你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 存储的 Azure Policy 法规遵从性控制措施
Azure Policy 中的法规遵从性为与不同合规性标准相关的“合规性域”和“安全控制”提供由 Microsoft 创建和管理的计划定义,称为“内置项” 。 此页列出 Azure 存储的“符合域”和“安全控制措施”。 可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
重要
每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的“符合”仅指策略本身。 这并不能确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 对于这些合规性标准,控件与 Azure Policy 法规合规性定义之间的关联可能会随时间的推移而发生变化。
澳大利亚政府 ISM PROTECTED
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 澳大利亚政府 ISM PROTECTED。 有关此合规性标准的详细信息,请参阅澳大利亚政府 ISM PROTECTED。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 网络指南 - 网络设计和配置 | 520 | 网络访问控件 - 520 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 网络指南 - 网络设计和配置 | 1182 | 网络访问控件 - 1182 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 数据库系统指导原则 - 数据库服务器 | 1277 | 数据库服务器和 Web 服务器之间的通信 - 1277 | 应启用安全传输到存储帐户 | 2.0.0 |
| 系统强化指导原则 - 身份验证强化 | 1546 | 向系统进行身份验证 - 1546 | 应限制对存储帐户的网络访问 | 1.1.1 |
加拿大联邦 PBMM
若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - 加拿大联邦 PBMM。 有关此合规性标准的详细信息,请参阅加拿大联邦 PBMM。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-17(1) | 远程访问 | 自动监视/控制 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 系统和通信保护 | SC-7 | 边界保护 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 系统和通信保护 | SC-8(1) | 传输保密性和完整性 | 加密或备用物理保护 | 应启用安全传输到存储帐户 | 2.0.0 |
CIS Microsoft Azure 基础基准检验 1.1.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - CIS Microsoft Azure 基础基准 1.1.0。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 3 存储帐户 | 3.1 | 确保“需要安全传输”设置为“已启用” | 应启用安全传输到存储帐户 | 2.0.0 |
| 3 存储帐户 | 3.6 | 确保为 Blob 容器将“公共访问级别”设置为“专用” | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 3 存储帐户 | 3.7 | 确保将针对存储帐户的默认网络访问规则设置为“拒绝” | 应限制对存储帐户的网络访问 | 1.1.1 |
| 3 存储帐户 | 3.8 | 确保启用“受信任的 Microsoft 服务”来访问存储帐户 | 存储帐户应允许从受信任的 Microsoft 服务进行访问 | 1.0.0 |
| 5 日志记录和监视 | 5.1.5 | 确保存储活动日志的存储容器不可公开访问 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 5 日志记录和监视 | 5.1.6 | 确保使用 BYOK(使用自己的密钥)对存储帐户(包含的容器具有活动日志)加密 | 必须使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密 | 1.0.0 |
CIS Microsoft Azure 基础基准检验 1.3.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - CIS Microsoft Azure 基础基准 1.3.0。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 3 存储帐户 | 3.1 | 确保“需要安全传输”设置为“已启用” | 应启用安全传输到存储帐户 | 2.0.0 |
| 3 存储帐户 | 3.5 | 确保为 Blob 容器将“公共访问级别”设置为“专用” | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 3 存储帐户 | 3.6 | 确保将针对存储帐户的默认网络访问规则设置为“拒绝” | 应限制对存储帐户的网络访问 | 1.1.1 |
| 3 存储帐户 | 3.6 | 确保将针对存储帐户的默认网络访问规则设置为“拒绝” | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| 3 存储帐户 | 3.7 | 确保启用“受信任的 Microsoft 服务”来访问存储帐户 | 存储帐户应允许从受信任的 Microsoft 服务进行访问 | 1.0.0 |
| 3 存储帐户 | 3.9 | 确保使用客户管理的密钥对关键数据的存储进行加密 | 存储帐户应使用客户管理的密钥进行加密 | 1.0.3 |
| 5 日志记录和监视 | 5.1.3 | 确保存储活动日志的存储容器不可公开访问 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 5 日志记录和监视 | 5.1.4 | 确保使用 BYOK(使用自己的密钥)对存储帐户(包含的容器具有活动日志)加密 | 必须使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密 | 1.0.0 |
CIS Microsoft Azure 基础基准 1.4.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 CIS v1.4.0 的 Azure Policy 合规性详细信息。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 3 存储帐户 | 3.1 | 确保“需要安全传输”设置为“已启用” | 应启用安全传输到存储帐户 | 2.0.0 |
| 3 存储帐户 | 3.5 | 确保为 Blob 容器将“公共访问级别”设置为“专用” | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 3 存储帐户 | 3.6 | 确保将针对存储帐户的默认网络访问规则设置为“拒绝” | 应限制对存储帐户的网络访问 | 1.1.1 |
| 3 存储帐户 | 3.6 | 确保将针对存储帐户的默认网络访问规则设置为“拒绝” | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| 3 存储帐户 | 3.7 | 确保为存储帐户访问启用“受信任的 Microsoft 服务” | 存储帐户应允许从受信任的 Microsoft 服务进行访问 | 1.0.0 |
| 3 存储帐户 | 3.9 | 确保使用客户管理的密钥对关键数据的存储进行加密 | 存储帐户应使用客户管理的密钥进行加密 | 1.0.3 |
| 5 日志记录和监视 | 5.1.3 | 确保存储活动日志的存储容器不可公开访问 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 5 日志记录和监视 | 5.1.4 | 确保使用 BYOK(使用自己的密钥)对存储帐户(包含的容器具有活动日志)加密 | 必须使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密 | 1.0.0 |
CIS Microsoft Azure 基础基准检验 2.0.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 CIS v2.0.0 的 Azure Policy 合规性详细信息。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 3 | 3.1 | 确保“需要安全传输”设置为“已启用” | 应启用安全传输到存储帐户 | 2.0.0 |
| 3 | 3.10 | 确保使用专用终结点访问存储帐户 | 存储帐户应使用专用链接 | 2.0.0 |
| 3 | 3.12 | 确保使用客户管理的密钥对关键数据的存储进行加密 | 存储帐户应使用客户管理的密钥进行加密 | 1.0.3 |
| 3 | 3.15 | 确保将存储账户的“最低 TLS 版本”设置为“版本 1.2” | 存储帐户应具有指定的最低 TLS 版本 | 1.0.0 |
| 3 | 3.2 | 确保将 Azure 存储中每个存储帐户的“启用基础结构加密”设置为“已启用” | 存储帐户应具有基础结构加密 | 1.0.0 |
| 3 | 3.7 | 确保为具有 Blob 容器的存储帐户禁用“公共访问级别” | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 3 | 3.8 | 确保将针对存储帐户的默认网络访问规则设置为“拒绝” | 应限制对存储帐户的网络访问 | 1.1.1 |
| 3 | 3.8 | 确保将针对存储帐户的默认网络访问规则设置为“拒绝” | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| 3 | 3.9 | 确保为存储帐户访问启用“允许受信任服务列表中的 Azure 服务访问此存储帐户” | 存储帐户应允许从受信任的 Microsoft 服务进行访问 | 1.0.0 |
| 5.1 | 5.1.3 | 确保存储活动日志的存储容器不可公开访问 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 5.1 | 5.1.4 | 确保使用客户管理的密钥加密包含带有活动日志的容器的存储帐户 | 必须使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密 | 1.0.0 |
CMMC 级别 3
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - CMMC 级别 3。 有关此合规性标准的详细信息,请参阅网络安全成熟度模型认证 (CMMC)。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 存储帐户应允许从受信任的 Microsoft 服务进行访问 | 1.0.0 |
| 访问控制 | AC.1.001 | 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | 应启用安全传输到存储帐户 | 2.0.0 |
| 访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | 存储帐户应允许从受信任的 Microsoft 服务进行访问 | 1.0.0 |
| 访问控制 | AC.1.002 | 仅限授权用户有权执行的事务和函数类型访问信息系统。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 访问控制 | AC.2.013 | 监视和控制远程访问会话。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 访问控制 | AC.2.016 | 根据批准的授权控制 CUI 流。 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 访问控制 | AC.2.016 | 根据批准的授权控制 CUI 流。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 配置管理 | CM.3.068 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 事件响应 | IR.2.093 | 检测和报告事件。 | 在存储帐户上部署 Defender for Storage(经典) | 1.0.1 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应启用安全传输到存储帐户 | 2.0.0 |
| 系统和通信保护 | SC.1.175 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 系统和通信保护 | SC.1.176 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 系统和通信保护 | SC.3.177 | 采用经 FIPS 验证的加密系统来保护 CUI 的机密性。 | 存储帐户应具有基础结构加密 | 1.0.0 |
| 系统和通信保护 | SC.3.177 | 采用经 FIPS 验证的加密系统来保护 CUI 的机密性。 | 存储帐户应使用客户管理的密钥进行加密 | 1.0.3 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 存储帐户应允许从受信任的 Microsoft 服务进行访问 | 1.0.0 |
| 系统和通信保护 | SC.3.183 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 系统和通信保护 | SC.3.185 | 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 | 应启用安全传输到存储帐户 | 2.0.0 |
| 系统和通信保护 | SC.3.185 | 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 系统和通信保护 | SC.3.191 | 保护静态 CUI 的机密性。 | 存储帐户应具有基础结构加密 | 1.0.0 |
| 系统和通信保护 | SC.3.191 | 保护静态 CUI 的机密性。 | 应限制对存储帐户的网络访问 | 1.1.1 |
FedRAMP 高
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP High。 有关此合规性标准的详细信息,请参阅 FedRAMP High。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-3 | 执法机构 | 存储帐户应迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| 访问控制 | AC-4 | 信息流强制 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 访问控制 | AC-4 | 信息流强制 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 访问控制 | AC-4 | 信息流强制 | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| 访问控制 | AC-4 | 信息流强制 | 存储帐户应使用专用链接 | 2.0.0 |
| 访问控制 | AC-17 | 远程访问 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 访问控制 | AC-17 | 远程访问 | 存储帐户应使用专用链接 | 2.0.0 |
| 访问控制 | AC-17 (1) | 自动化监视/控制 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 访问控制 | AC-17 (1) | 自动化监视/控制 | 存储帐户应使用专用链接 | 2.0.0 |
| 应变规划 | CP-6 | 备用存储站点 | 应为存储帐户启用异地冗余存储 | 1.0.0 |
| 应变规划 | CP-6 (1) | 从主站点分离 | 应为存储帐户启用异地冗余存储 | 1.0.0 |
| 系统和通信保护 | SC-7 | 边界保护 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 系统和通信保护 | SC-7 | 边界保护 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 系统和通信保护 | SC-7 | 边界保护 | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| 系统和通信保护 | SC-7 | 边界保护 | 存储帐户应使用专用链接 | 2.0.0 |
| 系统和通信保护 | SC-7 (3) | 接入点 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 系统和通信保护 | SC-7 (3) | 接入点 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 系统和通信保护 | SC-7 (3) | 接入点 | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| 系统和通信保护 | SC-7 (3) | 接入点 | 存储帐户应使用专用链接 | 2.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 应启用安全传输到存储帐户 | 2.0.0 |
| 系统和通信保护 | SC-8 (1) | 加密或备用物理保护 | 应启用安全传输到存储帐户 | 2.0.0 |
| 系统和通信保护 | SC-12 | 加密密钥建立和管理 | 存储帐户加密范围应使用客户管理的密钥对静态数据进行加密 | 1.0.0 |
| 系统和通信保护 | SC-12 | 加密密钥建立和管理 | 存储帐户应使用客户管理的密钥进行加密 | 1.0.3 |
| 系统和通信保护 | SC-28 | 保护静态信息 | 存储帐户应具有基础结构加密 | 1.0.0 |
| 系统和通信保护 | SC-28 (1) | 加密保护 | 存储帐户应具有基础结构加密 | 1.0.0 |
FedRAMP 中等
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP Moderate。 有关此合规性标准的详细信息,请参阅 FedRAMP Moderate。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-3 | 执法机构 | 存储帐户应迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| 访问控制 | AC-4 | 信息流强制 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 访问控制 | AC-4 | 信息流强制 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 访问控制 | AC-4 | 信息流强制 | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| 访问控制 | AC-4 | 信息流强制 | 存储帐户应使用专用链接 | 2.0.0 |
| 访问控制 | AC-17 | 远程访问 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 访问控制 | AC-17 | 远程访问 | 存储帐户应使用专用链接 | 2.0.0 |
| 访问控制 | AC-17 (1) | 自动化监视/控制 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 访问控制 | AC-17 (1) | 自动化监视/控制 | 存储帐户应使用专用链接 | 2.0.0 |
| 应变规划 | CP-6 | 备用存储站点 | 应为存储帐户启用异地冗余存储 | 1.0.0 |
| 应变规划 | CP-6 (1) | 从主站点分离 | 应为存储帐户启用异地冗余存储 | 1.0.0 |
| 系统和通信保护 | SC-7 | 边界保护 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 系统和通信保护 | SC-7 | 边界保护 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 系统和通信保护 | SC-7 | 边界保护 | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| 系统和通信保护 | SC-7 | 边界保护 | 存储帐户应使用专用链接 | 2.0.0 |
| 系统和通信保护 | SC-7 (3) | 接入点 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 系统和通信保护 | SC-7 (3) | 接入点 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 系统和通信保护 | SC-7 (3) | 接入点 | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| 系统和通信保护 | SC-7 (3) | 接入点 | 存储帐户应使用专用链接 | 2.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 应启用安全传输到存储帐户 | 2.0.0 |
| 系统和通信保护 | SC-8 (1) | 加密或备用物理保护 | 应启用安全传输到存储帐户 | 2.0.0 |
| 系统和通信保护 | SC-12 | 加密密钥建立和管理 | 存储帐户加密范围应使用客户管理的密钥对静态数据进行加密 | 1.0.0 |
| 系统和通信保护 | SC-12 | 加密密钥建立和管理 | 存储帐户应使用客户管理的密钥进行加密 | 1.0.3 |
| 系统和通信保护 | SC-28 | 保护静态信息 | 存储帐户应具有基础结构加密 | 1.0.0 |
| 系统和通信保护 | SC-28 (1) | 加密保护 | 存储帐户应具有基础结构加密 | 1.0.0 |
HIPAA HITRUST 9.2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - HIPAA HITRUST 9.2。 有关此合规性标准的详细信息,请参阅 HIPAA HITRUST 9.2。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 识别与外部各方相关的风险 | 1401.05i1Organizational.1239 - 05.i | 在进行了尽职调查、实施了适当的控制措施,并且签署了反映安全要求的合同/协议(确认外部各方理解并接受其义务)之前,不允许外部各方访问组织信息和系统。 | 应启用安全传输到存储帐户 | 2.0.0 |
| 08 网络保护 | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 网络访问控制 | 存储帐户应使用虚拟网络服务终结点 | 1.0.0 |
| 08 网络保护 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 网络访问控制 | 存储帐户应使用虚拟网络服务终结点 | 1.0.0 |
| 08 网络保护 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 网络访问控制 | 应启用安全传输到存储帐户 | 2.0.0 |
| 08 网络保护 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 网络访问控制 | 应启用安全传输到存储帐户 | 2.0.0 |
| 08 网络保护 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 网络访问控制 | 应启用安全传输到存储帐户 | 2.0.0 |
| 08 网络保护 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 网络访问控制 | 应启用安全传输到存储帐户 | 2.0.0 |
| 08 网络保护 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 网络访问控制 | 应启用安全传输到存储帐户 | 2.0.0 |
| 08 网络保护 | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 网络安全管理 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 08 网络保护 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 网络访问控制 | 存储帐户应使用虚拟网络服务终结点 | 1.0.0 |
| 网络控制 | 0867.09m3Organizational.17 - 09.m | 无线访问点位于安全区域中,并在未使用时(例如晚上、周末)处于关闭状态。 | 存储帐户应使用虚拟网络服务终结点 | 1.0.0 |
| 09 传输保护 | 0943.09y1Organizational.1-09.y | 0943.09y1Organizational.1-09.y 09.09 电子商务服务 | 应启用安全传输到存储帐户 | 2.0.0 |
IRS 1075 2016 年 9 月
若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - IRS 1075 2016 年 9 月版。 有关此合规性标准的详细信息,请参阅 IRS 1075 2016 年 9 月版。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | 9.3.1.12 | 远程访问 (AC-17) | 应限制对存储帐户的网络访问 | 1.1.1 |
| 系统和通信保护 | 9.3.16.5 | 边界保护 (SC-7) | 应限制对存储帐户的网络访问 | 1.1.1 |
| 系统和通信保护 | 9.3.16.6 | 传输保密性和完整性 (SC-8) | 应启用安全传输到存储帐户 | 2.0.0 |
ISO 27001:2013
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - ISO 27001:2013。 有关此合规性标准的详细信息,请参阅 ISO 27001:2013。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 加密 | 10.1.1 | 有关使用加密控制措施的策略 | 应启用安全传输到存储帐户 | 2.0.0 |
| 通信安全 | 13.1.1 | 网络控制措施 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 通信安全 | 13.2.1 | 信息传输策略和过程 | 应启用安全传输到存储帐户 | 2.0.0 |
| 访问控制 | 9.1.2 | 访问网络和网络服务 | 存储帐户应迁移到新的 Azure 资源管理器资源 | 1.0.0 |
Microsoft Cloud for Sovereignty 基线机密政策
要查看所有 Azure 服务的可用 Azure Policy 内置内容与此合规性标准的映射关系,请参阅 MCfS Sovereignty 基线机密政策的 Azure Policy 法规合规性详细信息。 有关此合规性标准的详细信息,请参阅 Microsoft Cloud for Sovereignty 政策组合。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| SO.3 - 客户管理的密钥 | SO.3 | Azure 产品必须配置为尽可能使用客户管理的密钥。 | 队列存储应使用客户管理的密钥进行加密 | 1.0.0 |
| SO.3 - 客户管理的密钥 | SO.3 | Azure 产品必须配置为尽可能使用客户管理的密钥。 | 存储帐户加密范围应使用客户管理的密钥对静态数据进行加密 | 1.0.0 |
| SO.3 - 客户管理的密钥 | SO.3 | Azure 产品必须配置为尽可能使用客户管理的密钥。 | 存储帐户应使用客户管理的密钥进行加密 | 1.0.3 |
| SO.3 - 客户管理的密钥 | SO.3 | Azure 产品必须配置为尽可能使用客户管理的密钥。 | 表存储应使用客户管理的密钥进行加密 | 1.0.0 |
Microsoft 云安全基准
Microsoft Cloud 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Microsoft Cloud 安全基准,请参阅 Azure 安全基准映射文件。
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - Microsoft Cloud 安全基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 网络安全 | NS-2 | 使用网络控制保护云服务 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 网络安全 | NS-2 | 使用网络控制保护云服务 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 网络安全 | NS-2 | 使用网络控制保护云服务 | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| 网络安全 | NS-2 | 使用网络控制保护云服务 | 存储帐户应使用专用链接 | 2.0.0 |
| 标识管理 | IM-1 | 使用集中式标识和身份验证系统 | 存储帐户应阻止共享密钥访问 | 2.0.0 |
| 数据保护 | DP-3 | 加密传输中的敏感数据 | 应启用安全传输到存储帐户 | 2.0.0 |
| 数据保护 | DP-5 | 需要时在静态数据加密中使用客户管理的密钥选项 | 存储帐户应使用客户管理的密钥进行加密 | 1.0.3 |
| 资产管理 | AM-2 | 仅使用已批准的服务 | 存储帐户应迁移到新的 Azure 资源管理器资源 | 1.0.0 |
NIST SP 800-171 R2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-171 R2。 有关此符合性标准的详细信息,请参阅 NIST SP 800-171 R2。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 存储帐户应迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 存储帐户应使用专用链接 | 2.0.0 |
| 访问控制 | 3.1.12 | 监视和控制远程访问会话。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 访问控制 | 3.1.12 | 监视和控制远程访问会话。 | 存储帐户应使用专用链接 | 2.0.0 |
| 访问控制 | 3.1.13 | 采用加密机制来保护远程访问会话的机密性。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 访问控制 | 3.1.13 | 采用加密机制来保护远程访问会话的机密性。 | 存储帐户应使用专用链接 | 2.0.0 |
| 访问控制 | 3.1.14 | 通过托管的访问控制点路由远程访问。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 访问控制 | 3.1.14 | 通过托管的访问控制点路由远程访问。 | 存储帐户应使用专用链接 | 2.0.0 |
| 访问控制 | 3.1.2 | 仅限授权用户有权执行的事务和函数类型进行系统访问。 | 存储帐户应迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| 访问控制 | 3.1.3 | 根据批准的授权控制 CUI 流。 | 存储帐户应使用专用链接 | 2.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 存储帐户应使用专用链接 | 2.0.0 |
| 系统和通信保护 | 3.13.10 | 为组织系统中使用的加密技术建立加密密钥并进行管理。 | 存储帐户加密范围应使用客户管理的密钥对静态数据进行加密 | 1.0.0 |
| 系统和通信保护 | 3.13.10 | 为组织系统中使用的加密技术建立加密密钥并进行管理。 | 存储帐户应使用客户管理的密钥进行加密 | 1.0.3 |
| 系统和通信保护 | 3.13.16 | 保护静态 CUI 的机密性。 | 存储帐户应具有基础结构加密 | 1.0.0 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| 系统和通信保护 | 3.13.2 | 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 | 存储帐户应使用专用链接 | 2.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 存储帐户应使用专用链接 | 2.0.0 |
| 系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 系统和通信保护 | 3.13.6 | 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| 系统和通信保护 | 3.13.8 | 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 | 应启用安全传输到存储帐户 | 2.0.0 |
NIST SP 800-53 修订版 4
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - NIST SP 800-53 修订版 4。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 4。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-3 | 执法机构 | 存储帐户应迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| 访问控制 | AC-4 | 信息流强制 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 访问控制 | AC-4 | 信息流强制 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 访问控制 | AC-4 | 信息流强制 | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| 访问控制 | AC-4 | 信息流强制 | 存储帐户应使用专用链接 | 2.0.0 |
| 访问控制 | AC-17 | 远程访问 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 访问控制 | AC-17 | 远程访问 | 存储帐户应使用专用链接 | 2.0.0 |
| 访问控制 | AC-17 (1) | 自动化监视/控制 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 访问控制 | AC-17 (1) | 自动化监视/控制 | 存储帐户应使用专用链接 | 2.0.0 |
| 应变规划 | CP-6 | 备用存储站点 | 应为存储帐户启用异地冗余存储 | 1.0.0 |
| 应变规划 | CP-6 (1) | 从主站点分离 | 应为存储帐户启用异地冗余存储 | 1.0.0 |
| 系统和通信保护 | SC-7 | 边界保护 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 系统和通信保护 | SC-7 | 边界保护 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 系统和通信保护 | SC-7 | 边界保护 | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| 系统和通信保护 | SC-7 | 边界保护 | 存储帐户应使用专用链接 | 2.0.0 |
| 系统和通信保护 | SC-7 (3) | 接入点 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 系统和通信保护 | SC-7 (3) | 接入点 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 系统和通信保护 | SC-7 (3) | 接入点 | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| 系统和通信保护 | SC-7 (3) | 接入点 | 存储帐户应使用专用链接 | 2.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 应启用安全传输到存储帐户 | 2.0.0 |
| 系统和通信保护 | SC-8 (1) | 加密或备用物理保护 | 应启用安全传输到存储帐户 | 2.0.0 |
| 系统和通信保护 | SC-12 | 加密密钥建立和管理 | 存储帐户加密范围应使用客户管理的密钥对静态数据进行加密 | 1.0.0 |
| 系统和通信保护 | SC-12 | 加密密钥建立和管理 | 存储帐户应使用客户管理的密钥进行加密 | 1.0.3 |
| 系统和通信保护 | SC-28 | 保护静态信息 | 存储帐户应具有基础结构加密 | 1.0.0 |
| 系统和通信保护 | SC-28 (1) | 加密保护 | 存储帐户应具有基础结构加密 | 1.0.0 |
NIST SP 800-53 Rev. 5
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-53 Rev. 5。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 5。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | AC-3 | 执法机构 | 存储帐户应迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| 访问控制 | AC-4 | 信息流强制 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 访问控制 | AC-4 | 信息流强制 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 访问控制 | AC-4 | 信息流强制 | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| 访问控制 | AC-4 | 信息流强制 | 存储帐户应使用专用链接 | 2.0.0 |
| 访问控制 | AC-17 | 远程访问 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 访问控制 | AC-17 | 远程访问 | 存储帐户应使用专用链接 | 2.0.0 |
| 访问控制 | AC-17 (1) | 监视和控制 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 访问控制 | AC-17 (1) | 监视和控制 | 存储帐户应使用专用链接 | 2.0.0 |
| 应变规划 | CP-6 | 备用存储站点 | 应为存储帐户启用异地冗余存储 | 1.0.0 |
| 应变规划 | CP-6 (1) | 从主站点分离 | 应为存储帐户启用异地冗余存储 | 1.0.0 |
| 系统和通信保护 | SC-7 | 边界保护 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 系统和通信保护 | SC-7 | 边界保护 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 系统和通信保护 | SC-7 | 边界保护 | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| 系统和通信保护 | SC-7 | 边界保护 | 存储帐户应使用专用链接 | 2.0.0 |
| 系统和通信保护 | SC-7 (3) | 接入点 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| 系统和通信保护 | SC-7 (3) | 接入点 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 系统和通信保护 | SC-7 (3) | 接入点 | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| 系统和通信保护 | SC-7 (3) | 接入点 | 存储帐户应使用专用链接 | 2.0.0 |
| 系统和通信保护 | SC-8 | 传输保密性和完整性 | 应启用安全传输到存储帐户 | 2.0.0 |
| 系统和通信保护 | SC-8 (1) | 加密保护 | 应启用安全传输到存储帐户 | 2.0.0 |
| 系统和通信保护 | SC-12 | 加密密钥建立和管理 | 存储帐户加密范围应使用客户管理的密钥对静态数据进行加密 | 1.0.0 |
| 系统和通信保护 | SC-12 | 加密密钥建立和管理 | 存储帐户应使用客户管理的密钥进行加密 | 1.0.3 |
| 系统和通信保护 | SC-28 | 保护静态信息 | 存储帐户应具有基础结构加密 | 1.0.0 |
| 系统和通信保护 | SC-28 (1) | 加密保护 | 存储帐户应具有基础结构加密 | 1.0.0 |
NL BIO 云主题
若要查看所有 Azure 服务内置的可用 Azure Policy 如何映射到此合规性标准,请参阅 NL BIO 云主题的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅基线信息安全政府网络安全 - 数字政府 (digitaleoverheid.nl)。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| B.09.1 个人数据的隐私和保护 - 安全方面和阶段 | B.09.1 | 已采取可用性、完整性和保密性措施。 | 应启用安全传输到存储帐户 | 2.0.0 |
| U.05.1 数据保护 - 加密措施 | U.05.1 | 数据传输使用加密技术进行保护,其中密钥管理由 CSC 自行执行(如果可能)。 | 应启用安全传输到存储帐户 | 2.0.0 |
| U.05.2 数据保护 - 加密措施 | U.05.2 | 存储在云服务中的数据应受到最先进的保护。 | 存储帐户加密范围应使用客户管理的密钥对静态数据进行加密 | 1.0.0 |
| U.05.2 数据保护 - 加密措施 | U.05.2 | 存储在云服务中的数据应受到最先进的保护。 | 存储帐户应具有基础结构加密 | 1.0.0 |
| U.05.2 数据保护 - 加密措施 | U.05.2 | 存储在云服务中的数据应受到最先进的保护。 | 存储帐户应使用客户管理的密钥进行加密 | 1.0.3 |
| U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview |
| U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 |
| U.07.1 数据分离 - 隔离 | U.07.1 | 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 | 存储帐户应使用专用链接 | 2.0.0 |
| U.07.3 数据分离 - 管理功能 | U.07.3 | U.07.3 - 以受控方式授予查看或修改 CSC 数据和/或加密密钥的权限,并记录使用。 | 存储帐户应阻止共享密钥访问 | 2.0.0 |
| U.10.2 访问 IT 服务和数据 - 用户 | U.10.2 | 根据 CSP 的责任,向管理员授予访问权限。 | 存储帐户应迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| U.10.2 访问 IT 服务和数据 - 用户 | U.10.2 | 根据 CSP 的责任,向管理员授予访问权限。 | 存储帐户应阻止共享密钥访问 | 2.0.0 |
| U.10.3 访问 IT 服务和数据 - 用户 | U.10.3 | 只有拥有已进行身份验证的设备的用户才能访问 IT 服务和数据。 | 存储帐户应迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| U.10.3 访问 IT 服务和数据 - 用户 | U.10.3 | 只有拥有已进行身份验证的设备的用户才能访问 IT 服务和数据。 | 存储帐户应阻止共享密钥访问 | 2.0.0 |
| U.10.5 访问 IT 服务和数据 - 胜任 | U.10.5 | 对 IT 服务和数据的访问受技术措施的限制,并已实施。 | 存储帐户应迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| U.10.5 访问 IT 服务和数据 - 胜任 | U.10.5 | 对 IT 服务和数据的访问受技术措施的限制,并已实施。 | 存储帐户应阻止共享密钥访问 | 2.0.0 |
| U.11.1 加密服务 - 策略 | U.11.1 | 在加密策略中,至少已对符合 BIO 的主题进行了详细说明。 | 应启用安全传输到存储帐户 | 2.0.0 |
| U.11.2 加密服务 - 加密度量值 | U.11.2 | 对于 PKIoverheid 证书,请使用 PKIoverheid 要求进行密钥管理。 在其他情况下,请使用 ISO11770。 | 应启用安全传输到存储帐户 | 2.0.0 |
| U.11.3 加密服务 - 加密 | U.11.3 | 敏感数据始终使用 CSC 管理的私钥进行加密。 | 存储帐户加密范围应使用客户管理的密钥对静态数据进行加密 | 1.0.0 |
| U.11.3 加密服务 - 加密 | U.11.3 | 敏感数据始终使用 CSC 管理的私钥进行加密。 | 存储帐户应具有基础结构加密 | 1.0.0 |
| U.11.3 加密服务 - 加密 | U.11.3 | 敏感数据始终使用 CSC 管理的私钥进行加密。 | 存储帐户应使用客户管理的密钥进行加密 | 1.0.3 |
| U.12.1 接口 - 网络连接 | U.12.1 | 在外部或不受信任的区域的连接点上,采取防范攻击的措施。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| U.12.2 接口 - 网络连接 | U.12.2 | 网络组件使可信网络与不可信网络之间的网络连接受到限制。 | 应限制对存储帐户的网络访问 | 1.1.1 |
PCI DSS 3.2.1
若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 PCI DSS 3.2.1。 有关此合规性标准的详细信息,请参阅 PCI DSS 3.2.1。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 要求 1 | 1.3.2 | PCI DSS 要求 1.3.2 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 要求 1 | 1.3.4 | PCI DSS 要求 1.3.4 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 要求 10 | 10.5.4 | PCI DSS 要求 10.5.4 | 存储帐户应迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| 要求 3 | 3.4 | PCI DSS 要求 3.4 | 应启用安全传输到存储帐户 | 2.0.0 |
| 要求 4 | 4.1 | PCI DSS 要求 4.1 | 应启用安全传输到存储帐户 | 2.0.0 |
| 要求 6 | 6.5.3 | PCI DSS 要求 6.5.3 | 应启用安全传输到存储帐户 | 2.0.0 |
PCI DSS v4.0
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 PCI DSS v4.0 的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅 PCI DSS v4.0。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 要求 01:安装和维护网络安全控制 | 1.3.2 | 限制进出持卡人数据环境的网络访问 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 要求 01:安装和维护网络安全控制 | 1.4.2 | 控制受信任网络和不受信任网络之间的网络连接 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 要求 10:记录和监视对系统组件和持卡人数据的所有访问 | 10.2.2 | 实现审核日志以支持检测异常和可疑活动,以及对事件进行取证分析 | 存储帐户应迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| 要求 10:记录和监视对系统组件和持卡人数据的所有访问 | 10.3.3 | 保护审核日志,以免遭破坏和未经授权的修改 | 存储帐户应迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| 要求 03:保护存储的帐户数据 | 3.5.1 | 无论主帐号 (PAN) 存储在何处,都对其进行保护 | 应启用安全传输到存储帐户 | 2.0.0 |
| 要求 06:开发和维护安全系统及软件 | 6.2.4 | 以安全方式开发 Bespoke 和自定义软件 | 应启用安全传输到存储帐户 | 2.0.0 |
印度储备银行 - 面向 NBFC 的 IT 框架
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 印度储备银行 - 面向 NBFC 的 IT 框架。 有关此合规性标准的详细信息,请参阅印度储备银行 - 面向 NBFC 的 IT 框架。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 信息和网络安全 | 3.1.g | Trails-3.1 | 必须使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密 | 1.0.0 |
| 信息和网络安全 | 3.1.h | 公钥基础结构 (PKI)-3.1 | 应启用安全传输到存储帐户 | 2.0.0 |
| 信息和网络安全 | 3.1.h | 公钥基础结构 (PKI)-3.1 | 存储帐户加密范围应使用客户管理的密钥对静态数据进行加密 | 1.0.0 |
| 信息和网络安全 | 3.1.h | 公钥基础结构 (PKI)-3.1 | 存储帐户加密范围应对静态数据使用双重加密 | 1.0.0 |
| 信息和网络安全 | 3.1.h | 公钥基础结构 (PKI)-3.1 | 存储帐户应具有基础结构加密 | 1.0.0 |
| 信息和网络安全 | 3.1.h | 公钥基础结构 (PKI)-3.1 | 存储帐户应使用客户管理的密钥进行加密 | 1.0.3 |
印度储备银行面向银行的 IT 框架 v2016
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - RBI ITF Banks v2016。 有关此合规性标准的详细信息,请参阅 RBI ITF Banks v2016 (PDF)。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 补丁/漏洞和变更管理 | 补丁/漏洞和变更管理-7.7 | [预览]:应禁止存储帐户公共访问 | 3.1.0-preview | |
| 保护邮件和邮件系统 | 保护邮件和邮件系统-10.1 | 应启用安全传输到存储帐户 | 2.0.0 | |
| 高级实时威胁防御和管理 | 高级 Real-Timethreat Defenceand 管理-13.1 | 存储帐户应迁移到新的 Azure 资源管理器资源 | 1.0.0 | |
| 数据泄露防护策略 | 数据泄露防护策略-15.2 | 存储帐户应禁用公用网络访问 | 1.0.1 | |
| 补丁/漏洞和变更管理 | 补丁/漏洞和变更管理-7.7 | 应限制对存储帐户的网络访问 | 1.1.1 | |
| 补丁/漏洞和变更管理 | 补丁/漏洞和变更管理-7.7 | 存储帐户应使用虚拟网络规则来限制网络访问 | 1.0.1 | |
| 指标 | Metrics-21.1 | 存储帐户应使用客户管理的密钥进行加密 | 1.0.3 | |
| 补丁/漏洞和变更管理 | 补丁/漏洞和变更管理-7.7 | 存储帐户应使用专用链接 | 2.0.0 |
RMIT 马来西亚
若要查看可供所有 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - 马来西亚 RMIT。 有关此合规性标准的详细信息,请参阅马来西亚 RMIT。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 加密 | 10.16 | 加密 - 10.16 | 应启用安全传输到存储帐户 | 2.0.0 |
| 加密 | 10.16 | 加密 - 10.16 | 存储帐户应具有基础结构加密 | 1.0.0 |
| 网络复原能力 | 10.39 | 网络复原能力 - 10.39 | 存储帐户应使用虚拟网络服务终结点 | 1.0.0 |
| 云服务 | 10.51 | 云服务 - 10.51 | 应为存储帐户启用异地冗余存储 | 1.0.0 |
| 云服务 | 10.53 | 云服务 - 10.53 | 必须使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密 | 1.0.0 |
| 云服务 | 10.53 | 云服务 - 10.53 | 存储帐户应使用客户管理的密钥进行加密 | 1.0.3 |
| 访问控制 | 10.55 | 访问控制 - 10.55 | 存储帐户应允许从受信任的 Microsoft 服务进行访问 | 1.0.0 |
| 网络安全操作 | 11.5 | 网络安全操作 - 11.5 | 在存储帐户上部署 Defender for Storage(经典) | 1.0.1 |
SWIFT CSP-CSCF v2021
要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅针对 SWIFT CSP-CSCF v2021 的 Azure Policy 法规合规性详细信息。 有关此合规性标准的详细信息,请参阅 SWIFT CSP CSCF v2021。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| SWIFT 环境保护 | 1.1 | SWIFT 环境保护 | 应限制对存储帐户的网络访问 | 1.1.1 |
| SWIFT 环境保护 | 1.1 | SWIFT 环境保护 | 存储帐户应使用虚拟网络服务终结点 | 1.0.0 |
| 减少攻击面和漏洞 | 2.5A | 外部传输数据保护 | 应为存储帐户启用异地冗余存储 | 1.0.0 |
| 减少攻击面和漏洞 | 2.5A | 外部传输数据保护 | 应启用安全传输到存储帐户 | 2.0.0 |
SWIFT CSP-CSCF v2022
要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅《适用于 SWIFT CSP-CSCF v2022 的 Azure Policy 法规合规性详细信息》。 有关此合规性标准的详细信息,请参阅 SWIFT CSP-CSCF v2022。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.1 | 确保保护用户的本地 SWIFT 基础结构免受常规 IT 环境的潜在受攻击元素和外部环境的影响。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.1 | 确保保护用户的本地 SWIFT 基础结构免受常规 IT 环境的潜在受攻击元素和外部环境的影响。 | 存储帐户应使用虚拟网络服务终结点 | 1.0.0 |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.5A | 确保对客户的连接基础结构进行保护,使其免受外部环境和常规 IT 环境的潜在受攻击元素的影响。 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响 | 1.5A | 确保对客户的连接基础结构进行保护,使其免受外部环境和常规 IT 环境的潜在受攻击元素的影响。 | 存储帐户应使用虚拟网络服务终结点 | 1.0.0 |
| 2.减少攻击面和漏洞 | 2.5A | 外部传输数据保护 | 应为存储帐户启用异地冗余存储 | 1.0.0 |
| 2.减少攻击面和漏洞 | 2.5A | 外部传输数据保护 | 应启用安全传输到存储帐户 | 2.0.0 |
| 6.检测系统或事务记录的异常活动 | 6.4 | 记录安全事件并检测本地 SWIFT 环境中的异常操作和运营。 | 必须使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密 | 1.0.0 |
系统和组织控制 (SOC) 2
若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅适用于系统和组织控制 (SOC) 2 的 Azure Policy 法规合规性详细信息。 有关此合规性标准的详细信息,请参阅系统和组织控制 (SOC) 2。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 应启用安全传输到存储帐户 | 2.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 必须使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密 | 1.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.1 | 逻辑访问安全软件、基础结构和体系结构 | 存储帐户应使用客户管理的密钥进行加密 | 1.0.3 |
| 逻辑访问控制和物理访问控制 | CC6.6 | 针对系统边界之外的威胁的安全措施 | 应启用安全传输到存储帐户 | 2.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.7 | 限制信息向授权用户移动 | 应启用安全传输到存储帐户 | 2.0.0 |
| 逻辑访问控制和物理访问控制 | CC6.8 | 防止或检测未经授权的软件或恶意软件 | 存储帐户应允许从受信任的 Microsoft 服务进行访问 | 1.0.0 |
| 变更管理 | CC8.1 | 对基础结构、数据和软件的更改 | 存储帐户应允许从受信任的 Microsoft 服务进行访问 | 1.0.0 |
英国官方和英国 NHS
若要查看可供各项 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - UK OFFICIAL 和 UK NHS。 有关此合规性标准的详细信息,请参阅 UK OFFICIAL。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 传输中数据保护 | 1 | 传输中数据保护 | 应启用安全传输到存储帐户 | 2.0.0 |
| 标识和身份验证 | 10 | 标识和身份验证 | 存储帐户应迁移到新的 Azure 资源管理器资源 | 1.0.0 |
| 外部接口保护 | 11 | 外部接口保护 | 应限制对存储帐户的网络访问 | 1.1.1 |
| 运营安全 | 5.3 | 保护监视 | 应限制对存储帐户的网络访问 | 1.1.1 |
后续步骤
- 详细了解 Azure Policy 法规符合性。
- 在 Azure Policy GitHub 存储库中查看这些内置项。