您现在访问的是微软AZURE全睃版技术文档网站,若需覝访问由世纪互蝔违蝥的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

限制性的新西兰 ISM 法规合规性内置计划的详细信息

下文详细说明 Azure Policy 法规合规性内置计划定义与限制性的新西兰 ISM 的合规性领域和控制措施的对应关系 。 有关此合规性标准的详细信息,请参阅限制性的新西兰 ISM。 如需了解所有权,请参阅 Azure Policy 策略定义云中责任分担

以下对应关系适用于限制性的新西兰 ISM 控制措施。 使用右侧的导航栏可直接跳转到特定的符合性域。 许多控制措施都是使用 Azure Policy 计划定义实现的。 若要查看完整计划定义,请在 Azure 门户中打开“策略”,并选择“定义”页 。 然后,找到并选择“受限于新西兰 ISM”的监管合规性内置计划定义。

此内置计划将部署为限制性的新西兰 ISM 蓝图示例的一部分。

重要

下面的每个控件都与一个或多个 Azure Policy 定义关联。 这些策略有助于评估控制的合规性;但是,控制与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的符合性仅引用策略定义本身;这并不能确保你完全符合某个控制措施的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 此符合性标准的符合性域、控制措施和 Azure Policy 定义之间的关联可能会随着时间的推移而发生变化。 若要查看更改历史记录,请参阅 GitHub 提交历史记录

信息安全监视

6.2.5 执行漏洞评估

ID:NZISM 安全基准 ISM-3 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在虚拟机上启用漏洞评估解决方案 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 AuditIfNotExists、Disabled 3.0.0
应在 SQL 托管实例上启用漏洞评估 审核未启用定期漏洞评估扫描的每个 SQL 托管实例。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 AuditIfNotExists、Disabled 1.0.1
应对 SQL 服务器启用漏洞评估 审核未启用定期漏洞评估扫描的 Azure SQL 服务器。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 AuditIfNotExists、Disabled 2.0.0

6.2.6 解决漏洞

ID:NZISM 安全基准 ISM-4 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
SQL 数据库应已解决漏洞结果 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 AuditIfNotExists、Disabled 4.0.0
计算机上的 SQL 服务器应已解决漏洞发现 SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,例如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 AuditIfNotExists、Disabled 1.0.0
应修正 Azure 容器注册表映像中的漏洞 容器映像漏洞评估功能会扫描注册表中每个推送的容器映像上的安全漏洞,并显示每个映像的详细发现结果(由 Qualys 支持)。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 AuditIfNotExists、Disabled 2.0.0
应修正容器安全配置中的漏洞 在安装了 Docker 的计算机上审核安全配置中的漏洞,并在 Azure 安全中心显示为建议。 AuditIfNotExists、Disabled 3.0.0
应修复计算机上安全配置中的漏洞 建议通过 Azure 安全中心监视不满足配置的基线的服务器 AuditIfNotExists、Disabled 3.0.0
应修复虚拟机规模集上安全配置中的漏洞 审核虚拟机规模集上的 OS 漏洞,以保护其免受攻击。 AuditIfNotExists、Disabled 3.0.0
SQL 服务器的漏洞评估设置应包含用来接收扫描报告的电子邮件地址 确保为漏洞评估设置中的“将扫描报告发送到”字段提供电子邮件地址。 在 SQL 服务器上运行定期扫描后,此电子邮件地址将收到扫描结果摘要。 AuditIfNotExists、Disabled 2.0.0

6.4.5 可用性要求

ID:NZISM 安全基准 ISM-7 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核未配置灾难恢复的虚拟机 审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc auditIfNotExists 1.0.0

物理安全性

8.3.5 不安全区域的网络基础结构

ID:NZISM 安全基准 PS-4 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
只能与 Azure Cache for Redis 建立安全连接 审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 Audit、Deny、Disabled 1.0.0
应启用安全传输到存储帐户 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 Audit、Deny、Disabled 2.0.0

基础结构

10.8.35 安全体系结构

ID:NZISM 安全基准 INF-9 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
API 管理服务应使用虚拟网络 Azure 虚拟网络部署提供了增强的安全性和隔离,并允许你将 API 管理服务放置在不可经 Internet 路由的网络(你控制对其的访问权限)中。 然后,可以使用各种 VPN 技术将这些网络连接到本地网络,这样就能够访问网络中的和/或本地的后端服务。 可以将开发人员门户和 API 网关配置为可以从 Internet 访问或只能在虚拟网络内访问。 Audit、Disabled 1.0.1
应用程序配置应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint AuditIfNotExists、Disabled 1.0.2
Azure Cache for Redis 应驻留在虚拟网络中 Azure 虚拟网络部署为 Azure Cache for Redis 提供了增强的安全性和隔离,以及子网、访问控制策略和其他功能,以进一步限制访问。配置了虚拟网络的 Azure Cache for Redis 实例是不可公开寻址的,只能从虚拟网络中的虚拟机和应用程序访问。 Audit、Deny、Disabled 1.0.3
Azure 事件网格域应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints Audit、Disabled 1.0.2
Azure 事件网格主题应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格主题(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints Audit、Disabled 1.0.2
Azure 机器学习工作区应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link Audit、Deny、Disabled 1.1.0
Azure SignalR 服务应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure SignalR 服务资源而不是整个服务,可降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/asrs/privatelink Audit、Deny、Disabled 1.0.1
Azure Spring Cloud 应使用网络注入 Azure Spring Cloud 实例应使用虚拟网络注入实现以下目的:1. 将 Azure Spring Cloud 与 Internet 隔离。 2. 使 Azure Spring Cloud 能够与本地数据中心内的系统和/或其他虚拟网络中的 Azure 服务内的系统进行交互。 3. 授权客户控制 Azure Spring Cloud 的入站和出站网络通信。 审核、已禁用、拒绝 1.0.0
容器注册表应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。通过将专用终结点映射到容器注册表,而不是整个服务,还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/acr/private-link Audit、Disabled 1.0.1
应启用 Azure SQL 数据库上的专用终结点连接 专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。 Audit、Disabled 1.1.0
应启用 Batch 帐户上的专用终结点连接 利用专用终结点连接,无需源或目标的公共 IP 地址,即可与 Batch 帐户建立专用连接,从而实现安全通信。 若要详细了解 Batch 中的专用终结点,请访问 https://docs.microsoft.com/azure/batch/private-connectivity AuditIfNotExists、Disabled 1.0.0
应为 MariaDB 服务器启用专用终结点 专用终结点连接通过启用到 Azure Database for MariaDB 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 AuditIfNotExists、Disabled 1.0.2
应为 MySQL 服务器启用专用终结点 专用终结点连接通过启用到 Azure Database for MySQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 AuditIfNotExists、Disabled 1.0.2
应为 PostgreSQL 服务器启用专用终结点 专用终结点连接通过启用到 Azure Database for PostgreSQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 AuditIfNotExists、Disabled 1.0.2
存储帐户应使用虚拟网络规则来限制网络访问 使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 Audit、Deny、Disabled 1.0.1
存储帐户应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview AuditIfNotExists、Disabled 2.0.0
VM 映像生成器模板应使用专用链接 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 VM 映像生成器生成资源可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet 审核、已禁用、拒绝 1.1.0

产品安全性

12.4.4 修补产品中的漏洞

ID:NZISM 安全基准 PRS-5 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在虚拟机规模集上安装系统更新 审核是否缺少系统安全更新和关键更新,为了确保 Windows 和 Linux 虚拟机规模集的安全,应安装这些更新。 AuditIfNotExists、Disabled 3.0.0
应在计算机上安装系统更新 建议通过 Azure 安全中心监视服务器上缺失的安全系统更新 AuditIfNotExists、Disabled 4.0.0

软件安全性

14.1.8 开发强化的 SOE

ID:NZISM 安全基准 SS-2 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应关闭虚拟机上的管理端口 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 AuditIfNotExists、Disabled 3.0.0
应为 API 应用禁用远程调试 远程调试需要在 API 应用上打开入站端口。 应禁用远程调试。 AuditIfNotExists、Disabled 1.0.0
应对函数应用禁用远程调试 远程调试需要在函数应用上打开入站端口。 应禁用远程调试。 AuditIfNotExists、Disabled 1.0.0
应禁用 Web 应用程序的远程调试 远程调试需要在 Web 应用程序上打开入站端口。 应禁用远程调试。 AuditIfNotExists、Disabled 1.0.0

14.1.9 维护强化的 SOE

ID:NZISM 安全基准 SS-3 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure API for FHIR 应使用专用链接 Azure API for FHIR 应至少具有一个获得批准的专用终结点连接。 虚拟网络中的客户端可以安全地访问通过专用链接获得专用终结点连接的资源。 有关详细信息,请访问:https://aka.ms/fhir-privatelink Audit、Disabled 1.0.0
应启用适用于应用服务的 Azure Defender 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 AuditIfNotExists、Disabled 1.0.3
应启用适用于 Azure SQL 数据库服务器的 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.2
应启用适用于容器注册表的 Azure Defender 适用于容器注册表的 Azure Defender 提供过去 30 天内拉取、推送到注册表或导入的任何图像的漏洞扫描,并公开每个映像的详细发现。 AuditIfNotExists、Disabled 1.0.3
应启用 Azure Defender for Key Vault 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 AuditIfNotExists、Disabled 1.0.3
应启用 Azure Defender for Kubernetes Azure Defender for Kubernetes 为容器化环境提供实时威胁防护,并针对可疑活动生成警报。 AuditIfNotExists、Disabled 1.0.3
应启用适用于服务器的 Azure Defender 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.3
应启用适用于计算机上的 SQL 服务器的 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.2
应启用适用于存储的 Azure Defender 适用于存储的 Azure Defender 可检测旨在访问或恶意利用存储帐户的异常和可能有害的企图。 AuditIfNotExists、Disabled 1.0.3
部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 1.0.1
部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 1.0.1
应在虚拟机规模集上安装终结点保护解决方案 审核终结点保护解决方案在虚拟机规模集上的存在性和运行状况 ,以保护其免受威胁和漏洞的侵害。 AuditIfNotExists、Disabled 3.0.0
应通过即时网络访问控制来保护虚拟机的管理端口 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 AuditIfNotExists、Disabled 3.0.0
监视 Azure 安全中心 Endpoint Protection 的缺失情况 建议通过 Azure 安全中心监视未安装 Endpoint Protection 代理的服务器 AuditIfNotExists、Disabled 3.0.0

14.2.4 应用程序允许列表

ID:NZISM 安全基准 SS-5 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在计算机中启用自适应应用程序控制以定义安全应用程序 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 AuditIfNotExists、Disabled 3.0.0
应更新自适应应用程序控制策略中的允许列表规则 监视配置为供 Azure 安全中心的自适应应用程序控制进行审核的计算机组是否有行为变化。 安全中心使用机器学习来分析计算机上的运行过程,并建议已知安全应用程序的列表。 这些应用程序作为推荐的应用显示,在自适应应用程序控制策略中允许使用。 AuditIfNotExists、Disabled 3.0.0

14.5.8 Web 应用程序

ID:NZISM 安全基准 SS-9 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
只能通过 HTTPS 访问 API 应用 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 Audit、Disabled 1.0.0
CORS 不应允许所有资源都能访问 API 应用 跨源资源共享 (CORS) 不应允许所有域都能访问你的 API 应用。 仅允许所需的域与 API 应用交互。 AuditIfNotExists、Disabled 1.0.0
CORS 不应允许所有资源都能访问函数应用 跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。 AuditIfNotExists、Disabled 1.0.0
CORS 不应允许所有资源都能访问你的 Web 应用程序 跨源资源共享 (CORS) 不应允许所有域都能访问你的 Web 应用程序。 仅允许所需的域与 Web 应用交互。 AuditIfNotExists、Disabled 1.0.0
确保用作 API 应用一部分的“Java 版本”是最新的 我们定期发布适用于 Java 的更高版本来解决安全漏洞或包含更多功能。 建议使用 API 应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 AuditIfNotExists、Disabled 2.0.0
确保用作函数应用一部分的“Java 版本”是最新的 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Java 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 AuditIfNotExists、Disabled 2.0.0
确保用作 Web 应用一部分的“Java 版本”是最新的 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 Web 应用的最新 Java 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 AuditIfNotExists、Disabled 2.0.0
确保用作 API 应用一部分的“PHP 版本”是最新的 我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 API 应用的最新 PHP 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 AuditIfNotExists、Disabled 2.1.0
确保用作 WEB 应用一部分的“PHP 版本”是最新的 我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 Web 应用的最新 PHP 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 AuditIfNotExists、Disabled 2.1.0
确保用作 API 应用一部分的“Python 版本”是最新的 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 API 应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 AuditIfNotExists、Disabled 3.0.0
确保用作函数应用一部分的“Python 版本”是最新的 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 AuditIfNotExists、Disabled 3.0.0
确保用作 Web 应用一部分的“Python 版本”是最新的 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 Web 应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 AuditIfNotExists、Disabled 3.0.0
应该只能通过 HTTPS 访问函数应用 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 Audit、Disabled 1.0.0
只能通过 HTTPS 访问 Web 应用程序 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 Audit、Disabled 1.0.0

访问控制和密码

16.1.32 系统用户标识

ID:NZISM 安全基准 AC-2 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在 API 应用中使用的托管标识 使用托管标识以实现增强的身份验证安全性 AuditIfNotExists、Disabled 2.0.0
应在函数应用中使用的托管标识 使用托管标识以实现增强的身份验证安全性 AuditIfNotExists、Disabled 2.0.0
应在 Web 应用中使用的托管标识 使用托管标识以实现增强的身份验证安全性 AuditIfNotExists、Disabled 2.0.0
Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 Audit、Deny、Disabled 1.1.0

16.1.35 用于系统用户标识和身份验证的方法

ID:NZISM 安全基准 AC-3 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在对订阅拥有读取权限的帐户上启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 3.0.0

16.1.40 密码选择策略

ID:NZISM 安全基准 AC-4 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核具有不使用密码的帐户的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 Linux 计算机具有不使用密码的帐户,则计算机不合规 AuditIfNotExists、Disabled 1.0.0
Windows 计算机应符合“安全设置 - 帐户策略”的要求 对于密码历史记录、使用期限、长度、复杂性以及使用可还原加密存储密码,Windows 计算机应在“安全设置 - 帐户策略”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0

16.1.46 暂停访问

ID:NZISM 安全基准 AC-5 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应从订阅中删除弃用的帐户 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 AuditIfNotExists、Disabled 3.0.0
应从订阅中删除拥有所有者权限的已弃用帐户 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 AuditIfNotExists、Disabled 3.0.0

16.3.5 使用特权帐户

ID:NZISM 安全基准 AC-9 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
只多只为订阅指定 3 个所有者 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 AuditIfNotExists、Disabled 3.0.0

16.4.30 Privileged Access Management

ID:NZISM 安全基准 AC-11 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应该为 SQL 服务器预配 Azure Active Directory 管理员 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 AuditIfNotExists、Disabled 1.0.0
审核缺少管理员组中任何指定成员的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果本地管理员组不包含策略参数中列出的一个或多个成员,则计算机不合规。 auditIfNotExists 1.0.0
审核管理员组中具有额外帐户的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果本地管理员组包含策略参数中未列出的成员,则计算机不合规。 auditIfNotExists 1.0.0
审核具有管理员组中指定成员的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果本地管理员组包含策略参数中列出的一个或多个成员,则计算机不合规。 auditIfNotExists 1.0.0
应从订阅中删除拥有所有者权限的外部帐户 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 AuditIfNotExists、Disabled 3.0.0
应从订阅中删除具有写入权限的外部帐户 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 AuditIfNotExists、Disabled 3.0.0
应对订阅中拥有写入权限的帐户启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 3.0.0
应在对订阅拥有所有者权限的帐户上启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 3.0.0
应为订阅分配了多个所有者 建议指定多个订阅所有者,这样才会有管理员访问冗余。 AuditIfNotExists、Disabled 3.0.0

16.5.10 身份验证

ID:NZISM 安全基准 AC-13 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 如果 Linux 计算机允许通过没有密码的帐户进行远程连接,则计算机不合规 AuditIfNotExists、Disabled 1.0.0

16.6.9 要记录的事件

ID:NZISM 安全基准 AC-17 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核自定义 RBAC 规则的使用情况 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 Audit、Disabled 1.0.0
应启用 SQL 服务器上的审核 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 AuditIfNotExists、Disabled 2.0.0
应启用应用程序服务中的诊断日志 审核确认已在应用上启用诊断日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 AuditIfNotExists、Disabled 2.0.0
应在计算机上解决 Log Analytics 代理运行状况问题 安全中心使用 Log Analytics 代理,它之前被称为 Microsoft Monitoring Agent (MMA)。 为了确保成功监视虚拟机,需要确保此代理安装在虚拟机上,并能正确地将安全事件收集到配置的工作区中。 AuditIfNotExists、Disabled 1.0.0
应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 代理 如果虚拟机映像不在定义的列表中,并且未安装该代理,则会将虚拟机规模集报告为不合规。 AuditIfNotExists、Disabled 2.0.0
应启用 Azure Data Lake Store 中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Azure 流分析中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Batch 帐户中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Data Lake Analytics 中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用事件中心内的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 IoT 中心内的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 3.0.1
应启用 Key Vault 中的资源日志 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 AuditIfNotExists、Disabled 5.0.0
应启用逻辑应用中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用搜索服务中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用服务总线中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用虚拟机规模集中的资源日志 建议启用日志,以便在出现某个事件或遭到入侵后需要进行调查时可以重新创建活动线索。 AuditIfNotExists、Disabled 2.0.1

密码

17.1.45 数据恢复

ID:NZISM 安全基准 CR-2 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
密钥保管库应启用清除保护 恶意删除密钥保管库可能会导致永久丢失数据。 你组织中的恶意内部人员可能会删除和清除密钥保管库。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 你的组织内的任何人都无法在软删除保留期内清除你的密钥保管库。 Audit、Deny、Disabled 2.0.0
密钥保管库应启用软删除 在未启用软删除的情况下删除密钥保管库,将永久删除密钥保管库中存储的所有机密、密钥和证书。 意外删除密钥保管库可能会导致永久丢失数据。 软删除允许在可配置的保持期内恢复意外删除的密钥保管库。 Audit、Deny、Disabled 2.0.0

17.1.46 降低存储和物理传输要求

ID:NZISM 安全基准 CR-3 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据 使用客户管理的密钥来管理 Azure Cosmos DB 的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/cosmosdb-cmk 审核、拒绝、已禁用 1.0.2
应使用客户管理的密钥对 Azure 机器学习工作区进行加密 使用客户管理的密钥管理 Azure 机器学习工作区数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/azureml-workspaces-cmk Audit、Deny、Disabled 1.0.3
认知服务帐户应启用使用客户管理的密钥进行数据加密的功能 为了满足法规符合性标准,通常需要使用客户管理的密钥。 利用客户管理的密钥,可以使用由你创建并拥有的 Azure Key Vault 密钥对存储在认知服务中的数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 通过 https://go.microsoft.com/fwlink/?linkid=2121321 详细了解客户管理的密钥。 Audit、Deny、Disabled 2.0.0
应使用客户管理的密钥对容器注册表进行加密 使用客户管理的密钥来管理注册表内容的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/acr/CMK Audit、Deny、Disabled 1.1.2
MySQL 服务器应使用客户管理的密钥进行静态数据加密 使用客户管理的密钥来管理 MySQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 AuditIfNotExists、Disabled 1.0.4
PostgreSQL 服务器应使用客户管理的密钥进行静态数据加密 使用客户管理的密钥来管理 PostgreSQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 AuditIfNotExists、Disabled 1.0.4
SQL 托管实例应使用客户管理的密钥进行静态数据加密 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 AuditIfNotExists、Disabled 1.0.2
SQL Server 应使用客户管理的密钥进行静态数据加密 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 AuditIfNotExists、Disabled 2.0.1
存储帐户应使用客户管理的密钥进行加密 使用客户管理的密钥更灵活地保护 blob 和文件存储帐户。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 Audit、Disabled 1.0.3
应在 SQL 数据库上启用透明数据加密 应启用透明数据加密以保护静态数据并满足符合性要求 AuditIfNotExists、Disabled 2.0.0
虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 默认情况下,虚拟机的操作系统和数据磁盘使用平台管理的密钥进行静态加密。 临时磁盘、数据缓存以及在计算和存储之间流动的数据不加密。 如果存在以下情况,请忽略此建议:1. 使用主机加密,或 2. 托管磁盘上的服务器端加密满足安全要求。 若要了解详细信息,请参阅 Azure 磁盘存储的服务器端加密不同的磁盘加密产品/服务 AuditIfNotExists、Disabled 2.0.2

17.4.16 使用 TLS

ID:NZISM 安全基准 CR-7 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应仅在 API 应用中需要 FTPS 启用 FTPS 强制以实现增强的安全性 AuditIfNotExists、Disabled 2.0.0
应仅在函数应用中要求使用 FTPS 启用 FTPS 强制以实现增强的安全性 AuditIfNotExists、Disabled 2.0.0
应仅在 Web 应用中要求使用 FTPS 启用 FTPS 强制以实现增强的安全性 AuditIfNotExists、Disabled 2.0.0
应在 API 应用中使用最新的 TLS 版本 升级到最新的 TLS 版本 AuditIfNotExists、Disabled 1.0.0
应在函数应用中使用最新的 TLS 版本 升级到最新的 TLS 版本 AuditIfNotExists、Disabled 1.0.0
应在 Web 应用中使用最新的 TLS 版本 升级到最新的 TLS 版本 AuditIfNotExists、Disabled 1.0.0
应将 Windows Web 服务器配置为使用安全通信协议 为了保护通过 Internet 进行通信的信息的隐私,Web 服务器应使用最新版本的行业标准加密协议,即传输层安全性 (TLS)。 TLS 使用安全证书对计算机之间的连接进行加密来保护网络上的通信。 AuditIfNotExists、Disabled 3.0.0

17.5.7 身份验证机制

ID:NZISM 安全基准 CR-9 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
对 Linux 虚拟机进行身份验证需要 SSH 密钥 虽然 SSH 本身提供加密连接,但是将密码用于 SSH 仍会使 VM 易受到暴力攻击。 通过 SSH 对 Azure Linux 虚拟机进行身份验证时,最安全的方法是使用公钥-私钥对,也称为 SSH 密钥。 了解详细信息:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed AuditIfNotExists、Disabled 2.0.1

17.9.25 KMP 的内容

ID:NZISM 安全基准 CR-14 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应禁用虚拟机上的 IP 转发 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 AuditIfNotExists、Disabled 3.0.0
PostgreSQL 服务器应使用客户管理的密钥进行静态数据加密 使用客户管理的密钥来管理 PostgreSQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 AuditIfNotExists、Disabled 1.0.4

网络安全

18.3.19 拒绝服务 (DoS) 响应计划的内容

ID:NZISM 安全基准 NS-5 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用 Azure DDoS 防护标准 应为属于应用程序网关且具有公共 IP 子网的所有虚拟网络启用 DDoS 保护标准。 AuditIfNotExists、Disabled 3.0.0

18.4.8 网关上的 IDS/IPS

ID:NZISM 安全基准 NS-7 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应为应用程序网关启用 Web 应用程序防火墙 (WAF) 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 Audit、Deny、Disabled 1.0.1
Web 应用程序防火墙 (WAF) 应对应用程序网关使用指定模式 要求对应用程序网关的所有 Web 应用程序防火墙策略启用“检测”或“防护”模式。 Audit、Deny、Disabled 1.0.0
Web 应用程序防火墙 (WAF) 应对 Azure Front Door 服务使用指定模式 要求对 Azure Front Door 服务的所有 Web 应用程序防火墙策略启用“检测”或“防护”模式。 Audit、Deny、Disabled 1.0.0

网关安全性

19.1.11 使用网关

ID:NZISM 安全基准 GS-2 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应从服务总线命名空间中删除 RootManageSharedAccessKey 以外的所有授权规则 服务总线客户端不应使用提供对命名空间中所有队列和主题的访问的命名空间级访问策略。 为了与最低权限安全模型保持一致,应在实体级别为队列和主题创建访问策略,以便仅提供对特定实体的访问权限 Audit、Deny、Disabled 1.0.1
Azure Key Vault 托管的 HSM 应启用清除保护 恶意删除 Azure Key Vault 托管的 HSM 可能导致永久数据丢失。 你组织中的恶意内部人员可能会删除和清除 Azure Key Vault 托管的 HSM。 清除保护通过强制实施软删除 Azure Key Vault 托管的 HSM 的强制保留期来保护你免受内部人员的攻击。 你的组织内的任何人都无法在软删除保留期内清除 Azure Key Vault 托管的 HSM。 Audit、Deny、Disabled 1.0.0
认知服务帐户应禁用公用网络访问 禁用公用网络访问可确保认知服务帐户不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制认知服务帐户的公开。 有关详细信息,请访问:https://go.microsoft.com/fwlink/?linkid=2129800 Audit、Deny、Disabled 2.0.0
面向 Internet 的虚拟机应使用网络安全组进行保护 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc AuditIfNotExists、Disabled 3.0.0
应禁用 Azure SQL 数据库上的公用网络访问 禁用公用网络访问属性可确保只能从专用终结点访问 Azure SQL 数据库,从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 Audit、Deny、Disabled 1.1.0
应为 MariaDB 服务器禁用公用网络访问 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MariaDB。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 Audit、Disabled 1.0.2
应为 MySQL 服务器禁用公用网络访问 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MySQL。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 Audit、Disabled 1.0.2
应为 PostgreSQL 服务器禁用公用网络访问 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for PostgreSQL。 此配置禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 Audit、Disabled 1.0.2
存储帐户密钥不应过期 当设置密钥过期策略时,请确保用户存储帐户密钥未过期,以便在密钥过期时采取措施改进帐户密钥的安全性。 Audit、Deny、Disabled 3.0.0

19.1.12 网关配置

ID:NZISM 安全基准 GS-3 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应限制在与虚拟机关联的网络安全组上使用所有网络端口 Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 AuditIfNotExists、Disabled 3.0.0
Azure Cosmos DB 帐户应有防火墙规则 应在 Azure Cosmos DB 帐户上定义防火墙规则,以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。 Audit、Deny、Disabled 2.0.0
认知服务帐户应限制网络访问 应限制对认知服务帐户的网络访问。 配置网络规则,使只有来自允许的网络的应用程序才能访问认知服务帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络或到公共 Internet IP 地址范围的流量授予访问权限。 Audit、Deny、Disabled 2.0.0
容器注册表不得允许无限制的网络访问 默认情况下,Azure 容器注册表接受来自任何网络上的主机的 Internet 连接。 为了防止注册表受到潜在的威胁,只允许来自特定的公共 IP 地址或地址范围的访问。 如果注册表没有 IP/防火墙规则或配置的虚拟网络,它将出现在不正常资源中。 有关容器注册表网络规则的详细信息,请访问 https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet Audit、Deny、Disabled 1.1.0
应限制对存储帐户的网络访问 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 Audit、Deny、Disabled 1.1.1
子网应与网络安全组关联 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 AuditIfNotExists、Disabled 3.0.0

19.1.23 网关测试

ID:NZISM 安全基准 GS-5 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在面向 Internet 的虚拟机上应用自适应网络强化建议 Azure 安全中心会分析面向虚拟机的 Internet 的流量模式,并提供可减小潜在攻击面的网络安全组规则建议 AuditIfNotExists、Disabled 3.0.0

数据管理

20.4.4 数据库文件

ID:NZISM 安全基准 DM-6 所有权:客户

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 审核没有高级数据安全的 SQL 服务器 AuditIfNotExists、Disabled 2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 审核所有未启用高级数据安全的 SQL 托管实例。 AuditIfNotExists、Disabled 1.0.2

后续步骤

有关 Azure Policy 的其他文章: