如果您使用 Azure 原則來強制執行 Microsoft 雲端安全性基準中的建議,您大概已經知道可以建立原則來識別並修正不符合規範的服務。 這些原則可能是自訂的,或可能是基於內建定義,這些定義提供合規性準則以及針對已充分理解的最佳做法之適當解決方案。
針對 Azure AI 搜尋服務,目前有一個內建定義,如下所列,您可以在原則指派中使用。 此內建項目用於記錄與監視。 透過在您建立的原則中使用此內建定義,系統會掃描未啟用資源記錄的搜尋服務,然後據此加以啟用。
Azure 原則中的法規合規性提供 Microsoft 建立並管理的計畫定義,稱為內建項目,適用於與不同合規性標準相關的合規性網域與安全性控制項。 此頁面列出 Azure AI 搜尋服務的合規性網域與安全性控制項。 您可以針對安全性控制個別指派內建項目,以協助讓您的 Azure 資源符合特定標準的規範。
每個內建原則定義的標題都會連結到 Azure 入口網站中的原則定義。 使用 [原則版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
重要事項
每個控制項都與一或多個 Azure 原則定義建立關聯。 這些原則可協助您評估控制項的合規性。 不過,控制項與一或多個原則之間通常不存在一對一或完全對應的關係。 因此,Azure 原則中的符合規範僅指原則本身。 這並不保證您完全符合某個控制項的所有需求。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 這些法規標準之控制項與 Azure 原則法規遵循定義之間的關聯可能會隨時間變更。
CIS 微軟 Azure 基礎基準 1.3.0
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - CIS Microsoft Azure 基礎基準測試 1.3.0。 如需關於此合規性標準的詳細資訊,請參閱 CIS Microsoft Azure基礎基準測試。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 5 記錄與監視 | 5.3 | 確保已為所有支援的服務啟用診斷記錄。 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
CIS Microsoft Azure 基礎基準 1.4.0
若要檢閱所有 Azure 服務可用的 Azure 原則內建項目如何對應至此合規性標準,請參閱 CIS v1.4.0 的 Azure 原則法規合規性詳細資料。 如需關於此合規性標準的詳細資訊,請參閱 CIS Microsoft Azure基礎基準測試。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 5 記錄與監視 | 5.3 | 確保已為所有支援的服務啟用診斷記錄。 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
CIS Microsoft Azure 基礎基準測試 2.0.0
若要檢閱所有 Azure 服務可用的 Azure 原則內建項目如何對應至此合規性標準,請參閱 CIS v2.0.0 的 Azure 原則法規合規性詳細資料。 如需關於此合規性標準的詳細資訊,請參閱 CIS Microsoft Azure基礎基準測試。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 5 | 5.4 | 確保已為所有支援的服務啟用 Azure 監視器資源記錄 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
CMMC 第 3 級
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - CMMC 第 3 級。 如需此合規性標準的詳細資訊,請參閱網路安全性成熟度模型認證 (CMMC)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC.1.001 | 限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。 | Azure AI 服務資源應限制網路存取 | 3.3.0 |
| 存取控制 | AC.1.002 | 限制資訊系統存取允許授權使用者執行的交易類型和功能。 | Azure AI 服務資源應限制網路存取 | 3.3.0 |
| 存取控制 | AC.2.016 | 根據已核准的授權來控制 CUI 流程。 | Azure AI 服務資源應限制網路存取 | 3.3.0 |
| 組態管理 | CM.3.068 | 限制、停用或防止使用不必要的程式、函式、連接埠、通訊協定和服務。 | Azure AI 服務資源應限制網路存取 | 3.3.0 |
| 系統與通訊保護 | SC.1.175 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | Azure AI 服務資源應限制網路存取 | 3.3.0 |
| 系統與通訊保護 | SC.3.183 | 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 | Azure AI 服務資源應限制網路存取 | 3.3.0 |
FedRAMP High
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - FedRAMP High。 如需此合規性標準的詳細資訊,請參閱 FedRAMP High \(英文\)。
FedRAMP Moderate
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - FedRAMP Moderate。 如需此合規性標準的詳細資訊,請參閱 FedRAMP Moderate \(英文\)。
HIPAA HITRUST
若要檢閱所有 Azure 服務可用的 Azure 原則內建項目如何對應至此合規性標準,請參閱 Azure 原則法規合規性 - HIPAA HITRUST。 如需此合規性標準的詳細資訊,請參閱 HIPAA HITRUST。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 12 稽核記錄與監視 | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 監視 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
Microsoft 雲端安全性基準
Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 若要查看此服務如何完整對應至 Microsoft 雲端安全性基準,請參閱 Azure 安全性基準對應檔案。
若要檢閱所有 Azure 服務可用的 Azure 原則內建項目如何對應至此合規性標準,請參閱 Azure 原則法規合規性 - Microsoft 雲端安全性基準。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 網路安全性 | NS-2 | NS-2 具有網路控制的安全雲端服務 | Azure AI 服務資源應限制網路存取 | 3.3.0 |
| 網路安全性 | NS-2 | NS-2 具有網路控制的安全雲端服務 | Azure AI 服務資源應使用 Azure Private Link | 1.0.0 |
| 身分識別管理 | IM-1 | IM-1 使用集中式身分認證系統 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 記錄與威脅偵測 | LT-3 | LT-3 啟用安全性調查的記錄 | Azure AI 服務資源中的診斷記錄應已啟用 | 1.0.0 |
| 記錄與威脅偵測 | LT-3 | LT-3 啟用安全性調查的記錄 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
NIST SP 800-171 R2
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-171 R2。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-171 R2。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | 3.1.1 | 限制系統存取獲授權的使用者、代表獲授權使用者處理,以及裝置 (包括其他系統)。 | Azure AI 搜尋服務應使用支援 Private Link 的 SKU | 1.0.1 |
| 存取控制 | 3.1.1 | 限制系統存取獲授權的使用者、代表獲授權使用者處理,以及裝置 (包括其他系統)。 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 存取控制 | 3.1.12 | 監視及控制遠端存取工作階段。 | Azure AI 搜尋服務應使用支援 Private Link 的 SKU | 1.0.1 |
| 存取控制 | 3.1.13 | 採用密碼編譯機制來保護遠端存取工作階段的機密性。 | Azure AI 搜尋服務應使用支援 Private Link 的 SKU | 1.0.1 |
| 存取控制 | 3.1.14 | 透過受控存取控制點路由遠端存取。 | Azure AI 搜尋服務應使用支援 Private Link 的 SKU | 1.0.1 |
| 存取控制 | 3.1.2 | 限制系統存取授權使用者允許執行的交易和函式類型。 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 存取控制 | 3.1.3 | 根據已核准的授權來控制 CUI 流程。 | Azure AI 搜尋服務應使用支援 Private Link 的 SKU | 1.0.1 |
| 存取控制 | 3.1.3 | 根據已核准的授權來控制 CUI 流程。 | Azure AI 搜尋服務應停用公用網路存取 | 1.0.1 |
| 存取控制 | 3.1.3 | 根據已核准的授權來控制 CUI 流程。 | Azure AI 服務資源應限制網路存取 | 3.3.0 |
| 系統與通訊保護 | 3.13.1 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | Azure AI 搜尋服務應使用支援 Private Link 的 SKU | 1.0.1 |
| 系統與通訊保護 | 3.13.1 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | Azure AI 搜尋服務應停用公用網路存取 | 1.0.1 |
| 系統與通訊保護 | 3.13.1 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | Azure AI 服務資源應限制網路存取 | 3.3.0 |
| 系統與通訊保護 | 3.13.2 | 採用架構設計、軟體發展技術和系統工程原則,在組織系統中提升有效的資訊安全性。 | Azure AI 搜尋服務應使用支援 Private Link 的 SKU | 1.0.1 |
| 系統與通訊保護 | 3.13.2 | 採用架構設計、軟體發展技術和系統工程原則,在組織系統中提升有效的資訊安全性。 | Azure AI 搜尋服務應停用公用網路存取 | 1.0.1 |
| 系統與通訊保護 | 3.13.2 | 採用架構設計、軟體發展技術和系統工程原則,在組織系統中提升有效的資訊安全性。 | Azure AI 服務資源應限制網路存取 | 3.3.0 |
| 系統與通訊保護 | 3.13.5 | 針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。 | Azure AI 搜尋服務應使用支援 Private Link 的 SKU | 1.0.1 |
| 系統與通訊保護 | 3.13.5 | 針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。 | Azure AI 搜尋服務應停用公用網路存取 | 1.0.1 |
| 系統與通訊保護 | 3.13.5 | 針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。 | Azure AI 服務資源應限制網路存取 | 3.3.0 |
| 系統與通訊保護 | 3.13.6 | 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 | Azure AI 搜尋服務應停用公用網路存取 | 1.0.1 |
| 系統與通訊保護 | 3.13.6 | 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 | Azure AI 服務資源應限制網路存取 | 3.3.0 |
| 稽核與問責 | 3.3.1 | 建立並保留系統稽核記錄與記錄,範圍以足以支援監視、分析、調查與回報違法或未授權系統活動所需為準 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 稽核與問責 | 3.3.2 | 確保可將個別系統使用者的行動唯一追溯到這些使用者,使其可對其行動負責。 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 驗證與授權 | 3.5.1 | 識別系統使用者、代表使用者的程序,以及裝置。 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 驗證與授權 | 3.5.2 | 驗證 (或確認) 使用者、處理程序或裝置的識別,做為允許存取組織系統的先決條件。 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 驗證與授權 | 3.5.5 | 防止在定義的期間重複使用識別碼。 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| 驗證與授權 | 3.5.6 | 在定義的無活動期間之後停用識別碼。 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
NIST SP 800-53 修訂版 4
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-53 Rev. 4。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-53 Rev. 4。
NIST SP 800-53 修訂版 5
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-53 Rev. 5。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-53 Rev. 5。
NL BIO 雲端主題
若要檢閱所有 Azure 服務可用的 Azure 原則內建項目如何對應至此合規性標準,請參閱 NL BIO Cloud Theme 的 Azure 原則法規合規性詳細資料。 如需此合規性標準的詳細資訊,請參閱政府資安資訊安全基準-數位政府 (digitaleoverheid.nl)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| U.07.1 資料隔離 - 已隔離 | U.07.1 | 資料永久隔離是多租用戶架構。 修補會以受控制的方式實現。 | Azure AI 搜尋服務應使用支援 Private Link 的 SKU | 1.0.1 |
| U.07.1 資料隔離 - 已隔離 | U.07.1 | 資料永久隔離是多租用戶架構。 修補會以受控制的方式實現。 | Azure AI 搜尋服務應停用公用網路存取 | 1.0.1 |
| U.07.1 資料隔離 - 已隔離 | U.07.1 | 資料永久隔離是多租用戶架構。 修補會以受控制的方式實現。 | Azure AI 服務資源應限制網路存取 | 3.3.0 |
| U.07.3 資料區隔 - 管理功能 | U.07.3 | U.07.3 - 檢視或修改 CSC 資料和/或加密金鑰的權限會以受控制的方式授與,且使用上會有記錄。 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| U.10.2 對 IT 服務和資料的存取 - 使用者 | U.10.2 | 根據 CSP 的責任,將存取權授與系統管理員。 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| U.10.3 對 IT 服務和資料的存取 - 使用者 | U.10.3 | 使用者須具有已驗證的設備,才能存取 IT 服務和資料。 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| U.10.5 對 IT 服務和資料的存取 - 合格人員 | U.10.5 | 對 IT 服務和資料的存取受到技術措施的限制,且已實作。 | Azure AI 服務資源應停用金鑰存取 (停用本機驗證) | 1.1.0 |
| U.15.1 記錄和監視 - 已記錄事件 | U.15.1 | CSP 和 CSC 會記錄原則規則的違規。 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
印度儲備銀行 - 銀行的 IT 架構 v2016
若要檢閱所有 Azure 服務可用的 Azure 原則內建項目如何對應至此合規性標準,請參閱 Azure 原則法規合規性 - RBI ITF Banks v2016。 如需此合規性標準的詳細資訊,請參閱 RBI ITF Banks v2016 (PDF)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 防網路釣魚 | 防網路釣魚 -14.1 | Azure AI 服務資源應限制網路存取 | 3.3.0 |
RMIT 馬來西亞
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - RMIT 馬來西亞。 如需此合規性標準的詳細資訊,請參閱 RMIT 馬來西亞。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 將搜尋服務的診斷設定部署至事件中樞 | 2.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 將搜尋服務的診斷設定部署至 Log Analytics 工作區 | 1.0.0 |
西班牙 ENS
若要檢閱所有 Azure 服務可用的 Azure 原則內建項目如何對應至此合規性標準,請參閱西班牙 ENS 的 Azure 原則法規合規性詳細資料。 如需此合規性標準的詳細資訊,請參閱 CCN-STIC 884。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 作業架構 | op.exp.7 | 作業 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
SWIFT CSP-CSCF v2021
若要檢閱所有 Azure 服務可用的 Azure 原則內建項目如何對應至此合規性標準,請參閱 SWIFT CSP-CSCF v2021 的 Azure 原則法規合規性詳細資料。 如需此合規性標準的詳細資訊,請參閱 SWIFT CSP CSCF v2021。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 偵測系統或交易記錄的異常活動 | 6.4 | 記錄和監視 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
SWIFT CSP-CSCF v2022
若要檢閱所有 Azure 服務的可用 Azure 原則內建項目與此合規性標準的對應,請參閱 SWIFT CSP-CSCF v2022 的 Azure 原則法規合規性詳細資料。 如需此合規性標準的詳細資訊,請參閱 SWIFT CSP CSCF v2022。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 6. 偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境中的異常動作與作業。 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
後續步驟
- 深入了解 Azure 原則法規合規性。
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。