你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

加拿大联邦 PBMM 法规合规性内置计划的详细信息

下文详细说明了 Azure Policy 法规合规性内置计划定义如何映射到加拿大联邦 PBMM 中的合规性域和控制措施 。 有关此合规性标准的详细信息,请参阅加拿大联邦 PBMM。 如需了解所有权,请参阅 Azure Policy 策略定义云中责任分担

以下映射到加拿大联邦 PBMM 控制。 许多控制措施都是使用 Azure Policy 计划定义实现的。 若要查看完整计划定义,请在 Azure 门户中打开“策略”,并选择“定义”页 。 然后,找到加拿大联邦 PBMM 法规合规性内置计划定义并将其选中。

此内置计划部署为加拿大联邦 PBMM 蓝图示例的一部分。

重要

下面的每个控件都与一个或多个 Azure Policy 定义关联。 这些策略有助于评估控制的合规性;但是,控制与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的符合性仅引用策略定义本身;这并不能确保你完全符合某个控制措施的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 此符合性标准的符合性域、控制措施和 Azure Policy 定义之间的关联可能会随着时间的推移而发生变化。 若要查看更改历史记录,请参阅 GitHub 提交历史记录

访问控制

帐户管理

ID:CCCS AC-2

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应删除对 Azure 资源拥有所有者权限的已封锁帐户 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 AuditIfNotExists、Disabled 1.0.0
应删除对 Azure 资源拥有读取和写入权限的已封锁帐户 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 AuditIfNotExists、Disabled 1.0.0
应删除对 Azure 资源拥有所有者权限的来宾帐户 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 AuditIfNotExists、Disabled 1.0.0
应删除对 Azure 资源拥有读取权限的来宾帐户 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 AuditIfNotExists、Disabled 1.0.0
应删除对 Azure 资源拥有写入权限的来宾帐户 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 AuditIfNotExists、Disabled 1.0.0

帐户管理 | 基于角色的方案

ID:CCCS AC-2(7)

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应该为 SQL 服务器预配 Azure Active Directory 管理员 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 AuditIfNotExists、Disabled 1.0.0
Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 Audit、Deny、Disabled 1.1.0

信息流强制

ID:CCCS AC-4

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应用服务应用不应将 CORS 配置为允许每个资源访问应用 跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许所需的域与应用交互。 AuditIfNotExists、Disabled 2.0.0

职责分离

ID:CCCS AC-5

名称
(Azure 门户)
说明 效果 版本
(GitHub)
只多只为订阅指定 3 个所有者 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 AuditIfNotExists、Disabled 3.0.0
添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 4.1.0
添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 4.1.0
审核缺少管理员组中任何指定成员的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组不包含策略参数中列出的一个或多个成员,则计算机不合规。 auditIfNotExists 2.0.0
审核具有管理员组中指定成员的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组包含策略参数中列出的一个或多个成员,则计算机不合规。 auditIfNotExists 2.0.0
部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 1.2.0
应为订阅分配了多个所有者 建议指定多个订阅所有者,这样才会有管理员访问冗余。 AuditIfNotExists、Disabled 3.0.0

最小特权

ID:CCCS AC-6

名称
(Azure 门户)
说明 效果 版本
(GitHub)
只多只为订阅指定 3 个所有者 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 AuditIfNotExists、Disabled 3.0.0
添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 4.1.0
添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 4.1.0
审核缺少管理员组中任何指定成员的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组不包含策略参数中列出的一个或多个成员,则计算机不合规。 auditIfNotExists 2.0.0
审核具有管理员组中指定成员的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组包含策略参数中列出的一个或多个成员,则计算机不合规。 auditIfNotExists 2.0.0
部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 1.2.0
应为订阅分配了多个所有者 建议指定多个订阅所有者,这样才会有管理员访问冗余。 AuditIfNotExists、Disabled 3.0.0

远程访问 | 自动监视/控制

ID:CCCS AC-17(1)

名称
(Azure 门户)
说明 效果 版本
(GitHub)
添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 4.1.0
添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 4.1.0
应用服务应用应已禁用远程调试 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 AuditIfNotExists、Disabled 2.0.0
审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机允许通过没有密码的帐户进行远程连接,则计算机不合规 AuditIfNotExists、Disabled 3.1.0
部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 3.1.0
函数应用应已禁用远程调试 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 AuditIfNotExists、Disabled 2.0.0
应限制对存储帐户的网络访问 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 Audit、Deny、Disabled 1.1.1

审核和责任

审核记录的内容

ID:CCCS AU-3

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 如果虚拟机映像不在定义的列表中,并且未安装扩展,则会将虚拟机报告为不合规。 AuditIfNotExists、Disabled 2.0.1-preview
应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 如果虚拟机映像不在定义的列表中且未安装扩展,则将虚拟机规模集报告为不合规。 AuditIfNotExists、Disabled 2.0.1
虚拟机应连接到指定的工作区 如果虚拟机未记录到策略/计划分配中指定的 Log Analytics 工作区,则将虚拟机报告为不合规。 AuditIfNotExists、Disabled 1.1.0

对审核处理失败的响应

ID:CCCS AU-5

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核所选资源类型的诊断设置。 审核所选资源类型的诊断设置。 请确保仅选择支持诊断设置的资源类型。 AuditIfNotExists 2.0.1
应启用 SQL 服务器上的审核 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 AuditIfNotExists、Disabled 2.0.0
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 审核没有高级数据安全的 SQL 服务器 AuditIfNotExists、Disabled 2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 审核所有未启用高级数据安全的 SQL 托管实例。 AuditIfNotExists、Disabled 1.0.2

审核生成

ID:CCCS AU-12

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 如果虚拟机映像不在定义的列表中,并且未安装扩展,则会将虚拟机报告为不合规。 AuditIfNotExists、Disabled 2.0.1-preview
审核所选资源类型的诊断设置。 审核所选资源类型的诊断设置。 请确保仅选择支持诊断设置的资源类型。 AuditIfNotExists 2.0.1
应启用 SQL 服务器上的审核 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 AuditIfNotExists、Disabled 2.0.0
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 审核没有高级数据安全的 SQL 服务器 AuditIfNotExists、Disabled 2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 审核所有未启用高级数据安全的 SQL 托管实例。 AuditIfNotExists、Disabled 1.0.2
应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 如果虚拟机映像不在定义的列表中且未安装扩展,则将虚拟机规模集报告为不合规。 AuditIfNotExists、Disabled 2.0.1
虚拟机应连接到指定的工作区 如果虚拟机未记录到策略/计划分配中指定的 Log Analytics 工作区,则将虚拟机报告为不合规。 AuditIfNotExists、Disabled 1.1.0

配置管理

最少的功能 | 授权软件/允许列表

ID:CCCS CM-7(5)

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在计算机中启用自适应应用程序控制以定义安全应用程序 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 AuditIfNotExists、Disabled 3.0.0

用户安装的软件

ID:CCCS CM-11

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在计算机中启用自适应应用程序控制以定义安全应用程序 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 AuditIfNotExists、Disabled 3.0.0

应变规划

备用处理站点

ID:CCCS CP-7

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核未配置灾难恢复的虚拟机 审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc auditIfNotExists 1.0.0

识别和身份验证

标识和身份验证(组织用户)| 对特权帐户的网络访问

ID:CCCS IA-2(1)

名称
(Azure 门户)
说明 效果 版本
(GitHub)
对 Azure 资源拥有所有者权限的帐户应启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 1.0.0
对 Azure 资源拥有写入权限的帐户应启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 1.0.0

验证器管理

ID:CCCS IA-5

名称
(Azure 门户)
说明 效果 版本
(GitHub)
添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 4.1.0
添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 4.1.0
审核未将密码文件权限设为 0644 的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机未将密码文件权限设为 0644,则计算机不合规 AuditIfNotExists、Disabled 3.1.0
审核具有不使用密码的帐户的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机具有不使用密码的帐户,则计算机不合规 AuditIfNotExists、Disabled 3.1.0
部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 3.1.0

验证器管理 |基于密码的身份验证

ID:CCCS IA-5(1)

名称
(Azure 门户)
说明 效果 版本
(GitHub)
添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 4.1.0
添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 4.1.0
审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机允许在指定数量的唯一密码后重新使用密码,则这些计算机是不合规的。 唯一密码的默认值为 24 AuditIfNotExists、Disabled 2.1.0
审核未将最长密码期限设置为指定天数的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最长密码期限设置为指定天数,则这些计算机是不合规的。 最长密码期限的默认值为 70 天 AuditIfNotExists、Disabled 2.1.0
审核未将最短密码期限设置为指定天数的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最短密码期限设置为指定天数,则这些计算机是不合规的。 最短密码期限的默认值为 1 天 AuditIfNotExists、Disabled 2.1.0
审核未启用密码复杂性设置的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未启用密码复杂性设置,则计算机不合规 AuditIfNotExists、Disabled 2.0.0
审核未将最短密码长度限制为特定字符数的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机没有将最短密码长度限制为特定字符数,则这些计算机是不合规的。 最短密码长度的默认值为 14 个字符 AuditIfNotExists、Disabled 2.1.0
部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 1.2.0

风险评估

漏洞扫描

ID:CCCS RA-5

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在虚拟机上启用漏洞评估解决方案 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 AuditIfNotExists、Disabled 3.0.0
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 审核没有高级数据安全的 SQL 服务器 AuditIfNotExists、Disabled 2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 审核所有未启用高级数据安全的 SQL 托管实例。 AuditIfNotExists、Disabled 1.0.2
SQL 数据库应已解决漏洞结果 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 AuditIfNotExists、Disabled 4.1.0
应修复计算机上安全配置中的漏洞 建议通过 Azure 安全中心监视不满足配置的基线的服务器 AuditIfNotExists、Disabled 3.1.0
应修复虚拟机规模集上安全配置中的漏洞 审核虚拟机规模集上的 OS 漏洞,以保护其免受攻击。 AuditIfNotExists、Disabled 3.0.0

系统和通信保护

拒绝服务保护

ID:CCCS SC-5

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用 Azure DDoS 防护 应对具有相关子网(属于具有公共 IP 的应用程序网关)的所有虚拟网络启用 DDoS 防护。 AuditIfNotExists、Disabled 3.0.1

边界保护

ID:CCCS SC-7

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在面向 Internet 的虚拟机上应用自适应网络强化建议 Azure 安全中心会分析面向虚拟机的 Internet 的流量模式,并提供可减小潜在攻击面的网络安全组规则建议 AuditIfNotExists、Disabled 3.0.0
应限制在与虚拟机关联的网络安全组上使用所有网络端口 Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 AuditIfNotExists、Disabled 3.0.0
应限制对存储帐户的网络访问 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 Audit、Deny、Disabled 1.1.1

边界保护 | 接入点

ID:CCCS SC-7(3)

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应通过即时网络访问控制来保护虚拟机的管理端口 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 AuditIfNotExists、Disabled 3.0.0

边界保护 | 外部电信服务

ID:CCCS SC-7(4)

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应通过即时网络访问控制来保护虚拟机的管理端口 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 AuditIfNotExists、Disabled 3.0.0

传输保密性和完整性 | 加密或备用物理保护

ID:CCCS SC-8(1)

名称
(Azure 门户)
说明 效果 版本
(GitHub)
只应通过 HTTPS 访问应用服务应用 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 审核、已禁用、拒绝 4.0.0
只应通过 HTTPS 访问函数应用 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 审核、已禁用、拒绝 5.0.0
只能与 Azure Cache for Redis 建立安全连接 审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 Audit、Deny、Disabled 1.0.0
应启用安全传输到存储帐户 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 Audit、Deny、Disabled 2.0.0
应将 Windows 计算机配置为使用安全通信协议 为了保护通过 Internet 进行通信的信息的隐私,计算机应使用最新版本的行业标准加密协议,即传输层安全性 (TLS)。 TLS 对计算机之间的连接进行加密来保护网络上的通信。 AuditIfNotExists、Disabled 4.1.1

保护静态信息

ID:CCCS SC-28

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 审核没有高级数据安全的 SQL 服务器 AuditIfNotExists、Disabled 2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 审核所有未启用高级数据安全的 SQL 托管实例。 AuditIfNotExists、Disabled 1.0.2
应在 SQL 数据库上启用透明数据加密 应启用透明数据加密以保护静态数据并满足符合性要求 AuditIfNotExists、Disabled 2.0.0
虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 默认情况下,虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密。 临时磁盘、数据缓存以及在计算和存储之间流动的数据未加密。 如果存在以下情况,请忽略此建议:1. 使用“主机加密”,或者 2. 托管磁盘上的服务器端加密满足安全要求。 若要了解详细信息,请参阅 Azure 磁盘存储的服务器端加密:https://aka.ms/disksse,不同的磁盘加密产品/服务:https://aka.ms/diskencryptioncomparison AuditIfNotExists、Disabled 2.0.3

系统和信息完整性

缺陷修正

ID:CCCS SI-2

名称
(Azure 门户)
说明 效果 版本
(GitHub)
SQL 数据库应已解决漏洞结果 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 AuditIfNotExists、Disabled 4.1.0
应在虚拟机规模集上安装系统更新 审核是否缺少系统安全更新和关键更新,为了确保 Windows 和 Linux 虚拟机规模集的安全,应安装这些更新。 AuditIfNotExists、Disabled 3.0.0
应在计算机上安装系统更新 建议通过 Azure 安全中心监视服务器上缺失的安全系统更新 AuditIfNotExists、Disabled 4.0.0
应修复计算机上安全配置中的漏洞 建议通过 Azure 安全中心监视不满足配置的基线的服务器 AuditIfNotExists、Disabled 3.1.0
应修复虚拟机规模集上安全配置中的漏洞 审核虚拟机规模集上的 OS 漏洞,以保护其免受攻击。 AuditIfNotExists、Disabled 3.0.0

恶意代码防护

ID:CCCS SI-3

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在虚拟机规模集上安装终结点保护解决方案 审核终结点保护解决方案在虚拟机规模集上的存在性和运行状况 ,以保护其免受威胁和漏洞的侵害。 AuditIfNotExists、Disabled 3.0.0
监视 Azure 安全中心 Endpoint Protection 的缺失情况 建议通过 Azure 安全中心监视未安装 Endpoint Protection 代理的服务器 AuditIfNotExists、Disabled 3.0.0

恶意代码防护 | 集中管理

ID:CCCS SI-3(1)

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在虚拟机规模集上安装终结点保护解决方案 审核终结点保护解决方案在虚拟机规模集上的存在性和运行状况 ,以保护其免受威胁和漏洞的侵害。 AuditIfNotExists、Disabled 3.0.0
监视 Azure 安全中心 Endpoint Protection 的缺失情况 建议通过 Azure 安全中心监视未安装 Endpoint Protection 代理的服务器 AuditIfNotExists、Disabled 3.0.0

信息系统监视

ID:CCCS SI-4

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 如果虚拟机映像不在定义的列表中,并且未安装扩展,则会将虚拟机报告为不合规。 AuditIfNotExists、Disabled 2.0.1-preview
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 审核没有高级数据安全的 SQL 服务器 AuditIfNotExists、Disabled 2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 审核所有未启用高级数据安全的 SQL 托管实例。 AuditIfNotExists、Disabled 1.0.2
应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 如果虚拟机映像不在定义的列表中且未安装扩展,则将虚拟机规模集报告为不合规。 AuditIfNotExists、Disabled 2.0.1
虚拟机应连接到指定的工作区 如果虚拟机未记录到策略/计划分配中指定的 Log Analytics 工作区,则将虚拟机报告为不合规。 AuditIfNotExists、Disabled 1.1.0

后续步骤

有关 Azure Policy 的其他文章: