Azure 虚拟机的 Azure Policy 法规遵从性控制措施
适用于:✔️ Linux VM ✔️ Windows VM ✔️ 灵活规模集 ✔️ 统一规模集
Azure Policy 中的法规符合性为与不同符合性标准相关的“符合域”和“安全控制措施”提供 Azure 创建和管理的计划定义,称为“内置” 。 此页列出 Azure 虚拟机的“符合域”和“安全控制措施” 。 可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
重要
每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的“符合”仅指策略本身。 这并不能确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 对于这些合规性标准,控件与 Azure Policy 法规合规性定义之间的关联可能会随时间的推移而发生变化。
Azure 安全基准
Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Azure 安全基准,请参阅 Azure 安全基准映射文件。
CIS Microsoft Azure 基础基准
有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
Policy 版本 (GitHub) |
|---|---|---|---|---|
| 安全中心 | 2.3 | 确保 ASC 默认策略设置“监视系统更新”不是处于“已禁用”状态 | 应在计算机上安装系统更新 | 1.0.0 |
| 安全中心 | 2.4 | 确保 ASC 默认策略设置“监视 OS 漏洞”不是处于“已禁用”状态 | 应修复计算机上安全配置中的漏洞 | 1.0.0 |
| 安全中心 | 2.5 | 确保 ASC 默认策略设置“监视 Endpoint Protection”不是处于“已禁用”状态 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 1.0.0 |
| 安全中心 | 2.6 | 确保 ASC 默认策略设置“监视磁盘加密”不是处于“已禁用”状态 | 应在虚拟机上应用磁盘加密 | 1.0.0 |
| 安全中心 | 2.7 | 确保 ASC 默认策略设置“监视网络安全组”不是处于“已禁用”状态 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 1.0.0 |
| 安全中心 | 2.9 | 确保 ASC 默认策略设置“启用下一代防火墙(NGFW)监视”不是处于“已禁用”状态 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 1.1.0 |
| 安全中心 | 2.10 | 确保 ASC 默认策略设置“监视漏洞评估”不是处于“已禁用”状态 | 应通过漏洞评估解决方案修复漏洞 | 1.0.0 |
| 安全中心 | 2.12 | 确保 ASC 默认策略设置“监视 JIT 网络访问”不是处于“已禁用”状态 | 应通过即时网络访问控制来保护虚拟机的管理端口 | 1.0.1 |
| 安全中心 | 2.13 | 确保 ASC 默认策略设置“监视自适应应用程序允许列表”不是处于“已禁用”状态 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 1.0.2 |
| 虚拟机 | 7.1 | 确保“OS 磁盘”已加密 | 应在虚拟机上应用磁盘加密 | 1.0.0 |
| 虚拟机 | 7.2 | 确保“数据磁盘”已加密 | 应在虚拟机上应用磁盘加密 | 1.0.0 |
| 虚拟机 | 7.3 | 确保加密“未附加的磁盘” | 应当加密未附加的磁盘 | 1.0.0 |
| 虚拟机 | 7.4 | 确保仅安装已批准的扩展 | 应当仅安装已批准的 VM 扩展 | 1.0.0 |
| 虚拟机 | 7.5 | 确保已应用适用于所有虚拟机的最新 OS 修补程序 | 应在计算机上安装系统更新 | 1.0.0 |
| 虚拟机 | 7.6 | 确保已安装适用于所有虚拟机的 Endpoint Protection | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 1.0.0 |
NIST SP 800-171 R2
有关此符合性标准的详细信息,请参阅 NIST SP 800-171 R2。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
Policy 版本 (GitHub) |
|---|---|---|---|---|
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 部署必备组件,以审核允许通过没有密码的帐户进行远程连接的 Linux VM | 3.0.0 |
| 访问控制 | 3.1.1 | 限制对授权用户、代表授权用户执行的进程以及设备(包括其他系统)的系统访问。 | 显示允许通过没有密码的帐户进行远程连接的 Linux VM 中的审核结果 | 3.0.0 |
| 访问控制 | 3.1.4 | 区分个体的责任,减少无串谋的恶意活动的风险。 | 部署必备组件来审核其“管理员”组包含任意指定成员的 Windows VM | 1.2.0 |
| 访问控制 | 3.1.4 | 区分个体的责任,减少无串谋的恶意活动的风险。 | 部署必备组件以审核其“管理员”组不包含所有指定成员的 Windows VM | 1.2.0 |
| 访问控制 | 3.1.4 | 区分个体的责任,减少无串谋的恶意活动的风险。 | 显示其“管理员”组包含任意指定成员的 Windows VM 的审核结果 | 1.0.0 |
| 访问控制 | 3.1.4 | 区分个体的责任,减少无串谋的恶意活动的风险。 | 显示其“管理员”组不包含所有指定成员的 Windows VM 的审核结果 | 1.0.0 |
| 访问控制 | 3.1.12 | 监视和控制远程访问会话。 | 部署必备组件,以审核允许通过没有密码的帐户进行远程连接的 Linux VM | 3.0.0 |
| 访问控制 | 3.1.12 | 监视和控制远程访问会话。 | 显示允许通过没有密码的帐户进行远程连接的 Linux VM 中的审核结果 | 3.0.0 |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | [预览]:审核 Log Analytics 代理部署 - VM 映像 (OS) 未列出 | 1.0.0-preview |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 审核虚拟机规模集中的 Log Analytics 代理部署 - VM 映像 (OS) 未列出 | 1.0.1 |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 审核 VM 的 Log Analytics 工作区 — 报告不匹配 | 1.0.1 |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 应在虚拟机规模集上安装 Log Analytics 代理 | 1.0.0 |
| 审核和责任 | 3.3.1 | 创建并保留系统审核日志和记录,确保能够监视、分析、调查和报告非法或未经授权的系统活动。 | 应在虚拟机上安装 Log Analytics 代理 | 1.0.0 |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | [预览]:审核 Log Analytics 代理部署 - VM 映像 (OS) 未列出 | 1.0.0-preview |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 审核虚拟机规模集中的 Log Analytics 代理部署 - VM 映像 (OS) 未列出 | 1.0.1 |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 审核 VM 的 Log Analytics 工作区 — 报告不匹配 | 1.0.1 |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 应在虚拟机规模集上安装 Log Analytics 代理 | 1.0.0 |
| 审核和责任 | 3.3.2 | 确保单独系统用户的操作可唯一地跟踪到这些用户,让他们能够对自己的操作负责。 | 应在虚拟机上安装 Log Analytics 代理 | 1.0.0 |
| 配置管理 | 3.4.7 | 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 1.0.2 |
| 配置管理 | 3.4.8 | 应用 deny-by-exception(阻止列表)策略来防止使用未经授权的软件,或应用 deny-all 和 permit-by-exception(允许列表)策略来允许执行授权的软件。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 1.0.2 |
| 配置管理 | 3.4.9 | 控制和监视用户安装的软件。 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 1.0.2 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 部署必备组件用于审核帐户没有密码的 Linux VM | 3.0.0 |
| 识别和身份验证 | 3.5.2 | 对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织系统的先决条件。 | 显示具有无密码帐户的 Linux VM 的审核结果 | 3.0.0 |
| 识别和身份验证 | 3.5.7 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 部署必备组件用于审核帐户没有密码的 Linux VM | 3.0.0 |
| 识别和身份验证 | 3.5.7 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 部署必备组件用于审核未启用密码复杂性设置的 Windows VM | 1.2.0 |
| 识别和身份验证 | 3.5.7 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 部署必备组件用于审核未将最短密码长度限制为 14 个字符的 Windows VM | 1.2.0 |
| 识别和身份验证 | 3.5.7 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 显示具有无密码帐户的 Linux VM 的审核结果 | 3.0.0 |
| 识别和身份验证 | 3.5.7 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 显示未启用密码复杂性设置的 Windows VM 的审核结果 | 1.0.0 |
| 识别和身份验证 | 3.5.7 | 在创建新密码时强制要求最低密码复杂性和字符更改。 | 显示未将最短密码长度限制为 14 个字符的 Windows VM 的审核结果 | 1.0.0 |
| 识别和身份验证 | 3.5.8 | 禁止对指定数量的生成操作重复使用密码。 | 部署必备组件用于审核允许重用之前的 24 个密码的 Windows VM | 1.2.0 |
| 识别和身份验证 | 3.5.8 | 禁止对指定数量的生成操作重复使用密码。 | 显示允许重用之前的 24 个密码的 Windows VM 的审核结果 | 1.0.0 |
| 识别和身份验证 | 3.5.10 | 仅存储和传输受加密保护的密码。 | 部署必备组件用于审核未将密码文件权限设置为 0644 的 Linux VM | 3.0.0 |
| 识别和身份验证 | 3.5.10 | 仅存储和传输受加密保护的密码。 | 部署必备组件用于审核未存储使用可逆加密的密码的 Windows VM | 1.2.0 |
| 识别和身份验证 | 3.5.10 | 仅存储和传输受加密保护的密码。 | 显示未将密码文件权限设为 0644 的 Linux VM 中的审核结果 | 3.0.0 |
| 识别和身份验证 | 3.5.10 | 仅存储和传输受加密保护的密码。 | 显示未存储使用可逆加密的密码的 Windows VM 的审核结果 | 1.0.0 |
| 风险评估 | 3.11.2 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应修正容器安全配置中的漏洞 | 1.0.0 |
| 风险评估 | 3.11.2 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应修复计算机上安全配置中的漏洞 | 1.0.0 |
| 风险评估 | 3.11.2 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应修复虚拟机规模集上安全配置中的漏洞 | 1.0.0 |
| 风险评估 | 3.11.2 | 定期扫描组织系统和应用程序中的漏洞,并在发现会影响这些系统和应用程序的新漏洞时进行扫描。 | 应通过漏洞评估解决方案修复漏洞 | 1.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应该限制通过面向 Internet 的终结点进行访问 | 1.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 1.0.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 部署必备组件来审核不使用安全通信协议的 Windows Web 服务器 | 1.2.0 |
| 系统和通信保护 | 3.13.1 | 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 | 显示未使用安全通信协议的 Windows Web 服务器的审核结果 | 1.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应该限制通过面向 Internet 的终结点进行访问 | 1.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | 1.0.0 |
| 系统和通信保护 | 3.13.5 | 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 | 面向 Internet 的虚拟机应使用网络安全组进行保护 | 1.1.0 |
| 系统和通信保护 | 3.13.8 | 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 | 部署必备组件来审核不使用安全通信协议的 Windows Web 服务器 | 1.2.0 |
| 系统和通信保护 | 3.13.8 | 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 | 显示未使用安全通信协议的 Windows Web 服务器的审核结果 | 1.0.0 |
| 系统和通信保护 | 3.13.16 | 保护静态 CUI 的机密性。 | 应在虚拟机上应用磁盘加密 | 1.0.0 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 应在虚拟机规模集上安装系统更新 | 1.0.0 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 应在计算机上安装系统更新 | 1.0.0 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 应修复计算机上安全配置中的漏洞 | 1.0.0 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 应修复虚拟机规模集上安全配置中的漏洞 | 1.0.0 |
| 系统和信息完整性 | 3.14.1 | 及时识别、报告和更正系统缺陷。 | 应通过漏洞评估解决方案修复漏洞 | 1.0.0 |
| 系统和信息完整性 | 3.14.2 | 在组织系统中的指定位置提供针对恶意代码的防护。 | 应在虚拟机规模集上安装终结点保护解决方案 | 1.0.0 |
| 系统和信息完整性 | 3.14.2 | 在组织系统中的指定位置提供针对恶意代码的防护。 | 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 | 1.0.0 |
| 系统和信息完整性 | 3.14.2 | 在组织系统中的指定位置提供针对恶意代码的防护。 | 监视 Azure 安全中心 Endpoint Protection 的缺失情况 | 1.0.0 |
NIST SP 800-53 R4
有关此符合性标准的详细信息,请参阅 NIST SP 800-53 R4。
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。