Azure 备份的 Azure Policy 法规遵从性控制措施
Azure Policy 中的法规符合性
为与不同符合性标准相关的“符合性域”和“安全控件”提供 Azure 创建和管理的计划定义(称为“内置项”)。 此页列出 Azure 密钥保管库的“符合域”和“安全控制措施”。 可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
重要
每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的“符合”仅指策略本身。 这并不能确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 对于这些合规性标准,控件与 Azure Policy 法规合规性定义之间的关联可能会随时间的推移而发生变化。
Azure 安全基准
Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Azure 安全基准,请参阅 Azure 安全基准映射文件。
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 网络安全 | 1.1 | 在虚拟网络上使用网络安全组或 Azure 防火墙来保护资源 | Key Vault 应使用虚拟网络服务终结点 | 1.0.0 |
| 日志记录和监视 | 2.3 | 为 Azure 资源启用审核日志记录 | 应启用 Key Vault 的诊断日志 | 3.0.0 |
| 安全配置 | 7.11 | 安全地管理 Azure 机密 | 密钥保管库对象应可恢复 | 1.0.0 |
| 数据恢复 | 9.4 | 确保保护备份和客户管理的密钥 | 密钥保管库对象应可恢复 | 1.0.0 |
CIS Microsoft Azure 基础基准
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 日志记录和监视 | 5.1.7 | 确保 Azure KeyVault 日志记录设置为“已启用” | 应启用 Key Vault 的诊断日志 | 3.0.0 |
| 其他安全注意事项 | 8.4 | 确保 Key Vault 可恢复 | 密钥保管库对象应可恢复 | 1.0.0 |
HIPAA HITRUST 9.2
| 域 | 控制 ID | 控制标题 | 策略 (Azure 门户) |
策略版本 (GitHub) |
|---|---|---|---|---|
| 网络隔离 | 0805.01m1Organizational.12 - 01.m | 组织的安全网关(例如防火墙)强制执行安全策略,并配置为筛选域之间的流量、阻止未经授权的访问。它用于维护内部有线、内部无线和外部网络段(如 Internet,包括 DMZ)之间的隔离,并对每个域强制执行访问控制策略。 | Key Vault 应使用虚拟网络服务终结点 | 1.0.0 |
| 网络隔离 | 0806.01m2Organizational.12356 - 01.m | 组织网络根据组织要求使用定义的安全外围和一组分级的控制以逻辑方式和物理方式进行分段,包括在逻辑上与内部网络分离的可公开访问的系统组件子网;流量控制基于所需的功能,而数据/系统的分类控制则基于风险评估及其各自的安全要求。 | Key Vault 应使用虚拟网络服务终结点 | 1.0.0 |
| 网络隔离 | 0894.01m2Organizational.7 - 01.m | 将物理服务器、应用程序或数据迁移到虚拟化服务器时,网络会与生产级网络分离。 | Key Vault 应使用虚拟网络服务终结点 | 1.0.0 |
| 审核日志 | 1211.09aa3System.4 - 09.aa | 组织每九十 (90) 天对记录的所涵盖信息的每次提取进行一次验证,以确认数据是否已删除或仍需使用。 | 应启用 Key Vault 的诊断日志 | 3.0.0 |
| 网络控制 | 0865.09m2Organizational.13 - 09.m | 组织 (i) 通过使用互连安全协议或其他正式协议授权信息系统与组织外部其他信息系统进行连接;(ii) 记录每个连接、接口特征、安全要求以及所传输信息的性质;(iii) 采取“全部拒绝,出现例外情况时允许”策略,允许信息系统与组织外部的其他信息系统进行连接;(iv) 应用“默认拒绝”规则,丢弃经过基于主机的防火墙或其终结点(工作站、服务器等)上的端口筛选工具的所有流量,但明确允许的服务和端口除外。 | Key Vault 应使用虚拟网络服务终结点 | 1.0.0 |
| 业务连续性和风险评估 | 1635.12b1Organizational.2 - 12.b | 业务连续性的信息安全特性 (i) 基于识别可导致组织关键业务进程中断的事件(或一系列事件),例如设备故障、人为失误、盗窃、火灾、自然灾害和恐怖主义行为;(ii) 后跟风险评估,以根据时间、损害规模和恢复期确定发生此类中断的可能性及其影响;(iii) 基于风险评估的结果,制定业务连续性策略以确定实现业务连续性的总体方法;(iv) 在制定此策略后,由管理层进行批准,然后制定计划并获得批准来实施该策略。 | 密钥保管库对象应可恢复 | 1.0.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。