تفاصيل المبادرة المضمنة للامتثال التنظيمي للمستوى العالي للبرنامج الفيدرالي لإدارة المخاطر والتخويل FedRAMP (Azure Government).
توضح المقالة التالية كيفية تعيين تعريف مبادرة مضمنة للامتثال التنظيمي لنهج Azure إلى مجالات الامتثال وعناصر التحكم للمستوى العالي للبرنامج الفيدرالي لإدارة المخاطر والتخويل FedRAMP (Azure Government). للمزيد من المعلومات حول معيار الامتثال هذا، راجع المستوى العالي للبرنامج الفيدرالي لإدارة المخاطر والتخويل. لفهم الملكية، راجع نوع النهج والمسؤولية المشتركة في السحابة.
التعيينات التالية إلى عناصر تحكم FedRAMP High. يتم تنفيذ العديد من عناصر التحكم بتعريف مبادرة Azure Policy. لمراجعة تعريف المبادرة الكامل، افتح نهج في مدخل Microsoft Azure وحدد صفحة التعريفات. ثم ابحث عن تعريف مبادرة التوافق التنظيمي للمستوى العالي لبرنامج FedRAMP المضمنة وحدّده.
هام
يرتبط كل عنصر تحكم أدناه بتعريف أو أكثر من تعريفات نهج Azure. قد تساعدك هذه السياسات على تقييم الامتثال بعنصر التحكم؛ ومع ذلك، غالباً ما لا يكون هناك تطابق أو تناظر كامل بين عنصر التحكم مع نهج واحد أو أكثر. على هذا النحو، تشير كلمة متوافق في Azure Policy فقط إلى تعريفات النهج ذاتها؛ وهذا لا يضمن أنك ممتثل تمامًا لكافة متطلبات عنصر التحكم. بالإضافة إلى ذلك، يتضمن معيار التوافق عناصر تحكم لا يتم تناولها بواسطة أي تعريفات خاصة بـ Azure Policy في هذا الوقت. لذلك، فإن التوافق في Azure Policy هو مجرد مظهر جزئي لحالة التوافق الكلي. قد تتغير الاقترانات بين مجالات الامتثال وعناصر التحكم وتعريفات Azure Policy لمعيار الامتثال المذكور بمرور الوقت. لعرض تاريخ التغييرات، راجع تاريخ امتثال شركة GitHub.
التحكم في الوصول
إدارة الحساب
ID: FedRAMP High AC-2 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم تطبيقات App Service الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
| يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure | يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم تطبيقات الوظائف الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure | يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure | يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
إدارة حساب النظام الآلي
ID: FedRAMP High AC-2 (1) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
المخططات المستندة إلى الأدوار
ID: FedRAMP High AC-2 (7) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
| يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
مراقبة الحساب / الاستخدام غير النمطي
ID: FedRAMP High AC-2 (12) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 4.0.1-preview |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
إنفاذ الوصول
ID: FedRAMP High AC-3 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات | يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 1.3.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم | تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 1.3.0 |
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم تطبيقات App Service الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| تدقيق أجهزة Linux التي لديها حسابات بدون كلمات مرور | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux التي لها حسابات بدون كلمات مرور | AuditIfNotExists، معطل | 1.4.0 |
| يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
| توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux | ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| يجب أن تستخدم تطبيقات الوظائف الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب ترحيل حسابات التخزين إلى موارد Azure Resource Manager الجديدة | استخدم Azure Resource Manager الجديد لحسابات التخزين لتزويد تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، وتحسين التدقيق، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى مخزن البيانات السرية، والمصادقة المستندة إلى Microsoft Azure Active Directory ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب ترحيل الأجهزة الظاهرية إلى موارد Azure Resource Manager الجديدة | استخدم إدارة موارد Azure الجديدة للأجهزة الظاهرية لتوفير تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، والمراجعة الأفضل، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى خزنة المفاتيح للأسرار، والمصادقة المستندة إلى Azure AD، ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان | التدقيق، الرفض، التعطيل | 1.0.0 |
تطبيق تدفق المعلومات
ID: FedRAMP High AC-4 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [مهمل]: يجب أن تستخدم خدمة البحث المعرفية من Azure رابطا خاصا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | المراجعة، معطلة | 1.0.1 مهمل |
| [مهمل]: يجب أن تستخدم الخدمات المعرفية رابطا خاصا | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800. | المراجعة، معطلة | 3.0.1 مهمل |
| يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم خدمات APIM شبكة ظاهرية | يوفر نشر Azure Virtual Network أمانًا معززًا وعزلاً محسنًا ويسمح لك بوضع خدمة إدارة واجهة برمجة التطبيقات في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم أنت في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكّن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات بحيث يمكن الوصول إليها إما عبر الإنترنت أو فقط من داخل الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن يستخدم تكوين التطبيق رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists، معطل | 1.0.2 |
| تطبيقات App Service يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر الأصل (CORS) لجميع المجالات بالوصول إلى تطبيقك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes | قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة. | المراجعة، معطلة | 2.0.0 |
| يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة | من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure. | التدقيق، الرفض، التعطيل | 3.2.0 |
| يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص | مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تعطل خدمات Azure Cognitive Search الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض خدمة Azure Cognitive Search على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض خدمة البحث. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار الحماية | يجب تعريف قواعد جدار الحماية على حسابات Azure Cosmos DB لمنع حركة المرور من مصادر غير مصرح بها. الحسابات التي لديها قاعدة IP واحدة على الأقل ومحددة بعامل تصفية ممكَّن للشبكة الظاهرية تُعد متوافقة. كما تُعد الحسابات التي تعطل وصول الجمهور متوافقة. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب أن تستخدم Azure Data Factory رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا | يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين جدار حماية Azure Key Vault | قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security | التدقيق، الرفض، التعطيل | 1.4.1 |
| يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | المراجعة، معطلة | 1.0.1 |
| يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة | تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. تعرف على المزيد حول قواعد شبكة سجل الحاويات هنا: https://aka.ms/acr/privatelinkوhttps://aka.ms/acr/portal/public-network.https://aka.ms/acr/vnet | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم سجلات الحاويات رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة | قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet. | المراجعة، معطلة | 1.0.0 |
| يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة | قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. | المراجعة، معطلة | 1.1.0 |
| يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
| يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية | احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم حسابات التخزين رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة | حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها. | AuditIfNotExists، معطل | 3.0.0 |
فصل الواجبات
ID: FedRAMP High AC-5 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تعيين أكثر من مالك واحد لاشتراكك | يستحسن تعيين أكثر من مالك واحد للاشتراك من أجل الحصول على تكرار وصول المسؤول. | AuditIfNotExists، معطل | 3.0.0 |
أدنى الامتيازات
ID: FedRAMP High AC-6 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
| تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
مراجعة امتيازات المستخدم
ID: FedRAMP High AC-6 (7) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
| تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
الوصول عن بُعد
ID: FedRAMP High AC-17 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [مهمل]: يجب أن تستخدم خدمة البحث المعرفية من Azure رابطا خاصا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | المراجعة، معطلة | 1.0.1 مهمل |
| [مهمل]: يجب أن تستخدم الخدمات المعرفية رابطا خاصا | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800. | المراجعة، معطلة | 3.0.1 مهمل |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات | يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 1.3.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم | تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 1.3.0 |
| يجب أن يستخدم تكوين التطبيق رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists، معطل | 1.0.2 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| مراجعة أجهزة Linux التي تسمح بالاتصالات عن بُعد من الحسابات من دون كلمات مرور | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux تسمح بالاتصال عن بعد من الحسابات بدون كلمات مرور | AuditIfNotExists، معطل | 1.4.0 |
| يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص | مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم Azure Data Factory رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا | يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم سجلات الحاويات رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux | ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows | تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet. | المراجعة، معطلة | 1.0.0 |
| يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. | المراجعة، معطلة | 1.1.0 |
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
| يجب أن تستخدم حسابات التخزين رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists، معطل | 2.0.0 |
التحكم/المراقبة الآلية
ID: FedRAMP High AC-17 (1) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [مهمل]: يجب أن تستخدم خدمة البحث المعرفية من Azure رابطا خاصا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | المراجعة، معطلة | 1.0.1 مهمل |
| [مهمل]: يجب أن تستخدم الخدمات المعرفية رابطا خاصا | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800. | المراجعة، معطلة | 3.0.1 مهمل |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات | يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 1.3.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم | تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 1.3.0 |
| يجب أن يستخدم تكوين التطبيق رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists، معطل | 1.0.2 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| مراجعة أجهزة Linux التي تسمح بالاتصالات عن بُعد من الحسابات من دون كلمات مرور | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux تسمح بالاتصال عن بعد من الحسابات بدون كلمات مرور | AuditIfNotExists، معطل | 1.4.0 |
| يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص | مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم Azure Data Factory رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا | يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم سجلات الحاويات رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux | ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows | تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet. | المراجعة، معطلة | 1.0.0 |
| يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. | المراجعة، معطلة | 1.1.0 |
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
| يجب أن تستخدم حسابات التخزين رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists، معطل | 2.0.0 |
التدقيق والمُساءلة
مراجعة التدقيق وتحليله وإعداد التقارير عنه
ID: FedRAMP High AU-6 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 4.0.1-preview |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
التحليل والمراجعة المركزية
ID: FedRAMP High AU-6 (4) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 4.0.1-preview |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| يجب تمكين سجلات الموارد لتطبيقات App Service | قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر. | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين التدقيق على خادم SQL | يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين سجلات الموارد في Azure Data Lake Store | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Azure Stream Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في حسابات Batch | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Data Lake Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Event Hub | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Key Vault | مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Logic Apps | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.1.0 |
| يجب تمكين سجلات الموارد في خدمات البحث | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Service Bus | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
التكامل / قدرات الفحص والمراقبة
ID: FedRAMP High AU-6 (5) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 4.0.1-preview |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| يجب تمكين سجلات الموارد لتطبيقات App Service | قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر. | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين التدقيق على خادم SQL | يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين سجلات الموارد في Azure Data Lake Store | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Azure Stream Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في حسابات Batch | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Data Lake Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Event Hub | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Key Vault | مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Logic Apps | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.1.0 |
| يجب تمكين سجلات الموارد في خدمات البحث | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Service Bus | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
مراجعة الاحتفاظ بالسجلات
ID: FedRAMP High AU-11 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ينبغي تكوين خوادم SQL لاستخدام التدقيق لوجهة حساب التخزين مع الاحتفاظ بهذه السجلات لمدة 90 يومًا أو أكثر | لأغراض التحقيق في الحوادث، نوصي بتعيين الاحتفاظ بالبيانات لمراجعة SQL Server إلى وجهة حساب التخزين لمدة 90 يومًا على الأقل. تأكد من الاستيفاء بقواعد الاحتفاظ الضرورية للمناطق التي تعمل فيها. وهذا مطلوب في بعض الأحيان للتوافق مع المعايير التنظيمية. | AuditIfNotExists، معطل | 3.0.0 |
إنشاء التدقيق
ID: FedRAMP High AU-12 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 4.0.1-preview |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| يجب تمكين سجلات الموارد لتطبيقات App Service | قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر. | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين التدقيق على خادم SQL | يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين سجلات الموارد في Azure Data Lake Store | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Azure Stream Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في حسابات Batch | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Data Lake Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Event Hub | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Key Vault | مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Logic Apps | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.1.0 |
| يجب تمكين سجلات الموارد في خدمات البحث | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Service Bus | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
سجل التدقيق المرتبط بالوقت / على مستوى النظام
ID: FedRAMP High AU-12 (1) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 4.0.1-preview |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| يجب تمكين سجلات الموارد لتطبيقات App Service | قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر. | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين التدقيق على خادم SQL | يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين سجلات الموارد في Azure Data Lake Store | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Azure Stream Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في حسابات Batch | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Data Lake Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Event Hub | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Key Vault | مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Logic Apps | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.1.0 |
| يجب تمكين سجلات الموارد في خدمات البحث | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Service Bus | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
إدارة التكوين
إعدادات التكوين
ID: FedRAMP High CM-6 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين شهادات العميل (شهادات العميل الواردة) لتطبيقات App Service | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. ينطبق هذا النهج على التطبيقات التي تم تعيين إصدار Http عليها إلى 1.1. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| تطبيقات App Service يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر الأصل (CORS) لجميع المجالات بالوصول إلى تطبيقك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات | تمتد الوظيفة الإضافية لسياسة Azure Policy لخدمة Kubernetes (AKS) إلى Gatekeeper v3، webhook وحدة تحكم القبول لعامل Open Policy Agent(OPA)، لتطبيق إنفاذ على نطاق واسع وضمانات على المجموعات بطريقة مركزية ومتسقة. | المراجعة، معطلة | 1.0.2 |
| يجب تمكين تطبيقات الوظائف شهادات العميل (شهادات العميل الواردة) | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. ينطبق هذا النهج على التطبيقات التي تم تعيين إصدار Http عليها إلى 1.1. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| تطبيقات الوظائف يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى تطبيق الدالة. اسمح للمجالات المطلوبة فقط بالتفاعل مع التطبيقات الوظيفية. | AuditIfNotExists، معطل | 2.0.0 |
| يجب ألا تتجاوز حاويات نظام المجموعة Kubernetes CPU وموارد الذاكرة الحدود المحددة | فرض حاوية CPU وحدود موارد الذاكرة لمنع هجمات استنفاد الموارد في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 10.2.0 |
| يجب ألا تشارك حاويات نظام المجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة | قم بحظر حاويات الجراب من مشاركة مساحة اسم معرف عملية المضيف ومساحة اسم IPC المضيف في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.2 وCIS 5.2.3 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.1.0 |
| يجب أن تستمع حاويات المجموعة Kubernetes فقط إلى المنافذ المسموح بها | يجب أن تستخدم الحاويات ملفات تعريف AppArmor المسموح بها فقط في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.1 |
| يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها | يجب تقييد القدرات لخفض سطح الهجوم من الحاويات في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.8 وCIS 5.2.9 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.0 |
| يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط | استخدم الصور من السجلات الموثوق بها لتقليل خطر تعرض مجموعة Kubernetes للثغرات الأمنية غير المعروفة ومشكلات الأمان والصور الضارة. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 10.2.0 |
| يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط | تشغيل حاويات مع نظام ملفات جذر للقراءة فقط للحماية من التغييرات في وقت التشغيل مع الثنائيات الضارة التي يتم إضافتها إلى PATH في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.0 |
| يجب أن تستخدم مجموعة Kubernetes أحجام مسارات المضيف الجرابية المسموح بها فقط | تحميل حجم جراب HostPath الحد إلى مسارات المضيف المسموح به في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS) وKubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.1 |
| يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة | التحكم في المستخدم، المجموعة الأساسية، المجموعة التكميلية ومعرفات مجموعة نظام الملفات التي يمكن استخدامها pods وحاويات لتشغيل في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.1 |
| يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط | تقييد الوصول إلى شبكة المضيف ونطاق منفذ المضيف المسموح به في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.4 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.0 |
| يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها | يجب تقييد الخدمات للاستماع فقط على المنافذ المسموح بها لتأمين الوصول إلى مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.1.0 |
| يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة | لا تسمح بإنشاء حاويات مميزة في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.1 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 10.1.0 |
| يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية | لا تسمح بتشغيل الحاويات مع التصعيد امتياز الجذر في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.5 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاص بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.1.0 |
| يجب أن تلبي أجهزة Linux المتطلبات الأساسية لأمان حساب Azure | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure. | AuditIfNotExists، معطل | 1.5.0 |
| يجب أن تفي الأجهزة التي تعمل بنظام التشغيل Windows بمتطلبات أساس أمان حساب Azure | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure. | AuditIfNotExists، معطل | 1.0.0 |
الأداء الوظيفي الأدنى
ID: FedRAMP High CM-7 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
التخطيط لمواجهة المخاطر
موقع تخزين بديل
ID: FedRAMP High CP-6 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB | تسمح لك قاعدة بياناتAzure Database لـ MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL | تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لنظام PostgreSQL | تسمح لك Azure Database for PostgreSQL باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين التخزين الجغرافي المتكرر لحسابات التخزين | استخدام التكرار الجغرافي لإنشاء تطبيقات متوفرة بشكل كبير | المراجعة، معطلة | 1.0.0 |
| ينبغي تمكين النسخ الاحتياطي الجغرافي المتكرر لقواعد بيانات Azure SQL | يقوم هذا النهج بمراجعة أية Azure SQL Database مع عدم تمكين النسخ الاحتياطي الجغرافي المتكرر على المدى الطويل. | AuditIfNotExists، معطل | 2.0.0 |
الفصل عن الموقع الأساسي
ID: FedRAMP High CP-6 (1) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB | تسمح لك قاعدة بياناتAzure Database لـ MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL | تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لنظام PostgreSQL | تسمح لك Azure Database for PostgreSQL باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين التخزين الجغرافي المتكرر لحسابات التخزين | استخدام التكرار الجغرافي لإنشاء تطبيقات متوفرة بشكل كبير | المراجعة، معطلة | 1.0.0 |
| ينبغي تمكين النسخ الاحتياطي الجغرافي المتكرر لقواعد بيانات Azure SQL | يقوم هذا النهج بمراجعة أية Azure SQL Database مع عدم تمكين النسخ الاحتياطي الجغرافي المتكرر على المدى الطويل. | AuditIfNotExists، معطل | 2.0.0 |
موقع معالجة بديل
ID: FedRAMP High CP-7 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الأجهزة الظاهرية دون تكوين استرداد بعد عطل فادح | مراجعة الأجهزة الظاهرية التي لم يتم تكوين استردادها بعد عطل فادح. لمعرفة المزيد حول الاسترداد بعد الأخطاء الفادحة، تفضل بزيارة https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
النسخ الاحتياطي لنظام المعلومات
ID: FedRAMP High CP-9 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين النسخ الاحتياطي لأجهزة Azure الظاهرية | تأكد من حماية الأجهزة الظاهرية Azure الخاصة بك عن طريق تمكين النسخ الاحتياطي Azure. النسخ الاحتياطي Azure هو حل آمن وفعال من حيث التكلفة لحماية البيانات لـ Azure. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB | تسمح لك قاعدة بياناتAzure Database لـ MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL | تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لنظام PostgreSQL | تسمح لك Azure Database for PostgreSQL باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين حماية الحذف في خزائن المفاتيح | يمكن أن يؤدي الحذف الضار لخزنة المفاتيح إلى فقدان دائم للبيانات. يمكنك منع فقدان البيانات بشكل دائم عن طريق تمكين الحماية من المسح والحذف المبدئي. تحميك حماية التطهير من هجمات من الداخل من خلال فرض فترة استبقاء إلزامية لخزائن المفاتيح المحذوفة الناعمة. لن يتمكن أحد داخل مؤسستك أو Microsoft من إزالة خزائن المفاتيح أثناء فترة الاحتفاظ بالحذف الناعمة. ضع في اعتبارك أن خزائن المفاتيح التي تم إنشاؤها بعد 1 سبتمبر 2019 قد تم تمكين الحذف المبدئي بشكل افتراضي. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب تمكين الحذف المبدئي في Key vaults | يؤدي حذف key vault من دون حذف مبدئي ممكن إلى حذف جميع الأسرار والمفاتيح والشهادات المخزنة في key vault نهائيًا. يمكن أن يؤدي الحذف العرضي لمخزن البيانات السرية إلى فقدان دائم للبيانات. يتيح لك الحذف الناعم استرداد مخزن مفاتيح تم حذفها عن طريق الخطأ لفترة استبقاء قابلة للتكوين. | التدقيق، الرفض، التعطيل | 3.0.0 |
الهوية والمصادقة
الهوية والمصادقة (المستخدمون التنظيميون)
ID: FedRAMP High IA-2 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم تطبيقات App Service الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تستخدم تطبيقات الوظائف الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
وصول الشبكة إلى الحسابات المميزة
ID: FedRAMP High IA-2 (1) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
وصول الشبكة إلى الحسابات غير المميزة
ID: FedRAMP High IA-2 (2) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
إدارة المعرفات
ID: FedRAMP High IA-4 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم تطبيقات App Service الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تستخدم تطبيقات الوظائف الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
Authenticator إدارة
ID: FedRAMP High IA-5 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات | يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 1.3.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم | تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 1.3.0 |
| تدقيق أجهزة Linux التي ليس لديها أذونات ملف passwd المعينة على 0644 | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا تم تعيين أجهزة Linux التي لا تحتوي على أذونات ملف passwd على 0644 | AuditIfNotExists، معطل | 1.4.0 |
| تدقيق أجهزة Windows التي لا تخزن كلمات المرور باستخدام تشفير عكسي | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت الأجهزة التي تعمل بنظام Windows لا تخزن كلمات المرور باستخدام تشفير قابل للعكس | AuditIfNotExists، معطل | 1.0.0 |
| توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux | ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows | تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
المصادقة المستندة إلى كلمة المرور
ID: FedRAMP High IA-5 (1) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات | يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 1.3.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم | تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 1.3.0 |
| تدقيق أجهزة Linux التي ليس لديها أذونات ملف passwd المعينة على 0644 | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا تم تعيين أجهزة Linux التي لا تحتوي على أذونات ملف passwd على 0644 | AuditIfNotExists، معطل | 1.4.0 |
| تدقيق أجهزة Windows التي تسمح بإعادة استخدام كلمات المرور بعد العدد المحدد من كلمات المرور الفريدة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت أجهزة Windows تسمح بإعادة استخدام كلمات المرور بعد العدد المحدد من كلمات المرور الفريدة. القيمة الافتراضية لكلمات المرور الفريدة هي 24 | AuditIfNotExists، معطل | 1.1.0 |
| تدقيق أجهزة Windows التي لم يتم تعيين الحد الأقصى لعمر كلمة المرور على عدد محدد من الأيام | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا كانت أجهزة Windows التي لا تحتوي على الحد الأقصى لعمر كلمة المرور معينة على عدد محدد من الأيام. القيمة الافتراضية للحد الأقصى لعمر كلمة المرور هي 70 يوما | AuditIfNotExists، معطل | 1.1.0 |
| تدقيق أجهزة Windows التي لا تحتوي على الحد الأدنى لعمر كلمة المرور المعين لعدد محدد من الأيام | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا تم تعيين الحد الأدنى لعمر كلمة المرور على عدد محدد من الأيام في أجهزة Windows التي لا تحتوي على الحد الأدنى لعمر كلمة المرور. القيمة الافتراضية للحد الأدنى لعمر كلمة المرور هي يوم واحد | AuditIfNotExists، معطل | 1.1.0 |
| تدقيق Windows الأجهزة التي ليس لديها إعداد تعقيد كلمة المرور ممكن | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة في حالة تمكين الأجهزة التي تعمل بنظام التشغيل Windows التي لا تحتوي على إعداد تعقيد كلمة المرور | AuditIfNotExists، معطل | 1.0.0 |
| تدقيق أجهزة Windows التي لا تقيد الحد الأدنى لطول كلمة المرور بعدد محدد من الأحرف | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا كانت أجهزة Windows التي لا تقيد الحد الأدنى لطول كلمة المرور لعدد محدد من الأحرف. القيمة الافتراضية للحد الأدنى لطول كلمة المرور هي 14 حرفا | AuditIfNotExists، معطل | 1.1.0 |
| تدقيق أجهزة Windows التي لا تخزن كلمات المرور باستخدام تشفير عكسي | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت الأجهزة التي تعمل بنظام Windows لا تخزن كلمات المرور باستخدام تشفير قابل للعكس | AuditIfNotExists، معطل | 1.0.0 |
| توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux | ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows | تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
الاستجابة للحوادث
معالجة الحوادث
ID: FedRAMP High IR-4 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
| يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center. | AuditIfNotExists، معطل | 1.0.1 |
مراقبة الحوادث
ID: FedRAMP High IR-5 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
| يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center. | AuditIfNotExists، معطل | 1.0.1 |
تقييم المخاطر
تحديد الثغرات الأمنية
ID: FedRAMP High RA-5 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
| ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية | رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات. | AuditIfNotExists، معطل | 4.1.0 |
| يجب أن يتم حل نتائج الثغرات الأمنية في خوادم SQL على الأجهزة | يقوم تقييم الثغرات الأمنية في SQL بفحص قاعدة البيانات بحثًا عن أي ثغرات أمنية، ويعرض أي انحرافات عن أفضل الممارسات مثل التكوينات الخاطئة والأذونات الزائدة والبيانات الحساسة غير المحمية. يمكن أن يؤدي حل الثغرات الأمنية التي عُثر عليها إلى تحسين كبير في حالة أمان قاعدة البيانات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك | ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات | AuditIfNotExists، معطل | 3.1.0 |
| ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار | مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 1.0.1 |
| ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك | تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين تقييم الثغرات الأمنية على مساحات عمل Synapse | اكتشف الثغرات الأمنية المحتملة وتعقبها وصلحها عن طريق تكوين عمليات فحص تقييم الضعف المتكررة SQL على مساحات عمل Synapse. | AuditIfNotExists، معطل | 1.0.0 |
حماية الاتصالات والنظام
عزل وظيفة الأمان
ID: FedRAMP High SC-3 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكينWindows Defender Exploit Guard على أجهزتك | يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط). | AuditIfNotExists، معطل | 1.1.1 |
رفض حماية الخدمة
ID: FedRAMP High SC-5 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure DDoS Protection | يجب تمكين حماية DDoS لجميع الشبكات الظاهرية مع شبكة فرعية تعد جزءا من بوابة تطبيق مع IP عام. | AuditIfNotExists، معطل | 3.0.1 |
| يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 2.0.0 |
حماية الحدود
ID: FedRAMP High SC-7 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [مهمل]: يجب أن تستخدم خدمة البحث المعرفية من Azure رابطا خاصا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | المراجعة، معطلة | 1.0.1 مهمل |
| [مهمل]: يجب أن تستخدم الخدمات المعرفية رابطا خاصا | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800. | المراجعة، معطلة | 3.0.1 مهمل |
| يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم خدمات APIM شبكة ظاهرية | يوفر نشر Azure Virtual Network أمانًا معززًا وعزلاً محسنًا ويسمح لك بوضع خدمة إدارة واجهة برمجة التطبيقات في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم أنت في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكّن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات بحيث يمكن الوصول إليها إما عبر الإنترنت أو فقط من داخل الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن يستخدم تكوين التطبيق رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes | قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة. | المراجعة، معطلة | 2.0.0 |
| يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة | من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure. | التدقيق، الرفض، التعطيل | 3.2.0 |
| يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص | مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تعطل خدمات Azure Cognitive Search الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض خدمة Azure Cognitive Search على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض خدمة البحث. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار الحماية | يجب تعريف قواعد جدار الحماية على حسابات Azure Cosmos DB لمنع حركة المرور من مصادر غير مصرح بها. الحسابات التي لديها قاعدة IP واحدة على الأقل ومحددة بعامل تصفية ممكَّن للشبكة الظاهرية تُعد متوافقة. كما تُعد الحسابات التي تعطل وصول الجمهور متوافقة. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب أن تستخدم Azure Data Factory رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا | يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين جدار حماية Azure Key Vault | قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security | التدقيق، الرفض، التعطيل | 1.4.1 |
| يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة | تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. تعرف على المزيد حول قواعد شبكة سجل الحاويات هنا: https://aka.ms/acr/privatelinkوhttps://aka.ms/acr/portal/public-network.https://aka.ms/acr/vnet | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم سجلات الحاويات رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة | قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet. | المراجعة، معطلة | 1.0.0 |
| يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة | قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. | المراجعة، معطلة | 1.1.0 |
| يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
| يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية | احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم حسابات التخزين رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة | حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 2.0.0 |
نقاط الوصول
ID: FedRAMP High SC-7 (3) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [مهمل]: يجب أن تستخدم خدمة البحث المعرفية من Azure رابطا خاصا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | المراجعة، معطلة | 1.0.1 مهمل |
| [مهمل]: يجب أن تستخدم الخدمات المعرفية رابطا خاصا | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800. | المراجعة، معطلة | 3.0.1 مهمل |
| يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم خدمات APIM شبكة ظاهرية | يوفر نشر Azure Virtual Network أمانًا معززًا وعزلاً محسنًا ويسمح لك بوضع خدمة إدارة واجهة برمجة التطبيقات في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم أنت في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكّن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات بحيث يمكن الوصول إليها إما عبر الإنترنت أو فقط من داخل الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن يستخدم تكوين التطبيق رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes | قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة. | المراجعة، معطلة | 2.0.0 |
| يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة | من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure. | التدقيق، الرفض، التعطيل | 3.2.0 |
| يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص | مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تعطل خدمات Azure Cognitive Search الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض خدمة Azure Cognitive Search على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض خدمة البحث. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار الحماية | يجب تعريف قواعد جدار الحماية على حسابات Azure Cosmos DB لمنع حركة المرور من مصادر غير مصرح بها. الحسابات التي لديها قاعدة IP واحدة على الأقل ومحددة بعامل تصفية ممكَّن للشبكة الظاهرية تُعد متوافقة. كما تُعد الحسابات التي تعطل وصول الجمهور متوافقة. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب أن تستخدم Azure Data Factory رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا | يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين جدار حماية Azure Key Vault | قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security | التدقيق، الرفض، التعطيل | 1.4.1 |
| يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة | تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. تعرف على المزيد حول قواعد شبكة سجل الحاويات هنا: https://aka.ms/acr/privatelinkوhttps://aka.ms/acr/portal/public-network.https://aka.ms/acr/vnet | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم سجلات الحاويات رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة | قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet. | المراجعة، معطلة | 1.0.0 |
| يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة | قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. | المراجعة، معطلة | 1.1.0 |
| يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
| يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية | احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم حسابات التخزين رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة | حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 2.0.0 |
سرية النقل ونزاهته
ID: FedRAMP High SC-8 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 4.0.0 |
| يجب أن تتطلب تطبيقات App Service FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS" | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. | AuditIfNotExists، معطل | 2.1.0 |
| يجب أن تستخدم مجموعات Azure HDInsight التشفير أثناء النقل لتشفير الاتصال بين عقد نظام المجموعة Azure HDInsight | يمكن العبث بالبيانات أثناء الإرسال بين عقد نظام المجموعة Azure HDInsight. يؤدي تمكين التشفير أثناء النقل إلى معالجة مشكلات إساءة الاستخدام والعبث أثناء عملية الإرسال هذه. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL | قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL | تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 5.0.0 |
| يجب أن تتطلب تطبيقات الوظائف FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. | AuditIfNotExists، معطل | 2.1.0 |
| يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS | يضمن استخدام HTTPS المصادقة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. هذه الإمكانية متاحة حاليا بشكل عام لخدمة Kubernetes (AKS)، وفي المعاينة ل Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/kubepolicydoc | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.1.0 |
| يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis | تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين النقل الآمن إلى حسابات التخزين | متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة | لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة. | AuditIfNotExists، معطل | 3.0.1 |
حماية التشفير أو الحماية الفعلية البديلة
ID: FedRAMP High SC-8 (1) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 4.0.0 |
| يجب أن تتطلب تطبيقات App Service FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS" | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. | AuditIfNotExists، معطل | 2.1.0 |
| يجب أن تستخدم مجموعات Azure HDInsight التشفير أثناء النقل لتشفير الاتصال بين عقد نظام المجموعة Azure HDInsight | يمكن العبث بالبيانات أثناء الإرسال بين عقد نظام المجموعة Azure HDInsight. يؤدي تمكين التشفير أثناء النقل إلى معالجة مشكلات إساءة الاستخدام والعبث أثناء عملية الإرسال هذه. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL | قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL | تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 5.0.0 |
| يجب أن تتطلب تطبيقات الوظائف FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. | AuditIfNotExists، معطل | 2.1.0 |
| يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS | يضمن استخدام HTTPS المصادقة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. هذه الإمكانية متاحة حاليا بشكل عام لخدمة Kubernetes (AKS)، وفي المعاينة ل Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/kubepolicydoc | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.1.0 |
| يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis | تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين النقل الآمن إلى حسابات التخزين | متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة | لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة. | AuditIfNotExists، معطل | 3.0.1 |
إنشاء مفتاح التشفير وإدارته
ID: FedRAMP High SC-12 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب أن تستخدم مخازن خدمات استرداد Azure المفاتيح المُدارة من قبل العملاء لتشفير بيانات النسخ الاحتياطي | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون لبيانات النسخ الاحتياطي. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/AB-CmkEncryption. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب تشفير بيانات خدمة توفير جهاز IoT Hub باستخدام مفاتيح يديرها العميل (CMK) | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة خدمة تزويد جهاز IoT Hub. يتم تشفير البيانات تلقائيًا في حالة ثبات البيانات مع مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء (CMK) مطلوبة عادة لتلبية معايير التوافق التنظيمية. تمكن CMKs من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. تعرف على المزيد حول تشفير CMK على https://aka.ms/dps/CMK. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| يجب أن تقوم موارد Azure الذكاء الاصطناعي Services بتشفير البيانات الثابتة باستخدام مفتاح مدار من قبل العميل (CMK) | يوفر استخدام المفاتيح التي يديرها العميل لتشفير البيانات الثابتة مزيدا من التحكم في دورة حياة المفتاح، بما في ذلك التدوير والإدارة. وهذا أمر ذو صلة خاصة بالمنظمات ذات متطلبات الامتثال ذات الصلة. لا يتم تقييم هذا بشكل افتراضي وينبغي تطبيقه فقط عند الحاجة إلى الامتثال أو متطلبات النهج التقييدية. إذا لم يتم تمكينها، تشفير البيانات باستخدام مفاتيح مدارة بواسطة النظام الأساسي. لتنفيذ ذلك، قم بتحديث المعلمة 'Effect' في نهج الأمان للنطاق القابل للتطبيق. | التدقيق، الرفض، التعطيل | 2.2.0 |
| يجب أن تستخدم حسابات Azure Automation المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة التشفير للبيانات في وضع السكون لحسابات Azure Automation. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/automation-cmk. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يستخدم حساب Azure Batch المفاتيح المدارة من قبل العميل لتشفير البيانات | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون لحساب Batch. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/Batch-CMK. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم مجموعة حاويات مثيل Azure Container المفتاح المدار من قبل العميل للتشفير | قم بتأمين حاوياتك بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | تدقيق، تعطيل، رفض | 1.0.0 |
| يجب أن تستخدم حسابات Azure Cosmos DB المفاتيح التي يديرها العملاء لتشفير البيانات في وضع السكون | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة Azure Cosmos DB. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/cosmosdb-cmk. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب أن تستخدم Azure Data Box مفتاحًا مدارًا من قِبل العميل لتشفير كلمة مرور إلغاء قفل الجهاز | استخدم مفتاحا يديره العميل للتحكم في تشفير كلمة مرور إلغاء تأمين الجهاز لـ Azure Data Box. تساعد المفاتيح المدارة من قبل العملاء أيضًا في إدارة الوصول إلى كلمة مرور إلغاء قفل الجهاز بواسطة خدمة Data Box من أجل إعداد الجهاز ونسخ البيانات بطريقة تلقائية. البيانات الموجودة على الجهاز نفسه مشفرة بالفعل في حالة البيانات الثابتة مع مقاييس التشفير المتقدمة 256 بت، ويتم تشفير كلمة مرور إلغاء قفل الجهاز بشكل افتراضي باستخدام مفتاح مدار من Microsoft. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يستخدم تشفير Azure Data Explorer في وضع السكون مفتاحًا مدارًا من قبل العميل | يتيح تمكين التشفير في وضع ثبات البيانات باستخدام مفتاح مدار من قبل العميل على مجموعة نظام مستكشف البيانات Azure التحكم الإضافي على المفتاح المستخدم بواسطة التشفير في وضع البيانات الثابتة. هذه الميزة غالبًا تكون قابلة للتطبيق على العملاء الذين لديهم متطلبات توافق خاصة وتتطلب حالتهم Key Vault لإدارة المفاتيح. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تشفير سجلات الحاويات باستخدام مفتاح مُدار من قِبل العميل | استخدم المفاتيح التي يديرها العملاء لإدارة التشفير للبيانات في وضع السكون لـ Azure Data Factory. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/adf-cmk. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم مجموعات Azure HDInsight المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة التشفير للبيانات في وضع السكون بمجموعات Azure HDInsight. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/hdi.cmk. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم مجموعات Azure HDInsight التشفير عند المضيف لتشفير البيانات الثابتة | يساعد تمكين التشفير المزدوج على حماية بياناتك وحمايتها للوفاء بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. عند تمكين التشفير في المضيف، يتم تشفير البيانات المخزنة على مضيف VM عند لثبات البيانات ويتم تدفقها مشفرة إلى خدمة التخزين. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تشفير مساحات العمل الخاصة بـ Azure Machine Learning باستخدام مفتاح مُدار من قِبل العميل | إدارة تشفير البيانات الثابتة بيانات مساحة عمل Azure التعلم الآلي باستخدام مفاتيح مدارة من قبل العميل. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/azureml-workspaces-cmk. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب تشفير مجموعات مراقبة سجلات Azure بمفتاح مدار من قبل العملاء | قم بإنشاء مجموعة سجلات مراقبة Azure بتشفير المفاتيح المدارة من قبل العملاء. بشكل افتراضي، يتم تشفير بيانات السجل باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية التوافق التنظيمي. يمنحك المفتاح المدار من قبل العميل في Azure Monitor مزيدًا من التحكم في الوصول إلى البيانات، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب أن تستخدم مهام Azure Stream Analytics المفاتيح التي يديرها العملاء لتشفير البيانات | استخدم المفاتيح التي يديرها العملاء عندما تريد تخزين أي بيانات تعريف وأصول بيانات خاصة لوظائف Stream Analytics بأمان في حساب التخزين الخاص بك. وهذا يمنحك التحكم الكامل في كيفية تشفير بيانات Stream Analytics. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح المدارة من قبل العميل للتحكم في تشفير البيانات الثابتة المخزنة في مساحات عمل Azure Synapse. توفر المفاتيح المدارة من قبل العميل تشفيرا مزدوجا عن طريق إضافة طبقة ثانية من التشفير فوق التشفير الافتراضي باستخدام مفاتيح مدارة بواسطة الخدمة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تشفير Bot Service بمفتاح مُدار من قبل العميل | تقوم خدمة Azure Bot Service تلقائيًا بتشفير المورد لحماية بياناتك والوفاء بالتزامات الأمان والامتثال التنظيمي. افتراضيا، يتم استخدام مفاتيح التشفير المدارة من Microsoft. لمزيد من المرونة في إدارة المفاتيح أو التحكم في الوصول إلى الاشتراك، حدد المفاتيح التي يديرها العميل، والمعروفة أيضًا باسم إحضار المفتاح (BYOK). تعرف على المزيد حول تشفير خدمة Azure Bot: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل | تشفير نظام التشغيل وأقراص البيانات باستخدام مفاتيح يديرها العملاء يوفر المزيد من التحكم والمرونة في إدارة المفاتيح. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب تشفير سجلات الحاويات باستخدام مفتاح مُدار من قِبل العميل | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون بمحتويات السجلات. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/acr/CMK. | التدقيق، الرفض، التعطيل | 1.1.2 |
| يجب أن تستخدم مساحات أسماء Event Hub مفتاحًا مدارًا من قِبل العميل للتشفير | تدعم مراكز الأحداث خيار تشفير البيانات في وضع البيانات الثابتة إما باستخدام مفاتيح مدارة من Microsoft (افتراضية) أو مفاتيح يديرها العملاء. يتيح لك اختيار تشفير البيانات باستخدام المفاتيح المدارة من قبل العميل تعيين المفاتيح التي سيستخدمها Event Hub لتشفير البيانات في مساحة الاسم وتدويرها وتعطيلها وإبطالها. لاحظ أن مركز الأحداث يعتمد التشفير فقط مع مفاتيح مدارة من قبل العملاء لمساحات الأسماء في مجموعات مخصصة. | المراجعة، معطلة | 1.0.0 |
| يجب تشفير بيئة خدمة تكامل تطبيقات المنطق باستخدام المفاتيح المدارة بواسطة العملاء | نشر في بيئة خدمة التكامل لإدارة تشفير البيانات الثابتة بيانات تطبيقات المنطق باستخدام مفاتيح يديرها العملاء. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تشفير الأقراص المدارة مرتين باستخدام كل من المفاتيح المدارة من النظام الأساسي والمفاتيح التي يديرها العملاء | يمكن للعملاء ذوي الحساسية الأمنية العالية الذين يشعرون بالقلق من المخاطر المرتبطة بأي خوارزمية تشفير معينة أو تنفيذ أو مفتاح يتم اختراقه اختيار طبقة إضافية من التشفير باستخدام خوارزمية /وضع تشفير مختلف في طبقة البنية التحتية باستخدام مفاتيح التشفير المدارة من النظام الأساسي. مجموعات تشفير القرص مطلوبة لاستخدام التشفير المزدوج. تعرّف على المزيد من خلال https://aka.ms/disks-doubleEncryption. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تشفير نظام التشغيل وأقراص البيانات باستخدام مفتاح يُديره العميل | استخدم المفاتيح المدارة من قبل العميل لإدارة تشفير البيانات الثابتة محتويات الأقراص المدارة. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح المدارة من خلال النظام الأساسي، ولكن عادة ما تكون المفاتيح التي يديرها العملاء مطلوبة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/disks-cmk. | التدقيق، الرفض، التعطيل | 3.0.0 |
| يجب حفظ الاستعلامات المحفوظة في Azure Monitor في حساب تخزين العميل لتشفير السجلات | ربط حساب التخزين بمساحة عمل Log Analytics لحماية الاستعلامات المحفوظة باستخدام تشفير حساب التخزين. عادة ما تكون المفاتيح المدارة من قبل العملاء مطلوبة لتلبية الامتثال التنظيمي ولمزيد من التحكم في الوصول إلى الاستعلامات المحفوظة في Azure Monitor. لمزيد من التفاصيل حول ما سبق، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب أن تستخدم مساحات أسماء Service Bus Premium مفتاحاً مداراً من قِبل العميل للتشفير | يدعم Azure Service Bus خيار تشفير البيانات الثابتة باستخدام مفاتيح مدارة من Microsoft (افتراضي) أو مفاتيح مدارة من قبل العميل. يتيح لك اختيار تشفير البيانات باستخدام المفاتيح التي يديرها العميل تعيين المفاتيح التي ستستخدمها ناقل خدمة Microsoft Azure لتشفير البيانات في مساحة الاسم وتدويرها وتعطيلها وإبطالها. لاحظ أن ناقل خدمة Microsoft Azure يعتمد التشفير فقط مع مفاتيح مدارة من قبل العملاء لمساحات الأسماء المميزة. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم المثيلات المدارة من قبل SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر لك تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح مزيدًا من الشفافية والتحكم في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح شفافية وتحكمًا متزايدين في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.1 |
| يجب أن تستخدم نطاقات تشفير حساب التخزين المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة نطاقات تشفير حساب التخزين. تتيح المفاتيح المدارة من قبل العميل تشفير البيانات باستخدام مفتاح Azure لمخزن البيانات السرية الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرف على المزيد حول نطاقات تشفير حساب التخزين في https://aka.ms/encryption-scopes-overview. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم حسابات التخزين مفتاحاً مداراً من قبل العميل للتشفير | أمّن الكائن الثنائي كبير الحجم وحساب تخزين الملفات بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | المراجعة، معطلة | 1.0.3 |
حماية المعلومات غير النشطة
ID: FedRAMP High SC-28 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تمكن App Service Environment التشفير الداخلي | يؤدي تعيين InternalEncryption إلى حقيقي إلى تشفير ملف ترحيل الصفحات وأقراص العاملين وحركة مرور الشبكة الداخلية بين الأطراف الأمامية والعمال في بيئة خدمة التطبيقات. لمعرفة المزيد، انتقل إلى https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | المراجعة، معطلة | 1.0.1 |
| يجب تشفير متغيرات حساب التنفيذ التلقائي | من المهم تمكين تشفير أصول متغير حساب التنفيذ التلقائي عند تخزين البيانات الحساسة | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تمكّن مهام Azure Data Box التشفير المزدوج للبيانات الثابتة على الجهاز | تمكين طبقة ثانية من التشفير المستند إلى البرامج للبيانات الثابتة الموجودة على الجهاز. الجهاز محمي بالفعل عبر مقاييس التشفير المتقدمة 256 بت للبيانات الثابتة. يضيف هذا الخيار طبقة ثانية من تشفير البيانات. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب إنشاء مجموعات سجلات مراقبة Azure مع تمكين البنية الأساسية التشفير (التشفير المزدوج) | لضمان تمكين تشفير البيانات الآمن على مستوى الخدمة ومستوى البنية الأساسية باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين، استخدم نظام مجموعة Azure Monitor المخصص. يتم تمكين هذا الخيار بشكل افتراضي عند دعمه في المنطقة، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب استخدام التشفير المزدوج على أجهزة Azure Stack Edge | لتأمين البيانات الثابتة على الجهاز، وضمان أنها مزدوجة التشفير، يتم التحكم في الوصول إلى البيانات، وبمجرد إلغاء تنشيط الجهاز، يتم مسح البيانات بأمان من أقراص البيانات. التشفير المزدوج هو استخدام طبقتين من التشفير: تشفير BitLocker XTS-AES 256 بت على وحدات تخزين البيانات والتشفير المضمن لمحركات الأقراص الثابتة. تعرف على المزيد في وثائق نظرة عامة على الأمان لجهاز Stack Edge المحدد. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب تمكين تشفير القرص على Azure Data Explorer | يساعد تمكين التشفير المزدوج على حماية بياناتك وحمايتها للوفاء بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تمكين التشفير المزدوج على Azure Data Explorer | يساعد تمكين التشفير المزدوج على حماية بياناتك وضمان سلامتها بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. عند تمكين التشفير المزدوج، يتم تشفير البيانات في حساب التخزين مرتين، مرة على مستوى الخدمة ومرة على مستوى البنية الأساسية، باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تحتوي مجموعات تصميم الخدمة على الخاصية ClusterProtectionLevel معينة إلى EncryptAndSign | يوفر Service Fabric ثلاثة مستويات من الحماية (None، وSign، وEncryptAndSign) للاتصال عقدة إلى عقدة باستخدام شهادة نظام مجموعة أساسية. تعيين مستوى الحماية لضمان تشفير كافة رسائل العقدة إلى العقدة وتوقيعها رقميا | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن يكون لدى حسابات التخزين تشفير البنية الأساسية | تمكين تشفير البنية الأساسية للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات في حساب تخزين مرتين. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف | لتحسين أمان البيانات، يجب تشفير البيانات المخزنة على مضيف الجهاز الظاهري (VM) لعقد خدمة Azure Kubernetes VMs في حالة السكون. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية. | التدقيق، الرفض، التعطيل | 1.0.1 |
| ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL | يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين التشفير على المضيف في الأجهزة الظاهرية ومجموعات مقياس الجهاز الظاهري | استخدم التشفير في المضيف للحصول على تشفير من طرف إلى طرف لجهازك الظاهري وبيانات مجموعة مقياس الجهاز الظاهري. التشفير في المضيف يتيح تشفير البيانات الثابتة للقرص المؤقت الخاص بك وذاكرة التخزين المؤقت لـ OS/قرص البيانات. يتم تشفير أقراص OS المؤقتة والزائلة باستخدام مفاتيح تتم إدارتها من خلال النظام الأساسي عند تمكين التشفير في المضيف. يتم تشفير ذاكرة التخزين المؤقت لأقراص OS/data في حالة راحة باستخدام مفتاح مدار من قبل العميل أو مفتاح مدار بواسطة النظام الأساسي، وذلك حسب نوع التشفير المحدد على القرص. تعرّف على المزيد من خلال https://aka.ms/vm-hbe. | التدقيق، الرفض، التعطيل | 1.0.0 |
حماية التشفير
ID: FedRAMP High SC-28 (1) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تمكن App Service Environment التشفير الداخلي | يؤدي تعيين InternalEncryption إلى حقيقي إلى تشفير ملف ترحيل الصفحات وأقراص العاملين وحركة مرور الشبكة الداخلية بين الأطراف الأمامية والعمال في بيئة خدمة التطبيقات. لمعرفة المزيد، انتقل إلى https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | المراجعة، معطلة | 1.0.1 |
| يجب تشفير متغيرات حساب التنفيذ التلقائي | من المهم تمكين تشفير أصول متغير حساب التنفيذ التلقائي عند تخزين البيانات الحساسة | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تمكّن مهام Azure Data Box التشفير المزدوج للبيانات الثابتة على الجهاز | تمكين طبقة ثانية من التشفير المستند إلى البرامج للبيانات الثابتة الموجودة على الجهاز. الجهاز محمي بالفعل عبر مقاييس التشفير المتقدمة 256 بت للبيانات الثابتة. يضيف هذا الخيار طبقة ثانية من تشفير البيانات. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب إنشاء مجموعات سجلات مراقبة Azure مع تمكين البنية الأساسية التشفير (التشفير المزدوج) | لضمان تمكين تشفير البيانات الآمن على مستوى الخدمة ومستوى البنية الأساسية باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين، استخدم نظام مجموعة Azure Monitor المخصص. يتم تمكين هذا الخيار بشكل افتراضي عند دعمه في المنطقة، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب استخدام التشفير المزدوج على أجهزة Azure Stack Edge | لتأمين البيانات الثابتة على الجهاز، وضمان أنها مزدوجة التشفير، يتم التحكم في الوصول إلى البيانات، وبمجرد إلغاء تنشيط الجهاز، يتم مسح البيانات بأمان من أقراص البيانات. التشفير المزدوج هو استخدام طبقتين من التشفير: تشفير BitLocker XTS-AES 256 بت على وحدات تخزين البيانات والتشفير المضمن لمحركات الأقراص الثابتة. تعرف على المزيد في وثائق نظرة عامة على الأمان لجهاز Stack Edge المحدد. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب تمكين تشفير القرص على Azure Data Explorer | يساعد تمكين التشفير المزدوج على حماية بياناتك وحمايتها للوفاء بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تمكين التشفير المزدوج على Azure Data Explorer | يساعد تمكين التشفير المزدوج على حماية بياناتك وضمان سلامتها بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. عند تمكين التشفير المزدوج، يتم تشفير البيانات في حساب التخزين مرتين، مرة على مستوى الخدمة ومرة على مستوى البنية الأساسية، باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تحتوي مجموعات تصميم الخدمة على الخاصية ClusterProtectionLevel معينة إلى EncryptAndSign | يوفر Service Fabric ثلاثة مستويات من الحماية (None، وSign، وEncryptAndSign) للاتصال عقدة إلى عقدة باستخدام شهادة نظام مجموعة أساسية. تعيين مستوى الحماية لضمان تشفير كافة رسائل العقدة إلى العقدة وتوقيعها رقميا | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن يكون لدى حسابات التخزين تشفير البنية الأساسية | تمكين تشفير البنية الأساسية للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات في حساب تخزين مرتين. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف | لتحسين أمان البيانات، يجب تشفير البيانات المخزنة على مضيف الجهاز الظاهري (VM) لعقد خدمة Azure Kubernetes VMs في حالة السكون. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية. | التدقيق، الرفض، التعطيل | 1.0.1 |
| ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL | يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين التشفير على المضيف في الأجهزة الظاهرية ومجموعات مقياس الجهاز الظاهري | استخدم التشفير في المضيف للحصول على تشفير من طرف إلى طرف لجهازك الظاهري وبيانات مجموعة مقياس الجهاز الظاهري. التشفير في المضيف يتيح تشفير البيانات الثابتة للقرص المؤقت الخاص بك وذاكرة التخزين المؤقت لـ OS/قرص البيانات. يتم تشفير أقراص OS المؤقتة والزائلة باستخدام مفاتيح تتم إدارتها من خلال النظام الأساسي عند تمكين التشفير في المضيف. يتم تشفير ذاكرة التخزين المؤقت لأقراص OS/data في حالة راحة باستخدام مفتاح مدار من قبل العميل أو مفتاح مدار بواسطة النظام الأساسي، وذلك حسب نوع التشفير المحدد على القرص. تعرّف على المزيد من خلال https://aka.ms/vm-hbe. | التدقيق، الرفض، التعطيل | 1.0.0 |
سلامة النظام والمعلومات
إصلاح الخلل
ID: FedRAMP High SI-2 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم تطبيقات App Service أحدث "إصدار من HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب أن تستخدم تطبيقات الوظائف أحدث "إصدار HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
| يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية | قم بترقية مجموعة خدمات Kubernetes إلى إصدار أحدث من Kubernetes للحماية من الثغرات الأمنية المعروفة في إصدار Kubernetes الحالي. تم تصحيح الثغرة الأمنية CVE-2019-9946 في إصدارات Kubernetes 1.11.9+ و1.12.7+ و1.13.5+ و1.14.0+ | المراجعة، معطلة | 1.0.2 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
| ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية | رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات. | AuditIfNotExists، معطل | 4.1.0 |
| يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك | ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات | AuditIfNotExists، معطل | 3.1.0 |
حماية التعليمات البرمجية الضارة
ID: FedRAMP High SI-3 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكينWindows Defender Exploit Guard على أجهزتك | يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط). | AuditIfNotExists، معطل | 1.1.1 |
الإدارة المركزية
ID: FedRAMP High SI-3 (1) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكينWindows Defender Exploit Guard على أجهزتك | يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط). | AuditIfNotExists، معطل | 1.1.1 |
مراقبة نظام المعلومات
ID: FedRAMP High SI-4 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 4.0.1-preview |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
حماية الذاكرة
ID: FedRAMP High SI-16 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكينWindows Defender Exploit Guard على أجهزتك | يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط). | AuditIfNotExists، معطل | 1.1.1 |
الخطوات التالية
مقالات إضافية حول Azure Policy:
- نظرة عامة على التوافق التنظيمي.
- راجع بنية تعريف المبادرة.
- مراجعة أمثلة أخرى في نماذج Azure Policy.
- راجع فهم تأثيرات النهج.
- تعرف على كيفية إصلاح الموارد غير المتوافقة.