Azure 备份的 Azure Policy 法规遵从性控制措施

本文列出 Azure 备份的“合规域”和“安全控制”。

Azure Policy 中的法规符合性为与不同符合性标准相关的“符合域”和“安全控件”提供 Microsoft 创建和管理的计划定义,称为“内置” 。 可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。

每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。

重要

每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的“符合”仅指策略本身。 这并不能确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 对于这些合规性标准,控件与 Azure Policy 法规合规性定义之间的关联可能会随时间的推移而发生变化。

CMMC 级别 3

有关此合规性标准的详细信息,请参阅网络安全成熟度模型认证 (CMMC)

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
恢复 RE.2.137 定期执行和测试数据备份。 应为虚拟机启用 Azure 备份 3.0.0
恢复 RE.3.139 根据组织规定定期执行完整、全面且可复原的数据备份。 应为虚拟机启用 Azure 备份 3.0.0

FedRAMP 高级认证

有关此合规性标准的详细信息,请参阅 FedRAMP High

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
应变规划 CP-9 信息系统备份 应为虚拟机启用 Azure 备份 3.0.0
系统和通信保护 SC-12 加密密钥建立和管理 [预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 1.0.0-preview

FedRAMP 中等

有关此合规性标准的详细信息,请参阅 FedRAMP Moderate

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
应变规划 CP-9 信息系统备份 应为虚拟机启用 Azure 备份 3.0.0
系统和通信保护 SC-12 加密密钥建立和管理 [预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 1.0.0-preview

HIPAA HITRUST 9.2

有关此合规性标准的详细信息,请参阅 HIPAA HITRUST 9.2

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
备份 1699.09l1Organizational.10 - 09.l 确定工作人员在数据备份过程中的角色和职责并告知工作团队;特别是,要求自带设备办公 (BYOD) 的用户在其设备上对组织和/或客户端数据进行备份。 应为虚拟机启用 Azure 备份 3.0.0
16 业务连续性和灾难恢复 1620.09l1组织.8-09.l 1620.09l1Organizational.8-09.l 09.05 信息备份 应为虚拟机启用 Azure 备份 3.0.0
16 业务连续性和灾难恢复 1625.09l3Organizational.34-09.l 1625.09l3Organizational.34-09.l 09.05 信息备份 应为虚拟机启用 Azure 备份 3.0.0

Microsoft Cloud for Sovereignty 基线机密政策

有关此合规性标准的详细信息,请参阅 Microsoft Cloud for Sovereignty 政策组合

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
SO.3 - 客户管理的密钥 SO.3 Azure 产品必须配置为尽可能使用客户管理的密钥。 [预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 1.0.0-preview

Azure 云安全性基准

Azure 云安全基准提供有关如何在 Azure 上保护云解决方案的建议。 要查看此服务如何完全映射到 Azure 云安全基准,请参阅 Azure 安全基准映射文件

要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - Azure 云安全基准

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
备份和恢复 BR-1 确保定期执行自动备份 应为虚拟机启用 Azure 备份 3.0.0
备份和恢复 BR-2 保护备份和恢复数据 应为虚拟机启用 Azure 备份 3.0.0

NIST SP 800-171 R2

有关此符合性标准的详细信息,请参阅 NIST SP 800-171 R2

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
系统和通信保护 3.13.10 为组织系统中使用的加密技术建立加密密钥并进行管理。 [预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 1.0.0-preview
媒体保护 3.8.9 保护位于存储位置的备份 CUI 的机密性。 应为虚拟机启用 Azure 备份 3.0.0

NIST SP 800-53 修订版 4

有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 4

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
应变规划 CP-9 信息系统备份 应为虚拟机启用 Azure 备份 3.0.0
系统和通信保护 SC-12 加密密钥建立和管理 [预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 1.0.0-preview

NIST SP 800-53 修订版 5

有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 5

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
应变规划 CP-9 系统备份 应为虚拟机启用 Azure 备份 3.0.0
系统和通信保护 SC-12 加密密钥建立和管理 [预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 1.0.0-preview

NL BIO 云主题

有关此合规性标准的详细信息,请参阅基线信息安全政府网络安全 - 数字政府(digitaleoverheid.nl)。

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
U.03.1 业务连续性服务 - 冗余 U.03.1 商定的连续性由逻辑或物理上充分的多个系统功能保证。 应为虚拟机启用 Azure 备份 3.0.0
U.03.2 业务连续性服务 - 连续性要求 U.03.2 系统体系结构确保与 CSC 商定的云服务的连续性要求。 应为虚拟机启用 Azure 备份 3.0.0
U.05.2 数据保护 - 加密措施 U.05.2 存储在云服务中的数据应受到最先进的保护。 [预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 1.0.0-preview
U.11.3 加密服务 - 加密 U.11.3 敏感数据始终使用 CSC 管理的私钥进行加密。 [预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 1.0.0-preview
U.17.1 多租户体系结构 - 加密 U.17.1 传输和静态 CSC 数据已加密。 应为虚拟机启用 Azure 备份 3.0.0

印度储备银行 - 面向 NBFC 的 IT 框架

有关此合规性标准的详细信息,请参阅印度储备银行 - 面向 NBFC 的 IT 框架

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
IS 审核 5.2 覆盖率-5.2 应为虚拟机启用 Azure 备份 3.0.0
业务连续性规划 6 业务连续性规划 (BCP) 和灾难恢复-6 [预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 1.0.0-preview
业务连续性规划 6 业务连续性规划 (BCP) 和灾难恢复-6 [预览版]:Azure 恢复服务保管库应使用专用链接进行备份 2.0.0-preview
业务连续性规划 6 业务连续性规划 (BCP) 和灾难恢复-6 [预览版]:恢复服务保管库应使用专用链接 1.0.0-preview
业务连续性规划 6 业务连续性规划 (BCP) 和灾难恢复-6 应为虚拟机启用 Azure 备份 3.0.0
业务连续性规划 6.2 恢复策略/应变计划-6.2 [预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 1.0.0-preview
业务连续性规划 6.2 恢复策略/应变计划-6.2 [预览版]:Azure 恢复服务保管库应使用专用链接进行备份 2.0.0-preview
业务连续性规划 6.2 恢复策略/应变计划-6.2 应为虚拟机启用 Azure 备份 3.0.0
业务连续性规划 6.3 恢复策略/应变计划-6.3 [预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 1.0.0-preview
业务连续性规划 6.3 恢复策略/应变计划-6.3 [预览版]:Azure 恢复服务保管库应使用专用链接进行备份 2.0.0-preview
业务连续性规划 6.3 恢复策略/应变计划-6.3 应为虚拟机启用 Azure 备份 3.0.0
业务连续性规划 6.4 恢复策略/应变计划-6.4 [预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 1.0.0-preview
业务连续性规划 6.4 恢复策略/应变计划-6.4 [预览版]:Azure 恢复服务保管库应使用专用链接进行备份 2.0.0-preview
业务连续性规划 6.4 恢复策略/应变计划-6.4 [预览版]:恢复服务保管库应使用专用链接 1.0.0-preview

印度储备银行面向银行的 IT 框架 v2016

有关此合规性标准的详细信息,请参阅 RBI ITF Banks v2016 (PDF)

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
防网络钓鱼 防钓鱼-14.1 [预览版]:Azure 恢复服务保管库应使用专用链接进行备份 2.0.0-preview
高级实时威胁防御和管理 高级实时威胁防御和管理-13.3 应为虚拟机启用 Azure 备份 3.0.0

马来西亚 RMIT

有关此符合性标准的详细信息,请参阅 RMIT 马来西亚

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
数据中心运营 10.30 数据中心运营 - 10.30 应为虚拟机启用 Azure 备份 3.0.0
网络风险管理 11.4 网络风险管理 - 11.4 配置不带给定标记的虚拟机上的备份并备份到同一位置中的现有恢复服务保管库 9.4.0

西班牙 ENS

有关此合规性标准的详细信息,请参阅 CCN-STIC 884

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
保护措施 mp.info.6 信息保护 应为虚拟机启用 Azure 备份 3.0.0
保护措施 mp.info.6 信息保护 将带有给定标记的虚拟机的备份配置到具有默认策略的新恢复服务保险库中 9.4.0
保护措施 mp.info.6 信息保护 配置不带给定标记的虚拟机上的备份并备份到同一位置中的现有恢复服务保管库 9.4.0
操作框架 op.cont.3 服务连续性 [预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 1.0.0-preview
操作框架 op.cont.3 服务连续性 [预览版]:Azure 恢复服务保管库应使用专用链接进行备份 2.0.0-preview
操作框架 op.cont.3 服务连续性 [预览]:配置恢复服务保管库以使用专用终结点进行备份 1.0.0-preview
操作框架 op.cont.3 服务连续性 [预览]:恢复服务保管库必须启用不可变性 1.0.1-preview
操作框架 op.cont.3 服务连续性 应为虚拟机启用 Azure 备份 3.0.0
操作框架 op.cont.3 服务连续性 将带有指定标记的虚拟机的备份配置到同一位置的现有恢复服务保管库中 9.4.0
操作框架 op.cont.3 服务连续性 将不带指定标签的虚拟机的备份配置到具有默认策略的新恢复服务保管库 9.4.0
操作框架 op.cont.4 服务连续性 [预览版]:Azure 恢复服务保管库应使用客户管理的密钥来加密备份数据 1.0.0-preview
操作框架 op.cont.4 服务连续性 [预览版]:Azure 恢复服务保管库应使用专用链接进行备份 2.0.0-preview
操作框架 op.cont.4 服务连续性 [预览]:配置恢复服务保管库以使用专用终结点进行备份 1.0.0-preview
操作框架 op.cont.4 服务连续性 [预览]:恢复服务保管库必须启用不可变性 1.0.1-preview
操作框架 op.cont.4 服务连续性 应为虚拟机启用 Azure 备份 3.0.0
操作框架 op.cont.4 服务连续性 将带有给定标记的虚拟机的备份配置到具有默认策略的新恢复服务保险库中 9.4.0
操作框架 op.cont.4 服务连续性 将带有指定标记的虚拟机的备份配置到同一位置的现有恢复服务保管库中 9.4.0
操作框架 op.cont.4 服务连续性 将不带指定标签的虚拟机的备份配置到具有默认策略的新恢复服务保管库 9.4.0
操作框架 op.cont.4 服务连续性 配置不带给定标记的虚拟机上的备份并备份到同一位置中的现有恢复服务保管库 9.4.0
操作框架 op.exp.3 操作 应为虚拟机启用 Azure 备份 3.0.0
操作框架 op.exp.3 操作 将带有给定标记的虚拟机的备份配置到具有默认策略的新恢复服务保险库中 9.4.0
操作框架 op.exp.3 操作 将带有指定标记的虚拟机的备份配置到同一位置的现有恢复服务保管库中 9.4.0
操作框架 op.exp.3 操作 配置不带给定标记的虚拟机上的备份并备份到同一位置中的现有恢复服务保管库 9.4.0

SWIFT CSP-CSCF v2021

有关此合规性标准的详细信息,请参阅 SWIFT CSP CSCF v2021

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
减少攻击面和漏洞 2.5A 外部传输数据保护 应为虚拟机启用 Azure 备份 3.0.0
检测系统或事务记录的异常活动 6.4 日志记录和监控 应为虚拟机启用 Azure 备份 3.0.0

SWIFT CSP-CSCF v2022

有关此合规性标准的详细信息,请参阅 SWIFT CSP-CSCF v2022

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
2.减少攻击面和漏洞 2.5A 外部传输数据保护 应为虚拟机启用 Azure 备份 3.0.0
6.检测系统或事务记录的异常活动 6.4 记录安全事件并检测本地 SWIFT 环境中的异常操作和运营。 应为虚拟机启用 Azure 备份 3.0.0

系统和组织控制 (SOC) 2

有关此合规性标准的详细信息,请参阅系统和组织控制 (SOC) 2

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
可用性的其他条件 A1.2 环境保护、软件、数据备份过程、恢复基础结构 应为虚拟机启用 Azure 备份 3.0.0
处理完整性的其他条件 PI1.5 完全、准确、及时地存储输入和输出 应为虚拟机启用 Azure 备份 3.0.0

后续步骤