序内容

  • 应该只能通过 HTTPS 访问函数应用
  • 只能通过 HTTPS 访问 API 应用
  • 只能通过 HTTPS 访问 Web 应用程序
  • 应该启用只能通过安全方式连接到 Redis 缓存

1424 为 Web 应用程序实施基于 Web 浏览器的安全控制,以帮助保护 Web 应用程序及其用户

  • CORS 不应允许所有资源访问 Web 应用程序

网络管理指导原则 - 网络设计和配置

0520 在网络上实施网络访问控制,以防止未经授权的网络设备进行连接

  • 审核对存储帐户的不受限的网络访问

1182 实施网络访问控制,以将网段内部和网段之间的流量限制为仅限于业务所需的帐户

  • 面向 Internet 的虚拟机应使用网络安全组进行保护
  • 审核对存储帐户的不受限的网络访问
  • 应在面向 Internet 的虚拟机上应用自适应网络强化建议

网络管理指导原则 - 联机服务的服务连续性

1431 与服务提供商讨论拒绝服务攻击预防和缓解策略,具体包括:提供商承受拒绝服务攻击的能力、拒绝服务攻击可能导致客户产生的任何成本、在遭到拒绝服务攻击期间通知客户或关闭其联机服务的阈值、在遭到拒绝服务攻击期间采取的预先批准的措施,以及与上游提供商议定的、在上游尽量远的位置阻止恶意流量的拒绝服务攻击预防安排

  • 应启用 DDoS 防护

注意

特定 Azure Policy 定义的可用性在 Azure 政府和其他国家云中可能会有所不同。

后续步骤

有关蓝图及其使用方式的更多文章:

ISM PROTECTED 蓝图 - 概述ISM PROTECTED 蓝图 - 部署步骤