تفاصيل مبادرة التوافق التنظيمي المضمنة لمعيار الامتثال التنظيمي لـ CIS Microsoft Azure Foundations 1.1.0
توضح المقالة التالية كيفية تعيين تعريف مبادرة الامتثال التنظيمي المدمج وفقًا لـ Azure Policy إلى مجالات الامتثال وعناصر التحكم في معيار أسس CIS Microsoft Azure 1.1.0. لمزيد من المعلومات حول معيار الامتثال هذا، راجع معيار أسس CIS Microsoft Azure 1.1.0. لفهم الملكية، راجع تعريف نهج Azure و المسؤولية المشتركة في السحابة.
تم تخصيص التعيينات التالية إلى عناصر تحكم معيار أسس CIS Microsoft Azure إصدار 1.1.0. يتم تنفيذ العديد من عناصر التحكم بتعريف مبادرة Azure Policy. لمراجعة تعريف المبادرة الكامل، افتح نهج في مدخل Microsoft Azure وحدد صفحة التعريفات. بعد ذلك، يمكنك العثور على تعريف المبادرة المضمنة في الامتثال التنظيمي لمعيار أسس CIS Microsoft Azure إصدار 1.1.0 (Azure Government) وتحديده.
هام
يرتبط كل عنصر تحكم أدناه بتعريف أو أكثر من تعريفات نهج Azure. قد تساعدك هذه السياسات على تقييم الامتثال بعنصر التحكم؛ ومع ذلك، غالباً ما لا يكون هناك تطابق أو تناظر كامل بين عنصر التحكم مع نهج واحد أو أكثر. على هذا النحو، تشير كلمة متوافق في Azure Policy فقط إلى تعريفات النهج ذاتها؛ وهذا لا يضمن أنك ممتثل تمامًا لكافة متطلبات عنصر التحكم. بالإضافة إلى ذلك، يتضمن معيار التوافق عناصر تحكم لا يتم تناولها بواسطة أي تعريفات خاصة بـ Azure Policy في هذا الوقت. لذلك، فإن التوافق في Azure Policy هو مجرد مظهر جزئي لحالة التوافق الكلي. قد تتغير الاقترانات بين مجالات الامتثال وعناصر التحكم وتعريفات Azure Policy لمعيار الامتثال المذكور بمرور الوقت. لعرض تاريخ التغييرات، راجع تاريخ امتثال شركة GitHub.
1 إدارة الوصول والهوية
تأكد من تمكين المصادقة متعددة العوامل لجميع المستخدمين المميزين
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| اعتماد آليات المصادقة البيومترية | CMA_0005 - اعتماد آليات المصادقة البيومترية | يدوي، معطل | 1.1.0 |
تأكد من تعيين أنه 'يمكن للمستخدمين إضافة تطبيقات المعرض إلى لوحة الوصول' إلى 'لا'
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.10 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
تأكد من تعيين أنه "يمكن للمستخدمين تسجيل التطبيقات" على 'لا'
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.11 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
تأكد من تعيين "أذونات المستخدم الضيف محدودة" إلى "نعم"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.12 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| تصميم نموذج التحكم في الوصول | CMA_0129 - تصميم نموذج التحكم في الوصول | يدوي، معطل | 1.1.0 |
| استخدام الوصول الأقل امتيازًا | CMA_0212 - استخدام الوصول الأقل امتيازًا | يدوي، معطل | 1.1.0 |
| فرض الوصول المنطقي | CMA_0245 - Enforce logical access | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| طلب الموافقة لإنشاء الحساب | CMA_0431 - طلب الموافقة لإنشاء الحساب | يدوي، معطل | 1.1.0 |
| مراجعة مجموعات المستخدمين والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | CMA_0481 - مراجعة مجموعات المستخدم والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | يدوي، معطل | 1.1.0 |
احرص أن يكون 'يمكن للأعضاء الدعوة' تم تعيينها إلى 'لا'
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.13 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| تصميم نموذج التحكم في الوصول | CMA_0129 - تصميم نموذج التحكم في الوصول | يدوي، معطل | 1.1.0 |
| استخدام الوصول الأقل امتيازًا | CMA_0212 - استخدام الوصول الأقل امتيازًا | يدوي، معطل | 1.1.0 |
| فرض الوصول المنطقي | CMA_0245 - Enforce logical access | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| طلب الموافقة لإنشاء الحساب | CMA_0431 - طلب الموافقة لإنشاء الحساب | يدوي، معطل | 1.1.0 |
| مراجعة مجموعات المستخدمين والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | CMA_0481 - مراجعة مجموعات المستخدم والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | يدوي، معطل | 1.1.0 |
تأكد من تعيين "يمكن للضيوف الدعوة" على 'لا'
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.14 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| تصميم نموذج التحكم في الوصول | CMA_0129 - تصميم نموذج التحكم في الوصول | يدوي، معطل | 1.1.0 |
| استخدام الوصول الأقل امتيازًا | CMA_0212 - استخدام الوصول الأقل امتيازًا | يدوي، معطل | 1.1.0 |
| فرض الوصول المنطقي | CMA_0245 - Enforce logical access | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| طلب الموافقة لإنشاء الحساب | CMA_0431 - طلب الموافقة لإنشاء الحساب | يدوي، معطل | 1.1.0 |
| مراجعة مجموعات المستخدمين والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | CMA_0481 - مراجعة مجموعات المستخدم والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | يدوي، معطل | 1.1.0 |
تأكد من تعيين 'تقييد الوصول إلى مدخل إدارة Azure AD' على 'Yes'
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.15 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| فرض الوصول المنطقي | CMA_0245 - Enforce logical access | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| إنشاء عمليات التحكم في التغيير وتوثيقها | CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها | يدوي، معطل | 1.1.0 |
| طلب الموافقة لإنشاء الحساب | CMA_0431 - طلب الموافقة لإنشاء الحساب | يدوي، معطل | 1.1.0 |
| مراجعة مجموعات المستخدمين والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | CMA_0481 - مراجعة مجموعات المستخدم والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | يدوي، معطل | 1.1.0 |
تأكد من تعيين "تمكين إدارة مجموعة الخدمة الذاتية" على "لا"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.16 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| إنشاء عمليات التحكم في التغيير وتوثيقها | CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها | يدوي، معطل | 1.1.0 |
تأكد من تعيين "يمكن للمستخدمين إنشاء مجموعات أمان" على "لا"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.17 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| إنشاء عمليات التحكم في التغيير وتوثيقها | CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها | يدوي، معطل | 1.1.0 |
تأكد من تعيين "المستخدمون الذين يمكنهم إدارة مجموعات الأمان" على "بلا"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.18 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| إنشاء عمليات التحكم في التغيير وتوثيقها | CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها | يدوي، معطل | 1.1.0 |
تأكد من تعيين "يمكن للمستخدمين إنشاء مجموعات Office 365" على "لا"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.19 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| إنشاء عمليات التحكم في التغيير وتوثيقها | CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها | يدوي، معطل | 1.1.0 |
تأكد من تمكين المصادقة متعددة العوامل لجميع المستخدمين غير المميزين
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| اعتماد آليات المصادقة البيومترية | CMA_0005 - اعتماد آليات المصادقة البيومترية | يدوي، معطل | 1.1.0 |
تأكد من تعيين "المستخدمون الذين يمكنهم إدارة مجموعات Office 365" على "بلا"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.20 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| إنشاء عمليات التحكم في التغيير وتوثيقها | CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها | يدوي، معطل | 1.1.0 |
تأكد من تعيين 'طلب المصادقة متعددة العوامل للانضمام إلى الأجهزة' على 'نعم'
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.22 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| اعتماد آليات المصادقة البيومترية | CMA_0005 - اعتماد آليات المصادقة البيومترية | يدوي، معطل | 1.1.0 |
| تخويل الوصول عن بعد | CMA_0024 - تخويل الوصول عن بُعد | يدوي، معطل | 1.1.0 |
| التدريب على التنقل في المستندات | CMA_0191 - تدريب على التنقل في المستندات | يدوي، معطل | 1.1.0 |
| توثيق إرشادات الوصول عن بعد | CMA_0196 - توثيق إرشادات الوصول عن بُعد | يدوي، معطل | 1.1.0 |
| تحديد أجهزة الشبكة ومصادقتها | CMA_0296 - تحديد أجهزة الشبكة ومصادقتها | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة | CMA_0315 - تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة | يدوي، معطل | 1.1.0 |
| توفير التدريب على الخصوصية | CMA_0415 - توفير التدريب على الخصوصية | يدوي، معطل | 1.1.0 |
| تلبية متطلبات جودة الرمز المميز | CMA_0487 - تلبية متطلبات جودة الرمز المميز | يدوي، معطل | 1.1.0 |
تأكد من عدم إنشاء أدوار مخصصة لمالك الاشتراك
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.23 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| تصميم نموذج التحكم في الوصول | CMA_0129 - تصميم نموذج التحكم في الوصول | يدوي، معطل | 1.1.0 |
| استخدام الوصول الأقل امتيازًا | CMA_0212 - استخدام الوصول الأقل امتيازًا | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| إنشاء عمليات التحكم في التغيير وتوثيقها | CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها | يدوي، معطل | 1.1.0 |
تأكد من عدم وجود مستخدمين ضيوف
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure | يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure | يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| إعادة تعيين امتيازات المستخدم أو إزالتها حسب الحاجة | CMA_C1040 - إعادة تعيين امتيازات المستخدم أو إزالتها حسب الحاجة | يدوي، معطل | 1.1.0 |
| مراجعة سجلات توفير الحساب | CMA_0460 - مراجعة سجلات توفير الحساب | يدوي، معطل | 1.1.0 |
| مراجعة حسابات المستخدمين | CMA_0480 - مراجعة حسابات المستخدم | يدوي، معطل | 1.1.0 |
| مراجعة أمتيازات المستخدم | CMA_C1039 - مراجعة امتيازات المستخدم | يدوي، معطل | 1.1.0 |
تأكد من أن 'السماح للمستخدمين بتذكر المصادقة متعددة العوامل على الأجهزة التي يثقون بها' 'معطل'
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| اعتماد آليات المصادقة البيومترية | CMA_0005 - اعتماد آليات المصادقة البيومترية | يدوي، معطل | 1.1.0 |
| تحديد أجهزة الشبكة ومصادقتها | CMA_0296 - تحديد أجهزة الشبكة ومصادقتها | يدوي، معطل | 1.1.0 |
| تلبية متطلبات جودة الرمز المميز | CMA_0487 - تلبية متطلبات جودة الرمز المميز | يدوي، معطل | 1.1.0 |
تأكد من عدم تعيين "عدد الأيام قبل مطالبة المستخدمين بإعادة تأكيد معلومات المصادقة" على "0"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| أتمتة إدارة الحساب | CMA_0026 - أتمتة إدارة الحساب | يدوي، معطل | 1.1.0 |
| إدارة حسابات النظام والمسؤول | CMA_0368 - إدارة حسابات النظام والمسؤول | يدوي، معطل | 1.1.0 |
| مراقبة الوصول عبر المؤسسة | CMA_0376 - مراقبة الوصول عبر المؤسسة | يدوي، معطل | 1.1.0 |
| إعلام عندما لا تكون هناك حاجة إلى الحساب | CMA_0383 - إعلام عندما لا تكون هناك حاجة إلى الحساب | يدوي، معطل | 1.1.0 |
تأكد من أن 'إعلام المستخدمين عند إعادة تعيين كلمة المرور؟' تم تعيين إلى 'نعم'
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.7 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| أتمتة إدارة الحساب | CMA_0026 - أتمتة إدارة الحساب | يدوي، معطل | 1.1.0 |
| تنفيذ التدريب لحماية المصدقين | CMA_0329 - تنفيذ التدريب لحماية المصدقين | يدوي، معطل | 1.1.0 |
| إدارة حسابات النظام والمسؤول | CMA_0368 - إدارة حسابات النظام والمسؤول | يدوي، معطل | 1.1.0 |
| مراقبة الوصول عبر المؤسسة | CMA_0376 - مراقبة الوصول عبر المؤسسة | يدوي، معطل | 1.1.0 |
| إعلام عندما لا تكون هناك حاجة إلى الحساب | CMA_0383 - إعلام عندما لا تكون هناك حاجة إلى الحساب | يدوي، معطل | 1.1.0 |
تأكد من 'إعلام جميع المسؤولين عند إعادة تعيين المسؤولين الآخرين لكلمة المرور الخاصة بهم؟' تم تعيين إلى 'نعم'
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.8 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| أتمتة إدارة الحساب | CMA_0026 - أتمتة إدارة الحساب | يدوي، معطل | 1.1.0 |
| تنفيذ التدريب لحماية المصدقين | CMA_0329 - تنفيذ التدريب لحماية المصدقين | يدوي، معطل | 1.1.0 |
| إدارة حسابات النظام والمسؤول | CMA_0368 - إدارة حسابات النظام والمسؤول | يدوي، معطل | 1.1.0 |
| مراقبة الوصول عبر المؤسسة | CMA_0376 - مراقبة الوصول عبر المؤسسة | يدوي، معطل | 1.1.0 |
| مراقبة تعيين الدور المتميز | CMA_0378 - مراقبة تعيين الدور المتميز | يدوي، معطل | 1.1.0 |
| إعلام عندما لا تكون هناك حاجة إلى الحساب | CMA_0383 - إعلام عندما لا تكون هناك حاجة إلى الحساب | يدوي، معطل | 1.1.0 |
| تقييد الوصول إلى الحسابات المتميزة | CMA_0446 - تقييد الوصول إلى الحسابات المتميزة | يدوي، معطل | 1.1.0 |
| إبطال الأدوار المتميزة حسب الاقتضاء | CMA_0483 - إبطال الأدوار المتميزة حسب الاقتضاء | يدوي، معطل | 1.1.0 |
| استخدم إدارة الهويةَ المتميزة | CMA_0533 - استخدم إدارة الهويةَ المتميزة | يدوي، معطل | 1.1.0 |
تأكد من تعيين 'يمكن للمستخدمين الموافقة على التطبيقات التي تصل إلى بيانات الشركة نيابة عنهم' إلى 'لا'
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.9 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
2 مركز الأمان
تأكد من تحديد مستوى التسعير القياسي
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | يدوي، معطل | 1.1.0 |
| إدارة البوابات | CMA_0363 - Manage gateways | يدوي، معطل | 1.1.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | يدوي، معطل | 1.1.0 |
| مراجعة حالة الحماية من التهديدات أسبوعيًا | CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا | يدوي، معطل | 1.1.0 |
| تحديث تعريفات مكافحة الفيروسات | CMA_0517 - تحديث تعريفات مكافحة الفيروسات | يدوي، معطل | 1.1.0 |
تأكد من أن إعداد النهج الافتراضي لـ ASC "مراقبة تقييم الثغرات" ليس "معطلًا"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.10 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك. | AuditIfNotExists، معطل | 3.0.0 |
تأكد من أن إعداد النهج الافتراضي لـ ASC "مراقبة تشفير كائن ثنائي كبير الحجم للتخزين" ليس على الوضع "معطل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.11 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء إجراء إدارة تسرب البيانات | CMA_0255 - إنشاء إجراء إدارة تسرب البيانات | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية المعلومات الخاصة | CMA_0409 - حماية المعلومات الخاصة | يدوي، معطل | 1.1.0 |
تأكد من عدم وجود إعداد النهج الافتراضي "Monitor JIT Network Access" في وضع "Disabled"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.12 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | يدوي، معطل | 1.1.0 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
تأكد من أن إعداد النهج الافتراضي لـ ASC "مراقبة التطبيقات التكيفية في القائمة البيضاء" ليس "معطلًا"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.13 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك | تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة. | AuditIfNotExists، معطل | 3.0.0 |
تأكَّد من أن إعداد نهج ASC الافتراضي "مراقبة تدقيق SQL" ليس على الوضع "معطل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.14 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| ينبغي تمكين التدقيق على خادم SQL | يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 2.0.0 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
تأكَّد من أن إعداد نهج ASC الافتراضي "مراقبة تشفير SQL" ليس على الوضع "معطل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.15 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء إجراء إدارة تسرب البيانات | CMA_0255 - إنشاء إجراء إدارة تسرب البيانات | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية المعلومات الخاصة | CMA_0409 - حماية المعلومات الخاصة | يدوي، معطل | 1.1.0 |
| ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL | يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال | AuditIfNotExists، معطل | 2.0.0 |
تأكد من تعيين "Security contact emails"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.16 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center. | AuditIfNotExists، معطل | 1.0.1 |
تأكد من تعيين "Send email notification for high severity alerts" إلى "On"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.18 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 1.1.0 |
تأكد من تعيين "Send email also to subscription owners" إلى "On"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.19 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 2.1.0 |
تأكد من تعيين "التوفير التلقائي لوكيل المراقبة" إلى "تشغيل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين التوفير التلقائي لوكيل Log Analytics في الاشتراك | لمراقبة الثغرات والتهديدات الأمنية، يجمع مركز أمان Azure البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها. | AuditIfNotExists، معطل | 1.0.1 |
| عمليات أمان المستند | CMA_0202 - عمليات أمان المستندات | يدوي، معطل | 1.1.0 |
| تشغيل أجهزة الاستشعار لحل أمان نقطة النهاية | CMA_0514 - تشغيل أدوات الاستشعار لحل أمان نقطة النهاية | يدوي، معطل | 1.1.0 |
تأكد من أن إعداد النهج الافتراضي لـ ASC "مراقبة تحديثات النظام" ليس "معطلًا"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
| ينبغي تثبيت تحديثات النظام على أجهزتك | سيراقب Azure Security Center تحديثات نظام الأمان المفقودة على خوادمك من قبيل التوصيات | AuditIfNotExists، معطل | 4.0.0 |
تأكد من عدم وجود إعداد النهج الافتراضي "Monitor OS Vulnerabilities" لـ ASC في وضع "Disabled"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
| يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك | ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات | AuditIfNotExists، معطل | 3.1.0 |
تأكد من عدم وجود إعداد النهج الافتراضي "Monitor Endpoint Protection" لـ ASC في وضع "Disabled"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| إدارة البوابات | CMA_0363 - Manage gateways | يدوي، معطل | 1.1.0 |
| مراقبة حماية نقطة النهاية المفقودة في Azure Security Center | ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | يدوي، معطل | 1.1.0 |
| مراجعة حالة الحماية من التهديدات أسبوعيًا | CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا | يدوي، معطل | 1.1.0 |
| تحديث تعريفات مكافحة الفيروسات | CMA_0517 - تحديث تعريفات مكافحة الفيروسات | يدوي، معطل | 1.1.0 |
تأكد من عدم وجود إعداد النهج الافتراضي "Monitor Disk Encryption" لـ ASC في وضع "Disabled"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء إجراء إدارة تسرب البيانات | CMA_0255 - إنشاء إجراء إدارة تسرب البيانات | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية المعلومات الخاصة | CMA_0409 - حماية المعلومات الخاصة | يدوي، معطل | 1.1.0 |
| يجب أن تُشفر الأجهزة الظاهرية الأقراص المؤقتة وذاكرة التخزين المؤقت وتدفق البيانات بين موارد الحوسبة والتخزين | بشكل افتراضي، يتم تشفير نظام التشغيل وأقراص البيانات الخاصة بالجهاز الظاهري في حالة عدم استخدام مفاتيح تُدار بواسطة النظام الأساسي. لا يتم تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين الحوسبة والتخزين. تجاهل هذه التوصية إذا: 1. باستخدام التشفير في المضيف، أو 2. التشفير من جانب الخادم على الأقراص المُدارة يفي بمتطلبات الأمان. تعرف على المزيد في: تشفير Azure Disk Storage من جانب الخادم: https://aka.ms/disksse، العروض المختلفة لتشفير القرص: https://aka.ms/diskencryptioncomparison | AuditIfNotExists، معطل | 2.0.3 |
تأكد من أن إعداد النهج الافتراضي لـ ASC "مراقبة مجموعات أمان الشبكة" ليس "معطلًا"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.7 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت | يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل | AuditIfNotExists، معطل | 3.0.0 |
| التحكم في تدفق المعلومات | CMA_0079 - التحكم في تدفق المعلومات | يدوي، معطل | 1.1.0 |
| استخدام آليات التحكم في التدفق للمعلومات المشفرة | CMA_0211 - استخدام آليات التحكم في التدفق للمعلومات المشفرة | يدوي، معطل | 1.1.0 |
تأكد من أن إعداد النهج الافتراضي لـ ASC "مراقبة جدار حماية تطبيق ويب" ليس على الوضع "معطل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.8 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في تدفق المعلومات | CMA_0079 - التحكم في تدفق المعلومات | يدوي، معطل | 1.1.0 |
| استخدام آليات التحكم في التدفق للمعلومات المشفرة | CMA_0211 - استخدام آليات التحكم في التدفق للمعلومات المشفرة | يدوي، معطل | 1.1.0 |
تأكد من عدم وجود إعداد النهج الافتراضي "Enable Next Generation Firewall(NGFW) Monitoring" لـ ASC في وضع "Disabled"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.9 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في تدفق المعلومات | CMA_0079 - التحكم في تدفق المعلومات | يدوي، معطل | 1.1.0 |
| استخدام آليات التحكم في التدفق للمعلومات المشفرة | CMA_0211 - استخدام آليات التحكم في التدفق للمعلومات المشفرة | يدوي، معطل | 1.1.0 |
| يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة | قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة | حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها. | AuditIfNotExists، معطل | 3.0.0 |
3 حساب تخزين
تأكد من تعيين "Secure transfer required" إلى وضع "Enabled"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين محطات العمل للتحقق من وجود شهادات رقمية | CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية كلمات المرور باستخدام التشفير | CMA_0408 - حماية كلمات المرور باستخدام التشفير | يدوي، معطل | 1.1.0 |
| يجب تمكين النقل الآمن إلى حسابات التخزين | متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 2.0.0 |
تأكد من إعادة إنشاء مفاتيح الوصول إلى حساب التخزين بشكل دوري
المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعريف عملية إدارة المفاتيح الفعلية | CMA_0115 - تعريف عملية إدارة المفاتيح الفعلية | يدوي، معطل | 1.1.0 |
| تعريف استخدام التشفير | CMA_0120 - تعريف استخدام التشفير | يدوي، معطل | 1.1.0 |
| تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | CMA_0123 - تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | يدوي، معطل | 1.1.0 |
| تحديد متطلبات التأكيد | CMA_0136 - تحديد متطلبات التأكيد | يدوي، معطل | 1.1.0 |
| إصدار شهادات المفتاح العام | CMA_0347 - إصدار شهادات المفتاح العام | يدوي، معطل | 1.1.0 |
| إدارة مفاتيح التشفير المتماثلة | CMA_0367 - إدارة مفاتيح التشفير المتماثلة | يدوي، معطل | 1.1.0 |
| تقييد الوصول إلى المفاتيح الخاصة | CMA_0445 - تقييد الوصول إلى المفاتيح الخاصة | يدوي، معطل | 1.1.0 |
تأكد من تمكين تسجيل التخزين لخدمة قائمة الانتظار لطلبات القراءة والكتابة والحذف
المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| تكوين قدرات Azure Audit | CMA_C1108 - تكوين قدرات Azure Audit | يدوي، معطل | 1.1.1 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
يتطلب انتهاء صلاحية الرموز المميزة لتوقيع الوصول المشترك في غضون ساعة
المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعطيل المصدقين عند الإنهاء | CMA_0169 - تعطيل المصدقين عند الإنهاء | يدوي، معطل | 1.1.0 |
| إبطال الأدوار المتميزة حسب الاقتضاء | CMA_0483 - إبطال الأدوار المتميزة حسب الاقتضاء | يدوي، معطل | 1.1.0 |
| إنهاء جلسة عمل المستخدم تلقائيًا | CMA_C1054 - إنهاء جلسة عمل المستخدم تلقائيًا | يدوي، معطل | 1.1.0 |
تأكد من السماح بالرموز المميزة لتوقيع الوصول المشترك عبر https فقط
المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين محطات العمل للتحقق من وجود شهادات رقمية | CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية كلمات المرور باستخدام التشفير | CMA_0408 - حماية كلمات المرور باستخدام التشفير | يدوي، معطل | 1.1.0 |
تأكد من تعيين "Public access level" إلى "Private" لحاويات الكائنات الثنائية كبيرة الحجم
المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين | يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 3.1.0-المعاينة |
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| فرض الوصول المنطقي | CMA_0245 - Enforce logical access | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| طلب الموافقة لإنشاء الحساب | CMA_0431 - طلب الموافقة لإنشاء الحساب | يدوي، معطل | 1.1.0 |
| مراجعة مجموعات المستخدمين والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | CMA_0481 - مراجعة مجموعات المستخدم والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | يدوي، معطل | 1.1.0 |
تأكد من تعيين قاعدة الوصول إلى الشبكة الافتراضية لحسابات التخزين إلى "Deny"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.7 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
تأكد من تمكين "خدمات Microsoft الموثوقة" للوصول إلى حساب Storage Account
المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.8 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في تدفق المعلومات | CMA_0079 - التحكم في تدفق المعلومات | يدوي، معطل | 1.1.0 |
| استخدام آليات التحكم في التدفق للمعلومات المشفرة | CMA_0211 - استخدام آليات التحكم في التدفق للمعلومات المشفرة | يدوي، معطل | 1.1.0 |
| قم بإنشاء وتنفيذ جدار الحماية ومعايير تكوين جهاز التوجيه | CMA_0272 - إنشاء معايير تكوين جدار الحماية والموجه | يدوي، معطل | 1.1.0 |
| إنشاء تجزئة الشبكة لبيئة بيانات حامل البطاقة | CMA_0273 - إنشاء تجزئة الشبكة لبيئة بيانات حامل البطاقة | يدوي، معطل | 1.1.0 |
| تحديد وإدارة عمليات تبادل المعلومات في المراحل النهائية | CMA_0298 - تحديد وإدارة تبادل المعلومات في المراحل النهائية | يدوي، معطل | 1.1.0 |
| يجب أن تسمح حسابات التخزين بالوصول من خدمات Microsoft الموثوق بها | تعمل بعض خدمات Microsoft التي تتفاعل مع حسابات التخزين من شبكات لا يمكن منحها حق الوصول من خلال قواعد الشبكة. للمساعدة في هذا النوع من عمل الخدمة كما هو مقصود، اسمح لمجموعة خدمات Microsoft الموثوق بها بتجاوز قواعد الشبكة. وستستخدم هذه الخدمات بعد ذلك مصادقة قوية للوصول إلى حساب التخزين. | التدقيق، الرفض، التعطيل | 1.0.0 |
4 خدمات قاعدة البيانات
تأكد من تعيين "Auditing" إلى "ON"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| ينبغي تمكين التدقيق على خادم SQL | يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 2.0.0 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
تأكَّد من تشفير حامي تشفير البيانات الشفاف الخاص بخادم SQL باستخدام BYOK (استخدِم المفتاح الخاص بك)
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.10 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء إجراء إدارة تسرب البيانات | CMA_0255 - إنشاء إجراء إدارة تسرب البيانات | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية المعلومات الخاصة | CMA_0409 - حماية المعلومات الخاصة | يدوي، معطل | 1.1.0 |
| يجب أن تستخدم المثيلات المدارة من قبل SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر لك تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح مزيدًا من الشفافية والتحكم في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح شفافية وتحكمًا متزايدين في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.1 |
تأكد من تعيين "Enforce SSL connection" لخادم قاعدة بيانات MySQL إلى "ENABLED"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.11 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين محطات العمل للتحقق من وجود شهادات رقمية | CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية | يدوي، معطل | 1.1.0 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL | قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية كلمات المرور باستخدام التشفير | CMA_0408 - حماية كلمات المرور باستخدام التشفير | يدوي، معطل | 1.1.0 |
تأكد من تعيين معلمة خادم "log_checkpoints" إلى "ON" لخادم قاعدة بيانات PostgreSQL
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.12 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| يجب تمكين نقاط فحص السجل لخوادم قاعدة بيانات PostgreSQL | يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين إعداد "log_checkpoints". | AuditIfNotExists، معطل | 1.0.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
تأكد من إعداد 'فرض اتصال SSL' لخادم قاعدة بيانات PostgreSQL إلى 'ممكّن'
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.13 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين محطات العمل للتحقق من وجود شهادات رقمية | CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية | يدوي، معطل | 1.1.0 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL | تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية كلمات المرور باستخدام التشفير | CMA_0408 - حماية كلمات المرور باستخدام التشفير | يدوي، معطل | 1.1.0 |
تأكد من تعيين معلمة خادم "log_connections" إلى "ON" لخادم قاعدة بيانات PostgreSQL
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.14 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| يجب تمكين سجل الاتصالات لخوادم قاعدة بيانات PostgreSQL | يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين إعداد "log_connections". | AuditIfNotExists، معطل | 1.0.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
تأكد من تعيين معلمة خادم "log_disconnections" إلى "ON" لخادم قاعدة بيانات PostgreSQL
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.15 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| يجب تسجيل حالات قطع الاتصال لخوادم قاعدة بيانات PostgreSQL. | يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين "log_disconnections". | AuditIfNotExists، معطل | 1.0.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
تأكد من تعيين معلمة خادم "log_duration" إلى "ON" لخادم قاعدة بيانات PostgreSQL
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.16 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
تأكد من تعيين معلمة خادم "connection_throttling" إلى "ON" لخادم قاعدة بيانات PostgreSQL
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.17 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| يجب تمكين تقييد الاتصال "Connection throttling" لخوادم قاعدة بيانات PostgreSQL | يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين "Connection Throttling". يتيح هذا الإعداد تقييد الاتصال المؤقت لكل عنوان IP للعديد من حالات فشل تسجيل الدخول غير الصالحة لكلمة المرور. | AuditIfNotExists، معطل | 1.0.0 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
تأكد من أن معلمة الخادم "log_retention_days" أكبر من 3 أيام لخادم قاعدة بيانات PostgreSQL
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.18 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الالتزام بفترات الاستبقاء المحددة | CMA_0004 - الالتزام بفترات الاستبقاء المحددة | يدوي، معطل | 1.1.0 |
| إدارة ومراقبة أنشطة معالجة التدقيق | CMA_0289 - إدارة ومراقبة أنشطة معالجة التدقيق | يدوي، معطل | 1.1.0 |
| الاحتفاظ بسياسات وإجراءات الأمان | CMA_0454 - الاحتفاظ بسياسات وإجراءات الأمان | يدوي، معطل | 1.1.0 |
| الاحتفاظ ببيانات المستخدم التي تم إنهاؤها | CMA_0455 - الاحتفاظ ببيانات المستخدم المنتهية | يدوي، معطل | 1.1.0 |
تأكَّد من تكوين مسؤول Azure Active Directory
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.19 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| أتمتة إدارة الحساب | CMA_0026 - أتمتة إدارة الحساب | يدوي، معطل | 1.1.0 |
| إدارة حسابات النظام والمسؤول | CMA_0368 - إدارة حسابات النظام والمسؤول | يدوي، معطل | 1.1.0 |
| مراقبة الوصول عبر المؤسسة | CMA_0376 - مراقبة الوصول عبر المؤسسة | يدوي، معطل | 1.1.0 |
| إعلام عندما لا تكون هناك حاجة إلى الحساب | CMA_0383 - إعلام عندما لا تكون هناك حاجة إلى الحساب | يدوي، معطل | 1.1.0 |
تأكَّد من تعيين "AuditActionGroups" في نهج "التدقيق" لخادم SQL بشكل صحيح
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
| ينبغي أن تتضمن إعدادات تدقيق SQL مجموعات إجراءات تم تكوينها لحفظ الأنشطة الحيوية | يجب أن تحتوي خاصية AuditActionsAndGroups على SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP وFAILED_DATABASE_AUTHENTICATION_GROUP وBATCH_COMPLETED_GROUP على الأقل لضمان تسجيل تدقيق شامل | AuditIfNotExists، معطل | 1.0.0 |
تأكَّد من أن مدة الاحتفاظ بسجلات "التدقيق" "أكبر من 90 يومًا"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الالتزام بفترات الاستبقاء المحددة | CMA_0004 - الالتزام بفترات الاستبقاء المحددة | يدوي، معطل | 1.1.0 |
| إدارة ومراقبة أنشطة معالجة التدقيق | CMA_0289 - إدارة ومراقبة أنشطة معالجة التدقيق | يدوي، معطل | 1.1.0 |
| الاحتفاظ بسياسات وإجراءات الأمان | CMA_0454 - الاحتفاظ بسياسات وإجراءات الأمان | يدوي، معطل | 1.1.0 |
| الاحتفاظ ببيانات المستخدم التي تم إنهاؤها | CMA_0455 - الاحتفاظ ببيانات المستخدم المنتهية | يدوي، معطل | 1.1.0 |
| ينبغي تكوين خوادم SQL لاستخدام التدقيق لوجهة حساب التخزين مع الاحتفاظ بهذه السجلات لمدة 90 يومًا أو أكثر | لأغراض التحقيق في الحوادث، نوصي بتعيين الاحتفاظ بالبيانات لمراجعة SQL Server إلى وجهة حساب التخزين لمدة 90 يومًا على الأقل. تأكد من الاستيفاء بقواعد الاحتفاظ الضرورية للمناطق التي تعمل فيها. وهذا مطلوب في بعض الأحيان للتوافق مع المعايير التنظيمية. | AuditIfNotExists، معطل | 3.0.0 |
تأكَّد من تعيين "أمان البيانات المتقدم" على خادم SQL إلى 'تشغيل'
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
تأكد من تعيين "أنواع الكشف عن المخاطر" على "الكل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
تأكد من تعيين "إرسال التنبيهات إلى"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنبيه موظفي تسرب المعلومات | CMA_0007 - تنبيه موظفي تسرب المعلومات | يدوي، معطل | 1.1.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
تأكد من أن "خدمة البريد الإلكتروني والمسؤولون المشاركون" "مُمكّنة"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.7 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنبيه موظفي تسرب المعلومات | CMA_0007 - تنبيه موظفي تسرب المعلومات | يدوي، معطل | 1.1.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
تأكَّد من تكوين مسؤول Azure Active Directory
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.8 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| أتمتة إدارة الحساب | CMA_0026 - أتمتة إدارة الحساب | يدوي، معطل | 1.1.0 |
| إدارة حسابات النظام والمسؤول | CMA_0368 - إدارة حسابات النظام والمسؤول | يدوي، معطل | 1.1.0 |
| مراقبة الوصول عبر المؤسسة | CMA_0376 - مراقبة الوصول عبر المؤسسة | يدوي، معطل | 1.1.0 |
| إعلام عندما لا تكون هناك حاجة إلى الحساب | CMA_0383 - إعلام عندما لا تكون هناك حاجة إلى الحساب | يدوي، معطل | 1.1.0 |
تأكد من تعيين "Data encryption" إلى "On" على قاعدة بيانات SQL
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.9 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء إجراء إدارة تسرب البيانات | CMA_0255 - إنشاء إجراء إدارة تسرب البيانات | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية المعلومات الخاصة | CMA_0409 - حماية المعلومات الخاصة | يدوي، معطل | 1.1.0 |
| ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL | يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال | AuditIfNotExists، معطل | 2.0.0 |
5 التسجيل والمراقبة
تأكد من وجود ملف تعريف سجل
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.1.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الالتزام بفترات الاستبقاء المحددة | CMA_0004 - الالتزام بفترات الاستبقاء المحددة | يدوي، معطل | 1.1.0 |
| يجب أن تحتوي اشتراكات Azure على ملف تعريف سجل لسجل النشاط | يضمن هذا النهج ما إذا تم تمكين أحد ملفات تعريف السجلات لتصدير سجلات النشاط. ويقوم بتدقيق ما إذا لم يتم إنشاء ملف تعريف سجل لتصدير السجلات إما إلى حساب تخزين أو إلى مركز أحداث. | AuditIfNotExists، معطل | 1.0.0 |
| إدارة ومراقبة أنشطة معالجة التدقيق | CMA_0289 - إدارة ومراقبة أنشطة معالجة التدقيق | يدوي، معطل | 1.1.0 |
| الاحتفاظ بسياسات وإجراءات الأمان | CMA_0454 - الاحتفاظ بسياسات وإجراءات الأمان | يدوي، معطل | 1.1.0 |
| الاحتفاظ ببيانات المستخدم التي تم إنهاؤها | CMA_0455 - الاحتفاظ ببيانات المستخدم المنتهية | يدوي، معطل | 1.1.0 |
تأكد من تعيين "Activity Log Retention" لمدة 365 يومًا أو أكثر
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.1.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب الاحتفاظ بسجل النشاط لمدة سنة واحدة على الأقل | يقوم هذا النهج بتدقيق سجل النشاط إذا لم يتم تعيين الاحتفاظ لمدة 365 يوماً أو إلى الأبد (تعيين أيام الاحتفاظ إلى "0"). | AuditIfNotExists، معطل | 1.0.0 |
| الالتزام بفترات الاستبقاء المحددة | CMA_0004 - الالتزام بفترات الاستبقاء المحددة | يدوي، معطل | 1.1.0 |
| الاحتفاظ بسياسات وإجراءات الأمان | CMA_0454 - الاحتفاظ بسياسات وإجراءات الأمان | يدوي، معطل | 1.1.0 |
| الاحتفاظ ببيانات المستخدم التي تم إنهاؤها | CMA_0455 - الاحتفاظ ببيانات المستخدم المنتهية | يدوي، معطل | 1.1.0 |
ضمان أن ملف تعريف التدقيق يلتقط جميع الأنشطة
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.1.3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الالتزام بفترات الاستبقاء المحددة | CMA_0004 - الالتزام بفترات الاستبقاء المحددة | يدوي، معطل | 1.1.0 |
| يجب أن يقوم ملف تعريف سجل Azure Monitor بتجميع سجلات للفئات "الكتابة" و"الحذف" و"الإجراء" | يضمن هذا النهج أن ملف تعريف السجل يجمع سجلات للفئات 'الكتابة' و'حذف' و'إجراء' | AuditIfNotExists، معطل | 1.0.0 |
| إدارة ومراقبة أنشطة معالجة التدقيق | CMA_0289 - إدارة ومراقبة أنشطة معالجة التدقيق | يدوي، معطل | 1.1.0 |
| الاحتفاظ بسياسات وإجراءات الأمان | CMA_0454 - الاحتفاظ بسياسات وإجراءات الأمان | يدوي، معطل | 1.1.0 |
| الاحتفاظ ببيانات المستخدم التي تم إنهاؤها | CMA_0455 - الاحتفاظ ببيانات المستخدم المنتهية | يدوي، معطل | 1.1.0 |
تأكد من أن ملف تعريف السجل يلتقط سجلات النشاط لكل المناطق، بما في ذلك المناطق العمومية
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.1.4 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الالتزام بفترات الاستبقاء المحددة | CMA_0004 - الالتزام بفترات الاستبقاء المحددة | يدوي، معطل | 1.1.0 |
| يجب أن يجمع Azure Monitor سجلات الأنشطة من جميع المناطق | يقوم هذا النهج بتدقيق ملف تعريف سجل Azure Monitor الذي لا يقوم بتصدير الأنشطة من كل المناطق المعتمدة من Azure بما في ذلك المناطق العمومية. | AuditIfNotExists، معطل | 2.0.0 |
| إدارة ومراقبة أنشطة معالجة التدقيق | CMA_0289 - إدارة ومراقبة أنشطة معالجة التدقيق | يدوي، معطل | 1.1.0 |
| الاحتفاظ بسياسات وإجراءات الأمان | CMA_0454 - الاحتفاظ بسياسات وإجراءات الأمان | يدوي، معطل | 1.1.0 |
| الاحتفاظ ببيانات المستخدم التي تم إنهاؤها | CMA_0455 - الاحتفاظ ببيانات المستخدم المنتهية | يدوي، معطل | 1.1.0 |
تأكد من أن حاوية التخزين التي تخزن سجلات النشاط غير متاحة للجمهور
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.1.5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين | يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 3.1.0-المعاينة |
| تمكين التخويل المزدوج أو المشترك | CMA_0226 - تمكين التخويل المزدوج أو المشترك | يدوي، معطل | 1.1.0 |
| حماية معلومات التدقيق | CMA_0401 - حماية معلومات التدقيق | يدوي، معطل | 1.1.0 |
تأكد من تشفير حساب التخزين الذي يحتوي على الحاوية مع سجلات النشاط باستخدام خدمة BYOK (استخدم مفتاحك الخاص)
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.1.6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تمكين التخويل المزدوج أو المشترك | CMA_0226 - تمكين التخويل المزدوج أو المشترك | يدوي، معطل | 1.1.0 |
| الحفاظ على تكامل نظام التدقيق | CMA_C1133 - الحفاظ على سلامة نظام التدقيق | يدوي، معطل | 1.1.0 |
| حماية معلومات التدقيق | CMA_0401 - حماية معلومات التدقيق | يدوي، معطل | 1.1.0 |
| يجب تشفير حساب التخزين الذي يحتوي على الحاوية مع سجلات الأنشطة باستخدام BYOK | يقوم هذا النهج بتدقيق ما إذا تم تشفير حساب التخزين الذي يحتوي على الحاوية مع سجلات النشاط باستخدام خدمة BYOK. لا يعمل النهج إلا إذا كان حساب التخزين يقع في الاشتراك نفسه كسجلات النشاط حسب التصميم. يمكن العثور على مزيد من المعلومات حول تشفير Azure Storage غير نشط هنا https://aka.ms/azurestoragebyok. | AuditIfNotExists، معطل | 1.0.0 |
تأكد من أن "تسجيل الدخول إلى Azure KeyVault" في وضع التمكين "Enabled"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.1.7 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| يجب تمكين سجلات الموارد في HSM المدارة في Azure Key Vault | لإعادة إنشاء مسارات النشاط لأغراض التحري؛ عند حدوث حادث أمني أو عند اختراق الشبكة، قد ترغب في التدقيق من خلال تمكين سجلات المورد على وحدات HSM. يرجى اتباع التعليمات هنا: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists، معطل | 1.1.0 |
| يجب تمكين سجلات الموارد في Key Vault | مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة | AuditIfNotExists، معطل | 5.0.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
تأكد من وجود تنبيه سجل النشاط لإنشاء تعيين نهج
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنبيه موظفي تسرب المعلومات | CMA_0007 - تنبيه موظفي تسرب المعلومات | يدوي، معطل | 1.1.0 |
| يجب أن يوجد تنبيه سجل النشاط لعمليات معينة تتعلق بالنهج | يقوم هذا النهج بتدقيق عمليات نهج معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 3.0.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
تأكد من وجود تنبيه سجل النشاط لإنشاء مجموعة أمان الشبكة أو تحديثها
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنبيه موظفي تسرب المعلومات | CMA_0007 - تنبيه موظفي تسرب المعلومات | يدوي، معطل | 1.1.0 |
| يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة | يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 1.0.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
تأكد من وجود تنبيه سجل النشاط لحذف مجموعة أمان الشبكة
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنبيه موظفي تسرب المعلومات | CMA_0007 - تنبيه موظفي تسرب المعلومات | يدوي، معطل | 1.1.0 |
| يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة | يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 1.0.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
تأكد من وجود تنبيه سجل النشاط لإنشاء قاعدة مجموعة أمان الشبكة أو تحديثها
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنبيه موظفي تسرب المعلومات | CMA_0007 - تنبيه موظفي تسرب المعلومات | يدوي، معطل | 1.1.0 |
| يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة | يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 1.0.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
تأكد من وجود تنبيه سجل النشاط لقاعدة حذف مجموعة أمان الشبكة
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنبيه موظفي تسرب المعلومات | CMA_0007 - تنبيه موظفي تسرب المعلومات | يدوي، معطل | 1.1.0 |
| يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة | يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 1.0.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
تأكد من وجود تنبيه سجل النشاط لإنشاء أو تحديث حل الأمان
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنبيه موظفي تسرب المعلومات | CMA_0007 - تنبيه موظفي تسرب المعلومات | يدوي، معطل | 1.1.0 |
| يجب أن يكون ثمة تنبيه لسجل النشاط الخاص بعمليات أمان معينة | يقوم هذا النهج بتدقيق عمليات أمان معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 1.0.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
تأكد من وجود تنبيه سجل النشاط لـ "حذف حل الأمان"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.7 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنبيه موظفي تسرب المعلومات | CMA_0007 - تنبيه موظفي تسرب المعلومات | يدوي، معطل | 1.1.0 |
| يجب أن يكون ثمة تنبيه لسجل النشاط الخاص بعمليات أمان معينة | يقوم هذا النهج بتدقيق عمليات أمان معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 1.0.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
تأكد من وجود تنبيه لسجل النشاط الخاص بإنشاء قاعدة جدار حماية Microsoft SQL Server أو تحديثها أو حذفها
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.8 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنبيه موظفي تسرب المعلومات | CMA_0007 - تنبيه موظفي تسرب المعلومات | يدوي، معطل | 1.1.0 |
| يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة | يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 1.0.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
تأكد من وجود تنبيه سجل النشاط لنهج أمان التحديث
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.9 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنبيه موظفي تسرب المعلومات | CMA_0007 - تنبيه موظفي تسرب المعلومات | يدوي، معطل | 1.1.0 |
| يجب أن يكون ثمة تنبيه لسجل النشاط الخاص بعمليات أمان معينة | يقوم هذا النهج بتدقيق عمليات أمان معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 1.0.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
6 شبكات
تأكد من عدم وجود SQL Databases تسمح بإدخال 0.0.0.0/0 (أي عنوان IP)
المعرف: توصيات معيار CIS Microsoft Azure Foundations 6.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في تدفق المعلومات | CMA_0079 - التحكم في تدفق المعلومات | يدوي، معطل | 1.1.0 |
| استخدام آليات التحكم في التدفق للمعلومات المشفرة | CMA_0211 - استخدام آليات التحكم في التدفق للمعلومات المشفرة | يدوي، معطل | 1.1.0 |
تأكد من أن فترة استبقاء سجل تدفق مجموعة أمان الشبكة 'أكبر من 90 يومًا'
المعرف: توصيات معيار CIS Microsoft Azure Foundations 6.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الالتزام بفترات الاستبقاء المحددة | CMA_0004 - الالتزام بفترات الاستبقاء المحددة | يدوي، معطل | 1.1.0 |
| الاحتفاظ بسياسات وإجراءات الأمان | CMA_0454 - الاحتفاظ بسياسات وإجراءات الأمان | يدوي، معطل | 1.1.0 |
| الاحتفاظ ببيانات المستخدم التي تم إنهاؤها | CMA_0455 - الاحتفاظ ببيانات المستخدم المنتهية | يدوي، معطل | 1.1.0 |
تأكد من أن خدمة Network Watcher في وضع "Enabled"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 6.5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| التحقق من وظائف الأمان | CMA_C1708 - التحقق من وظائف الأمان | يدوي، معطل | 1.1.0 |
7 أجهزة ظاهرية
تأكد من تشفير "قرص نظام التشغيل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 7.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء إجراء إدارة تسرب البيانات | CMA_0255 - إنشاء إجراء إدارة تسرب البيانات | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية المعلومات الخاصة | CMA_0409 - حماية المعلومات الخاصة | يدوي، معطل | 1.1.0 |
| يجب أن تُشفر الأجهزة الظاهرية الأقراص المؤقتة وذاكرة التخزين المؤقت وتدفق البيانات بين موارد الحوسبة والتخزين | بشكل افتراضي، يتم تشفير نظام التشغيل وأقراص البيانات الخاصة بالجهاز الظاهري في حالة عدم استخدام مفاتيح تُدار بواسطة النظام الأساسي. لا يتم تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين الحوسبة والتخزين. تجاهل هذه التوصية إذا: 1. باستخدام التشفير في المضيف، أو 2. التشفير من جانب الخادم على الأقراص المُدارة يفي بمتطلبات الأمان. تعرف على المزيد في: تشفير Azure Disk Storage من جانب الخادم: https://aka.ms/disksse، العروض المختلفة لتشفير القرص: https://aka.ms/diskencryptioncomparison | AuditIfNotExists، معطل | 2.0.3 |
تأكد من تشفير 'أقراص البيانات'
المعرف: توصيات معيار CIS Microsoft Azure Foundations 7.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء إجراء إدارة تسرب البيانات | CMA_0255 - إنشاء إجراء إدارة تسرب البيانات | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية المعلومات الخاصة | CMA_0409 - حماية المعلومات الخاصة | يدوي، معطل | 1.1.0 |
| يجب أن تُشفر الأجهزة الظاهرية الأقراص المؤقتة وذاكرة التخزين المؤقت وتدفق البيانات بين موارد الحوسبة والتخزين | بشكل افتراضي، يتم تشفير نظام التشغيل وأقراص البيانات الخاصة بالجهاز الظاهري في حالة عدم استخدام مفاتيح تُدار بواسطة النظام الأساسي. لا يتم تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين الحوسبة والتخزين. تجاهل هذه التوصية إذا: 1. باستخدام التشفير في المضيف، أو 2. التشفير من جانب الخادم على الأقراص المُدارة يفي بمتطلبات الأمان. تعرف على المزيد في: تشفير Azure Disk Storage من جانب الخادم: https://aka.ms/disksse، العروض المختلفة لتشفير القرص: https://aka.ms/diskencryptioncomparison | AuditIfNotExists، معطل | 2.0.3 |
تأكد من تشفير 'الأقراص غير المُرفقة'
المعرف: توصيات معيار CIS Microsoft Azure Foundations 7.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء إجراء إدارة تسرب البيانات | CMA_0255 - إنشاء إجراء إدارة تسرب البيانات | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية المعلومات الخاصة | CMA_0409 - حماية المعلومات الخاصة | يدوي، معطل | 1.1.0 |
تأكد من تثبيت الملحقات المُعتمدة فقط
المعرف: توصيات معيار CIS Microsoft Azure Foundations 7.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تثبيت امتدادات الجهاز الظاهري المعتمدة فقط | يحكم هذا النهج ملحقات الجهاز الظاهري غير المعتمدة. | التدقيق، الرفض، التعطيل | 1.0.0 |
ضمان تطبيق أحدث تصحيحات نظام التشغيل لجميع الأجهزة الظاهرية
المعرف: توصيات معيار CIS Microsoft Azure Foundations 7.5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
| ينبغي تثبيت تحديثات النظام على أجهزتك | سيراقب Azure Security Center تحديثات نظام الأمان المفقودة على خوادمك من قبيل التوصيات | AuditIfNotExists، معطل | 4.0.0 |
تأكد من تثبيت حماية نقطة النهاية لجميع الأجهزة الظاهرية
المعرف: توصيات معيار CIS Microsoft Azure Foundations 7.6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| عمليات أمان المستند | CMA_0202 - عمليات أمان المستندات | يدوي، معطل | 1.1.0 |
| إدارة البوابات | CMA_0363 - Manage gateways | يدوي، معطل | 1.1.0 |
| مراقبة حماية نقطة النهاية المفقودة في Azure Security Center | ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | يدوي، معطل | 1.1.0 |
| مراجعة حالة الحماية من التهديدات أسبوعيًا | CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا | يدوي، معطل | 1.1.0 |
| تشغيل أجهزة الاستشعار لحل أمان نقطة النهاية | CMA_0514 - تشغيل أدوات الاستشعار لحل أمان نقطة النهاية | يدوي، معطل | 1.1.0 |
| تحديث تعريفات مكافحة الفيروسات | CMA_0517 - تحديث تعريفات مكافحة الفيروسات | يدوي، معطل | 1.1.0 |
| التحقق من سلامة البرامج والبرامج الثابتة والمعلومات | CMA_0542 - التحقق من سلامة البرامج والبرامج الثابتة والمعلومات | يدوي، معطل | 1.1.0 |
8 اعتبارات أمنية أخرى
تأكد من تعيين تاريخ انتهاء الصلاحية على كل المفاتيح
المعرف: توصيات معيار CIS Microsoft Azure Foundations 8.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعريف عملية إدارة المفاتيح الفعلية | CMA_0115 - تعريف عملية إدارة المفاتيح الفعلية | يدوي، معطل | 1.1.0 |
| تعريف استخدام التشفير | CMA_0120 - تعريف استخدام التشفير | يدوي، معطل | 1.1.0 |
| تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | CMA_0123 - تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | يدوي، معطل | 1.1.0 |
| تحديد متطلبات التأكيد | CMA_0136 - تحديد متطلبات التأكيد | يدوي، معطل | 1.1.0 |
| إصدار شهادات المفتاح العام | CMA_0347 - إصدار شهادات المفتاح العام | يدوي، معطل | 1.1.0 |
| يجب أن يكون لمفاتيح Key Vault تاريخ انتهاء صلاحية | يجب أن يكون لمفاتيح التشفير تاريخ انتهاء صلاحية محدد وألا تكون دائمة. توفر المفاتيح الصالحة إلى الأبد للمهاجم المحتمل المزيد من الوقت لاختراق المفتاح. من المستحسن أن يتم تعيين تواريخ انتهاء الصلاحية على مفاتيح التشفير. | التدقيق، الرفض، التعطيل | 1.0.2 |
| إدارة مفاتيح التشفير المتماثلة | CMA_0367 - إدارة مفاتيح التشفير المتماثلة | يدوي، معطل | 1.1.0 |
| تقييد الوصول إلى المفاتيح الخاصة | CMA_0445 - تقييد الوصول إلى المفاتيح الخاصة | يدوي، معطل | 1.1.0 |
تأكد من تعيين تاريخ انتهاء الصلاحية على كل الأسرار
المعرف: توصيات معيار CIS Microsoft Azure Foundations 8.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعريف عملية إدارة المفاتيح الفعلية | CMA_0115 - تعريف عملية إدارة المفاتيح الفعلية | يدوي، معطل | 1.1.0 |
| تعريف استخدام التشفير | CMA_0120 - تعريف استخدام التشفير | يدوي، معطل | 1.1.0 |
| تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | CMA_0123 - تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | يدوي، معطل | 1.1.0 |
| تحديد متطلبات التأكيد | CMA_0136 - تحديد متطلبات التأكيد | يدوي، معطل | 1.1.0 |
| إصدار شهادات المفتاح العام | CMA_0347 - إصدار شهادات المفتاح العام | يدوي، معطل | 1.1.0 |
| يجب أن يكون لأسرار Key Vault تاريخ انتهاء صلاحية | يجب أن يكون للأسرار تاريخ انتهاء صلاحية محدد وألا تكون دائمة. الأسرار التي هي صالحة إلى الأبد توفر للمهاجم المحتمل مع المزيد من الوقت للتنازل عنها. من الممارسات الأمنية الموصى بها تعيين تواريخ انتهاء الصلاحية على الأسرار. | التدقيق، الرفض، التعطيل | 1.0.2 |
| إدارة مفاتيح التشفير المتماثلة | CMA_0367 - إدارة مفاتيح التشفير المتماثلة | يدوي، معطل | 1.1.0 |
| تقييد الوصول إلى المفاتيح الخاصة | CMA_0445 - تقييد الوصول إلى المفاتيح الخاصة | يدوي، معطل | 1.1.0 |
تأكد من تعيين Resource Locks لموارد Azure الهامة للمهمة
المعرف: توصيات معيار CIS Microsoft Azure Foundations 8.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء عمليات التحكم في التغيير وتوثيقها | CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها | يدوي، معطل | 1.1.0 |
تأكد من إمكانية استرداد Key Vault
المعرف: توصيات معيار CIS Microsoft Azure Foundations 8.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحماية من الحذف النهائي في Azure Key Vault Managed HSM | يمكن أن يؤدي الحذف الضار لـ HSM المدارة في Azure Key Vault إلى فقدان البيانات بشكل دائم. يمكن لأي برنامج ضار داخلي داخل مؤسستك حذف ومسح HSM المدار في Azure Key Vault. تعمل الحماية من المسح على حمايتك من الهجمات الداخلية من خلال فرض فترة الاحتفاظ الإلزامية على HSM المدارة في Azure Key Vault المحذوف مبدئيًا. لن يتمكن أحد داخل مؤسستك أو Microsoft من مسح HSM المدارة في Azure Key Vault خلال فترة الاحتفاظ بالحذف المبدئي. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين حماية الحذف في خزائن المفاتيح | يمكن أن يؤدي الحذف الضار لخزنة المفاتيح إلى فقدان دائم للبيانات. يمكنك منع فقدان البيانات بشكل دائم عن طريق تمكين الحماية من المسح والحذف المبدئي. تحميك حماية التطهير من هجمات من الداخل من خلال فرض فترة استبقاء إلزامية لخزائن المفاتيح المحذوفة الناعمة. لن يتمكن أحد داخل مؤسستك أو Microsoft من إزالة خزائن المفاتيح أثناء فترة الاحتفاظ بالحذف الناعمة. ضع في اعتبارك أن خزائن المفاتيح التي تم إنشاؤها بعد 1 سبتمبر 2019 قد تم تمكين الحذف المبدئي بشكل افتراضي. | التدقيق، الرفض، التعطيل | 2.1.0 |
| الحفاظ على توفر المعلومات | CMA_C1644 - الحفاظ على توفر المعلومات | يدوي، معطل | 1.1.0 |
قم بتمكين التحكم في الوصول استنادًا إلى الدور (RBAC) ضمن خدمات Azure Kubernetes
المعرف: توصيات معيار CIS Microsoft Azure Foundations 8.5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| يجب استخدام Azure Role-Based Access Control (RBAC) على خدمات Kubernetes | لتوفير تصفية دقيقة للإجراءات التي يمكن للمستخدمين تنفيذها، استخدم Azure Role-Based Access Control (RBAC) لإدارة الأذونات في مجموعات خدمة Kubernetes وتكوين نهج التخويل ذات الصلة. | المراجعة، معطلة | 1.0.3 |
| فرض الوصول المنطقي | CMA_0245 - Enforce logical access | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| طلب الموافقة لإنشاء الحساب | CMA_0431 - طلب الموافقة لإنشاء الحساب | يدوي، معطل | 1.1.0 |
| مراجعة مجموعات المستخدمين والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | CMA_0481 - مراجعة مجموعات المستخدم والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | يدوي، معطل | 1.1.0 |
9 AppService
تأكد من تعيين ميزة "مصادقة خدمة التطبيقات" إلى خدمة تطبيق Azure
المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين المصادقة لتطبيقات App Service | تُعد "App Service Authentication" من Azure ميزة يمكنها منع طلبات HTTP المجهولة من الوصول إلى تطبيق واجهة برمجة التطبيقات، أو مصادقة تلك التي تحتوي على رموز مميزة قبل وصولها إلى تطبيق الويب. | AuditIfNotExists، معطل | 2.0.1 |
| المصادقة على وحدة التشفير | CMA_0021 - المصادقة على وحدة التشفير | يدوي، معطل | 1.1.0 |
| فرض تفرد المستخدم | CMA_0250 - فرض تفرد المستخدم | يدوي، معطل | 1.1.0 |
| يجب تمكين المصادقة لتطبيقات الوظائف | تُعد Azure App Service Authentication ميزة يمكنها منع طلبات HTTP المجهولة من الوصول إلى Function App أو مصادقة تلك التي تحتوي على رموز مميزة قبل وصولها إلى Function App. | AuditIfNotExists، معطل | 3.0.0 |
| دعم بيانات اعتماد التحقق الشخصي الصادرة عن السلطات القانونية | CMA_0507 - دعم بيانات اعتماد التحقق الشخصي الصادرة عن السلطات القانونية | يدوي، معطل | 1.1.0 |
تأكد من أن "إصدار HTTP" هو الأحدث، في حالة استخدامه لتشغيل تطبيق الويب
المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.10 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم تطبيقات App Service أحدث "إصدار من HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
| يجب أن تستخدم تطبيقات الوظائف أحدث "إصدار HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
تأكد من إعادة توجيه تطبيق الويب لكل نسب استخدام HTTP إلى HTTPS في خدمة تطبيق Azure
المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 4.0.0 |
| تكوين محطات العمل للتحقق من وجود شهادات رقمية | CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية كلمات المرور باستخدام التشفير | CMA_0408 - حماية كلمات المرور باستخدام التشفير | يدوي، معطل | 1.1.0 |
تأكد من استخدام تطبيق الويب لأحدث إصدار من تشفير أمان طبقة النقل (TLS)
المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS" | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. | AuditIfNotExists، معطل | 2.0.1 |
| تكوين محطات العمل للتحقق من وجود شهادات رقمية | CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية | يدوي، معطل | 1.1.0 |
| يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. | AuditIfNotExists، معطل | 2.0.1 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية كلمات المرور باستخدام التشفير | CMA_0408 - حماية كلمات المرور باستخدام التشفير | يدوي، معطل | 1.1.0 |
تأكد من أن تطبيق الويب يحتوي على "شهادات العميل (شهادات العميل الواردة)" التي عُينت إلى "On"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [مهمل]: يجب أن يكون لتطبيقات الوظائف "شهادات العميل (شهادات العميل الواردة)" ممكنة | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين يحملون شهادات صالحة فقط من الوصول إلى التطبيق. تم استبدال هذا النهج بنهج جديد بنفس الاسم لأن Http 2.0 لا يدعم شهادات العميل. | المراجعة، معطلة | 3.1.0 مهمل |
| يجب تمكين شهادات العميل (شهادات العميل الواردة) لتطبيقات App Service | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. ينطبق هذا النهج على التطبيقات التي تم تعيين إصدار Http عليها إلى 1.1. | AuditIfNotExists، معطل | 1.0.0 |
| المصادقة على وحدة التشفير | CMA_0021 - المصادقة على وحدة التشفير | يدوي، معطل | 1.1.0 |
تأكد من تمكين التسجيل باستخدام Azure Active Directory في خدمات التطبيق
المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم تطبيقات App Service الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| أتمتة إدارة الحساب | CMA_0026 - أتمتة إدارة الحساب | يدوي، معطل | 1.1.0 |
| يجب أن تستخدم تطبيقات الوظائف الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| إدارة حسابات النظام والمسؤول | CMA_0368 - إدارة حسابات النظام والمسؤول | يدوي، معطل | 1.1.0 |
| مراقبة الوصول عبر المؤسسة | CMA_0376 - مراقبة الوصول عبر المؤسسة | يدوي، معطل | 1.1.0 |
| إعلام عندما لا تكون هناك حاجة إلى الحساب | CMA_0383 - إعلام عندما لا تكون هناك حاجة إلى الحساب | يدوي، معطل | 1.1.0 |
تأكد من أن إصدار '.Net Framework' هو الأحدث، إذا اُستخدم كجزء من تطبيق ويب
المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
تأكد من أن "إصدار PHP" هو الأحدث، في حالة استخدامه لتشغيل تطبيق الويب
المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.7 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
تأكد من أن "إصدار Python" هو الأحدث، في حالة استخدامه لتشغيل تطبيق الويب
المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.8 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
تأكد من أن "إصدار Java" هو الأحدث، في حالة استخدامه لتشغيل تطبيق الويب
المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.9 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
الخطوات التالية
مقالات إضافية حول Azure Policy:
- نظرة عامة على التوافق التنظيمي.
- راجع بنية تعريف المبادرة.
- مراجعة أمثلة أخرى في نماذج Azure Policy.
- راجع فهم تأثيرات النهج.
- تعرف على كيفية إصلاح الموارد غير المتوافقة.