تفاصيل مبادرة التوافق التنظيمي للامتثال التنظيمي لنسق NL BIO Cloud المضمنة
توضح المقالة التالية بالتفصيل كيفية تعيين تعريف المبادرة المضمنة للامتثال التنظيمي لنهج Azure إلى مجالات التوافق وعناصر التحكم في نسق سحابة NL BIO. لمزيد من المعلومات حول معيار التوافق هذا، راجع نسق سحابة NL BIO. لفهم الملكية، راجع نوع النهج والمسؤولية المشتركة في السحابة.
التعيينات التالية هي لعناصر تحكم نسق سحابة NL BIO. يتم تنفيذ العديد من عناصر التحكم بتعريف مبادرة Azure Policy. لمراجعة تعريف المبادرة الكامل، افتح نهج في مدخل Microsoft Azure وحدد صفحة التعريفات. ثم ابحث عن تعريف المبادرة المضمنة للامتثال التنظيمي لنسق سحابة NL BIO وحدده.
هام
يرتبط كل عنصر تحكم أدناه بتعريف أو أكثر من تعريفات نهج Azure. قد تساعدك هذه السياسات على تقييم الامتثال بعنصر التحكم؛ ومع ذلك، غالباً ما لا يكون هناك تطابق أو تناظر كامل بين عنصر التحكم مع نهج واحد أو أكثر. على هذا النحو، تشير كلمة متوافق في Azure Policy فقط إلى تعريفات النهج ذاتها؛ وهذا لا يضمن أنك ممتثل تمامًا لكافة متطلبات عنصر التحكم. بالإضافة إلى ذلك، يتضمن معيار التوافق عناصر تحكم لا يتم تناولها بواسطة أي تعريفات خاصة بـ Azure Policy في هذا الوقت. لذلك، فإن التوافق في Azure Policy هو مجرد مظهر جزئي لحالة التوافق الكلي. قد تتغير الاقترانات بين مجالات الامتثال وعناصر التحكم وتعريفات Azure Policy لمعيار الامتثال المذكور بمرور الوقت. لعرض تاريخ التغييرات، راجع تاريخ امتثال شركة GitHub.
B.01.3 القوانين واللوائح - المتطلبات القانونية والقانونية والتنظيمية
تم تحديد المتطلبات المطبقة على لجنة الخدمة المدنية الناشئة عن القوانين واللوائح
المعرف: نسق سحابة NL BIO B.01.3 الملكية: العميل
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
المواقع المسموح بها | يمكّنك هذا النهج من تقييد المواقع التي يمكن لمؤسستك تحديدها عند توزيع الموارد. تُستخدم لفرض متطلبات التوافق الجغرافي الخاصة بك. باستثناء مجموعات الموارد وMicrosoft.AzureActiveDirectory/b2cDirectory والموارد التي تستخدم المنطقة "العمومية". | رفض | 1.0.0 |
المواقع المسموح بها لمجموعات الموارد | تمكّنك هذه السياسة من تقييد المواقع التي يمكن لمؤسستك إنشاء مجموعات موارد فيها. تُستخدم لفرض متطلبات التوافق الجغرافي الخاصة بك. | رفض | 1.0.0 |
B.09.1 خصوصية البيانات الشخصية وحمايتها - جوانب ومراحل الأمان
واتخذت تدابير للتوافر والنزاهة والسرية.
المعرف: نسق سحابة NL BIO B.09.1 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis | تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب تمكين النقل الآمن إلى حسابات التخزين | متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 2.0.0 |
B.10.2 منظمة الأمن - وظيفة أمنية
توفر ميزة الأمان دعما استباقيا.
المعرف: نسق سحابة NL BIO B.10.2 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
يجب تعيين أكثر من مالك واحد لاشتراكك | يستحسن تعيين أكثر من مالك واحد للاشتراك من أجل الحصول على تكرار وصول المسؤول. | AuditIfNotExists، معطل | 3.0.0 |
B.10.3 منظمة أمنية - منصب تنظيمي
وقد أعطى موفر الخدمات المشتركة منظمة أمن المعلومات منصبا رسميا داخل المنظمة بأكملها.
المعرف: نسق سحابة NL BIO B.10.3 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
يجب تعيين أكثر من مالك واحد لاشتراكك | يستحسن تعيين أكثر من مالك واحد للاشتراك من أجل الحصول على تكرار وصول المسؤول. | AuditIfNotExists، معطل | 3.0.0 |
B.10.4 منظمة الأمن - المهام والمسؤوليات والصلاحيات
وقد وصف موفر الخدمات السحابية مسؤوليات أمن المعلومات وعينها لضباط محددين.
المعرف: نسق سحابة NL BIO B.10.4 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
يجب تعيين أكثر من مالك واحد لاشتراكك | يستحسن تعيين أكثر من مالك واحد للاشتراك من أجل الحصول على تكرار وصول المسؤول. | AuditIfNotExists، معطل | 3.0.0 |
C.04.3 technical إدارة الثغرات الأمنية - المخططات الزمنية
إذا كان احتمال إساءة الاستخدام والضرر المتوقع مرتفعين، يتم تثبيت التصحيحات في موعد لا يتجاوز غضون أسبوع.
المعرف: نسق سحابة NL BIO C.04.3 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك. | AuditIfNotExists، معطل | 3.0.0 |
يجب أن تستخدم تطبيقات App Service أحدث "إصدار من HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
يجب أن تستخدم تطبيقات App Service التي تستخدم Java "إصدار Java" محددا | إذ يتم إطلاق إصدارات أحدث لبرنامج Java بشكل دوري، بسبب وجود عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار Java لتطبيقات App Service من أجل الاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Java يلبي متطلباتك. | AuditIfNotExists، معطل | 3.1.0 |
يجب أن تستخدم تطبيقات App Service التي تستخدم PHP "إصدار PHP" محددا | بشكل دوري، يتم إصدار إصدارات أحدث لبرنامج PHP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من PHP لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار PHP الذي يلبي متطلباتك. | AuditIfNotExists، معطل | 3.2.0 |
يجب أن تستخدم تطبيقات App Service التي تستخدم Python "إصدار Python" محددا | بشكل دوري، يتم إصدار إصدارات أحدث لبرنامج Python إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Python لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Python الذي يلبي متطلباتك. | AuditIfNotExists، معطل | 4.1.0 |
يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
يجب أن تستخدم تطبيقات الوظائف أحدث "إصدار HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
يجب أن تستخدم تطبيقات الوظائف التي تستخدم Java "إصدار Java" محددا | إذ يتم إطلاق إصدارات أحدث لبرنامج Java بشكل دوري، بسبب وجود عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Java لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Java يلبي متطلباتك. | AuditIfNotExists، معطل | 3.1.0 |
يجب أن تستخدم تطبيقات الوظائف التي تستخدم Python "إصدار Python" محددا | بشكل دوري، يتم إصدار إصدارات أحدث لبرنامج Python إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Python لتطبيقات الوظائف من أجل الاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Python الذي يلبي متطلباتك. | AuditIfNotExists، معطل | 4.1.0 |
يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية | قم بترقية مجموعة خدمات Kubernetes إلى إصدار أحدث من Kubernetes للحماية من الثغرات الأمنية المعروفة في إصدار Kubernetes الحالي. تم تصحيح الثغرة الأمنية CVE-2019-9946 في إصدارات Kubernetes 1.11.9+ و1.12.7+ و1.13.5+ و1.14.0+ | المراجعة، معطلة | 1.0.2 |
يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية | رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات. | AuditIfNotExists، معطل | 4.1.0 |
يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك | ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات | AuditIfNotExists، معطل | 3.1.0 |
يجب تمكين تقييم الثغرات الأمنية على مساحات عمل Synapse | اكتشف الثغرات الأمنية المحتملة وتعقبها وصلحها عن طريق تكوين عمليات فحص تقييم الضعف المتكررة SQL على مساحات عمل Synapse. | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكينWindows Defender Exploit Guard على أجهزتك | يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط). | AuditIfNotExists، معطل | 2.0.0 |
C.04.6 technical إدارة الثغرات الأمنية - المخططات الزمنية
يمكن معالجة نقاط الضعف التقنية من خلال إجراء إدارة التصحيح في الوقت المناسب.
المعرف: نسق سحابة NL BIO C.04.6 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك. | AuditIfNotExists، معطل | 3.0.0 |
يجب أن تستخدم تطبيقات App Service أحدث "إصدار من HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
يجب أن تستخدم تطبيقات App Service التي تستخدم Java "إصدار Java" محددا | إذ يتم إطلاق إصدارات أحدث لبرنامج Java بشكل دوري، بسبب وجود عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار Java لتطبيقات App Service من أجل الاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Java يلبي متطلباتك. | AuditIfNotExists، معطل | 3.1.0 |
يجب أن تستخدم تطبيقات App Service التي تستخدم PHP "إصدار PHP" محددا | بشكل دوري، يتم إصدار إصدارات أحدث لبرنامج PHP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من PHP لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار PHP الذي يلبي متطلباتك. | AuditIfNotExists، معطل | 3.2.0 |
يجب أن تستخدم تطبيقات App Service التي تستخدم Python "إصدار Python" محددا | بشكل دوري، يتم إصدار إصدارات أحدث لبرنامج Python إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Python لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Python الذي يلبي متطلباتك. | AuditIfNotExists، معطل | 4.1.0 |
يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
يجب إعادة إنشاء مثيلات حساب Azure التعلم الآلي للحصول على آخر تحديثات البرامج | تأكد من تشغيل مثيلات حساب Azure التعلم الآلي على أحدث نظام تشغيل متوفر. يتم تحسين الأمان وتقليل الثغرات الأمنية عن طريق التشغيل باستخدام أحدث تصحيحات الأمان. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
يجب أن تستخدم تطبيقات الوظائف أحدث "إصدار HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
يجب أن تستخدم تطبيقات الوظائف التي تستخدم Java "إصدار Java" محددا | إذ يتم إطلاق إصدارات أحدث لبرنامج Java بشكل دوري، بسبب وجود عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Java لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Java يلبي متطلباتك. | AuditIfNotExists، معطل | 3.1.0 |
يجب أن تستخدم تطبيقات الوظائف التي تستخدم Python "إصدار Python" محددا | بشكل دوري، يتم إصدار إصدارات أحدث لبرنامج Python إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Python لتطبيقات الوظائف من أجل الاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Python الذي يلبي متطلباتك. | AuditIfNotExists، معطل | 4.1.0 |
يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية | قم بترقية مجموعة خدمات Kubernetes إلى إصدار أحدث من Kubernetes للحماية من الثغرات الأمنية المعروفة في إصدار Kubernetes الحالي. تم تصحيح الثغرة الأمنية CVE-2019-9946 في إصدارات Kubernetes 1.11.9+ و1.12.7+ و1.13.5+ و1.14.0+ | المراجعة، معطلة | 1.0.2 |
يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية | رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات. | AuditIfNotExists، معطل | 4.1.0 |
يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك | ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات | AuditIfNotExists، معطل | 3.1.0 |
يجب تمكينWindows Defender Exploit Guard على أجهزتك | يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط). | AuditIfNotExists، معطل | 2.0.0 |
C.04.7 technical إدارة الثغرات الأمنية - تم التقييم
يتم تسجيل تقييمات نقاط الضعف التقنية وإعداد التقارير عنها.
المعرف: نسق سحابة NL BIO C.04.7 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك. | AuditIfNotExists، معطل | 3.0.0 |
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
تطبيقات App Service يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر الأصل (CORS) لجميع المجالات بالوصول إلى تطبيقك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات. | AuditIfNotExists، معطل | 2.0.0 |
يجب أن تستخدم تطبيقات App Service أحدث "إصدار من HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
يجب أن تستخدم تطبيقات App Service التي تستخدم Java "إصدار Java" محددا | إذ يتم إطلاق إصدارات أحدث لبرنامج Java بشكل دوري، بسبب وجود عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار Java لتطبيقات App Service من أجل الاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Java يلبي متطلباتك. | AuditIfNotExists، معطل | 3.1.0 |
يجب أن تستخدم تطبيقات App Service التي تستخدم PHP "إصدار PHP" محددا | بشكل دوري، يتم إصدار إصدارات أحدث لبرنامج PHP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من PHP لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار PHP الذي يلبي متطلباتك. | AuditIfNotExists، معطل | 3.2.0 |
يجب أن تستخدم تطبيقات App Service التي تستخدم Python "إصدار Python" محددا | بشكل دوري، يتم إصدار إصدارات أحدث لبرنامج Python إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Python لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Python الذي يلبي متطلباتك. | AuditIfNotExists، معطل | 4.1.0 |
يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات | تمتد الوظيفة الإضافية لسياسة Azure Policy لخدمة Kubernetes (AKS) إلى Gatekeeper v3، webhook وحدة تحكم القبول لعامل Open Policy Agent(OPA)، لتطبيق إنفاذ على نطاق واسع وضمانات على المجموعات بطريقة مركزية ومتسقة. | المراجعة، معطلة | 1.0.2 |
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
تطبيقات الوظائف يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى تطبيق الدالة. اسمح للمجالات المطلوبة فقط بالتفاعل مع التطبيقات الوظيفية. | AuditIfNotExists، معطل | 2.0.0 |
يجب أن تستخدم تطبيقات الوظائف أحدث "إصدار HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
يجب أن تستخدم تطبيقات الوظائف التي تستخدم Java "إصدار Java" محددا | إذ يتم إطلاق إصدارات أحدث لبرنامج Java بشكل دوري، بسبب وجود عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Java لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Java يلبي متطلباتك. | AuditIfNotExists، معطل | 3.1.0 |
يجب أن تستخدم تطبيقات الوظائف التي تستخدم Python "إصدار Python" محددا | بشكل دوري، يتم إصدار إصدارات أحدث لبرنامج Python إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Python لتطبيقات الوظائف من أجل الاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Python الذي يلبي متطلباتك. | AuditIfNotExists، معطل | 4.1.0 |
يجب ألا تتجاوز حاويات نظام المجموعة Kubernetes CPU وموارد الذاكرة الحدود المحددة | فرض حاوية CPU وحدود موارد الذاكرة لمنع هجمات استنفاد الموارد في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.3.0 |
يجب ألا تشارك حاويات نظام المجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة | قم بحظر حاويات الجراب من مشاركة مساحة اسم معرف عملية المضيف ومساحة اسم IPC المضيف في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.2 وCIS 5.2.3 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.2.0 |
يجب أن تستمع حاويات المجموعة Kubernetes فقط إلى المنافذ المسموح بها | يجب أن تستخدم الحاويات ملفات تعريف AppArmor المسموح بها فقط في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها | يجب تقييد القدرات لخفض سطح الهجوم من الحاويات في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.8 وCIS 5.2.9 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط | استخدم الصور من السجلات الموثوق بها لتقليل خطر تعرض مجموعة Kubernetes للثغرات الأمنية غير المعروفة ومشكلات الأمان والصور الضارة. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.3.0 |
يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط | تشغيل حاويات مع نظام ملفات جذر للقراءة فقط للحماية من التغييرات في وقت التشغيل مع الثنائيات الضارة التي يتم إضافتها إلى PATH في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.3.0 |
يجب أن تستخدم مجموعة Kubernetes أحجام مسارات المضيف الجرابية المسموح بها فقط | تحميل حجم جراب HostPath الحد إلى مسارات المضيف المسموح به في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS) وKubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة | التحكم في المستخدم، المجموعة الأساسية، المجموعة التكميلية ومعرفات مجموعة نظام الملفات التي يمكن استخدامها pods وحاويات لتشغيل في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط | تقييد الوصول إلى شبكة المضيف ونطاق منفذ المضيف المسموح به في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.4 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها | يجب تقييد الخدمات للاستماع فقط على المنافذ المسموح بها لتأمين الوصول إلى مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.2.0 |
يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة | لا تسمح بإنشاء حاويات مميزة في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.1 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.2.0 |
يجب أن تقوم مجموعات Kubernetes بتعطيل بيانات اعتماد API للتحميل التلقائي | يجب تعطيل تحميل بيانات اعتماد واجهة برمجة التطبيقات تلقائياً لمنع مورد Pod الذي يُحتمل تعرضه للخطر لتشغيل أوامر واجهة برمجة التطبيقات ضد مجموعات Kubernetes. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 4.2.0 |
يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية | لا تسمح بتشغيل الحاويات مع التصعيد امتياز الجذر في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.5 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاص بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.2.0 |
المعاينة: يجب ألا تمنح مجموعات Kubernetes إمكانيات أمان CAP_SYS_ADMIN | لتقليل السطح المعرض للهجوم في الحاويات الخاصة بك، قم بتقييد قدرات CAP_SYS_ADMIN Linux. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.1.0 |
يجب ألا تستخدم مجموعات Kubernetes مساحة الاسم الافتراضية | يجب منع استخدام مساحة الاسم الافتراضية في مجموعات Kubernetes للحماية من الوصول غير المصرح به لأنواع موارد ConfigMap وPod وSecret وService وServiceAccount. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 4.2.0 |
يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية | قم بترقية مجموعة خدمات Kubernetes إلى إصدار أحدث من Kubernetes للحماية من الثغرات الأمنية المعروفة في إصدار Kubernetes الحالي. تم تصحيح الثغرة الأمنية CVE-2019-9946 في إصدارات Kubernetes 1.11.9+ و1.12.7+ و1.13.5+ و1.14.0+ | المراجعة، معطلة | 1.0.2 |
يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية | رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات. | AuditIfNotExists، معطل | 4.1.0 |
يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك | ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات | AuditIfNotExists، معطل | 3.1.0 |
يجب تمكينWindows Defender Exploit Guard على أجهزتك | يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط). | AuditIfNotExists، معطل | 2.0.0 |
C.04.8 technical إدارة الثغرات الأمنية - تم التقييم
وتحتوي تقارير التقييم على اقتراحات للتحسين ويتم إبلاغها بالمديرين/المالكين.
المعرف: نسق سحابة NL BIO C.04.8 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك. | AuditIfNotExists، معطل | 3.0.0 |
ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية | رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات. | AuditIfNotExists، معطل | 4.1.0 |
يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك | ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات | AuditIfNotExists، معطل | 3.1.0 |
C.05.5 Security Monitoring Reporting - مراقب والإبلاغ عنه
ومن الإثبات أن هناك متابعة لمقترحات التحسين الواردة من تقارير التحليل.
المعرف: نسق سحابة NL BIO C.05.5 الملكية: Microsoft
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 1.2.0 |
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 2.1.0 |
يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center. | AuditIfNotExists، معطل | 1.0.1 |
U.03 - خدمات استمرارية الأعمال
وينبغي تنفيذ مرافق تجهيز المعلومات بتكرار كاف لتلبية متطلبات الاستمرارية.
المعرف: نسق سحابة NL BIO U.03 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB | تسمح لك قاعدة بياناتAzure Database لـ MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL | تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لنظام PostgreSQL | تسمح لك Azure Database for PostgreSQL باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
U.03.1 Business Continuity Services - التكرار
ويضمن الاستمرارية المتفق عليها من خلال وظائف نظامية منطقية أو مادية متعددة بما فيه الكفاية.
المعرف: نسق سحابة NL BIO U.03.1 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
تدقيق الأجهزة الظاهرية دون تكوين استرداد بعد عطل فادح | مراجعة الأجهزة الظاهرية التي لم يتم تكوين استردادها بعد عطل فادح. لمعرفة المزيد حول الاسترداد بعد الأخطاء الفادحة، تفضل بزيارة https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
يجب تمكين النسخ الاحتياطي لأجهزة Azure الظاهرية | تأكد من حماية الأجهزة الظاهرية Azure الخاصة بك عن طريق تمكين النسخ الاحتياطي Azure. النسخ الاحتياطي Azure هو حل آمن وفعال من حيث التكلفة لحماية البيانات لـ Azure. | AuditIfNotExists، معطل | 3.0.0 |
U.03.2 خدمات استمرارية الأعمال - متطلبات الاستمرارية
يتم ضمان متطلبات الاستمرارية للخدمات السحابية المتفق عليها مع CSC من خلال بنية النظام.
المعرف: نسق سحابة NL BIO U.03.2 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
تدقيق الأجهزة الظاهرية دون تكوين استرداد بعد عطل فادح | مراجعة الأجهزة الظاهرية التي لم يتم تكوين استردادها بعد عطل فادح. لمعرفة المزيد حول الاسترداد بعد الأخطاء الفادحة، تفضل بزيارة https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
يجب تمكين النسخ الاحتياطي لأجهزة Azure الظاهرية | تأكد من حماية الأجهزة الظاهرية Azure الخاصة بك عن طريق تمكين النسخ الاحتياطي Azure. النسخ الاحتياطي Azure هو حل آمن وفعال من حيث التكلفة لحماية البيانات لـ Azure. | AuditIfNotExists، معطل | 3.0.0 |
U.04.1 Data and Cloud Service Recovery - Restore function
تتم استعادة البيانات والخدمات السحابية خلال الفترة المتفق عليها والحد الأقصى لفقدان البيانات وإتاحتها ل CSC.
المعرف: نسق سحابة NL BIO U.04.1 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
تدقيق الأجهزة الظاهرية دون تكوين استرداد بعد عطل فادح | مراجعة الأجهزة الظاهرية التي لم يتم تكوين استردادها بعد عطل فادح. لمعرفة المزيد حول الاسترداد بعد الأخطاء الفادحة، تفضل بزيارة https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
يجب تمكين حماية الحذف في خزائن المفاتيح | يمكن أن يؤدي الحذف الضار لخزنة المفاتيح إلى فقدان دائم للبيانات. يمكنك منع فقدان البيانات بشكل دائم عن طريق تمكين الحماية من المسح والحذف المبدئي. تحميك حماية التطهير من هجمات من الداخل من خلال فرض فترة استبقاء إلزامية لخزائن المفاتيح المحذوفة الناعمة. لن يتمكن أحد داخل مؤسستك أو Microsoft من إزالة خزائن المفاتيح أثناء فترة الاحتفاظ بالحذف الناعمة. ضع في اعتبارك أن خزائن المفاتيح التي تم إنشاؤها بعد 1 سبتمبر 2019 قد تم تمكين الحذف المبدئي بشكل افتراضي. | التدقيق، الرفض، التعطيل | 2.1.0 |
يجب تمكين الحذف المبدئي في Key vaults | يؤدي حذف key vault من دون حذف مبدئي ممكن إلى حذف جميع الأسرار والمفاتيح والشهادات المخزنة في key vault نهائيًا. يمكن أن يؤدي الحذف العرضي لمخزن البيانات السرية إلى فقدان دائم للبيانات. يتيح لك الحذف الناعم استرداد مخزن مفاتيح تم حذفها عن طريق الخطأ لفترة استبقاء قابلة للتكوين. | التدقيق، الرفض، التعطيل | 3.0.0 |
U.04.2 Data and Cloud Service Recovery - Restore function
تتم مراقبة العملية المستمرة لحماية البيانات القابلة للاسترداد.
المعرف: نسق سحابة NL BIO U.04.2 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
تدقيق الأجهزة الظاهرية دون تكوين استرداد بعد عطل فادح | مراجعة الأجهزة الظاهرية التي لم يتم تكوين استردادها بعد عطل فادح. لمعرفة المزيد حول الاسترداد بعد الأخطاء الفادحة، تفضل بزيارة https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
يجب تمكين حماية الحذف في خزائن المفاتيح | يمكن أن يؤدي الحذف الضار لخزنة المفاتيح إلى فقدان دائم للبيانات. يمكنك منع فقدان البيانات بشكل دائم عن طريق تمكين الحماية من المسح والحذف المبدئي. تحميك حماية التطهير من هجمات من الداخل من خلال فرض فترة استبقاء إلزامية لخزائن المفاتيح المحذوفة الناعمة. لن يتمكن أحد داخل مؤسستك أو Microsoft من إزالة خزائن المفاتيح أثناء فترة الاحتفاظ بالحذف الناعمة. ضع في اعتبارك أن خزائن المفاتيح التي تم إنشاؤها بعد 1 سبتمبر 2019 قد تم تمكين الحذف المبدئي بشكل افتراضي. | التدقيق، الرفض، التعطيل | 2.1.0 |
يجب تمكين الحذف المبدئي في Key vaults | يؤدي حذف key vault من دون حذف مبدئي ممكن إلى حذف جميع الأسرار والمفاتيح والشهادات المخزنة في key vault نهائيًا. يمكن أن يؤدي الحذف العرضي لمخزن البيانات السرية إلى فقدان دائم للبيانات. يتيح لك الحذف الناعم استرداد مخزن مفاتيح تم حذفها عن طريق الخطأ لفترة استبقاء قابلة للتكوين. | التدقيق، الرفض، التعطيل | 3.0.0 |
U.04.3 Data and Cloud Service Recovery - تم اختباره
يتم اختبار عمل وظائف الاسترداد بشكل دوري وتتم مشاركة النتائج مع CSC.
المعرف: نسق سحابة NL BIO U.04.3 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
تدقيق الأجهزة الظاهرية دون تكوين استرداد بعد عطل فادح | مراجعة الأجهزة الظاهرية التي لم يتم تكوين استردادها بعد عطل فادح. لمعرفة المزيد حول الاسترداد بعد الأخطاء الفادحة، تفضل بزيارة https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
يجب تمكين حماية الحذف في خزائن المفاتيح | يمكن أن يؤدي الحذف الضار لخزنة المفاتيح إلى فقدان دائم للبيانات. يمكنك منع فقدان البيانات بشكل دائم عن طريق تمكين الحماية من المسح والحذف المبدئي. تحميك حماية التطهير من هجمات من الداخل من خلال فرض فترة استبقاء إلزامية لخزائن المفاتيح المحذوفة الناعمة. لن يتمكن أحد داخل مؤسستك أو Microsoft من إزالة خزائن المفاتيح أثناء فترة الاحتفاظ بالحذف الناعمة. ضع في اعتبارك أن خزائن المفاتيح التي تم إنشاؤها بعد 1 سبتمبر 2019 قد تم تمكين الحذف المبدئي بشكل افتراضي. | التدقيق، الرفض، التعطيل | 2.1.0 |
يجب تمكين الحذف المبدئي في Key vaults | يؤدي حذف key vault من دون حذف مبدئي ممكن إلى حذف جميع الأسرار والمفاتيح والشهادات المخزنة في key vault نهائيًا. يمكن أن يؤدي الحذف العرضي لمخزن البيانات السرية إلى فقدان دائم للبيانات. يتيح لك الحذف الناعم استرداد مخزن مفاتيح تم حذفها عن طريق الخطأ لفترة استبقاء قابلة للتكوين. | التدقيق، الرفض، التعطيل | 3.0.0 |
U.05.1 Data protection - مقاييس التشفير
يتم تأمين نقل البيانات مع التشفير حيث يتم تنفيذ إدارة المفاتيح من قبل CSC نفسها إذا كان ذلك ممكنا.
المعرف: نسق سحابة NL BIO U.05.1 الملكية: العميل
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 4.0.0 |
يجب أن تتطلب تطبيقات App Service FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS" | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. | AuditIfNotExists، معطل | 2.0.1 |
يجب تفعيل تشفير قرص مجموعات Azure Batch | يضمن تفعيل تشفير قرص Azure Batch التشفير الدائم للبيانات في بقية عقدة Azure Batch في الحاسب النواتي. تعرف على المزيد حول تشفير القرص في Batch في https://docs.microsoft.com/azure/batch/disk-encryption . | تدقيق، تعطيل، رفض | 1.0.0 |
ينبغي تمكين دعم التشفير المزدوج لأجهزة مركز الأجهزة Azure Edge | تأكد من تمكين دعم التشفير المزدوج للأجهزة المطلوبة من مركز الأجهزة Azure Edge، لتأمين البيانات الموجودة على الجهاز. يضيف هذا الخيار طبقة ثانية من تشفير البيانات. | التدقيق، الرفض، التعطيل | 2.0.0 |
يتعين أن يعمل Azure Front Door Standard وPremium بحد أدنى من إصدار TLS من 1.2 | يؤدي تعيين الحد الأدنى من إصدار TLS إلى 1.2 إلى تحسين الأمان من خلال ضمان الوصول إلى المجالات الخاصة بك المخصصة من العملاء باستخدام TLS 1.2 أو أحدث. لا ينصح باستعمال إصدارات TLS أقل من 1.2 لأنها ضعيفة ولا تدعم خوارزميات التشفير الحديثة. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن تستخدم مجموعات Azure HDInsight التشفير أثناء النقل لتشفير الاتصال بين عقد نظام المجموعة Azure HDInsight | يمكن العبث بالبيانات أثناء الإرسال بين عقد نظام المجموعة Azure HDInsight. يؤدي تمكين التشفير أثناء النقل إلى معالجة مشكلات إساءة الاستخدام والعبث أثناء عملية الإرسال هذه. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب تشغيل Azure SQL Database الإصدار 1.2 من بروتوكول أمان طبقة النقل (TLS) أو إصدار أحدث | يؤدي تعيين إصدار بروتوكول أمان طبقة النقل (TLS) إلى 1.2 أو إصدار أحدث إلى تحسين الأمان من خلال التأكد من أنه لا يمكن الوصول إلى Azure SQL Database إلا من العملاء الذين يستخدمون الإصدار TLS 1.2 أو إصداراً أحدث. ولا ينصح باستخدام إصدارات من TLS أقل من 1.2 نظراً لأنها تحتوي على ثغرات أمنية موثقة بشكل جيد. | تدقيق، تعطيل، رفض | 2.0.0 |
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL | قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL | تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 5.0.0 |
يجب أن تتطلب تطبيقات الوظائف FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. | AuditIfNotExists، معطل | 2.0.1 |
يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS | يضمن استخدام HTTPS المصادقة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. هذه الإمكانية متاحة حاليا بشكل عام لخدمة Kubernetes (AKS)، وفي المعاينة ل Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/kubepolicydoc | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.2.0 |
يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis | تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب تمكين النقل الآمن إلى حسابات التخزين | متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 2.0.0 |
يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة | لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة. | AuditIfNotExists، معطل | 4.1.1 |
U.05.2 Data protection - مقاييس التشفير
يجب حماية البيانات المخزنة في الخدمة السحابية إلى أحدث حالة من الفن.
المعرف: نسق سحابة NL BIO U.05.2 الملكية: العميل
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
[معاينة]: يجب أن تستخدم مخازن خدمات استرداد Azure المفاتيح المُدارة من قبل العملاء لتشفير بيانات النسخ الاحتياطي | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون لبيانات النسخ الاحتياطي. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/AB-CmkEncryption. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
[معاينة]: يجب تثبيت ملحق "شهادة الضيف" على أجهزة Linux الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على أجهزة Linux الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق بشكل استباقي على سلامة التمهيد ومراقبتها. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على أجهزة التشغيل الموثوقة وLinux الظاهرية السرية. | AuditIfNotExists، معطل | 6.0.0-المعاينة |
[معاينة]: يجب تثبيت ملحق "شهادة الضيف" على مجموعات مقياس أجهزة Linux الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على مجموعات مقياس أجهزة Linux الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد، ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على مجموعات مقياس الجهاز الظاهري Trusted Launch و Confidential Linux. | AuditIfNotExists، معطل | معاينة 5.1.0 |
[معاينة]: يجب تثبيت ملحق "شهادة الضيف" على الأجهزة Windows الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على الأجهزة الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق بشكل استباقي على سلامة التمهيد ومراقبتها. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على الأجهزة الظاهرية الموثوق بها التي تعمل بنظام التشغيل Windows والسرية. | AuditIfNotExists، معطل | معاينة 4.0.0 |
[معاينة]: يجب تثبيت ملحق "شهادة الضيف" على مجموعات مقياس الأجهزة Windows الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على مجموعات مقياس الأجهزة الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد، ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على مجموعات مقياس الجهاز الظاهري الموثوق بها وWindows السرية. | AuditIfNotExists، معطل | 3.1.0-المعاينة |
[معاينة]: يجب تشفير بيانات خدمة توفير جهاز IoT Hub باستخدام مفاتيح يديرها العميل (CMK) | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة خدمة تزويد جهاز IoT Hub. يتم تشفير البيانات تلقائيًا في حالة ثبات البيانات مع مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء (CMK) مطلوبة عادة لتلبية معايير التوافق التنظيمية. تمكن CMKs من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. تعرف على المزيد حول تشفير CMK على https://aka.ms/dps/CMK. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
[معاينة]: يجب تمكين التشغيل الآمن على الأجهزة Windows الظاهرية المعتمدة | قم بتمكين التمهيد الآمن على أجهزة Windows الظاهرية المدعومة؛ للتخفيف من التغييرات الضارة وغير المصرح بها لسلسلة التمهيد. بمجرد التمكين، سيتم السماح بتشغيل أدوات تحميل التشغيل وkernel وبرامج تشغيله فقط. ينطبق هذا التقييم على الأجهزة الظاهرية الموثوق بها التي تعمل بنظام التشغيل Windows والسرية. | المراجعة، معطلة | معاينة 4.0.0 |
[معاينة]: يجب تمكين vTPM على الأجهزة الظاهرية المعتمدة | تمكين جهاز TPM الظاهري على الأجهزة الظاهرية المدعومة لتسهيل Measured Boot، وميزات أمان نظام التشغيل الأخرى التي تتطلب TPM. بمجرد تمكين vTPM يمكن استخدامها لتشهد تكامل التمهيد. ينطبق هذا التقييم فقط على الأجهزة الظاهرية الموثوق بها التي تم تمكينها من التشغيل. | المراجعة، معطلة | 2.0.0-المعاينة |
يجب أن تقوم موارد Azure الذكاء الاصطناعي Services بتشفير البيانات الثابتة باستخدام مفتاح مدار من قبل العميل (CMK) | يوفر استخدام المفاتيح التي يديرها العميل لتشفير البيانات الثابتة مزيدا من التحكم في دورة حياة المفتاح، بما في ذلك التدوير والإدارة. وهذا أمر ذو صلة خاصة بالمنظمات ذات متطلبات الامتثال ذات الصلة. لا يتم تقييم هذا بشكل افتراضي وينبغي تطبيقه فقط عند الحاجة إلى الامتثال أو متطلبات النهج التقييدية. إذا لم يتم تمكينها، تشفير البيانات باستخدام مفاتيح مدارة بواسطة النظام الأساسي. لتنفيذ ذلك، قم بتحديث المعلمة 'Effect' في نهج الأمان للنطاق القابل للتطبيق. | التدقيق، الرفض، التعطيل | 2.2.0 |
يجب أن تستخدم واجهة برمجة تطبيقات Azure لـ FHIR مفتاحًا مدارًا من قبل العميل لتشفير البيانات في وضع الراحة | استخدم مفتاحًا يديره العميل للتحكم في تشفير البيانات الثابتة المخزنة في Azure API for FHIR عندما يكون هذا شرطًا تنظيميًا أو من متطلبات التوافق. توفر المفاتيح المدارة من قبل العميل أيضًا تشفيرا مزدوجا عن طريق إضافة طبقة ثانية من التشفير فوق الطبقة الافتراضية التي تتم باستخدام المفاتيح المدارة بواسطة الخدمة. | تدقيق، تدقيق، معطل، معطل | 1.1.0 |
يجب أن تستخدم حسابات Azure Automation المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة التشفير للبيانات في وضع السكون لحسابات Azure Automation. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/automation-cmk. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن يستخدم حساب Azure Batch المفاتيح المدارة من قبل العميل لتشفير البيانات | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون لحساب Batch. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/Batch-CMK. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب تفعيل تشفير قرص مجموعات Azure Batch | يضمن تفعيل تشفير قرص Azure Batch التشفير الدائم للبيانات في بقية عقدة Azure Batch في الحاسب النواتي. تعرف على المزيد حول تشفير القرص في Batch في https://docs.microsoft.com/azure/batch/disk-encryption . | تدقيق، تعطيل، رفض | 1.0.0 |
يجب أن تستخدم مجموعة حاويات مثيل Azure Container المفتاح المدار من قبل العميل للتشفير | قم بتأمين حاوياتك بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | تدقيق، تعطيل، رفض | 1.0.0 |
يجب أن تستخدم حسابات Azure Cosmos DB المفاتيح التي يديرها العملاء لتشفير البيانات في وضع السكون | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة Azure Cosmos DB. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/cosmosdb-cmk. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
يجب أن تمكّن مهام Azure Data Box التشفير المزدوج للبيانات الثابتة على الجهاز | تمكين طبقة ثانية من التشفير المستند إلى البرامج للبيانات الثابتة الموجودة على الجهاز. الجهاز محمي بالفعل عبر مقاييس التشفير المتقدمة 256 بت للبيانات الثابتة. يضيف هذا الخيار طبقة ثانية من تشفير البيانات. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن تستخدم Azure Data Box مفتاحًا مدارًا من قِبل العميل لتشفير كلمة مرور إلغاء قفل الجهاز | استخدم مفتاحا يديره العميل للتحكم في تشفير كلمة مرور إلغاء تأمين الجهاز لـ Azure Data Box. تساعد المفاتيح المدارة من قبل العملاء أيضًا في إدارة الوصول إلى كلمة مرور إلغاء قفل الجهاز بواسطة خدمة Data Box من أجل إعداد الجهاز ونسخ البيانات بطريقة تلقائية. البيانات الموجودة على الجهاز نفسه مشفرة بالفعل في حالة البيانات الثابتة مع مقاييس التشفير المتقدمة 256 بت، ويتم تشفير كلمة مرور إلغاء قفل الجهاز بشكل افتراضي باستخدام مفتاح مدار من Microsoft. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن يستخدم تشفير Azure Data Explorer في وضع السكون مفتاحًا مدارًا من قبل العميل | يتيح تمكين التشفير في وضع ثبات البيانات باستخدام مفتاح مدار من قبل العميل على مجموعة نظام مستكشف البيانات Azure التحكم الإضافي على المفتاح المستخدم بواسطة التشفير في وضع البيانات الثابتة. هذه الميزة غالبًا تكون قابلة للتطبيق على العملاء الذين لديهم متطلبات توافق خاصة وتتطلب حالتهم Key Vault لإدارة المفاتيح. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب تشفير سجلات الحاويات باستخدام مفتاح مُدار من قِبل العميل | استخدم المفاتيح التي يديرها العملاء لإدارة التشفير للبيانات في وضع السكون لـ Azure Data Factory. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/adf-cmk. | التدقيق، الرفض، التعطيل | 1.0.1 |
ينبغي تمكين دعم التشفير المزدوج لأجهزة مركز الأجهزة Azure Edge | تأكد من تمكين دعم التشفير المزدوج للأجهزة المطلوبة من مركز الأجهزة Azure Edge، لتأمين البيانات الموجودة على الجهاز. يضيف هذا الخيار طبقة ثانية من تشفير البيانات. | التدقيق، الرفض، التعطيل | 2.0.0 |
يجب أن تستخدم مجموعات Azure HDInsight المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة التشفير للبيانات في وضع السكون بمجموعات Azure HDInsight. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/hdi.cmk. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب أن تستخدم مجموعات Azure HDInsight التشفير عند المضيف لتشفير البيانات الثابتة | يساعد تمكين التشفير المزدوج على حماية بياناتك وحمايتها للوفاء بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. عند تمكين التشفير في المضيف، يتم تشفير البيانات المخزنة على مضيف VM عند لثبات البيانات ويتم تدفقها مشفرة إلى خدمة التخزين. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب تشفير مساحات العمل الخاصة بـ Azure Machine Learning باستخدام مفتاح مُدار من قِبل العميل | إدارة تشفير البيانات الثابتة بيانات مساحة عمل Azure التعلم الآلي باستخدام مفاتيح مدارة من قبل العميل. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/azureml-workspaces-cmk. | التدقيق، الرفض، التعطيل | 1.1.0 |
يجب إنشاء مجموعات سجلات مراقبة Azure مع تمكين البنية الأساسية التشفير (التشفير المزدوج) | لضمان تمكين تشفير البيانات الآمن على مستوى الخدمة ومستوى البنية الأساسية باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين، استخدم نظام مجموعة Azure Monitor المخصص. يتم تمكين هذا الخيار بشكل افتراضي عند دعمه في المنطقة، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
يجب تشفير مجموعات مراقبة سجلات Azure بمفتاح مدار من قبل العملاء | قم بإنشاء مجموعة سجلات مراقبة Azure بتشفير المفاتيح المدارة من قبل العملاء. بشكل افتراضي، يتم تشفير بيانات السجل باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية التوافق التنظيمي. يمنحك المفتاح المدار من قبل العميل في Azure Monitor مزيدًا من التحكم في الوصول إلى البيانات، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
يجب أن تستخدم مهام Azure Stream Analytics المفاتيح التي يديرها العملاء لتشفير البيانات | استخدم المفاتيح التي يديرها العملاء عندما تريد تخزين أي بيانات تعريف وأصول بيانات خاصة لوظائف Stream Analytics بأمان في حساب التخزين الخاص بك. وهذا يمنحك التحكم الكامل في كيفية تشفير بيانات Stream Analytics. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
يجب أن تستخدم مساحات عمل Azure Synapse المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح المدارة من قبل العميل للتحكم في تشفير البيانات الثابتة المخزنة في مساحات عمل Azure Synapse. توفر المفاتيح المدارة من قبل العميل تشفيرا مزدوجا عن طريق إضافة طبقة ثانية من التشفير فوق التشفير الافتراضي باستخدام مفاتيح مدارة بواسطة الخدمة. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب تشفير Bot Service بمفتاح مُدار من قبل العميل | تقوم خدمة Azure Bot Service تلقائيًا بتشفير المورد لحماية بياناتك والوفاء بالتزامات الأمان والامتثال التنظيمي. افتراضيا، يتم استخدام مفاتيح التشفير المدارة من Microsoft. لمزيد من المرونة في إدارة المفاتيح أو التحكم في الوصول إلى الاشتراك، حدد المفاتيح التي يديرها العميل، والمعروفة أيضًا باسم إحضار المفتاح (BYOK). تعرف على المزيد حول تشفير خدمة Azure Bot: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل | تشفير نظام التشغيل وأقراص البيانات باستخدام مفاتيح يديرها العملاء يوفر المزيد من التحكم والمرونة في إدارة المفاتيح. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب تشفير سجلات الحاويات باستخدام مفتاح مُدار من قِبل العميل | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون بمحتويات السجلات. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/acr/CMK. | التدقيق، الرفض، التعطيل | 1.1.2 |
يجب تمكين تشفير القرص على Azure Data Explorer | يساعد تمكين التشفير المزدوج على حماية بياناتك وحمايتها للوفاء بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. | التدقيق، الرفض، التعطيل | 2.0.0 |
يجب تمكين التشفير المزدوج على Azure Data Explorer | يساعد تمكين التشفير المزدوج على حماية بياناتك وضمان سلامتها بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. عند تمكين التشفير المزدوج، يتم تشفير البيانات في حساب التخزين مرتين، مرة على مستوى الخدمة ومرة على مستوى البنية الأساسية، باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين. | التدقيق، الرفض، التعطيل | 2.0.0 |
يجب أن تستخدم مساحات أسماء Event Hub مفتاحًا مدارًا من قِبل العميل للتشفير | تدعم مراكز الأحداث خيار تشفير البيانات في وضع البيانات الثابتة إما باستخدام مفاتيح مدارة من Microsoft (افتراضية) أو مفاتيح يديرها العملاء. يتيح لك اختيار تشفير البيانات باستخدام المفاتيح المدارة من قبل العميل تعيين المفاتيح التي سيستخدمها Event Hub لتشفير البيانات في مساحة الاسم وتدويرها وتعطيلها وإبطالها. لاحظ أن مركز الأحداث يعتمد التشفير فقط مع مفاتيح مدارة من قبل العملاء لمساحات الأسماء في مجموعات مخصصة. | المراجعة، معطلة | 1.0.0 |
يجب أن تستخدم حسابات HPC Cache مفتاحًا مدارًا من قبل العميل للتشفير | إدارة تشفير البيانات الثابتة ذاكرة التخزين المؤقت لـ Azure HPC باستخدام المفاتيح المدارة من قبل العميل. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | تدقيق، تعطيل، رفض | 2.0.0 |
يجب تمكين تشفير البنية التحتية لـ Azure Database لخوادم MySQL | تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم MySQL للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات الثابتة مرتين باستخدام مفاتيح إدارة Microsoft المتوافقة مع FIPS 140-2. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم PostgreSQL | تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم PostgreSQL للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات الثابتة مرتين باستخدام مفاتيح إدارة Microsoft المتوافقة مع FIPS 140-2 | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب تشفير بيئة خدمة تكامل تطبيقات المنطق باستخدام المفاتيح المدارة بواسطة العملاء | نشر في بيئة خدمة التكامل لإدارة تشفير البيانات الثابتة بيانات تطبيقات المنطق باستخدام مفاتيح يديرها العملاء. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب تشفير الأقراص المدارة مرتين باستخدام كل من المفاتيح المدارة من النظام الأساسي والمفاتيح التي يديرها العملاء | يمكن للعملاء ذوي الحساسية الأمنية العالية الذين يشعرون بالقلق من المخاطر المرتبطة بأي خوارزمية تشفير معينة أو تنفيذ أو مفتاح يتم اختراقه اختيار طبقة إضافية من التشفير باستخدام خوارزمية /وضع تشفير مختلف في طبقة البنية التحتية باستخدام مفاتيح التشفير المدارة من النظام الأساسي. مجموعات تشفير القرص مطلوبة لاستخدام التشفير المزدوج. تعرّف على المزيد من خلال https://aka.ms/disks-doubleEncryption. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة خوادم MySQL. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | AuditIfNotExists، معطل | 1.0.4 |
يجب تشفير نظام التشغيل وأقراص البيانات باستخدام مفتاح يُديره العميل | استخدم المفاتيح المدارة من قبل العميل لإدارة تشفير البيانات الثابتة محتويات الأقراص المدارة. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح المدارة من خلال النظام الأساسي، ولكن عادة ما تكون المفاتيح التي يديرها العملاء مطلوبة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/disks-cmk. | التدقيق، الرفض، التعطيل | 3.0.0 |
يجب أن تستخدم خوادم PostgreSQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة تشفير البيانات الثابتة لخوادم PostgreSQL لديك. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | AuditIfNotExists، معطل | 1.0.4 |
يجب حفظ الاستعلامات المحفوظة في Azure Monitor في حساب تخزين العميل لتشفير السجلات | ربط حساب التخزين بمساحة عمل Log Analytics لحماية الاستعلامات المحفوظة باستخدام تشفير حساب التخزين. عادة ما تكون المفاتيح المدارة من قبل العملاء مطلوبة لتلبية الامتثال التنظيمي ولمزيد من التحكم في الوصول إلى الاستعلامات المحفوظة في Azure Monitor. لمزيد من التفاصيل حول ما سبق، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
يجب أن تستخدم مساحات أسماء Service Bus Premium مفتاحاً مداراً من قِبل العميل للتشفير | يدعم Azure Service Bus خيار تشفير البيانات الثابتة باستخدام مفاتيح مدارة من Microsoft (افتراضي) أو مفاتيح مدارة من قبل العميل. يتيح لك اختيار تشفير البيانات باستخدام المفاتيح التي يديرها العميل تعيين المفاتيح التي ستستخدمها ناقل خدمة Microsoft Azure لتشفير البيانات في مساحة الاسم وتدويرها وتعطيلها وإبطالها. لاحظ أن ناقل خدمة Microsoft Azure يعتمد التشفير فقط مع مفاتيح مدارة من قبل العملاء لمساحات الأسماء المميزة. | المراجعة، معطلة | 1.0.0 |
يجب أن تستخدم المثيلات المدارة من قبل SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر لك تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح مزيدًا من الشفافية والتحكم في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.0 |
يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح شفافية وتحكمًا متزايدين في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.1 |
يجب أن تستخدم نطاقات تشفير حساب التخزين المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة نطاقات تشفير حساب التخزين. تتيح المفاتيح المدارة من قبل العميل تشفير البيانات باستخدام مفتاح Azure لمخزن البيانات السرية الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرف على المزيد حول نطاقات تشفير حساب التخزين في https://aka.ms/encryption-scopes-overview. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن يكون لدى حسابات التخزين تشفير البنية الأساسية | تمكين تشفير البنية الأساسية للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات في حساب تخزين مرتين. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن تستخدم حسابات التخزين مفتاحاً مداراً من قبل العميل للتشفير | أمّن الكائن الثنائي كبير الحجم وحساب تخزين الملفات بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | المراجعة، معطلة | 1.0.3 |
يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف | لتحسين أمان البيانات، يجب تشفير البيانات المخزنة على مضيف الجهاز الظاهري (VM) لعقد خدمة Azure Kubernetes VMs في حالة السكون. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية. | التدقيق، الرفض، التعطيل | 1.0.1 |
ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL | يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال | AuditIfNotExists، معطل | 2.0.0 |
يجب تمكين التشفير على المضيف في الأجهزة الظاهرية ومجموعات مقياس الجهاز الظاهري | استخدم التشفير في المضيف للحصول على تشفير من طرف إلى طرف لجهازك الظاهري وبيانات مجموعة مقياس الجهاز الظاهري. التشفير في المضيف يتيح تشفير البيانات الثابتة للقرص المؤقت الخاص بك وذاكرة التخزين المؤقت لـ OS/قرص البيانات. يتم تشفير أقراص OS المؤقتة والزائلة باستخدام مفاتيح تتم إدارتها من خلال النظام الأساسي عند تمكين التشفير في المضيف. يتم تشفير ذاكرة التخزين المؤقت لأقراص OS/data في حالة راحة باستخدام مفتاح مدار من قبل العميل أو مفتاح مدار بواسطة النظام الأساسي، وذلك حسب نوع التشفير المحدد على القرص. تعرّف على المزيد من خلال https://aka.ms/vm-hbe. | التدقيق، الرفض، التعطيل | 1.0.0 |
U.07.1 فصل البيانات - معزول
العزل الدائم للبيانات هو بنية متعددة المستأجرين. تتحقق التصحيحات بطريقة خاضعة للرقابة.
المعرف: نسق سحابة NL BIO U.07.1 الملكية: Microsoft
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
[مهمل]: يجب أن تستخدم خدمة البحث المعرفية من Azure رابطا خاصا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | المراجعة، معطلة | 1.0.1 مهمل |
[مهمل]: يجب أن تستخدم الخدمات المعرفية رابطا خاصا | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800. | المراجعة، معطلة | 3.0.1 مهمل |
[معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين | يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 3.1.0-المعاينة |
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
يجب أن تستخدم خدمات APIM شبكة ظاهرية | يوفر نشر Azure Virtual Network أمانًا معززًا وعزلاً محسنًا ويسمح لك بوضع خدمة إدارة واجهة برمجة التطبيقات في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم أنت في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكّن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات بحيث يمكن الوصول إليها إما عبر الإنترنت أو فقط من داخل الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.0.2 |
يجب أن يستخدم تكوين التطبيق رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists، معطل | 1.0.2 |
يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes | قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة. | المراجعة، معطلة | 2.0.1 |
يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة | من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure. | التدقيق، الرفض، التعطيل | 3.2.0 |
يجب أن تستخدم Azure API for FHIR الرابط الخاص | يجب أن يكون لدى Azure API for FHIR اتصال نقطة نهاية خاصة واحدة معتمد على الأقل. يمكن للعملاء في الشبكة الظاهرية الوصول بأمان إلى الموارد التي لها اتصالات نقطة نهاية خاصة من خلال الروابط الخاصة. لمزيد من المعلومات، يرجى زيارة: https://aka.ms/fhir-privatelink. | المراجعة، معطلة | 1.0.0 |
يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists، معطل | 1.0.0 |
يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص | مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن تعطل خدمات Azure Cognitive Search الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض خدمة Azure Cognitive Search على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض خدمة البحث. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار الحماية | يجب تعريف قواعد جدار الحماية على حسابات Azure Cosmos DB لمنع حركة المرور من مصادر غير مصرح بها. الحسابات التي لديها قاعدة IP واحدة على الأقل ومحددة بعامل تصفية ممكَّن للشبكة الظاهرية تُعد متوافقة. كما تُعد الحسابات التي تعطل وصول الجمهور متوافقة. | التدقيق، الرفض، التعطيل | 2.1.0 |
يجب أن يعطل Azure Cosmos DB الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم كشف حساب CosmosDB الخاص بك على شبكة الإنترنت العامة. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من كشف حساب CosmosDB الخاص بك. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن تستخدم Azure Data Factory رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists، معطل | 1.0.0 |
يجب أن تعطل مجموعات Azure Databricks IP العام | يؤدي تعطيل IP العام للمجموعات في مساحات عمل Azure Databricks إلى تحسين الأمان من خلال ضمان عدم كشف المجموعات على الإنترنت العام. تعرف على المزيد من خلال: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب أن تكون مساحات عمل Azure Databricks في شبكة ظاهرية | توفر شبكات Azure الظاهرية أمانا وعزلا محسنين لمساحات عمل Azure Databricks، بالإضافة إلى الشبكات الفرعية ونهج التحكم في الوصول والميزات الأخرى لتقييد الوصول بشكل أكبر. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | التدقيق، الرفض، التعطيل | 1.0.2 |
يجب أن تعطل مساحات عمل Azure Databricks الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض المورد على الإنترنت العام. يمكنك التحكم في تعرض مواردك عن طريق إنشاء نقاط نهاية خاصة بدلا من ذلك. تعرف على المزيد من خلال: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب أن تستخدم مساحات عمل Azure Databricks رابطا خاصا | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مساحات عمل Azure Databricks، يمكنك تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/adbpe. | المراجعة، معطلة | 1.0.2 |
يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا | يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة. | AuditIfNotExists، معطل | 1.0.0 |
يتعين أن تستخدم ملفات تعريف Azure Front Door الطبقة المتميزة التي تدعم قواعد WAF المدارة والارتباط الخاص | يدعم Azure Front Door Premium قواعد WAF المدارة من Azure وخدمة الارتباط الخاص بأصول Azure المدعومة. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب تمكين جدار حماية Azure Key Vault | قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security | التدقيق، الرفض، التعطيل | 3.2.1 |
يجب أن تستخدم Azure Key Vaults رابطا خاصا | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
يجب أن تكون حسابات Azure التعلم الآلي في شبكة ظاهرية | توفر شبكات Azure الظاهرية أمانا وعزلا محسنين ل Azure التعلم الآلي حوسبة المجموعات والمثيلات، بالإضافة إلى الشبكات الفرعية ونهج التحكم في الوصول والميزات الأخرى لتقييد الوصول بشكل أكبر. عند تكوين حساب مع شبكة ظاهرية، فإنه لا يمكن معالجته بشكل عام ولا يمكن الوصول إليه إلا من الأجهزة والتطبيقات الظاهرية داخل الشبكة الظاهرية. | المراجعة، معطلة | 1.0.1 |
يجب أن تعطل مساحات عمل Azure التعلم الآلي الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم كشف مساحات عمل التعلم الآلي على الإنترنت العام. يمكنك التحكم في تعرض مساحات العمل الخاصة بك عن طريق إنشاء نقاط نهاية خاصة بدلا من ذلك. تعرف على المزيد في: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&؛ tabs=azure-portal. | التدقيق، الرفض، التعطيل | 2.0.1 |
يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | المراجعة، معطلة | 1.0.0 |
يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink. | المراجعة، معطلة | 1.0.0 |
يجب أن تقوم مثيلات Azure SQL المدارة بتعطيل الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة (نقطة النهاية العامة) على مثيلات Azure SQL المدارة إلى تحسين الأمان من خلال التأكد من أنه لا يمكن الوصول إليها إلا من داخل شبكاتها الظاهرية أو عبر نقاط النهاية الخاصة. لمعرفة المزيد حول الوصول إلى الشبكة العامة، قم بزيارة https://aka.ms/mi-public-endpoint. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | المراجعة، معطلة | 1.0.1 |
يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 1.0.2 |
يجب أن تستخدم خدمة Azure Web PubSub رابطاً خاصاً | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. يمكنك تقليل مخاطر تسريب البيانات من خلال تعيين نقاط نهاية خاصة إلى Azure Web PubSub Service الخاصة بك. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/awps/privatelink. | المراجعة، معطلة | 1.0.0 |
يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة | تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. تعرف على المزيد حول قواعد شبكة سجل الحاويات هنا: https://aka.ms/acr/privatelinkوhttps://aka.ms/acr/portal/public-network.https://aka.ms/acr/vnet | التدقيق، الرفض، التعطيل | 2.0.0 |
يجب أن تستخدم سجلات الحاويات رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. | المراجعة، معطلة | 1.0.1 |
يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | المراجعة، معطلة | 1.0.0 |
يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists، معطل | 1.0.0 |
يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة | قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet. | المراجعة، معطلة | 1.0.0 |
يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. | AuditIfNotExists، معطل | 3.0.0 |
يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة | قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. | المراجعة، معطلة | 1.1.0 |
يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.1.0 |
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان أن Azure Database for MariaDB يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة. | التدقيق، الرفض، التعطيل | 2.0.0 |
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for MySQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة. | التدقيق، الرفض، التعطيل | 2.0.0 |
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP. | التدقيق، الرفض، التعطيل | 2.0.1 |
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية | احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب أن تستخدم حسابات التخزين رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists، معطل | 2.0.0 |
يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة | حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها. | AuditIfNotExists، معطل | 3.0.0 |
يجب أن تستخدم قوالب منشئ صور الأجهزة الظاهرية رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموارد بناء VM Image Builder، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | تدقيق، تعطيل، رفض | 1.1.0 |
يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 2.0.0 |
U.07.3 فصل البيانات - ميزات الإدارة
U.07.3 - يتم منح امتيازات عرض بيانات CSC و/أو مفاتيح التشفير أو تعديلها بطريقة خاضعة للرقابة ويتم تسجيل الاستخدام.
المعرف: نسق سحابة NL BIO U.07.3 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
يجب أن تستخدم تطبيقات App Service الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
يجب أن تمكن App Service Environment التشفير الداخلي | يؤدي تعيين InternalEncryption إلى حقيقي إلى تشفير ملف ترحيل الصفحات وأقراص العاملين وحركة مرور الشبكة الداخلية بين الأطراف الأمامية والعمال في بيئة خدمة التطبيقات. لمعرفة المزيد، انتقل إلى https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | المراجعة، معطلة | 1.0.1 |
تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
يجب تشفير متغيرات حساب التنفيذ التلقائي | من المهم تمكين تشفير أصول متغير حساب التنفيذ التلقائي عند تخزين البيانات الحساسة | التدقيق، الرفض، التعطيل | 1.1.0 |
يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure | يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
يجب أن تستخدم تطبيقات الوظائف الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure | يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure | يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services | لتوفير تصفية تجميعية على الإجراءات التي يمكن للمستخدمين تنفيذها، استخدم التحكم المستند إلى الأدوار (RBAC) في الوصول لإدارة الأذونات في مجموعات خدمة Kubernetes، وتكوين نهج التفويض ذات الصلة. | المراجعة، معطلة | 1.0.4 |
يجب أن تحتوي مجموعات تصميم الخدمة على الخاصية ClusterProtectionLevel معينة إلى EncryptAndSign | يوفر Service Fabric ثلاثة مستويات من الحماية (None، وSign، وEncryptAndSign) للاتصال عقدة إلى عقدة باستخدام شهادة نظام مجموعة أساسية. تعيين مستوى الحماية لضمان تشفير كافة رسائل العقدة إلى العقدة وتوقيعها رقميا | التدقيق، الرفض، التعطيل | 1.1.0 |
يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
يجب أن تمنع حسابات التخزين الوصول إلى المفتاح المشترك | راجع متطلبات Azure Active Directory (Azure AD) لتخويل طلبات حساب التخزين الخاص بك. بشكل افتراضي، يمكن تخويل الطلبات باستخدام بيانات اعتماد Azure Active Directory، أو باستخدام مفتاح الوصول إلى الحساب لمصادقة المفتاح المشترك. ومن بين نوعي التخويل هذين، يوفر Azure AD أمانًا فائقًا وسهولة أكثر في الاستخدام عبر المفتاح المشترك، وتوصي به Microsoft. | التدقيق، الرفض، التعطيل | 2.0.0 |
ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL | يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال | AuditIfNotExists، معطل | 2.0.0 |
يجب أن تستخدم بوابات VPN مصادقة Azure Active Directory (Azure AD) فقط لمستخدمي نقطة إلى موقع | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان من خلال التأكد من استخدام بوابات الشبكة الخاصة الافتراضية معرفات Azure Active Directory فقط للمصادقة. تعرف على المزيد حول مصادقة Azure AD على https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | التدقيق، الرفض، التعطيل | 1.0.0 |
U.09.3 الحماية من البرامج الضارة - الكشف والوقاية والتعافي
تعمل الحماية من البرامج الضارة على بيئات مختلفة.
المعرف: نسق سحابة NL BIO U.09.3 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
[إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 6.0.0-المعاينة |
يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك. | AuditIfNotExists، معطل | 3.0.0 |
يجب تمكين Azure DDoS Protection | يجب تمكين حماية DDoS لجميع الشبكات الظاهرية مع شبكة فرعية تعد جزءا من بوابة تطبيق مع IP عام. | AuditIfNotExists، معطل | 3.0.1 |
يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 1.0.2 |
يجب أن تستخدم تطبيقات الوظائف أحدث "إصدار HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية | قم بترقية مجموعة خدمات Kubernetes إلى إصدار أحدث من Kubernetes للحماية من الثغرات الأمنية المعروفة في إصدار Kubernetes الحالي. تم تصحيح الثغرة الأمنية CVE-2019-9946 في إصدارات Kubernetes 1.11.9+ و1.12.7+ و1.13.5+ و1.14.0+ | المراجعة، معطلة | 1.0.2 |
يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك | ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات | AuditIfNotExists، معطل | 3.1.0 |
ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار | مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 1.0.1 |
ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك | تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 3.0.0 |
يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 2.0.0 |
يجب تمكينWindows Defender Exploit Guard على أجهزتك | يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط). | AuditIfNotExists، معطل | 2.0.0 |
U.10.2 الوصول إلى خدمات وبيانات تكنولوجيا المعلومات - المستخدمون
تحت مسؤولية CSP، يتم منح حق الوصول للمسؤولين.
المعرف: نسق سحابة NL BIO U.10.2 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
يجب أن تستخدم تطبيقات App Service الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
مراجعة أجهزة Linux التي تسمح بالاتصالات عن بُعد من الحسابات من دون كلمات مرور | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux تسمح بالاتصال عن بعد من الحسابات بدون كلمات مرور | AuditIfNotExists، معطل | 3.1.0 |
تدقيق أجهزة Linux التي لديها حسابات بدون كلمات مرور | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux التي لها حسابات بدون كلمات مرور | AuditIfNotExists، معطل | 3.1.0 |
تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
تدقيق الأجهزة الظاهرية التي لا تستخدم الأقراص المُدارة | يعمل هذا النهج على تدقيق الأجهزة الظاهرية التي لا تستخدم الأقراص المُدارة | تحقق | 1.0.0 |
يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
يجب أن يكون لدى حسابات Azure التعلم الآلي أساليب مصادقة محلية معطلة | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان من خلال التأكد من أن التعلم الآلي الحسابات تتطلب هويات Azure Active Directory حصريا للمصادقة. تعرف على المزيد من خلال: https://aka.ms/azure-ml-aad-policy. | التدقيق، الرفض، التعطيل | 2.1.0 |
يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure | يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
يجب أن تستخدم تطبيقات الوظائف الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure | يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure | يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services | لتوفير تصفية تجميعية على الإجراءات التي يمكن للمستخدمين تنفيذها، استخدم التحكم المستند إلى الأدوار (RBAC) في الوصول لإدارة الأذونات في مجموعات خدمة Kubernetes، وتكوين نهج التفويض ذات الصلة. | المراجعة، معطلة | 1.0.4 |
يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
يجب ترحيل حسابات التخزين إلى موارد Azure Resource Manager الجديدة | استخدم Azure Resource Manager الجديد لحسابات التخزين لتزويد تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، وتحسين التدقيق، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى مخزن البيانات السرية، والمصادقة المستندة إلى Microsoft Azure Active Directory ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن تمنع حسابات التخزين الوصول إلى المفتاح المشترك | راجع متطلبات Azure Active Directory (Azure AD) لتخويل طلبات حساب التخزين الخاص بك. بشكل افتراضي، يمكن تخويل الطلبات باستخدام بيانات اعتماد Azure Active Directory، أو باستخدام مفتاح الوصول إلى الحساب لمصادقة المفتاح المشترك. ومن بين نوعي التخويل هذين، يوفر Azure AD أمانًا فائقًا وسهولة أكثر في الاستخدام عبر المفتاح المشترك، وتوصي به Microsoft. | التدقيق، الرفض، التعطيل | 2.0.0 |
يجب تعيين أكثر من مالك واحد لاشتراكك | يستحسن تعيين أكثر من مالك واحد للاشتراك من أجل الحصول على تكرار وصول المسؤول. | AuditIfNotExists، معطل | 3.0.0 |
يجب ترحيل الأجهزة الظاهرية إلى موارد Azure Resource Manager الجديدة | استخدم إدارة موارد Azure الجديدة للأجهزة الظاهرية لتوفير تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، والمراجعة الأفضل، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى خزنة المفاتيح للأسرار، والمصادقة المستندة إلى Azure AD، ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن تستخدم بوابات VPN مصادقة Azure Active Directory (Azure AD) فقط لمستخدمي نقطة إلى موقع | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان من خلال التأكد من استخدام بوابات الشبكة الخاصة الافتراضية معرفات Azure Active Directory فقط للمصادقة. تعرف على المزيد حول مصادقة Azure AD على https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | التدقيق، الرفض، التعطيل | 1.0.0 |
U.10.3 الوصول إلى خدمات وبيانات تكنولوجيا المعلومات - المستخدمون
يمكن فقط للمستخدمين الذين لديهم معدات مصادق عليها الوصول إلى خدمات وبيانات تكنولوجيا المعلومات.
المعرف: نسق سحابة NL BIO U.10.3 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكين شهادات العميل (شهادات العميل الواردة) لتطبيقات App Service | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. ينطبق هذا النهج على التطبيقات التي تم تعيين إصدار Http عليها إلى 1.1. | AuditIfNotExists، معطل | 1.0.0 |
يجب أن تستخدم تطبيقات App Service الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
مراجعة أجهزة Linux التي تسمح بالاتصالات عن بُعد من الحسابات من دون كلمات مرور | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux تسمح بالاتصال عن بعد من الحسابات بدون كلمات مرور | AuditIfNotExists، معطل | 3.1.0 |
تدقيق أجهزة Linux التي لديها حسابات بدون كلمات مرور | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux التي لها حسابات بدون كلمات مرور | AuditIfNotExists، معطل | 3.1.0 |
تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
تدقيق الأجهزة الظاهرية التي لا تستخدم الأقراص المُدارة | يعمل هذا النهج على تدقيق الأجهزة الظاهرية التي لا تستخدم الأقراص المُدارة | تحقق | 1.0.0 |
يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
يجب أن يكون لدى حسابات Azure التعلم الآلي أساليب مصادقة محلية معطلة | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان من خلال التأكد من أن التعلم الآلي الحسابات تتطلب هويات Azure Active Directory حصريا للمصادقة. تعرف على المزيد من خلال: https://aka.ms/azure-ml-aad-policy. | التدقيق، الرفض، التعطيل | 2.1.0 |
يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure | يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
يجب أن تستخدم تطبيقات الوظائف الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure | يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure | يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services | لتوفير تصفية تجميعية على الإجراءات التي يمكن للمستخدمين تنفيذها، استخدم التحكم المستند إلى الأدوار (RBAC) في الوصول لإدارة الأذونات في مجموعات خدمة Kubernetes، وتكوين نهج التفويض ذات الصلة. | المراجعة، معطلة | 1.0.4 |
يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
ينبغي تكوين خوادم SQL لاستخدام التدقيق لوجهة حساب التخزين مع الاحتفاظ بهذه السجلات لمدة 90 يومًا أو أكثر | لأغراض التحقيق في الحوادث، نوصي بتعيين الاحتفاظ بالبيانات لمراجعة SQL Server إلى وجهة حساب التخزين لمدة 90 يومًا على الأقل. تأكد من الاستيفاء بقواعد الاحتفاظ الضرورية للمناطق التي تعمل فيها. وهذا مطلوب في بعض الأحيان للتوافق مع المعايير التنظيمية. | AuditIfNotExists، معطل | 3.0.0 |
يجب ترحيل حسابات التخزين إلى موارد Azure Resource Manager الجديدة | استخدم Azure Resource Manager الجديد لحسابات التخزين لتزويد تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، وتحسين التدقيق، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى مخزن البيانات السرية، والمصادقة المستندة إلى Microsoft Azure Active Directory ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن تمنع حسابات التخزين الوصول إلى المفتاح المشترك | راجع متطلبات Azure Active Directory (Azure AD) لتخويل طلبات حساب التخزين الخاص بك. بشكل افتراضي، يمكن تخويل الطلبات باستخدام بيانات اعتماد Azure Active Directory، أو باستخدام مفتاح الوصول إلى الحساب لمصادقة المفتاح المشترك. ومن بين نوعي التخويل هذين، يوفر Azure AD أمانًا فائقًا وسهولة أكثر في الاستخدام عبر المفتاح المشترك، وتوصي به Microsoft. | التدقيق، الرفض، التعطيل | 2.0.0 |
يجب ترحيل الأجهزة الظاهرية إلى موارد Azure Resource Manager الجديدة | استخدم إدارة موارد Azure الجديدة للأجهزة الظاهرية لتوفير تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، والمراجعة الأفضل، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى خزنة المفاتيح للأسرار، والمصادقة المستندة إلى Azure AD، ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن تستخدم بوابات VPN مصادقة Azure Active Directory (Azure AD) فقط لمستخدمي نقطة إلى موقع | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان من خلال التأكد من استخدام بوابات الشبكة الخاصة الافتراضية معرفات Azure Active Directory فقط للمصادقة. تعرف على المزيد حول مصادقة Azure AD على https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | التدقيق، الرفض، التعطيل | 1.0.0 |
U.10.5 الوصول إلى خدمات وبيانات تكنولوجيا المعلومات - مؤهل
ويحد من إمكانية الوصول إلى خدمات تكنولوجيا المعلومات وبياناتها التدابير التقنية وقد تم تنفيذها.
المعرف: نسق سحابة NL BIO U.10.5 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
يجب أن تستخدم تطبيقات App Service الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
مراجعة أجهزة Linux التي تسمح بالاتصالات عن بُعد من الحسابات من دون كلمات مرور | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux تسمح بالاتصال عن بعد من الحسابات بدون كلمات مرور | AuditIfNotExists، معطل | 3.1.0 |
تدقيق أجهزة Linux التي لديها حسابات بدون كلمات مرور | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux التي لها حسابات بدون كلمات مرور | AuditIfNotExists، معطل | 3.1.0 |
تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
تدقيق الأجهزة الظاهرية التي لا تستخدم الأقراص المُدارة | يعمل هذا النهج على تدقيق الأجهزة الظاهرية التي لا تستخدم الأقراص المُدارة | تحقق | 1.0.0 |
يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
يجب أن يكون لدى حسابات Azure التعلم الآلي أساليب مصادقة محلية معطلة | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان من خلال التأكد من أن التعلم الآلي الحسابات تتطلب هويات Azure Active Directory حصريا للمصادقة. تعرف على المزيد من خلال: https://aka.ms/azure-ml-aad-policy. | التدقيق، الرفض، التعطيل | 2.1.0 |
يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure | يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
يجب أن تستخدم تطبيقات الوظائف الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure | يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure | يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services | لتوفير تصفية تجميعية على الإجراءات التي يمكن للمستخدمين تنفيذها، استخدم التحكم المستند إلى الأدوار (RBAC) في الوصول لإدارة الأذونات في مجموعات خدمة Kubernetes، وتكوين نهج التفويض ذات الصلة. | المراجعة، معطلة | 1.0.4 |
يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
يجب ترحيل حسابات التخزين إلى موارد Azure Resource Manager الجديدة | استخدم Azure Resource Manager الجديد لحسابات التخزين لتزويد تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، وتحسين التدقيق، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى مخزن البيانات السرية، والمصادقة المستندة إلى Microsoft Azure Active Directory ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن تمنع حسابات التخزين الوصول إلى المفتاح المشترك | راجع متطلبات Azure Active Directory (Azure AD) لتخويل طلبات حساب التخزين الخاص بك. بشكل افتراضي، يمكن تخويل الطلبات باستخدام بيانات اعتماد Azure Active Directory، أو باستخدام مفتاح الوصول إلى الحساب لمصادقة المفتاح المشترك. ومن بين نوعي التخويل هذين، يوفر Azure AD أمانًا فائقًا وسهولة أكثر في الاستخدام عبر المفتاح المشترك، وتوصي به Microsoft. | التدقيق، الرفض، التعطيل | 2.0.0 |
يجب ترحيل الأجهزة الظاهرية إلى موارد Azure Resource Manager الجديدة | استخدم إدارة موارد Azure الجديدة للأجهزة الظاهرية لتوفير تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، والمراجعة الأفضل، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى خزنة المفاتيح للأسرار، والمصادقة المستندة إلى Azure AD، ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن تستخدم بوابات VPN مصادقة Azure Active Directory (Azure AD) فقط لمستخدمي نقطة إلى موقع | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان من خلال التأكد من استخدام بوابات الشبكة الخاصة الافتراضية معرفات Azure Active Directory فقط للمصادقة. تعرف على المزيد حول مصادقة Azure AD على https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | التدقيق، الرفض، التعطيل | 1.0.0 |
U.11.1 Cryptoservices - Policy
وفي سياسة التشفير، وضعت المواضيع على الأقل وفقا للسيرة الذاتية.
المعرف: نسق سحابة NL BIO U.11.1 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 4.0.0 |
يجب أن تتطلب تطبيقات App Service FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS" | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. | AuditIfNotExists، معطل | 2.0.1 |
تدقيق أجهزة Windows التي لا تخزن كلمات المرور باستخدام تشفير عكسي | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت الأجهزة التي تعمل بنظام Windows لا تخزن كلمات المرور باستخدام تشفير قابل للعكس | AuditIfNotExists، معطل | 2.0.0 |
يجب تشفير متغيرات حساب التنفيذ التلقائي | من المهم تمكين تشفير أصول متغير حساب التنفيذ التلقائي عند تخزين البيانات الحساسة | التدقيق، الرفض، التعطيل | 1.1.0 |
يجب أن تستخدم مجموعات Azure HDInsight التشفير أثناء النقل لتشفير الاتصال بين عقد نظام المجموعة Azure HDInsight | يمكن العبث بالبيانات أثناء الإرسال بين عقد نظام المجموعة Azure HDInsight. يؤدي تمكين التشفير أثناء النقل إلى معالجة مشكلات إساءة الاستخدام والعبث أثناء عملية الإرسال هذه. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL | قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL | تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 5.0.0 |
يجب أن تتطلب تطبيقات الوظائف FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. | AuditIfNotExists، معطل | 2.0.1 |
يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS | يضمن استخدام HTTPS المصادقة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. هذه الإمكانية متاحة حاليا بشكل عام لخدمة Kubernetes (AKS)، وفي المعاينة ل Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/kubepolicydoc | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.2.0 |
يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis | تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب تمكين النقل الآمن إلى حسابات التخزين | متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 2.0.0 |
يجب أن تحتوي مجموعات تصميم الخدمة على الخاصية ClusterProtectionLevel معينة إلى EncryptAndSign | يوفر Service Fabric ثلاثة مستويات من الحماية (None، وSign، وEncryptAndSign) للاتصال عقدة إلى عقدة باستخدام شهادة نظام مجموعة أساسية. تعيين مستوى الحماية لضمان تشفير كافة رسائل العقدة إلى العقدة وتوقيعها رقميا | التدقيق، الرفض، التعطيل | 1.1.0 |
ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL | يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال | AuditIfNotExists، معطل | 2.0.0 |
يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة | لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة. | AuditIfNotExists، معطل | 4.1.1 |
U.11.2 Cryptoservices - مقاييس التشفير
في حالة شهادات PKIoverheid، استخدم متطلبات PKIoverheid للإدارة الرئيسية. في حالات أخرى، استخدم ISO11770.
المعرف: نسق سحابة NL BIO U.11.2 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 4.0.0 |
يجب أن تتطلب تطبيقات App Service FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS" | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. | AuditIfNotExists، معطل | 2.0.1 |
تدقيق أجهزة Windows التي لا تخزن كلمات المرور باستخدام تشفير عكسي | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت الأجهزة التي تعمل بنظام Windows لا تخزن كلمات المرور باستخدام تشفير قابل للعكس | AuditIfNotExists، معطل | 2.0.0 |
يجب تشفير متغيرات حساب التنفيذ التلقائي | من المهم تمكين تشفير أصول متغير حساب التنفيذ التلقائي عند تخزين البيانات الحساسة | التدقيق، الرفض، التعطيل | 1.1.0 |
يجب أن تستخدم مجموعات Azure HDInsight التشفير أثناء النقل لتشفير الاتصال بين عقد نظام المجموعة Azure HDInsight | يمكن العبث بالبيانات أثناء الإرسال بين عقد نظام المجموعة Azure HDInsight. يؤدي تمكين التشفير أثناء النقل إلى معالجة مشكلات إساءة الاستخدام والعبث أثناء عملية الإرسال هذه. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL | قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL | تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 5.0.0 |
يجب أن تتطلب تطبيقات الوظائف FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. | AuditIfNotExists، معطل | 2.0.1 |
يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS | يضمن استخدام HTTPS المصادقة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. هذه الإمكانية متاحة حاليا بشكل عام لخدمة Kubernetes (AKS)، وفي المعاينة ل Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/kubepolicydoc | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.2.0 |
يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis | تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب تمكين النقل الآمن إلى حسابات التخزين | متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 2.0.0 |
يجب أن تحتوي مجموعات تصميم الخدمة على الخاصية ClusterProtectionLevel معينة إلى EncryptAndSign | يوفر Service Fabric ثلاثة مستويات من الحماية (None، وSign، وEncryptAndSign) للاتصال عقدة إلى عقدة باستخدام شهادة نظام مجموعة أساسية. تعيين مستوى الحماية لضمان تشفير كافة رسائل العقدة إلى العقدة وتوقيعها رقميا | التدقيق، الرفض، التعطيل | 1.1.0 |
ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL | يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال | AuditIfNotExists، معطل | 2.0.0 |
يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة | لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة. | AuditIfNotExists، معطل | 4.1.1 |
U.11.3 Cryptoservices - مشفرة
يتم تشفير البيانات الحساسة دائما، مع مفاتيح خاصة تديرها CSC.
المعرف: نسق سحابة NL BIO U.11.3 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
[معاينة]: يجب أن تستخدم مخازن خدمات استرداد Azure المفاتيح المُدارة من قبل العملاء لتشفير بيانات النسخ الاحتياطي | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون لبيانات النسخ الاحتياطي. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/AB-CmkEncryption. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
[معاينة]: يجب تثبيت ملحق "شهادة الضيف" على أجهزة Linux الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على أجهزة Linux الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق بشكل استباقي على سلامة التمهيد ومراقبتها. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على أجهزة التشغيل الموثوقة وLinux الظاهرية السرية. | AuditIfNotExists، معطل | 6.0.0-المعاينة |
[معاينة]: يجب تثبيت ملحق "شهادة الضيف" على مجموعات مقياس أجهزة Linux الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على مجموعات مقياس أجهزة Linux الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد، ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على مجموعات مقياس الجهاز الظاهري Trusted Launch و Confidential Linux. | AuditIfNotExists، معطل | معاينة 5.1.0 |
[معاينة]: يجب تثبيت ملحق "شهادة الضيف" على الأجهزة Windows الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على الأجهزة الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق بشكل استباقي على سلامة التمهيد ومراقبتها. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على الأجهزة الظاهرية الموثوق بها التي تعمل بنظام التشغيل Windows والسرية. | AuditIfNotExists، معطل | معاينة 4.0.0 |
[معاينة]: يجب تثبيت ملحق "شهادة الضيف" على مجموعات مقياس الأجهزة Windows الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على مجموعات مقياس الأجهزة الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد، ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على مجموعات مقياس الجهاز الظاهري الموثوق بها وWindows السرية. | AuditIfNotExists، معطل | 3.1.0-المعاينة |
[معاينة]: يجب تشفير بيانات خدمة توفير جهاز IoT Hub باستخدام مفاتيح يديرها العميل (CMK) | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة خدمة تزويد جهاز IoT Hub. يتم تشفير البيانات تلقائيًا في حالة ثبات البيانات مع مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء (CMK) مطلوبة عادة لتلبية معايير التوافق التنظيمية. تمكن CMKs من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. تعرف على المزيد حول تشفير CMK على https://aka.ms/dps/CMK. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
[معاينة]: يجب تمكين التشغيل الآمن على الأجهزة Windows الظاهرية المعتمدة | قم بتمكين التمهيد الآمن على أجهزة Windows الظاهرية المدعومة؛ للتخفيف من التغييرات الضارة وغير المصرح بها لسلسلة التمهيد. بمجرد التمكين، سيتم السماح بتشغيل أدوات تحميل التشغيل وkernel وبرامج تشغيله فقط. ينطبق هذا التقييم على الأجهزة الظاهرية الموثوق بها التي تعمل بنظام التشغيل Windows والسرية. | المراجعة، معطلة | معاينة 4.0.0 |
[معاينة]: يجب تمكين vTPM على الأجهزة الظاهرية المعتمدة | تمكين جهاز TPM الظاهري على الأجهزة الظاهرية المدعومة لتسهيل Measured Boot، وميزات أمان نظام التشغيل الأخرى التي تتطلب TPM. بمجرد تمكين vTPM يمكن استخدامها لتشهد تكامل التمهيد. ينطبق هذا التقييم فقط على الأجهزة الظاهرية الموثوق بها التي تم تمكينها من التشغيل. | المراجعة، معطلة | 2.0.0-المعاينة |
يجب أن تقوم موارد Azure الذكاء الاصطناعي Services بتشفير البيانات الثابتة باستخدام مفتاح مدار من قبل العميل (CMK) | يوفر استخدام المفاتيح التي يديرها العميل لتشفير البيانات الثابتة مزيدا من التحكم في دورة حياة المفتاح، بما في ذلك التدوير والإدارة. وهذا أمر ذو صلة خاصة بالمنظمات ذات متطلبات الامتثال ذات الصلة. لا يتم تقييم هذا بشكل افتراضي وينبغي تطبيقه فقط عند الحاجة إلى الامتثال أو متطلبات النهج التقييدية. إذا لم يتم تمكينها، تشفير البيانات باستخدام مفاتيح مدارة بواسطة النظام الأساسي. لتنفيذ ذلك، قم بتحديث المعلمة 'Effect' في نهج الأمان للنطاق القابل للتطبيق. | التدقيق، الرفض، التعطيل | 2.2.0 |
يجب أن تستخدم واجهة برمجة تطبيقات Azure لـ FHIR مفتاحًا مدارًا من قبل العميل لتشفير البيانات في وضع الراحة | استخدم مفتاحًا يديره العميل للتحكم في تشفير البيانات الثابتة المخزنة في Azure API for FHIR عندما يكون هذا شرطًا تنظيميًا أو من متطلبات التوافق. توفر المفاتيح المدارة من قبل العميل أيضًا تشفيرا مزدوجا عن طريق إضافة طبقة ثانية من التشفير فوق الطبقة الافتراضية التي تتم باستخدام المفاتيح المدارة بواسطة الخدمة. | تدقيق، تدقيق، معطل، معطل | 1.1.0 |
يجب أن تستخدم حسابات Azure Automation المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة التشفير للبيانات في وضع السكون لحسابات Azure Automation. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/automation-cmk. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن يستخدم حساب Azure Batch المفاتيح المدارة من قبل العميل لتشفير البيانات | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون لحساب Batch. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/Batch-CMK. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب تفعيل تشفير قرص مجموعات Azure Batch | يضمن تفعيل تشفير قرص Azure Batch التشفير الدائم للبيانات في بقية عقدة Azure Batch في الحاسب النواتي. تعرف على المزيد حول تشفير القرص في Batch في https://docs.microsoft.com/azure/batch/disk-encryption . | تدقيق، تعطيل، رفض | 1.0.0 |
يجب أن تستخدم مجموعة حاويات مثيل Azure Container المفتاح المدار من قبل العميل للتشفير | قم بتأمين حاوياتك بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | تدقيق، تعطيل، رفض | 1.0.0 |
يجب أن تستخدم حسابات Azure Cosmos DB المفاتيح التي يديرها العملاء لتشفير البيانات في وضع السكون | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة Azure Cosmos DB. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/cosmosdb-cmk. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
يجب أن تمكّن مهام Azure Data Box التشفير المزدوج للبيانات الثابتة على الجهاز | تمكين طبقة ثانية من التشفير المستند إلى البرامج للبيانات الثابتة الموجودة على الجهاز. الجهاز محمي بالفعل عبر مقاييس التشفير المتقدمة 256 بت للبيانات الثابتة. يضيف هذا الخيار طبقة ثانية من تشفير البيانات. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن تستخدم Azure Data Box مفتاحًا مدارًا من قِبل العميل لتشفير كلمة مرور إلغاء قفل الجهاز | استخدم مفتاحا يديره العميل للتحكم في تشفير كلمة مرور إلغاء تأمين الجهاز لـ Azure Data Box. تساعد المفاتيح المدارة من قبل العملاء أيضًا في إدارة الوصول إلى كلمة مرور إلغاء قفل الجهاز بواسطة خدمة Data Box من أجل إعداد الجهاز ونسخ البيانات بطريقة تلقائية. البيانات الموجودة على الجهاز نفسه مشفرة بالفعل في حالة البيانات الثابتة مع مقاييس التشفير المتقدمة 256 بت، ويتم تشفير كلمة مرور إلغاء قفل الجهاز بشكل افتراضي باستخدام مفتاح مدار من Microsoft. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن يستخدم تشفير Azure Data Explorer في وضع السكون مفتاحًا مدارًا من قبل العميل | يتيح تمكين التشفير في وضع ثبات البيانات باستخدام مفتاح مدار من قبل العميل على مجموعة نظام مستكشف البيانات Azure التحكم الإضافي على المفتاح المستخدم بواسطة التشفير في وضع البيانات الثابتة. هذه الميزة غالبًا تكون قابلة للتطبيق على العملاء الذين لديهم متطلبات توافق خاصة وتتطلب حالتهم Key Vault لإدارة المفاتيح. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب تشفير سجلات الحاويات باستخدام مفتاح مُدار من قِبل العميل | استخدم المفاتيح التي يديرها العملاء لإدارة التشفير للبيانات في وضع السكون لـ Azure Data Factory. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/adf-cmk. | التدقيق، الرفض، التعطيل | 1.0.1 |
ينبغي تمكين دعم التشفير المزدوج لأجهزة مركز الأجهزة Azure Edge | تأكد من تمكين دعم التشفير المزدوج للأجهزة المطلوبة من مركز الأجهزة Azure Edge، لتأمين البيانات الموجودة على الجهاز. يضيف هذا الخيار طبقة ثانية من تشفير البيانات. | التدقيق، الرفض، التعطيل | 2.0.0 |
يجب أن تستخدم مجموعات Azure HDInsight المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة التشفير للبيانات في وضع السكون بمجموعات Azure HDInsight. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/hdi.cmk. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب أن تستخدم مجموعات Azure HDInsight التشفير عند المضيف لتشفير البيانات الثابتة | يساعد تمكين التشفير المزدوج على حماية بياناتك وحمايتها للوفاء بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. عند تمكين التشفير في المضيف، يتم تشفير البيانات المخزنة على مضيف VM عند لثبات البيانات ويتم تدفقها مشفرة إلى خدمة التخزين. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب تشفير مساحات العمل الخاصة بـ Azure Machine Learning باستخدام مفتاح مُدار من قِبل العميل | إدارة تشفير البيانات الثابتة بيانات مساحة عمل Azure التعلم الآلي باستخدام مفاتيح مدارة من قبل العميل. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/azureml-workspaces-cmk. | التدقيق، الرفض، التعطيل | 1.1.0 |
يجب إنشاء مجموعات سجلات مراقبة Azure مع تمكين البنية الأساسية التشفير (التشفير المزدوج) | لضمان تمكين تشفير البيانات الآمن على مستوى الخدمة ومستوى البنية الأساسية باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين، استخدم نظام مجموعة Azure Monitor المخصص. يتم تمكين هذا الخيار بشكل افتراضي عند دعمه في المنطقة، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
يجب تشفير مجموعات مراقبة سجلات Azure بمفتاح مدار من قبل العملاء | قم بإنشاء مجموعة سجلات مراقبة Azure بتشفير المفاتيح المدارة من قبل العملاء. بشكل افتراضي، يتم تشفير بيانات السجل باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية التوافق التنظيمي. يمنحك المفتاح المدار من قبل العميل في Azure Monitor مزيدًا من التحكم في الوصول إلى البيانات، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
يجب أن تستخدم مهام Azure Stream Analytics المفاتيح التي يديرها العملاء لتشفير البيانات | استخدم المفاتيح التي يديرها العملاء عندما تريد تخزين أي بيانات تعريف وأصول بيانات خاصة لوظائف Stream Analytics بأمان في حساب التخزين الخاص بك. وهذا يمنحك التحكم الكامل في كيفية تشفير بيانات Stream Analytics. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
يجب أن تستخدم مساحات عمل Azure Synapse المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح المدارة من قبل العميل للتحكم في تشفير البيانات الثابتة المخزنة في مساحات عمل Azure Synapse. توفر المفاتيح المدارة من قبل العميل تشفيرا مزدوجا عن طريق إضافة طبقة ثانية من التشفير فوق التشفير الافتراضي باستخدام مفاتيح مدارة بواسطة الخدمة. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب تشفير Bot Service بمفتاح مُدار من قبل العميل | تقوم خدمة Azure Bot Service تلقائيًا بتشفير المورد لحماية بياناتك والوفاء بالتزامات الأمان والامتثال التنظيمي. افتراضيا، يتم استخدام مفاتيح التشفير المدارة من Microsoft. لمزيد من المرونة في إدارة المفاتيح أو التحكم في الوصول إلى الاشتراك، حدد المفاتيح التي يديرها العميل، والمعروفة أيضًا باسم إحضار المفتاح (BYOK). تعرف على المزيد حول تشفير خدمة Azure Bot: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل | تشفير نظام التشغيل وأقراص البيانات باستخدام مفاتيح يديرها العملاء يوفر المزيد من التحكم والمرونة في إدارة المفاتيح. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية. | التدقيق، الرفض، التعطيل | 1.0.1 |
يجب تشفير سجلات الحاويات باستخدام مفتاح مُدار من قِبل العميل | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون بمحتويات السجلات. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/acr/CMK. | التدقيق، الرفض، التعطيل | 1.1.2 |
يجب تمكين تشفير القرص على Azure Data Explorer | يساعد تمكين التشفير المزدوج على حماية بياناتك وحمايتها للوفاء بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. | التدقيق، الرفض، التعطيل | 2.0.0 |
يجب تمكين التشفير المزدوج على Azure Data Explorer | يساعد تمكين التشفير المزدوج على حماية بياناتك وضمان سلامتها بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. عند تمكين التشفير المزدوج، يتم تشفير البيانات في حساب التخزين مرتين، مرة على مستوى الخدمة ومرة على مستوى البنية الأساسية، باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين. | التدقيق، الرفض، التعطيل | 2.0.0 |
يجب أن تستخدم مساحات أسماء Event Hub مفتاحًا مدارًا من قِبل العميل للتشفير | تدعم مراكز الأحداث خيار تشفير البيانات في وضع البيانات الثابتة إما باستخدام مفاتيح مدارة من Microsoft (افتراضية) أو مفاتيح يديرها العملاء. يتيح لك اختيار تشفير البيانات باستخدام المفاتيح المدارة من قبل العميل تعيين المفاتيح التي سيستخدمها Event Hub لتشفير البيانات في مساحة الاسم وتدويرها وتعطيلها وإبطالها. لاحظ أن مركز الأحداث يعتمد التشفير فقط مع مفاتيح مدارة من قبل العملاء لمساحات الأسماء في مجموعات مخصصة. | المراجعة، معطلة | 1.0.0 |
يجب أن تستخدم حسابات HPC Cache مفتاحًا مدارًا من قبل العميل للتشفير | إدارة تشفير البيانات الثابتة ذاكرة التخزين المؤقت لـ Azure HPC باستخدام المفاتيح المدارة من قبل العميل. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | تدقيق، تعطيل، رفض | 2.0.0 |
يجب تمكين تشفير البنية التحتية لـ Azure Database لخوادم MySQL | تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم MySQL للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات الثابتة مرتين باستخدام مفاتيح إدارة Microsoft المتوافقة مع FIPS 140-2. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم PostgreSQL | تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم PostgreSQL للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات الثابتة مرتين باستخدام مفاتيح إدارة Microsoft المتوافقة مع FIPS 140-2 | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب تشفير بيئة خدمة تكامل تطبيقات المنطق باستخدام المفاتيح المدارة بواسطة العملاء | نشر في بيئة خدمة التكامل لإدارة تشفير البيانات الثابتة بيانات تطبيقات المنطق باستخدام مفاتيح يديرها العملاء. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب تشفير الأقراص المدارة مرتين باستخدام كل من المفاتيح المدارة من النظام الأساسي والمفاتيح التي يديرها العملاء | يمكن للعملاء ذوي الحساسية الأمنية العالية الذين يشعرون بالقلق من المخاطر المرتبطة بأي خوارزمية تشفير معينة أو تنفيذ أو مفتاح يتم اختراقه اختيار طبقة إضافية من التشفير باستخدام خوارزمية /وضع تشفير مختلف في طبقة البنية التحتية باستخدام مفاتيح التشفير المدارة من النظام الأساسي. مجموعات تشفير القرص مطلوبة لاستخدام التشفير المزدوج. تعرّف على المزيد من خلال https://aka.ms/disks-doubleEncryption. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة خوادم MySQL. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | AuditIfNotExists، معطل | 1.0.4 |
يجب تشفير نظام التشغيل وأقراص البيانات باستخدام مفتاح يُديره العميل | استخدم المفاتيح المدارة من قبل العميل لإدارة تشفير البيانات الثابتة محتويات الأقراص المدارة. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح المدارة من خلال النظام الأساسي، ولكن عادة ما تكون المفاتيح التي يديرها العملاء مطلوبة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/disks-cmk. | التدقيق، الرفض، التعطيل | 3.0.0 |
يجب أن تستخدم خوادم PostgreSQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة تشفير البيانات الثابتة لخوادم PostgreSQL لديك. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | AuditIfNotExists، معطل | 1.0.4 |
يجب حفظ الاستعلامات المحفوظة في Azure Monitor في حساب تخزين العميل لتشفير السجلات | ربط حساب التخزين بمساحة عمل Log Analytics لحماية الاستعلامات المحفوظة باستخدام تشفير حساب التخزين. عادة ما تكون المفاتيح المدارة من قبل العملاء مطلوبة لتلبية الامتثال التنظيمي ولمزيد من التحكم في الوصول إلى الاستعلامات المحفوظة في Azure Monitor. لمزيد من التفاصيل حول ما سبق، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
يجب أن تستخدم مساحات أسماء Service Bus Premium مفتاحاً مداراً من قِبل العميل للتشفير | يدعم Azure Service Bus خيار تشفير البيانات الثابتة باستخدام مفاتيح مدارة من Microsoft (افتراضي) أو مفاتيح مدارة من قبل العميل. يتيح لك اختيار تشفير البيانات باستخدام المفاتيح التي يديرها العميل تعيين المفاتيح التي ستستخدمها ناقل خدمة Microsoft Azure لتشفير البيانات في مساحة الاسم وتدويرها وتعطيلها وإبطالها. لاحظ أن ناقل خدمة Microsoft Azure يعتمد التشفير فقط مع مفاتيح مدارة من قبل العملاء لمساحات الأسماء المميزة. | المراجعة، معطلة | 1.0.0 |
يجب أن تستخدم المثيلات المدارة من قبل SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر لك تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح مزيدًا من الشفافية والتحكم في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.0 |
يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح شفافية وتحكمًا متزايدين في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.1 |
يجب أن تستخدم نطاقات تشفير حساب التخزين المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة نطاقات تشفير حساب التخزين. تتيح المفاتيح المدارة من قبل العميل تشفير البيانات باستخدام مفتاح Azure لمخزن البيانات السرية الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرف على المزيد حول نطاقات تشفير حساب التخزين في https://aka.ms/encryption-scopes-overview. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن يكون لدى حسابات التخزين تشفير البنية الأساسية | تمكين تشفير البنية الأساسية للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات في حساب تخزين مرتين. | التدقيق، الرفض، التعطيل | 1.0.0 |
يجب أن تستخدم حسابات التخزين مفتاحاً مداراً من قبل العميل للتشفير | أمّن الكائن الثنائي كبير الحجم وحساب تخزين الملفات بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | المراجعة، معطلة | 1.0.3 |
يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف | لتحسين أمان البيانات، يجب تشفير البيانات المخزنة على مضيف الجهاز الظاهري (VM) لعقد خدمة Azure Kubernetes VMs في حالة السكون. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية. | التدقيق، الرفض، التعطيل | 1.0.1 |
ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL | يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال | AuditIfNotExists، معطل | 2.0.0 |
يجب تمكين التشفير على المضيف في الأجهزة الظاهرية ومجموعات مقياس الجهاز الظاهري | استخدم التشفير في المضيف للحصول على تشفير من طرف إلى طرف لجهازك الظاهري وبيانات مجموعة مقياس الجهاز الظاهري. التشفير في المضيف يتيح تشفير البيانات الثابتة للقرص المؤقت الخاص بك وذاكرة التخزين المؤقت لـ OS/قرص البيانات. يتم تشفير أقراص OS المؤقتة والزائلة باستخدام مفاتيح تتم إدارتها من خلال النظام الأساسي عند تمكين التشفير في المضيف. يتم تشفير ذاكرة التخزين المؤقت لأقراص OS/data في حالة راحة باستخدام مفتاح مدار من قبل العميل أو مفتاح مدار بواسطة النظام الأساسي، وذلك حسب نوع التشفير المحدد على القرص. تعرّف على المزيد من خلال https://aka.ms/vm-hbe. | التدقيق، الرفض، التعطيل | 1.0.0 |
U.12.1 Interfaces - اتصالات الشبكة
وفي نقاط الاتصال بمناطق خارجية أو غير موثوق بها، تتخذ تدابير ضد الهجمات.
المعرف: نسق سحابة NL BIO U.12.1 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
يجب تمكين Azure DDoS Protection | يجب تمكين حماية DDoS لجميع الشبكات الظاهرية مع شبكة فرعية تعد جزءا من بوابة تطبيق مع IP عام. | AuditIfNotExists، معطل | 3.0.1 |
يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 1.0.2 |
يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 2.0.0 |
U.12.2 Interfaces - اتصالات الشبكة
مكونات الشبكة بحيث تكون اتصالات الشبكة بين الشبكات الموثوق بها وغير الموثوق بها محدودة.
المعرف: نسق سحابة NL BIO U.12.2 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
يجب تمكين Azure DDoS Protection | يجب تمكين حماية DDoS لجميع الشبكات الظاهرية مع شبكة فرعية تعد جزءا من بوابة تطبيق مع IP عام. | AuditIfNotExists، معطل | 3.0.1 |
يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 1.0.2 |
يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 2.0.0 |
U.15.1 التسجيل والمراقبة - تم تسجيل الأحداث
يتم تسجيل انتهاك قواعد النهج من قبل CSP وCS.
المعرف: نسق سحابة NL BIO U.15.1 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
[إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 6.0.0-المعاينة |
[معاينة]: يجب تمكين "Log Analytics Extension" لصور الأجهزة الظاهرية المدرجة | يُبلغ عن الأجهزة الظاهرية على أنها غير متوافقة إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يتم تثبيت الملحق. | AuditIfNotExists، معطل | 2.0.1-معاينة |
[معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Linux Azure Arc الخاصة بك | يقوم هذا النهج بتدقيق أجهزة Linux Azure Arc إذا لم يتم تثبيت ملحق Log Analytics. | AuditIfNotExists، معطل | 1.0.1 - المعاينة |
[معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Windows Azure Arc الخاصة بك | يقوم هذا النهج بتدقيق أجهزة Windows Azure Arc إذا لم يتم تثبيت ملحق Log Analytics. | AuditIfNotExists، معطل | 1.0.1 - المعاينة |
[معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
[معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
يجب تمكين سجلات الموارد لتطبيقات App Service | قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر. | AuditIfNotExists، معطل | 2.0.1 |
تدقيق إعداد التشخيص للأنوع المحددة من الموارد | تدقيق إعداد التشخيص لأنواع الموارد المحددة. تأكد من تحديد أنواع الموارد التي تدعم إعدادات التشخيص فقط. | AuditIfNotExists | 2.0.1 |
ينبغي تمكين التدقيق على خادم SQL | يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 2.0.0 |
يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
يجب تمكين سجلات الموارد في Azure Front Door | تمكين سجلات الموارد ل Azure Front Door (بالإضافة إلى WAF) والبث إلى مساحة عمل Log Analytics. احصل على رؤية مفصلة لحركة مرور الويب الواردة والإجراءات المتخذة للتخفيف من الهجمات. | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكين سجلات الموارد في Azure Front Door Standard أو Premium (Plus WAF) | تمكين سجلات الموارد ل Azure Front Door Standard أو Premium (بالإضافة إلى WAF) والبث إلى مساحة عمل Log Analytics. احصل على رؤية مفصلة لحركة مرور الويب الواردة والإجراءات المتخذة للتخفيف من الهجمات. | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكين عامل التبعية لصور الأجهزة الظاهرية المُدرجة | يُبلغ عن الأجهزة الظاهرية على أنها غير متوافقة إذا لم تكن صورة الجهاز الظاهري في القائمة المحددة ولم يتم تثبيت الوكيل. يتم تحديث قائمة صور نظام التشغيل بمرور الوقت مع تحديث الدعم. | AuditIfNotExists، معطل | 2.0.0 |
يجب تمكين عامل التبعية في مجموعات مقياس الأجهزة الظاهرية لصور الأجهزة الظاهرية المُدرجة | يُبلغ عن تعيين مقياس الجهاز الظاهري على أنه غير متوافق إذا لم تكن صورة الجهاز الظاهري في القائمة المحددة ولم يتم تثبيت الوكيل. يتم تحديث قائمة صور نظام التشغيل بمرور الوقت مع تحديث الدعم. | AuditIfNotExists، معطل | 2.0.0 |
يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.3 |
يجب تمكين ملحق Log Analytics في مجموعات مقياس الأجهزة الظاهرية لصور الأجهزة الظاهرية المدرجة | يُبلغ عن مجموعات مقياس الجهاز الظاهري على أنها غير متوافقة إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يتم تثبيت الملحق. | AuditIfNotExists، معطل | 2.0.1 |
يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
يجب تمكين سجلات الموارد في Azure Data Lake Store | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
يجب تمكين سجلات الموارد في مساحات عمل Azure Databricks | تمكن سجلات الموارد من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحقيق عند حدوث حادث أمان أو عند اختراق الشبكة. | AuditIfNotExists، معطل | 1.0.1 |
ينبغي تمكين سجلات الموارد في Azure Kubernetes Service | يمكن أن تساعد سجلات موارد Azure Kubernetes Service في إعادة إنشاء مسارات الأنشطة عند التحقيق في حوادث الأمان. تمكينه للتأكد من وجود السجلات عند الحاجة | AuditIfNotExists، معطل | 1.0.0 |
يجب تمكين سجلات الموارد في Azure التعلم الآلي Workspaces | تمكن سجلات الموارد من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحقيق عند حدوث حادث أمان أو عند اختراق الشبكة. | AuditIfNotExists، معطل | 1.0.1 |
يجب تمكين سجلات الموارد في Azure Stream Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
يجب تمكين سجلات الموارد في حسابات Batch | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
يجب تمكين سجلات الموارد في Data Lake Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
يجب تمكين سجلات الموارد في Event Hub | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
يجب تمكين سجلات الموارد في مركز IoT | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 3.1.0 |
يجب تمكين سجلات الموارد في Key Vault | مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة | AuditIfNotExists، معطل | 5.0.0 |
يجب تمكين سجلات الموارد في Logic Apps | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.1.0 |
يجب تمكين سجلات الموارد في خدمات البحث | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
يجب تمكين سجلات الموارد في Service Bus | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
U.15.3 التسجيل والمراقبة - تم تسجيل الأحداث
يحتفظ موفر الخدمات المشتركة بقائمة بجميع الأصول المهمة من حيث التسجيل والمراقبة ويراجع هذه القائمة.
المعرف: نسق سحابة NL BIO U.15.3 الملكية: مشترك
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
[معاينة]: يجب تمكين "Log Analytics Extension" لصور الأجهزة الظاهرية المدرجة | يُبلغ عن الأجهزة الظاهرية على أنها غير متوافقة إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يتم تثبيت الملحق. | AuditIfNotExists، معطل | 2.0.1-معاينة |
تدقيق إعداد التشخيص للأنوع المحددة من الموارد | تدقيق إعداد التشخيص لأنواع الموارد المحددة. تأكد من تحديد أنواع الموارد التي تدعم إعدادات التشخيص فقط. | AuditIfNotExists | 2.0.1 |
ينبغي تمكين التدقيق على خادم SQL | يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 2.0.0 |
يجب تمكين عامل التبعية لصور الأجهزة الظاهرية المُدرجة | يُبلغ عن الأجهزة الظاهرية على أنها غير متوافقة إذا لم تكن صورة الجهاز الظاهري في القائمة المحددة ولم يتم تثبيت الوكيل. يتم تحديث قائمة صور نظام التشغيل بمرور الوقت مع تحديث الدعم. | AuditIfNotExists، معطل | 2.0.0 |
يجب تمكين عامل التبعية في مجموعات مقياس الأجهزة الظاهرية لصور الأجهزة الظاهرية المُدرجة | يُبلغ عن تعيين مقياس الجهاز الظاهري على أنه غير متوافق إذا لم تكن صورة الجهاز الظاهري في القائمة المحددة ولم يتم تثبيت الوكيل. يتم تحديث قائمة صور نظام التشغيل بمرور الوقت مع تحديث الدعم. | AuditIfNotExists، معطل | 2.0.0 |
يجب تمكين ملحق Log Analytics في مجموعات مقياس الأجهزة الظاهرية لصور الأجهزة الظاهرية المدرجة | يُبلغ عن مجموعات مقياس الجهاز الظاهري على أنها غير متوافقة إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يتم تثبيت الملحق. | AuditIfNotExists، معطل | 2.0.1 |
U.17.1 بنية متعددة المستأجرين - مشفرة
يتم تشفير بيانات CSC عند النقل وفي حالة الثبات.
المعرف: نسق سحابة NL BIO U.17.1 الملكية: Microsoft
الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
---|---|---|---|
يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
تدقيق الأجهزة الظاهرية دون تكوين استرداد بعد عطل فادح | مراجعة الأجهزة الظاهرية التي لم يتم تكوين استردادها بعد عطل فادح. لمعرفة المزيد حول الاسترداد بعد الأخطاء الفادحة، تفضل بزيارة https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
يجب تمكين النسخ الاحتياطي لأجهزة Azure الظاهرية | تأكد من حماية الأجهزة الظاهرية Azure الخاصة بك عن طريق تمكين النسخ الاحتياطي Azure. النسخ الاحتياطي Azure هو حل آمن وفعال من حيث التكلفة لحماية البيانات لـ Azure. | AuditIfNotExists، معطل | 3.0.0 |
يجب تعيين أكثر من مالك واحد لاشتراكك | يستحسن تعيين أكثر من مالك واحد للاشتراك من أجل الحصول على تكرار وصول المسؤول. | AuditIfNotExists، معطل | 3.0.0 |
يجب تمكين تقييم الثغرات الأمنية على مساحات عمل Synapse | اكتشف الثغرات الأمنية المحتملة وتعقبها وصلحها عن طريق تكوين عمليات فحص تقييم الضعف المتكررة SQL على مساحات عمل Synapse. | AuditIfNotExists، معطل | 1.0.0 |
الخطوات التالية
مقالات إضافية حول Azure Policy:
- نظرة عامة على التوافق التنظيمي.
- راجع بنية تعريف المبادرة.
- مراجعة أمثلة أخرى في نماذج Azure Policy.
- راجع فهم تأثيرات النهج.
- تعرف على كيفية إصلاح الموارد غير المتوافقة.