你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 备份的 Azure Policy 法规遵从性控制措施
Azure Policy 中的法规遵从性为与不同合规性标准相关的“合规性域”和“安全控制”提供由 Microsoft 创建和管理的计划定义,称为“内置项” 。 此页列出 Azure 密钥保管库的“符合域”和“安全控制措施”。 可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
重要
每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的“符合”仅指策略本身。 这并不能确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 对于这些合规性标准,控件与 Azure Policy 法规合规性定义之间的关联可能会随时间的推移而发生变化。
CIS Microsoft Azure 基础基准检验 1.1.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - CIS Microsoft Azure 基础基准 1.1.0。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 5 日志记录和监视 | 5.1.7 | 确保 Azure KeyVault 日志记录设置为“已启用” | 应启用 Azure Key Vault 托管 HSM 中的资源日志 | 1.1.0 |
| 5 日志记录和监视 | 5.1.7 | 确保 Azure KeyVault 日志记录设置为“已启用” | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 8 其他安全注意事项 | 8.4 | 确保 Key Vault 可恢复 | Azure Key Vault 托管的 HSM 应启用清除保护 | 1.0.0 |
| 8 其他安全注意事项 | 8.4 | 确保 Key Vault 可恢复 | Key Vault 应启用删除保护 | 2.1.0 |
CIS Microsoft Azure 基础基准检验 1.3.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - CIS Microsoft Azure 基础基准 1.3.0。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 5 日志记录和监视 | 5.1.5 | 确保 Azure KeyVault 日志记录设置为“已启用” | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 5 日志记录和监视 | 5.3 | 确保已为所有支持诊断日志的服务启用了诊断日志。 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 8 其他安全注意事项 | 8.4 | 确保 Key Vault 可恢复 | Key Vault 应启用删除保护 | 2.1.0 |
CIS Microsoft Azure 基础基准 1.4.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 CIS v1.4.0 的 Azure Policy 合规性详细信息。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 5 日志记录和监视 | 5.1.5 | 确保 Azure KeyVault 日志记录设置为“已启用” | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 5 日志记录和监视 | 5.3 | 确保为支持诊断日志的所有服务启用诊断日志。 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 8 其他安全注意事项 | 8.6 | 确保 Key Vault 可恢复 | Key Vault 应启用删除保护 | 2.1.0 |
CIS Microsoft Azure 基础基准检验 2.0.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 CIS v2.0.0 的 Azure Policy 合规性详细信息。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 5.1 | 5.1.5 | 确保将 Azure 密钥保管库日志记录设置为“已启用” | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 5 | 5.4 | 确保为支持 Azure Monitor 资源日志记录功能的所有服务启用该功能 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 8 | 8.5 | 确保密钥保管库可恢复 | Key Vault 应启用删除保护 | 2.1.0 |
| 8 | 8.5 | 确保密钥保管库可恢复 | 密钥保管库应启用软删除 | 3.0.0 |
| 8 | 8.6 | 为 Azure 密钥保管库启用基于角色的访问控制 | Azure Key Vault 应使用 RBAC 权限模型 | 1.0.1 |
| 8 | 8.7 | 确保专用终结点用于 Azure 密钥保管库 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
CMMC 级别 3
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - CMMC 级别 3。 有关此合规性标准的详细信息,请参阅网络安全成熟度模型认证 (CMMC)。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 配置管理 | CM.2.064 | 为组织系统中使用的信息技术产品建立和实施安全配置设置。 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 事件响应 | IR.2.093 | 检测和报告事件。 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 系统和通信保护 | SC.3.187 | 为组织系统中使用的加密技术建立加密密钥并进行管理。 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 系统和通信保护 | SC.3.187 | 为组织系统中使用的加密技术建立加密密钥并进行管理。 | Key Vault 应启用删除保护 | 2.1.0 |
| 系统和通信保护 | SC.3.187 | 为组织系统中使用的加密技术建立和管理加密密钥。 | 密钥保管库应启用软删除 | 3.0.0 |
FedRAMP 高
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP High。 有关此合规性标准的详细信息,请参阅 FedRAMP High。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-4 | 信息流强制 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 访问控制 | AC-4 | 信息流强制 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 访问控制 | AC-17 | 远程访问 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 访问控制 | AC-17 (1) | 自动监视/控制 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 审核和责任 | AU-6 (4) | 集中评审和分析 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 审核和责任 | AU-6 (5) | 集成/扫描和监视功能 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 审核和责任 | AU-12 | 审核生成 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 审核和责任 | AU-12 (1) | 系统范围/时间相关的审核线索 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 应变规划 | CP-9 | 信息系统备份 | Key Vault 应启用删除保护 | 2.1.0 |
| 应变规划 | CP-9 | 信息系统备份 | 密钥保管库应启用软删除 | 3.0.0 |
| 系统和通信保护 | SC-7 | 边界保护 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 系统和通信保护 | SC-7 | 边界保护 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 系统和通信保护 | SC-7 (3) | 接入点 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 系统和通信保护 | SC-7 (3) | 接入点 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
FedRAMP 中等
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP Moderate。 有关此合规性标准的详细信息,请参阅 FedRAMP Moderate。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-4 | 信息流强制 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 访问控制 | AC-4 | 信息流强制 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 访问控制 | AC-17 | 远程访问 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 访问控制 | AC-17 (1) | 自动监视/控制 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 审核和责任 | AU-12 | 审核生成 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 应变规划 | CP-9 | 信息系统备份 | Key Vault 应启用删除保护 | 2.1.0 |
| 应变规划 | CP-9 | 信息系统备份 | 密钥保管库应启用软删除 | 3.0.0 |
| 系统和通信保护 | SC-7 | 边界保护 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 系统和通信保护 | SC-7 | 边界保护 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 系统和通信保护 | SC-7 (3) | 接入点 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 系统和通信保护 | SC-7 (3) | 接入点 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
HIPAA HITRUST 9.2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - HIPAA HITRUST 9.2。 有关此合规性标准的详细信息,请参阅 HIPAA HITRUST 9.2。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 08 网络保护 | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 网络访问控制 | Key Vault 应使用虚拟网络服务终结点 | 1.0.0 |
| 08 网络保护 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 网络访问控制 | Key Vault 应使用虚拟网络服务终结点 | 1.0.0 |
| 08 网络保护 | 0865.09m2Organizational.13-09.m | 0865.09m2Organizational.13-09.m 09.06 网络安全管理 | Key Vault 应使用虚拟网络服务终结点 | 1.0.0 |
| 08 网络保护 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 网络访问控制 | Key Vault 应使用虚拟网络服务终结点 | 1.0.0 |
| 12 审核日志记录和监视 | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 监视 | 应启用 Azure Key Vault 托管 HSM 中的资源日志 | 1.1.0 |
| 12 审核日志记录和监视 | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 监视 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 16 业务连续性和灾难恢复 | 1635.12b1Organizational.2-12.b | 1635.12b1Organizational.2-12.b 12.01 业务连续性管理的信息安全方面 | Azure Key Vault 托管的 HSM 应启用清除保护 | 1.0.0 |
| 16 业务连续性和灾难恢复 | 1635.12b1Organizational.2-12.b | 1635.12b1Organizational.2-12.b 12.01 业务连续性管理的信息安全方面 | Key Vault 应启用删除保护 | 2.1.0 |
Microsoft 云安全基准
Microsoft Cloud 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Microsoft Cloud 安全基准,请参阅 Azure 安全基准映射文件。
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - Microsoft Cloud 安全基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 网络安全 | NS-2 | 使用网络控制保护云服务 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 网络安全 | NS-2 | 使用网络控制保护云服务 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 数据保护 | DP-8 | 确保密钥和证书存储库的安全性 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 数据保护 | DP-8 | 确保密钥和证书存储库的安全性 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 数据保护 | DP-8 | 确保密钥和证书存储库的安全性 | Key Vault 应启用删除保护 | 2.1.0 |
| 数据保护 | DP-8 | 确保密钥和证书存储库的安全性 | 密钥保管库应启用软删除 | 3.0.0 |
| 数据保护 | DP-8 | 确保密钥和证书存储库的安全性 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 日志记录和威胁检测 | LT-3 | 启用日志记录以进行安全调查 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
NIST SP 800-171 R2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-171 R2。 有关此符合性标准的详细信息,请参阅 NIST SP 800-171 R2。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 访问控制 | 3.1.12 | 监视和控制远程访问会话。 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 访问控制 | 3.1.13 | 采用加密机制来保护远程访问会话的机密性。 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 访问控制 | 3.1.14 | 通过托管的访问控制点路由远程访问。 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 媒体保护 | 3.8.9 | 保护位于存储位置的备份 CUI 的机密性。 | Key Vault 应启用删除保护 | 2.1.0 |
| 媒体保护 | 3.8.9 | 保护位于存储位置的备份 CUI 的机密性。 | 密钥保管库应启用软删除 | 3.0.0 |
NIST SP 800-53 修订版 4
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - NIST SP 800-53 修订版 4。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 4。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-4 | 信息流强制 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 访问控制 | AC-4 | 信息流强制 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 访问控制 | AC-17 | 远程访问 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 访问控制 | AC-17 (1) | 自动监视/控制 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 审核和责任 | AU-6 (4) | 集中评审和分析 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 审核和责任 | AU-6 (5) | 集成/扫描和监视功能 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 审核和责任 | AU-12 | 审核生成 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 审核和责任 | AU-12 (1) | 系统范围/时间相关的审核线索 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 应变规划 | CP-9 | 信息系统备份 | Key Vault 应启用删除保护 | 2.1.0 |
| 应变规划 | CP-9 | 信息系统备份 | 密钥保管库应启用软删除 | 3.0.0 |
| 系统和通信保护 | SC-7 | 边界保护 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 系统和通信保护 | SC-7 | 边界保护 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 系统和通信保护 | SC-7 (3) | 接入点 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 系统和通信保护 | SC-7 (3) | 接入点 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
NIST SP 800-53 Rev. 5
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-53 Rev. 5。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 5。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-4 | 信息流强制 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 访问控制 | AC-4 | 信息流强制 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 访问控制 | AC-17 | 远程访问 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 访问控制 | AC-17 (1) | 监视和控制 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 审核和责任 | AU-6 (4) | 中心评审和分析 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 审核和责任 | AU-6 (5) | 审核记录集成分析 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 审核和责任 | AU-12 | 审核记录生成 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 审核和责任 | AU-12 (1) | 系统范围和时间相关的审核跟踪 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 应变规划 | CP-9 | 系统备份 | Key Vault 应启用删除保护 | 2.1.0 |
| 应变规划 | CP-9 | 系统备份 | 密钥保管库应启用软删除 | 3.0.0 |
| 系统和通信保护 | SC-7 | 边界保护 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 系统和通信保护 | SC-7 | 边界保护 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 系统和通信保护 | SC-7 (3) | 接入点 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 系统和通信保护 | SC-7 (3) | 接入点 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
NL BIO 云主题
若要查看所有 Azure 服务内置的可用 Azure Policy 如何映射到此合规性标准,请参阅 NL BIO 云主题的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅基线信息安全政府网络安全 - 数字政府 (digitaleoverheid.nl)。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| U.04.1 数据和云服务恢复 - 还原功能 | U.04.1 | 数据与云服务在商定的时间段内和发生最大数据丢失时还原,并提供给 CSC。 | Key Vault 应启用删除保护 | 2.1.0 |
| U.04.1 数据和云服务恢复 - 还原功能 | U.04.1 | 数据与云服务在商定的时间段内和发生最大数据丢失时还原,并提供给 CSC。 | 密钥保管库应启用软删除 | 3.0.0 |
| U.04.2 数据和云服务恢复 - 还原功能 | U.04.2 | 监视可恢复的数据保护的持续过程。 | Key Vault 应启用删除保护 | 2.1.0 |
| U.04.2 数据和云服务恢复 - 还原功能 | U.04.2 | 监视可恢复的数据保护的持续过程。 | 密钥保管库应启用软删除 | 3.0.0 |
| U.04.3 数据和云服务恢复 - 已测试 | U.04.3 | 定期测试恢复功能的功能,结果与 CSC 共享。 | Key Vault 应启用删除保护 | 2.1.0 |
| U.04.3 数据和云服务恢复 - 已测试 | U.04.3 | 定期测试恢复功能的功能,结果与 CSC 共享。 | 密钥保管库应启用软删除 | 3.0.0 |
| U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| U.15.1 日志记录和监视 - 记录的事件 | U.15.1 | CSP 和 CSC 记录违反策略规则的情况。 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
印度储备银行 - 面向 NBFC 的 IT 框架
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 印度储备银行 - 面向 NBFC 的 IT 框架。 有关此合规性标准的详细信息,请参阅印度储备银行 - 面向 NBFC 的 IT 框架。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 信息和网络安全 | 3.1.h | 公钥基础结构 (PKI)-3.1 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 信息和网络安全 | 3.1.h | 公钥基础结构 (PKI)-3.1 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| 信息和网络安全 | 3.1.h | 公钥基础结构 (PKI)-3.1 | Key Vault 应启用删除保护 | 2.1.0 |
| 信息和网络安全 | 3.1.h | 公钥基础结构 (PKI)-3.1 | 密钥保管库应启用软删除 | 3.0.0 |
印度储备银行面向银行的 IT 框架 v2016
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - RBI ITF Banks v2016。 有关此合规性标准的详细信息,请参阅 RBI ITF Banks v2016 (PDF)。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 补丁/漏洞和变更管理 | 补丁/漏洞和变更管理-7.7 | Azure Key Vault 应启用防火墙 | 3.2.1 | |
| 补丁/漏洞和变更管理 | 补丁/漏洞和变更管理-7.7 | Azure 密钥保管库应使用专用链接 | 1.2.1 | |
| 指标 | 指标-21.1 | Key Vault 应启用删除保护 | 2.1.0 | |
| 指标 | 指标-21.1 | 密钥保管库应启用软删除 | 3.0.0 | |
| 审核日志的维护、监视和分析 | 审核日志的维护、监视和分析-16.3 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
马来西亚 RMIT
若要查看可供所有 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - 马来西亚 RMIT。 有关此合规性标准的详细信息,请参阅马来西亚 RMIT。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 加密 | 10.16 | 加密 - 10.16 | Azure Key Vault 托管的 HSM 应启用清除保护 | 1.0.0 |
| 密码 | 10.16 | 加密 - 10.16 | Key Vault 应启用删除保护 | 2.1.0 |
| 密码 | 10.16 | 加密 - 10.16 | 密钥保管库应启用软删除 | 3.0.0 |
| 加密 | 10.19 | 加密- 10.19 | Key Vault 应使用虚拟网络服务终结点 | 1.0.0 |
| 数字服务的安全性 | 10.66 | 数字服务的安全性 - 10.66 | 将 Key Vault 的诊断设置部署到 Log Analytics 工作区 | 3.0.0 |
| 数字服务的安全性 | 10.66 | 数字服务的安全性 - 10.66 | 应启用 Azure Key Vault 托管 HSM 中的资源日志 | 1.1.0 |
| 数字服务的安全性 | 10.66 | 数字服务的安全性 - 10.66 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
| 数据丢失防护 (DLP) | 11.15 | 数据丢失防护 (DLP) - 11.15 | Azure Key Vault 托管的 HSM 应启用清除保护 | 1.0.0 |
| 数据丢失防护 (DLP) | 11.15 | 数据丢失防护 (DLP) - 11.15 | Key Vault 应启用删除保护 | 2.1.0 |
| 数据丢失防护 (DLP) | 11.15 | 数据丢失防护 (DLP) - 11.15 | 密钥保管库应启用软删除 | 3.0.0 |
SWIFT CSP-CSCF v2021
要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅针对 SWIFT CSP-CSCF v2021 的 Azure Policy 法规合规性详细信息。 有关此合规性标准的详细信息,请参阅 SWIFT CSP CSCF v2021。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| SWIFT 环境保护 | 1.1 | SWIFT 环境保护 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| SWIFT 环境保护 | 1.1 | SWIFT 环境保护 | Azure 密钥保管库应使用专用链接 | 1.2.1 |
| SWIFT 环境保护 | 1.1 | SWIFT 环境保护 | Key Vault 应使用虚拟网络服务终结点 | 1.0.0 |
| 管理标识和分离权限 | 5.4 | 物理和逻辑密码存储 | Key Vault 应启用删除保护 | 2.1.0 |
| 检测系统或事务记录的异常活动 | 6.4 | 日志记录和监视 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
SWIFT CSP-CSCF v2022
要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅《适用于 SWIFT CSP-CSCF v2022 的 Azure Policy 法规合规性详细信息》。 有关此合规性标准的详细信息,请参阅 SWIFT CSP-CSCF v2022。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.1 | 确保保护用户的本地 SWIFT 基础结构免受常规 IT 环境和外部环境的潜在受损元素的侵害。 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.1 | 确保保护用户的本地 SWIFT 基础结构免受常规 IT 环境和外部环境的潜在受损元素的侵害。 | Key Vault 应使用虚拟网络服务终结点 | 1.0.0 |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.5A | 确保对客户的连接基础结构进行保护,以免受外部环境和常规 IT 环境的潜在被盗用元素的侵害。 | Azure Key Vault 应启用防火墙 | 3.2.1 |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.5A | 确保对客户的连接基础结构进行保护,以免受外部环境和常规 IT 环境的潜在被盗用元素的侵害。 | Key Vault 应使用虚拟网络服务终结点 | 1.0.0 |
| 5.管理标识和分离权限 | 5.4 | 以物理和逻辑方式保护已记录密码的存储库。 | Key Vault 应启用删除保护 | 2.1.0 |
| 6.检测系统或事务记录的异常活动 | 6.4 | 记录安全事件并检测本地 SWIFT 环境中的异常操作和运营。 | 应启用 Key Vault 中的资源日志 | 5.0.0 |
系统和组织控制 (SOC) 2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅适用于系统和组织控制 (SOC) 2 的 Azure Policy 法规合规性详细信息。 有关此合规性标准的详细信息,请参阅系统和组织控制 (SOC) 2。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | Key Vault 应启用删除保护 | 2.1.0 |
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 密钥保管库应启用软删除 | 3.0.0 |
后续步骤
- 详细了解 Azure Policy 法规符合性。
- 在 Azure Policy GitHub 存储库中查看这些内置项。