Kontrollen zur Einhaltung gesetzlicher Bestimmungen in Azure Policy für Azure KI Services
Die Einhaltung gesetzlicher Bestimmungen in Azure Policy bietet von Microsoft erstellte und verwaltete Initiativendefinitionen (als integriert bezeichnet) für die Compliancedomänen und Sicherheitskontrollen, die mit unterschiedlichen Compliancestandards zusammenhängen. Auf dieser Seite werden die Compliancedomänen und Sicherheitskontrollen für Azure KI Services aufgeführt. Sie können die integrierten Elemente für eine Sicherheitskontrolle einzeln zuweisen, um Ihre Azure-Ressourcen mit dem jeweiligen Standard kompatibel zu machen.
Die Titel der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Richtlinienversion, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Wichtig
Jeder Kontrollmechanismus ist mindestens einer Azure Policy-Definition zugeordnet. Diese Richtlinien können Ihnen helfen, die Compliance des Kontrollmechanismus zu bewerten. Oft gibt es jedoch keine Eins-zu-eins-Übereinstimmung oder vollständige Übereinstimmung zwischen einem Kontrollmechanismus und mindestens einer Richtlinie. Daher bezieht sich konform in Azure Policy nur auf die Richtlinien selbst. Dadurch wird nicht sichergestellt, dass Sie vollständig mit allen Anforderungen eines Kontrollmechanismus konform sind. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Kontrollelementen und gesetzlichen Konformitätsdefinitionen von Azure Policy für diese Konformitätsstandards können sich im Laufe der Zeit ändern.
CMMC Level 3
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: CMMC Level 3. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter Cybersecurity Maturity Model Certification (CMMC).
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Informationssysteme). | Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. | 3.2.0 |
| Zugriffssteuerung | AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. | 3.2.0 |
| Zugriffssteuerung | AC.2.016 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. | 3.2.0 |
| Konfigurationsverwaltung | CM.3.068 | Sorgen Sie dafür, dass die Nutzung von nicht unbedingt erforderlichen Programmen, Funktionen, Ports, Protokollen und Diensten eingeschränkt, deaktiviert oder verhindert wird. | Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. | 3.2.0 |
| System- und Kommunikationsschutz | SC.1.175 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. | 3.2.0 |
| System- und Kommunikationsschutz | SC.3.177 | Nutzen Sie FIPS-konforme Kryptografie zum Schützen der Vertraulichkeit von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI). | Azure KI Services-Ressourcen sollten ruhende Daten mit einem kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) verschlüsseln. | 2.2.0 |
| System- und Kommunikationsschutz | SC.3.183 | Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). | Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. | 3.2.0 |
FedRAMP High
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: FedRAMP High. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter FedRAMP High.
FedRAMP Moderate
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: FedRAMP Moderate. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter FedRAMP Moderate.
Microsoft Cloud Security Benchmark
Die Microsoft-Cloudsicherheitsbenchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure schützen können. Die vollständige Zuordnung dieses Diensts zum Microsoft-Cloudsicherheitsbenchmark finden Sie in den Zuordnungsdateien zum Azure Security Benchmark.
Um zu überprüfen, wie sich die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste zu diesem Compliancestandard zuordnen lassen, lesen Sie Azure Policy-Einhaltung gesetzlicher Vorschriften – Microsoft-Cloudsicherheitsbenchmark.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Netzwerksicherheit | NS-2 | Schützen von Clouddiensten mit Netzwerksteuerelementen | [Veraltet] Cognitive Services muss eine private Verbindung verwenden | 3.0.1-deprecated |
| Netzwerksicherheit | NS-2 | Schützen von Clouddiensten mit Netzwerksteuerelementen | Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. | 3.2.0 |
| Netzwerksicherheit | NS-2 | Schützen von Clouddiensten mit Netzwerksteuerelementen | Azure KI Services-Ressourcen sollten Azure Private Link nutzen. | 1.0.0 |
| Identitätsverwaltung | IM-1 | Verwenden eines zentralen Identitäts- und Authentifizierungssystems | Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | 1.1.0 |
| Datenschutz | DP-5 | Verwenden der Option „Kundenseitig verwalteter Schlüssel“ bei der Verschlüsselung ruhender Daten bei Bedarf | Azure KI Services-Ressourcen sollten ruhende Daten mit einem kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) verschlüsseln. | 2.2.0 |
| Protokollierung und Bedrohungserkennung | LT-3 | Aktivieren der Protokollierung für die Sicherheitsuntersuchung | In Azure KI Services sollten Diagnoseprotokolle aktiviert sein. | 1.0.0 |
NIST SP 800-171 R2
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-171 R2. Weitere Informationen zu diesem Compliancestandard finden Sie unter NIST SP 800-171 R2.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | 3.1.1 | Beschränken Sie den Systemzugriff auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Systeme). | [Veraltet] Cognitive Services muss eine private Verbindung verwenden | 3.0.1-deprecated |
| Zugriffssteuerung | 3.1.1 | Beschränken Sie den Systemzugriff auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Systeme). | Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | 1.1.0 |
| Zugriffssteuerung | 3.1.12 | Überwachen und Steuern von Remotezugriffssitzungen | [Veraltet] Cognitive Services muss eine private Verbindung verwenden | 3.0.1-deprecated |
| Zugriffssteuerung | 3.1.13 | Implementieren Sie Kryptografiemechanismen zum Schutz der Vertraulichkeit von Remotezugriffssitzungen. | [Veraltet] Cognitive Services muss eine private Verbindung verwenden | 3.0.1-deprecated |
| Zugriffssteuerung | 3.1.14 | Leiten Sie Remotezugriff über verwaltete Zugriffssteuerungspunkte. | [Veraltet] Cognitive Services muss eine private Verbindung verwenden | 3.0.1-deprecated |
| Zugriffssteuerung | 3.1.2 | Beschränken Sie den Systemzugriff auf die Arten von Transaktionen und Funktionen, die von autorisierten Benutzer*innen ausgeführt werden dürfen. | Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | 1.1.0 |
| Zugriffssteuerung | 3.1.3 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | [Veraltet] Cognitive Services muss eine private Verbindung verwenden | 3.0.1-deprecated |
| Zugriffssteuerung | 3.1.3 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. | 3.2.0 |
| System- und Kommunikationsschutz | 3.13.1 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | [Veraltet] Cognitive Services muss eine private Verbindung verwenden | 3.0.1-deprecated |
| System- und Kommunikationsschutz | 3.13.1 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. | 3.2.0 |
| System- und Kommunikationsschutz | 3.13.10 | Sie können Kryptografieschlüssel für die Kryptografie einrichten und verwalten, die in den Organisationssystemen eingesetzt wird. | Azure KI Services-Ressourcen sollten ruhende Daten mit einem kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) verschlüsseln. | 2.2.0 |
| System- und Kommunikationsschutz | 3.13.2 | Verwenden Sie Architekturentwürfe, Softwareentwicklungstechniken und Systementwicklungsprinzipien, die zu einer effektiven Informationssicherheit in Organisationssystemen beitragen. | [Veraltet] Cognitive Services muss eine private Verbindung verwenden | 3.0.1-deprecated |
| System- und Kommunikationsschutz | 3.13.2 | Verwenden Sie Architekturentwürfe, Softwareentwicklungstechniken und Systementwicklungsprinzipien, die zu einer effektiven Informationssicherheit in Organisationssystemen beitragen. | Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. | 3.2.0 |
| System- und Kommunikationsschutz | 3.13.5 | Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Netzwerken physisch oder logisch getrennt sind. | [Veraltet] Cognitive Services muss eine private Verbindung verwenden | 3.0.1-deprecated |
| System- und Kommunikationsschutz | 3.13.5 | Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Netzwerken physisch oder logisch getrennt sind. | Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. | 3.2.0 |
| System- und Kommunikationsschutz | 3.13.6 | Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). | Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. | 3.2.0 |
| Identifizierung und Authentifizierung | 3.5.1 | Identifizieren Sie Systembenutzer, Prozesse, die im Namen von Benutzern agieren, und Geräte. | Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | 1.1.0 |
| Identifizierung und Authentifizierung | 3.5.2 | Führen Sie als Voraussetzung für das Gewähren des Zugriffs auf Unternehmenssysteme die Authentifizierung (bzw. Überprüfung) der Identitäten von Benutzern, Prozessen oder Geräten durch. | Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | 1.1.0 |
| Identifizierung und Authentifizierung | 3.5.5 | Verhindern Sie die Wiederverwendung von Bezeichnern für einen definierten Zeitraum. | Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | 1.1.0 |
| Identifizierung und Authentifizierung | 3.5.6 | Deaktivieren Sie Bezeichner nach einem definiertem Zeitraum der Inaktivität. | Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | 1.1.0 |
NIST SP 800-53 Rev. 4
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-53 Rev. 4. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-53 Rev. 5. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 5.
NL BIO Cloud Design
Wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliance-Standard entsprechen, können Sie unter Azure Policy – Gesetzliche Bestimmungen – Details für PCI-DSS v4.0 nachlesen. Weitere Informationen zu diesem Compliancestandard finden Sie unter Baseline Information Security Government Cybersecurity - Digital Government (digitaleoverheid.nl).
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| U.05.2 Datenschutz – Kryptografische Maßnahmen | U.05.2 | Die im Clouddienst gespeicherten Daten sind auf dem neuesten Stand der Technik zu schützen. | Azure KI Services-Ressourcen sollten ruhende Daten mit einem kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) verschlüsseln. | 2.2.0 |
| U.07.1 Datentrennung – isoliert | U.07.1 | Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden kontrolliert realisiert. | [Veraltet] Cognitive Services muss eine private Verbindung verwenden | 3.0.1-deprecated |
| U.07.1 Datentrennung – isoliert | U.07.1 | Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden kontrolliert realisiert. | Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. | 3.2.0 |
| U.07.3 Datentrennung – Verwaltungsfunktionen | U.07.3 | U.07.3: Die Berechtigungen zum Anzeigen oder Ändern von CSC-Daten und/oder -Verschlüsselungsschlüsseln werden kontrolliert erteilt, und die Verwendung protokolliert. | Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | 1.1.0 |
| U.10.2 Zugriff auf IT-Dienste und -Daten – Benutzer | U.10.2 | Unter der Verantwortung des CSP wird Administrator*innen der Zugriff gewährt. | Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | 1.1.0 |
| U.10.3 Zugriff auf IT-Dienste und -Daten – Benutzer | U.10.3 | Nur Benutzer*innen mit authentifizierten Geräten können auf IT-Dienste und -Daten zugreifen. | Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | 1.1.0 |
| U.10.5 Zugriff auf IT-Dienste und -Daten - Kompetent | U.10.5 | Der Zugriff auf IT-Dienste und -Daten ist durch technische Maßnahmen begrenzt und wurde implementiert. | Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | 1.1.0 |
| U.11.3 Cryptoservices – Verschlüsselt | U.11.3 | Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom CSC verwaltet werden. | Azure KI Services-Ressourcen sollten ruhende Daten mit einem kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) verschlüsseln. | 2.2.0 |
Reserve Bank of India – IT-Framework für Banken v2016
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy – RBI ITF Banks v2016. Weitere Informationen zu diesem Compliancestandard finden Sie unter RBI ITF Banks v2016 (PDF).
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Advanced Threat Defence und Verwaltung in Echtzeit | Advanced Threat Defence und Verwaltung in Echtzeit-13.4 | Azure KI Services-Ressourcen sollten ruhende Daten mit einem kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) verschlüsseln. | 2.2.0 | |
| Antiphishing | Anti-Phishing-14.1 | Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. | 3.2.0 |
System- und Organisationssteuerelemente (SOC) 2
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliancestandard entsprechen, finden Sie unter Details zur integrierten Initiative „Einhaltung der gesetzlichen Bestimmungen für SOC 2 (System and Organization Controls)“. Weitere Informationen zu diesem Compliancestandard finden Sie unter SOC 2 (System and Organization Controls, System- und Organisationskontrollen).
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Logische und physische Zugriffssteuerung | CC6.1 | Software, Infrastruktur und Architekturen für die Sicherheit des logischen Zugriffs | Azure KI Services-Ressourcen sollten ruhende Daten mit einem kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) verschlüsseln. | 2.2.0 |
Nächste Schritte
- Weitere Informationen zur Einhaltung gesetzlicher Bestimmungen in Azure Policy
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.