你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Cloud for Sovereignty 基线机密政策法规合规性内置计划的详细信息

  • 项目

下文详细说明了 Azure Policy 法规合规性内置计划定义如何映射到 Microsoft Cloud for Sovereignty 基线机密政策的合规性域和控制措施。 有关此合规性标准的详细信息,请参阅 Microsoft Cloud for Sovereignty 基线机密政策。 若要了解所有权,请参阅 Azure Policy 策略定义云中责任分担

以下是到 Microsoft Cloud for Sovereignty 基线机密政策控制措施的映射。 许多控制措施都是使用 Azure Policy 计划定义实现的。 若要查看完整计划定义,请在 Azure 门户中打开“策略”,并选择“定义”页 。 然后,找到“[预览]: Sovereignty 基线 - 机密政策”法规合规性内置计划定义并将其选中

重要

下面的每个控件都与一个或多个 Azure Policy 定义关联。 这些策略有助于评估控制的合规性;但是,控制与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的符合性仅引用策略定义本身;这并不能确保你完全符合某个控制措施的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 此符合性标准的符合性域、控制措施和 Azure Policy 定义之间的关联可能会随着时间的推移而发生变化。 若要查看更改历史记录,请参阅 GitHub 提交历史记录

SO.1 - 数据驻留

Azure 产品必须部署并配置为使用已批准的区域。

ID:MCfS Sovereignty 基线政策 SO.1 所有权:共享

名称
(Azure 门户)		 说明 效果 版本
(GitHub)
允许的位置 通过此策略,可限制组织在部署资源时可指定的位置。 用于强制执行异地符合性要求。 排除资源组、Microsoft.AzureActiveDirectory/b2cDirectories 以及使用“全局”区域的资源。 deny 1.0.0
允许的资源组位置 通过此策略,可限制组织可以创建资源组的位置。 用于强制执行异地符合性要求。 deny 1.0.0
Azure Cosmos DB 允许的位置 使用此策略可限制组织在部署 Azure Cosmos DB 资源时可指定的位置。 用于强制执行异地符合性要求。 [parameters('policyEffect')] 1.1.0

SO.3 - 客户管理的密钥

Azure 产品必须配置为尽可能使用客户管理的密钥。

ID:MCfS Sovereignty 基线政策 SO.3 所有权:共享

名称
(Azure 门户)		 说明 效果 版本
(GitHub)
[预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 使用客户管理的密钥来管理备份数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/AB-CmkEncryption Audit、Deny、Disabled 1.0.0-preview
Azure Kubernetes 服务群集中的操作系统和数据磁盘都应使用客户托管的密钥进行加密 使用客户管理的密钥加密 OS 和数据磁盘可以更好地控制密钥管理并提高密钥管理的灵活性。 这是许多法规和行业合规性标准中的常见要求。 Audit、Deny、Disabled 1.0.1
HPC 缓存帐户应使用客户管理的密钥进行加密 使用客户管理的密钥来管理 Azure HPC 缓存的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 审核、已禁用、拒绝 2.0.0
应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘 对安全性高度敏感的客户如果担心出现与任何特定加密算法、实现或密钥泄露相关的风险,可以选择在使用平台管理的加密密钥的基础结构层上使用其他加密算法/模式的额外加密层。 需要提供磁盘加密集才能使用双重加密。 更多信息请访问 https://aka.ms/disks-doubleEncryption Audit、Deny、Disabled 1.0.0
MySQL 服务器应使用客户管理的密钥进行静态数据加密 使用客户管理的密钥来管理 MySQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 AuditIfNotExists、Disabled 1.0.4
PostgreSQL 服务器应使用客户管理的密钥进行静态数据加密 使用客户管理的密钥来管理 PostgreSQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 AuditIfNotExists、Disabled 1.0.4
队列存储应使用客户管理的密钥进行加密 使用客户管理的密钥更灵活地保护队列存储。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 Audit、Deny、Disabled 1.0.0
SQL 托管实例应使用客户管理的密钥进行静态数据加密 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 Audit、Deny、Disabled 2.0.0
SQL Server 应使用客户管理的密钥进行静态数据加密 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 Audit、Deny、Disabled 2.0.1
存储帐户加密范围应使用客户管理的密钥对静态数据进行加密 使用客户管理的密钥来管理存储帐户加密范围的静态加密。 客户管理的密钥允许使用由你创建并拥有的 Azure 密钥保管库密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 若要详细了解存储帐户加密范围,请访问 https://aka.ms/encryption-scopes-overview Audit、Deny、Disabled 1.0.0
存储帐户应使用客户管理的密钥进行加密 使用客户管理的密钥更灵活地保护 blob 和文件存储帐户。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 Audit、Disabled 1.0.3
表存储应使用客户管理的密钥进行加密 使用客户管理的密钥更灵活地保护表存储。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 Audit、Deny、Disabled 1.0.0

SO.4 - Azure 机密计算

Azure 产品必须配置为尽可能使用 Azure 机密计算 SKU。

ID:MCfS Sovereignty 基线政策 SO.4 所有权:共享

名称
(Azure 门户)		 说明 效果 版本
(GitHub)
允许的资源类型 此策略可用于指定组织可以部署的资源类型。 只有支持“tags”和“location”的资源类型才会受此策略影响。 若要限制所有资源,请复制此策略并将“mode”更改为“All”。 deny 1.0.0
允许的虚拟机大小 SKU 此策略可便于指定组织可部署的一组虚拟机大小 SKU。 拒绝 1.0.1

后续步骤

有关 Azure Policy 的其他文章: